Data protection

Decreto legislativo n. 104/2022 e problematiche applicative legate al trattamento dei dati personali dei lavoratori. Adempimenti richiesti al Titolare del trattamento.

La presente nota ha lo scopo di partecipare al titolare del trattamento  gli adempimenti introdotti dalla normativa in oggetto richiamata a cui la sua organizzazione è tenuta.

Il D.Lgs. n. 104 del 27/06/2022 (cd. decreto trasparenza, che si allega) in vigore dallo scorso 13 agosto disciplina il diritto all’informazione sugli elementi essenziali del rapporto di lavoro, sulle condizioni di lavoro e la relativa tutela, e per tali motivi richiede una serie di adempimenti in capo all’Ente, che vanno ad impattare sul trattamento dei dati personali dei propri dipendenti o assimilati. Unica eccezione all’applicazione della norma de quo è rappresentata dai rapporti di lavoro non a tempo pieno.

La norma in commento, va letta insieme alla Circolare 10 agosto 2022, n. 4/2022 dell’INL avente ad oggetto “D.Lgs. n. 104/2022 recante – “Attuazione della direttiva (UE) 2019/1152 del Parlamento europeo e del Consiglio del 20 giugno 2019, relativa a condizioni di lavoro trasparenti e prevedibili nell’Unione europea” – prime indicazioni;(che si allega).

La lettura congiunta dei due documenti consente di disporre di ulteriori elementi informativi propedeutici ad una piena disamina degli obblighi in capo al titolare del trattamento.

La prima innovazione introdotta dalla norma è relativa agli obblighi di informazione gravanti sul Titolare in relazione all’ utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori” (art. 1 bis del Decreto legislativo del 26/05/1997 – n. 152, introdotto dall’art. 4 del decreto trasparenza).

Per quanto concerne l’utilizzo di sistemi decisionali, la norma non introduce alcuna novità essendo tale adempimento già richiesto dall’art. 13 del Regolamento europeo 679/2016 (di seguito, anche, “GDPR”) il quale al comma 2 lett. f) obbliga il Titolare a fornire all’interessato informazioni circa “l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato”.

Tale informazione dovrebbe quindi già essere presente in tutte le informative sul trattamento dei dati predisposte ai sensi dell’art. 13 GDPR, anche in quelle destinate ai dipendenti. Si chiede, pertanto, all’Ufficio Privacy di accertare che i testi dei modelli di Informativa, ex art. 13, ad oggi licenziati – ed in particolare quelli riguardanti i dipendenti – siano conformi.

Il lavoratore dovrà essere informato circa l’adozione di sistemi di monitoraggio automatizzati, sia quelli già in uso che quelli che verranno installati, di volta in volta; a titolo di esempio l’attenzione sarà rivolta ad una o più delle seguenti fattispecie di sistema elettronico:

  1. di rilevamento presenze (che eventualmente si interfacci con un gestionale a cui possa accedere anche la UOC Gestione Risorse Umane) anche qualora preveda l’avvio di attività lavorative da remoto o presso una sede diversa da quella aziendale;
  2. di videosorveglianza dei luoghi in cui opera il lavoratore;
  3. di rilevamento della posizione del lavoratore attraverso il compimento di una determinata azione (carico o scarico pacchi; svolgimenti di attività lavorativa in ambiente protetto; ecc.) attraverso un palmare, bracciale elettronico o altro dispositivo indossabile;
  4. di monitoraggio dell’attività lavorativa in smartworking;
  5. di gestione della posta elettronica o delle videoconferenze (qualora si utilizzino sistemi aziendali);
  6. di monitoraggio del traffico sul cellulare aziendale (es. per finalità di controllo del traffico telefonico allo scopo di valutare situazioni anomale che possono compromettere i sistemi aziendali);
  7. di accesso logico e di rilevazione dei log dei lavoratori per segnalare comportamenti anomali (prima in forma anonima e poi – nei casi più impattanti – con riferimenti specifici personale);
  8. software per la tenuta sotto controllo dei sistemi di gestione (compresi quelli di whistleblowing);
  9. di assistenza da remoto e/o gestione dei ticket;
  10. ecc.

Le finalità riconducibili all’utilizzo di sistemi decisionali o di monitoraggio automatizzati, la cui finalità è quella di:

  1. agevolare i processi produttivi,
  2. tutelare la salute dei lavoratori,
  3. consentire lo svolgimento di attività da remoto.

Il Legislatore ha introdotto l’obbligo di informare i lavoratori se l’Ente utilizza tali sistemi.

Il secondo comma dell’art. 1-bis stabilisce che “2. Ai fini dell’adempimento degli obblighi di cui al comma 1 (che alla lettera “s)” incorpora “gli elementi previsti dall’articolo 1-bis qualora le modalità di esecuzione della prestazione siano organizzate mediante l’utilizzo di sistemi decisionali o di monitoraggio automatizzati”).

