News
Archivio newsObblighi informativi nel lavoro e utilizzo di sistemi di monitoraggio automatizzati: serve il coordinamento con il GDPR
Il decreto lavoro interviene in materia di trasparenza nei contratti di lavoro ridimensionando l’obbligo informativo a carico del datore di lavoro nel caso di utilizzo di sistemi decisionali o di monitoraggio, riferendolo ai soli casi in cui di utilizzo di sistemi decisionali o di monitoraggio “integralmente automatizzati”. Tuttavia, occorre considerare le norme in materia previste dal GDPR, secondo il quale gli obblighi informativi non sono solo limitati agli strumenti integralmente automatizzati. Inoltre, il legislatore nazionale non può varare norme in contrato con il regolamento europeo, a pena di disapplicazione. Quali regole devono seguire le imprese?
Le informazioni ai lavoratori a proposito dell’uso di sistemi e strumenti sono dovute sia per i sistemi decisionali di monitoraggio integralmente automatizzati sia per quelli non integralmente automatizzati. Detto altrimenti, gli obblighi informativi non sono limitati agli strumenti integralmente automatizzati. Ciò per effetto dell’applicazione degli articoli 5, 12, 13 e 15 del Regolamento Ue sulla privacy n. 2016/679 (GDPR). È quanto è necessario sottolineare anche a fronte dell’art. 26 del decreto lavoro (D.L. n. 48/2023), il cui disegno di legge di conversione è attualmente in discussione al Senato. L’art. 26 propone, ma senza raggiungere l’obiettivo, semplificazioni in materia di informazioni e di obblighi di pubblicazione in merito al rapporto di lavoro a proposito degli obblighi informativi nel caso di utilizzo di sistemi decisionali o di monitoraggio automatizzati. La formulazione dell'art. 1-bis del D.Lgs. n. 152/1997, introdotta dal citato articolo 26, infatti, non realizza alcuna diminuzione né alleggerimento degli obblighi informativi a carico del datore di lavoro a riguardo dei sistemi automatizzati. Anzi, va detto che la disposizione, la cui natura di eccezionale urgenza è del tutto inesistente, può portare confusione, poiché finisce per creare fraintendimenti sugli obblighi discendenti dalla normativa regolamentare europea. Ma vediamo di illustrare il dettaglio di questa, per certi versi, paradossale e farraginosa costruzione di simbolismo normativo. Obblighi informativi e utilizzo di sistemi decisionali o di monitoraggio automatizzati L’art. 26 citato, peraltro, si autoproclama quale semplificazione in materia di informazioni in merito ad alcuni profili del rapporto di lavoro, quelli a maggiore contenuto tecnologico, e apporta un ritocco l’articolo 1-bis del d.lgs. 152/1997. Vale la pena di rammentare che quest’ultimo articolo ha visto la luce normativo solo pochi mesi orsono a mezzo del D.Lgs. n. 104/2022, con la motivazione espressa nei lavori preparatori di portare a compimento il disegno europeo della protezione dei dati, cioè per amplificare gli effetti del GDPR, anche a costo di rischiare l’incostituzionalità per eccesso di delega. Ora si tenta di ridurre i connotati di quella manovra, ma il risultato non può essere raggiunto perché, sia allora sia ora, il GDPR esprime un intervallo informativo in grado di coprire sia la norma più ampia sia, ovviamente, quella più ristretta. Lo scopo dichiarato del D.Lgs. n. 104/2022 era di obbligare i datori di lavoro a essere trasparenti nel caso di utilizzo di sistemi decisionali o di monitoraggio automatizzati. Secondo la formulazione originaria dell’art. 1-bis, i datori di lavoro e i committenti pubblici e privati sono tenuti a informare il lavoratore dell'utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell'incarico, della gestione o della cessazione del rapporto di lavoro, dell'assegnazione di compiti o mansioni nonchè indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l'adempimento delle obbligazioni contrattuali dei lavoratori. Una traduzione in termini pratici di un linguaggio a tratti ostico è che il lavoratore deve poter conoscere se si usano le tecniche automatizzate, se il datore di lavoro si avvale di decisioni algoritmiche e simili; inoltre, il lavoratore ha diritto di sapere come tali