Approfondimento

Il progressivo evolvere del contesto socioeconomico sotteso al mondo del lavoro, e l’irrefrenabile sviluppo tecnologico ad esso correlato fanno sì che, pacificamente, al giorno d’oggi molteplici attività vengano o realizzate e gestite attraverso l’utilizzo di automazioni, o sistemi decisionali.

Ma cosa deve intendersi per processo decisionale automatizzato?

Senza pretesa alcuna di esaustività, lo stesso può essere definito come quella capacità di un determinato sistema di prendere decisioni mediante l’esclusivo utilizzo dei mezzi tecnologici, senza alcun apporto o coinvolgimento umano.

Se in passato – ad esempio – i curricula inviati venivano visionati direttamente dal selezionatore, sempre più diffusi sono invece oggi quei sistemi di screening, in grado di scartare le candidature non pertinenti o meno adeguate. Ancora, si pensi semplicemente alla prassi della timbratura del cartellino, un tempo tipicamente attività “fisica” ed oggi, al contrario, sempre di più sostituita da sistemi di rilevazione delle presenze in azienda mediante modalità smart, o addirittura da remoto.

È evidente, allora, che il continuo proliferare di siffatte tecnologie nelle modalità di svolgimento e gestione del lavoro, porti con sé anche l’inevitabile problema di comprendere come, per quali finalità ed entro quali limiti possono essere trattati i dati personali dei lavoratori.

Una prima risposta a tali interrogativi è stata recentemente fornita dal decreto legislativo n. 104/2022 “Attuazione della direttiva (UE) 2019/1152 del Parlamento europeo e del Consiglio del 20 giugno 2019 relativa a condizioni di lavoro trasparenti e prevedibili nell’Unione Europea”, entrato in vigore il 13 agosto 2022 (c.d. “Decreto Trasparenza”).

Lo scopo che tale intervento normativo si prefigge è, in particolar modo, quello di innalzare i livelli di tutela dei lavoratori, come espressamente affermato all’articolo 1, comma 1, della direttiva.

Nel caso specifico, questo innalzamento avviene mediante la previsione di una dettagliata serie di informazioni che devono essere rese al lavoratore al momento dell’instaurazione del rapporto, in maniera tale che quest’ultimo sia informato dei diritti e doveri che ne conseguono in relazione agli aspetti principali del contratto, nonché mediante la previsione di prescrizioni minime relative alle condizioni di lavoro.

Fra i molteplici aspetti presi in considerazione dal Decreto Trasparenza nell’ambito delle informazioni che devono essere rese al lavoratore, una particolare importanza è rivestita dalle nuove previsioni relative alla protezione dei dati personali dei lavoratori.

Segnatamente, l’articolo 1-bis del d.lgs. n. 152/1997, inserito dall’articolo 4, lett. b), del d.lgs. n. 104/2022, prevede ulteriori obblighi informativi nel caso che il datore di lavoro utilizzi sistemi decisionali o di monitoraggio automatizzati.

In particolare, il comma 1 prevede che «Il datore di lavoro o il committente pubblico e privato è tenuto ad informare il lavoratore dell’utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori. Resta fermo quanto disposto dall’articolo 4 della legge 20 maggio 1970, n. 300.».

Innanzitutto, è interessante evidenziare che tale articolo prende in considerazione trattamenti che fanno uso di sistemi decisionali o di monitoraggio, relativi all’intero “ciclo vita” del lavoratore all’interno dell’azienda, e riguardanti ogni attività svolta da e/o nei confronti di quest’ultimo. Si para, infatti di trattamenti in grado di fornire indicazioni rilevanti per la decisione e la gestione di una molteplicità di attività che, appunto, vanno dalla selezione ed assunzione del lavoratore, fino all’eventuale cessazione del rapporto lavorativo medesimo.

L’impatto generato dall’entrata in vigore di queste norme, inoltre, è tanto più evidente se si considera che, a partire dallo scorso 13 agosto, il datore di lavoro ed il committente che intendano adeguarsi al rispetto della nuova normativa, dovranno porre in essere tutta una serie di nuovi obblighi di compliance.

Nello specifico, l’art. 4 comma 4 del Decreto Trasparenza, dispone che “il datore di lavoro o il committente sono tenuti ad integrare l’informativa con le istruzioni per il lavoratore in merito alla sicurezza dei dati e l’aggiornamento del registro dei trattamenti riguardanti le attività di cui al comma 1 (ndr. quelli sopra esposti) incluse le attività di sorveglianza e monitoraggio. Al fine di verificare che gli strumenti utilizzati per lo svolgimento della prestazione lavorativa siano conformi alle disposizioni previste dal Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, il datore di lavoro ed il committente effettuano un’analisi dei rischi e una valutazione d’impatto degli stessi, procedendo ad una consultazione preventiva del Garante per la protezione dei dati personali, ove sussistano i presupposti di cui all’art. 36 del Regolamento medesimo”.

Tuttavia, l’elemento di assoluta novità menzionato dal decreto consta nell’obbligo – anch’esso gravante in capo al datore di lavoro ed al committente – di comunicare le medesime informazioni anche alle Rappresentanze Sindacali Aziendali, ovvero alla Rappresentanza Sindacale Unitaria o, in loro assenza, alle sedi territoriali delle associazioni sindacali comparativamente più rappresentative sul piano nazionale. La mancata comunicazione di tali informazioni, peraltro, viene punita con una sanzione amministrativa pecuniaria.

Da segnalare, infine, che oltre a quanto riportato nel decreto, dovranno essere previste anche azioni mirate nei confronti degli autorizzati chiamati a trattare i dati dei lavoratori; tali azioni prevedono l’integrazione delle istruzioni/nomine degli autorizzati e la formazione mirata sulle misure specifiche da porre in essere sulla base di quanto emerge dall’analisi dei rischi.

Senza che ciò comporti un’eccessiva semplificazione della portata normativa, e soprattutto tenendo conto che l’adeguamento aziendale deve essere valutato caso per caso in ragione di una molteplicità di fattori, possiamo così riassumere pertanto, i nuovi obblighi compliance in capo al datore di lavoro:

• Predisporre un aggiornamento delle informative e del registro dei trattamenti, nelle ipotesi in cui venga realizzato un trattamento di natura decisionale automatizzata
• Effettuare una valutazione dei rischi sui trattamenti stessi al fine di verificarne la conformità alle disposizioni del GDPR
• Predisporre una valutazione d’impatto degli stessi trattamenti, coinvolgendo ove presente anche il DPO
• Comunicare le medesime informazioni anche alle RSA o, in loro assenza, alla RS Unitaria

Le modalità operative con le quali i datori di lavoro saranno chiamati ad adeguarsi ai nuovi adempimenti richiesti, è certamente destinata ad essere ulteriormente specificata.

Ad oggi, però, è importante cogliere che i nuovi obblighi imposti dal decreto non vanno intesi come l’ennesima complicazione, ma come l’occasione per rendere maggiormente efficiente la propria organizzazione aziendale.