Ciò significa che il datore di lavoro è tenuto a fornire al lavoratore, unitamente alle informazioni di cui all’ articolo 1, prima dell’inizio dell’attività lavorativa, le seguenti ulteriori informazioni:

a) gli aspetti del rapporto di lavoro sui quali incide l’utilizzo dei sistemi di cui al comma 1; specificando in dettaglio su quali aspetti precipui del rapporto di lavoro vanno ad incidere isistemi decisionali o di monitoraggio automatizzati (ad es. l’utilizzo di un sistema informatizzato di rilevazione presenze andrà ad incidere sulla durata del rapporto di lavoro);

b) gli scopi e le finalità dei sistemi di cui al comma 1; andrà riportato il motivo della scelta del sistema di monitoraggio automatizzato in uso;

c) la logica ed il funzionamento dei sistemi di cui al comma 1; andràdettagliato come questi sistemi agiscono e qual è il criterio scelto per il loro funzionamento;

d) le categorie di dati e i parametri principali utilizzati per programmare o addestrare i sistemi di cui al comma 1, inclusi i meccanismi di valutazione delle prestazioni; (ad es. nel caso di un sistema decisionale che assegni dei premi sulla base del gradimento dei dipendenti da parte degli utenti di un servizio);

e) le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità. La norma obbliga, quindi a fornire informazioni sui meccanismi correttivi adottati a cominciare dall’indicazione del responsabile del sistema di gestione;

f) il livello di accuratezza, robustezza e cybersicurezza dei sistemi di cui al comma 1 e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse”. È evidente in questo caso l’altissimo livello di dettaglio richiesto dalla norma che, tuttavia, andrà bilanciato con la necessità di non essere troppo analitici per proteggere la sicurezza dei sistemi informatici.

L’art 4 c. 2 lett. b) n. 4 stabilisce, poi che “Il datore di lavoro o il committente sono tenuti a integrare l’informativa con le istruzioni per il lavoratore in merito alla sicurezza dei dati e l’aggiornamento del registro dei trattamenti riguardanti le attività di cui al comma 1, incluse le attività di sorveglianza e monitoraggio”.

A tale riguardo si precisa che l’informativa non è un documento avente lo scopo di fornire istruzioni al soggetto interessato che è destinatario della stessa; le istruzioni dovranno, invece, essere inserite all’interno di un atto di designazione o altro documento che contenga i concetti base per l’utilizzo degli strumenti attraverso i quali i dipendenti sono chiamati ad effettuare il trattamento dei dati in azienda.

Per cui, alla luce del distinguo introdotto nel precedente capoverso, si ritiene che il titolare debba sottoporre i modelli di designazione dei Soggetti Autorizzati al Trattamento ad una revisione che tenga conto di questi ulteriori debiti informativi richiesti dal d.lgs. n. 104/2022.

Da tenere presente che il comma 5 dell’art. 1 bis obbliga il titolare ad informare “I lavoratori, almeno 24 ore prima, (…) per iscritto di ogni modifica incidente sulle informazioni fornite ai sensi del comma 2 che comportino variazioni delle condizioni di svolgimento del lavoro”, ciò in applicazione del principio di privacy by design.

Anche il Registro delle attività di trattamento, di cui all’art. 30 GDPR, va sottoposto a verifica per accertarne la conformità alla normativa di cui all’oggetto.

Alla luce di quanto stabilito dal legislatore al comma 4 dell’art. 1 bis del decreto legislativo 26 maggio 1997, n. 152, introdotto dal decreto trasparenza, il quale stabilisce che “Al fine di verificare che gli strumenti utilizzati per lo svolgimento della prestazione lavorativa siano conformi alle disposizioni previste dal Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, il titolare del trattamento dovrà effettuare un’analisi dei rischi e una valutazione d’impatto degli stessi trattamenti, procedendo a consultazione preventiva del Garante per la protezione dei dati personali ove sussistano i presupposti di cui all’articolo 36 del Regolamento medesimo”.

Per quanto concerne la valutazione di impatto, l’elenco dei trattamenti da sottoporvi (riportati nel provvedimento n. 467 dell’11 ottobre 2018 pubblicato sulla G.U. n. 269 del 19 novembre 2018) va ampliato a tutte quelle casistiche che prevedono il ricorso a sistemi decisionali o di monitoraggio a partire dall’atto di instaurazione del rapporto di lavoro e per tutta la sua durata.

Tra gli obblighi in capo al titolare del trattamento va richiamato anche quello relativo alla formazione mirata sulle misure specifiche da porre in atto come emerso degli esiti dell’analisi dei rischi effettuata.

