Nuovi obblighi informativi inseriti nel “Decreto Trasparenza”. Quali sono le sovrapposizioni con i GDPR ?

4 Novembre, 2022

Che cosa prevede nel dettaglio il nuovo art. 1 bis e quali sono le sovrapposizioni con il GDPR?

All’interno del Capo II del Decreto figurano le “Informazioni sul rapporto di lavoro” con l’intervento di modifica del d.lgs. 152 del 26 maggio 1997 -Attuazione della direttiva 91/533/CEE concernente l’obbligo del datore di lavoro di informare il lavoratore delle condizioni applicabili al contratto o al rapporto di lavoro-, che prevede l’aggiunta del nuovo art. 1 bis “Ulteriori obblighi informativi nel caso di utilizzo di sistemi decisionali o di monitoraggio automatizzati”.

Il nuovo articolo introdotto dal Decreto Trasparenza stabilisce, laddove siano previsti sistemi decisionali o di monitoraggio automatizzato, ulteriori obblighi informativi in capo al datore di lavoro che è dunque obbligato a: “informare il lavoratore dell’utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori”.

Cosa significa? Vuol dire che nel caso in cui il datore di lavoro faccia uso di tali sistemi (ad esempio: i sistemi utilizzati in fase di recruiting, i sistemi di videosorveglianza o i sistemi di geolocalizzazione installati sui veicoli destinati ai dipendenti), al lavoratore dovranno essere fornite anche le seguenti informazioni:

– Gli aspetti del rapporto di lavoro sui quali incide l’utilizzo dei sistemi;

– Gli scopi e le finalità dei sistemi;

– La logica ed il funzionamento dei sistemi;

– Le categorie di dati e i parametri principali utilizzati per programmare o addestrare i sistemi, inclusi i meccanismi di valutazione delle prestazioni;

– Le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità;

– Il livello di accuratezza, robustezza e cybersicurezza dei sistemi e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.

 

Si tratta di informazioni che si sovrappongono in parte agli obblighi previsti dall’art. 13 GDPR che alla lett. f) del par. 2 prevede che siano fornite informazioni riguardanti “l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.”.

Il comma 4 del nuovo articolo 1 bis stabilisce inoltre che il datore di lavoro è tenuto a integrare l’informativa con le istruzioni per il lavoratore in merito alla sicurezza dei dati e ad aggiornare il registro dei trattamenti (previsto già dall’art. 30 GDPR) riguardanti le attività svolte tramite i sistemi decisionali o di monitoraggio.

Al fine di verificare che gli strumenti utilizzati per lo svolgimento della prestazione lavorativa siano conformi alle disposizioni previste dal GDPR, il datore di lavoro deve effettuare un’analisi dei rischi (prevista già dall’art. 25 GDPR) e una valutazione d’impatto degli stessi trattamenti (prevista già dall’art. 35.1 GDPR), procedendo a consultazione preventiva del Garante per la protezione dei dati personali ove sussistano i presupposti di cui all’articolo 36 del Regolamento medesimo.

Inoltre, allo scopo di garantire una corretta informazione, il comma 5 stabilisce l’obbligo di comunicare ai lavoratori, con un preavviso di almeno 24 ore, eventuali modifiche incidenti sulle informazioni fornite che comportino variazioni delle condizioni di svolgimento del lavoro.

Va poi aggiunto che, in base a quanto stabilito dal comma 3, il lavoratore, direttamente o per il tramite delle rappresentanze sindacali aziendali o territoriali, ha diritto di accedere ai dati e di richiedere ulteriori informazioni concernenti gli obblighi informativi. Il datore di lavoro o il committente sono tenuti a trasmettere i dati richiesti e a rispondere per iscritto entro trenta giorni.

Quali sono le sanzioni per la violazione del nuovo articolo 1 bis?

L’inosservanza degli obblighi del nuovo Decreto Trasparenza comporta per il datore di lavoro una sanzione amministrativa per ciascun mese di riferimento secondo il seguente schema:

– 1 lavoratore: sanzione da 100 a 750 euro per mese;

– più di 5 lavoratori: sanzione da 400 a 1.500 euro per mese;

– più di 10 lavoratori: sanzione da 1.000 a 5.000 euro.

Non è ammesso il pagamento in misura ridotta. Inoltre, la mancata comunicazione alle rappresentanze sindacali comporta la sanzione da 400 a 1.500 euro per ciascun mese in cui si verifica l’omissione.



4 Novembre, 2022

Privacy