tecniche funzionano, quale ne sia la logica e quale gli impatti, anche in termini di rischi per la sicurezza dei dati personali. Il D.L. n. 48/2023 tenta di ridimensionare quell’obbligo informativo riferendolo ai soli casi in cui di utilizzo di sistemi decisionali o di monitoraggio “integralmente automatizzati”. Stando all’art. 26 del D.L. n. 48/2023, dunque, il legislatore nazionale avrebbe il potere di conformare in senso riduttivo gli obblighi della trasparenza relativa al trattamento di alcuni dati personali. Criticità nell’applicazione della norma Questo è il nocciolo del problema e cioè se per effetto dell’avverbio aggiunto dall’art. 26 del D.L. n. 48/2023, in caso di utilizzo di sistemi decisionali e di monitoraggio “non integralmente” automatizzati, il lavoratore abbia diritto a ottenere le medesime informazioni elencate all’art. 1-bis del D.Lgs. n. 104/2022. Solo, infatti, nel caso in cui si rispondesse negativamente a tale quesito, si avrebbe una portata riduttiva dell’ambito di applicazione dell’art. 1-bis citato e, quindi, solo in tale caso si realizzerebbe una diminuzione degli oneri per il datore di lavoro. Peraltro, la risposta esatta non è questa, per le ragioni qui di seguito immediatamente esposte. A questo proposito bisogna prendere in considerazione gli articoli 5, 12, 13 e 15 del GDPR. Questi articoli impongono al titolare del trattamento (datore di lavoro) di realizzare trattamenti trasparenti (art. 5), di adoperarsi per fornire all’interessato tutte le informazioni sui trattamenti (art. 12), di informare preventivamente (art. 13) e anche a seguito (art. 15) di richiesta dell’interessato (il lavoratore) a riguardo dell'esistenza di un processo decisionale automatizzato, compresa la profilazione e, almeno in tali casi, obbligano a fornire informazioni significative sulla logica utilizzata, nonché a proposito dell'importanza e delle conseguenze previste di tale trattamento per l'interessato. Gli articoli 5, 12, 13 e 15 del GDPR sono direttamente applicabili in Italia e la loro violazione (omessa o carente trasparenza) comporta l’applicazione di una sanzione fino a 20 milioni di euro (art. 83 GDPR). Il legislatore nazionale, peraltro, non può varare norme in contrato con il regolamento europeo, a pena di disapplicazione. Di conseguenza un lavoratore, i cui dati siano trattati con sistemi decisionali e di monitoraggio anche non interamente automatizzati, ha, in base al GDPR, diritto alla trasparenza, alle informazioni preventive e ha il diritto di accesso sugli stessi. Visto dal punto di vista del datore di lavoro, questi ha gli obblighi di disclosure sul tessuto decisionale dei suoi trattamenti, senza limitazioni a riguardo della modalità di svolgimento dell’automatizzazione. A prescindere dall’esame degli obblighi informativi, va sottolineato che il datore di lavoro, proprio, se non altro, ai sensi dell’art. 5 del GDPR, se vuole utilizzare i dati raccolti ed elaborati con questi sistemi decisionali (qualunque sia il grado di automatizzazione), deve rispettare le disposizioni del GDPR e del Codice della privacy. Il principio della trasparenza, infatti, riempie di contenuto anche i principi della liceità e della correttezza. Un difetto a proposito della trasparenza dei trattamenti, anche quelli non interamente automatizzati, compromette, infatti, l’utilizzabilità dei dati raccolti o detenuti e ciò, lo si ribadisce, per qualunque finalità connessa al rapporto di lavoro. L’art. 26 riporta, inoltre, una norma dichiarativa a proposito della salvezza di quanto previsto dall’art. 4 della L. n. 300/1970, ai sensi del quale gli strumenti dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. La disposizione non ha effetto novativo, ma al limite di agevolazione dell’interpretazione sistematica delle norme. L’art. 26 riporta, infine, che gli obblighi informativi non si applicano ai sistemi protetti da segreto industriale e commerciale: si tratta di una norma dichiarativa di un bilanciamento di interessi. La portata della norma è, anche in questo caso, solo dichiarativa ma è commendevole lo sforzo di coordinamento. Copyright © - Riproduzione riservata