Considerato che il comma 3 dell’art. 1 bis prevede quanto segue: “Il lavoratore, direttamente o per il tramite delle rappresentanze sindacali aziendali o territoriali, ha diritto di accedere ai dati e di richiedere ulteriori informazioni concernenti gli obblighi di cui al comma 2. Il datore di lavoro o il committente sono tenuti a trasmettere i dati richiesti e a rispondere per iscritto entro trenta giorni”; in capo al Titolare del trattamento c’è l’ulteriore obbligo di:

  • trasmettere le informative sul trattamento dei dati dei dipendenti alle “rappresentanze sindacali aziendali ovvero alla rappresentanza sindacale unitaria e, in assenza delle predette rappresentanze, alle sedi territoriali delle associazioni sindacali comparativamente più rappresentative sul piano nazionale” (comma 6);
  • strutturarsi per rispondere alle richieste che dovessero pervenire dal lavoratore o dalle rappresentanze sindacali, analogamente a quanto già fanno per quelle di cui agli artt. 15 – 22 gdpr. In merito a questo specifico aspetto si prescrive di rivedere la policy aziendale riguardante la disciplina dell’esercizio dei diritti.

Da notare che non è richiesta l’approvazione da parte delle rappresentanze sindacali ma solo la comunicazione nei loro confronti.

Il datore di lavoro, infine, dovrà fornire le menzionate informazioni in modo trasparente, in formato strutturato, di uso comune e leggibile da dispositivo automatico.

Come ulteriori istruzioni operative, finalizzate alla gestione delle informazioni, si suggerisce di:

– integrare lo scadenziario prevedendo di controllare, ad intervalli, la presenza di eventuali nuovi trattamenti che   possono ricadere nella tipologia indicata;

– integrare la checklist di audit con almeno una domanda relativa alla verifica della presenza di tali trattamenti, della documentazione predisposta, delle comunicazioni effettuate (lavoratori e rappresentanze sindacali), delle misure poste in atto e della presenza di nuovi trattamenti di recente introduzione che non siano stati ancora tracciati o documentati;
– aggiornare i flussi di informazioni verso il DPO;

– sensibilizzare la UOC Risorse Umane e la UOC Sistemi Informativi.

Da ultimo si invita a porre attenzione all’impianto sanzionatorio che di seguito si sintetizza.

La circolare dell’INL n. 4/2022 chiarisce che in caso di mancato adempimento agli obblighi informativi sopra evidenziati, il nuovo art. 19, comma 2, del D.Lgs. n. 276/2003 stabilisce una sanzione amministrativa pecuniaria da 100 a 750 euro “per ciascun mese di riferimento”, soggetta a diffida ex art. 13 D.Lgs. n. 124/2004. La sanzione va quindi applicata per ciascun mese in cui il lavoratore svolga la propria attività in violazione degli obblighi informativi in esame da parte del datore di lavoro o del committente. Trattasi poi di una sanzione “per fasce” cosicché, ferma restando la sua applicazione per ciascun mese di riferimento, se la violazione si riferisce a più di cinque lavoratori la sanzione amministrativa è da 400 a 1.500 euro. Se invece la violazione si riferisce a più di dieci lavoratori, la sanzione va da 1.000 a 5.000 euro e non è ammesso il pagamento in misura ridotta e pertanto neanche la procedura di diffida ex art. 13 del D.Lgs. n. 124/2004.

Se la comunicazione delle medesime informazioni e dati non viene effettuata anche alle rappresentanze sindacali aziendali ovvero alla rappresentanza sindacale unitaria o, in loro assenza, alle sedi territoriali delle associazioni sindacali comparativamente più rappresentative sul piano nazionale, trova applicazione una sanzione amministrativa pecuniaria, anch’essa diffidabile, da 400 a 1.500 euro per ciascun mese in cui si verifica l’omissione.

La competenza a raccogliere le denunce e ad irrogare la sanzione è dell’Ispettorato nazionale del lavoro, e il presupposto per l’applicazione della sanzione non è costituito dalla semplice violazione degli obblighi di cui al D.Lgs. n. 104/2022 e al D.Lgs. n. 152/1997 ma dalla presenza di comportamenti ritorsivi o che “determinano effetti sfavorevoli nei confronti dei lavoratori o dei loro rappresentanti”, circostanza che il personale ispettivo sarà pertanto chiamato ad accertare e supportare con adeguati elementi probatori.

Per le pubbliche amministrazioni, le violazioni di cui agli articoli 1, 1-bis, 2, 3 e 5, sono valutate ai fini della responsabilità dirigenziale, nonché della misurazione della performance ai sensi dell’articolo 7 del decreto legislativo 27 ottobre 2009, n. 150.

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

conservazione dei documenti informatici
violazione-normativa-protezione-dati

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

CYBERSECURITY
CYBERSECURITY: favorire la sua consapevolezza per gestirne i rischi. Il tool fornito da ACN per le amministrazioni pubbliche.
10 Maggio 2025
I contratti collettivi nazionali non possono violare la privacy. Lo stabilisce la Corte di Giustizia UE.
8 Febbraio 2025
amministrazione-trasparente
Gli obblighi di pubblicazione dei Contratti pubblici nella Sezione Amministrazione Trasparente
2 Maggio 2024

Start typing and press Enter to search