GDPR PUBBLICAZIONI“Decreto trasparenza (D. Lgs. 27 giugno 2022, n. 104): è davvero così difficile da interpretare?”

29 Settembre 20220

Hai in azienda un software per la valutazione automatizzata dei profili dei candidati della quale discende una decisione che produce effetti giuridici nei confronti dei medesimi? oppure hai un sistema per la gestione dei premi automatizzato? Si consiglia di prestare attenzione!

Il 13 agosto 2022 è entrato in vigore il Decreto Legislativo 27 giugno 2022, n. 104 con il quale sono state recepite le novità della direttiva UE n. 2019/1152, in materia di condizioni di lavoro trasparenti e prevedibili. In particolare, il Decreto Legislativo 27 giugno 2022, n. 104 – c.d. “Decreto Trasparenza” – introduce oneri ulteriori in capo al datore di lavoro: deve comunicare per iscritto al lavoratore gli “elementi essenziali del rapporto di lavoro” all’instaurazione del rapporto stesso e le “condizioni di lavoro e la relativa tutela”. Ulteriori indicazioni su taluni specifici profili sono contenute nella recente “Circolare del Ministero del Lavoro e delle Politiche Sociali sulle novità introdotte dal D.Lgs n. 104/2022”.

Al netto degli aspetti propriamente giuslavoristici, le novità legislative impattanti sulla protezione e tutela dei dati personali dei lavoratori si rinvengono all’articolo 1 bis del Decreto, il quale pone un obbligo in capo al datore di lavoro – pubblico e privato – di “informare il lavoratore dell’utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori”.

Stante l’onere informativo gravante in capo al datore di lavoro in presenza di “sistemi decisionali o di monitoraggio automatizzati “, l’informativa rivolta al lavoratore – oltre agli elementi già previsti ex art 13 e 14 del Regolamento (UE) 2016/679 – dovrà contenere:

gli aspetti del rapporto di lavoro sui quali incide l’utilizzo di tali sistemi (es. bonus o promozione);
gli scopi e le finalità dei sistemi (es. organizzativi);
la logica ed il funzionamento dei sistemi;
le categorie di dati e i parametri principali utilizzati per programmare o addestrare i sistemi, inclusi i meccanismi di valutazione delle prestazioni;
le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità;
il livello di accuratezza, robustezza e Cybersicurezza dei sistemi e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.

L’utilizzo di strumenti decisionali automatizzati implica l’effettuazione di una valutazione circa l’impatto che tali strumenti hanno sui diritti e libertà dei lavoratori (Data Protection Impact Assessment – DPIA) ovvero l’effettuazione della analisi dei rischi connessi nonché la necessita di revisionare ovvero implementare il Registro dei trattamenti del Titolare.

Si evidenzia come il Decreto faccia riferimento a strumenti informatici e sistemi decisionali o di monitoraggio automatizzati utilizzati dal datore di lavoro sia in fase pre-assuntiva che in fase di svolgimento attività lavorativa. Rientrano in quest’ambito tutti quegli strumenti che consentono di prendere decisioni impiegando mezzi tecnologici senza l’intervento umano. Si fa, dunque, riferimento tanto alle scelte automatizzate senza l’intervento di un operatore basato puramente su un algoritmo (il quale, a fronte di un determinato input, ne fa derivare un determinato output) quanto ad un software che aiuti ad effettuare scelte attraverso l’utilizzo di metriche e logiche informatiche. In altri termini, per rientrare nell’ambito operativo del Decreto si deve trattare di strumenti decisionali automatizzati dai quali derivi un effetto giuridico in capo al lavoratore.

A titolo esemplificativo e non esaustivo, possiamo intendere come rientranti in quest’ambito le seguenti situazioni:

Sistemi di rilevamento presenze in azienda che rendono obsoleta la timbratura: Terminali impronta digitale, badge e PIN o anche software che consentono il monitoraggio, gestione e creazione di report relativi a: ore di lavoro dei dipendenti, tempo standard, straordinari, tempo flessibile, assenze, programmazione e ferie annuali ovvero sistemi di accessi fisico alle aree aziendali, mediante dispositivi come le chiavi elettroniche badge o anche sistemi di autenticazione tramite apparati mobile (smartphone, smartwatch, ecc) che sfruttano la comunicazione Bluetooth e NFC e che permette la regolazione del transito delle persone all’interno di determinate aree, garantendo o negando l’accesso e registrandone gli eventi, fatta eccezione per i dispositivi che consentono la mera apertura dei locali senza registrazione dell’evento;

Sistemi premianti basati su algoritmi o “anche” su algoritmi: strumenti ovvero software che attraverso algoritmi predefiniti dal datore consentono di valutare i risultati finali forniti dalle persone, identificare i punti forti e deboli della prestazione fornita dal collaboratore;

Sistemi di monitoraggio del traffico sul cellulare aziendale: software ovvero piattaforme web che consentono di controllare e monitorare il traffico telefonico allo scopo di valutare situazioni anomale che possono compromettere i sistemi aziendali oppure vedere la distribuzione delle chiamate entranti/uscenti in base all’interno o ancora raccogliere tutte le telefonate fatte o ricevute per un particolare cliente e vedere quante sono e quanto tempo hanno impegnato le line;

Sistemi di accesso logico e di rilevazione dei log dei collaboratori per segnalare comportamenti anomali: Software che consentono di monitorare le attività che vengono effettuate sul sistema informativo aziendale: gli accessi a cartelle di rete condivise o mail aziendali, le attività svolte dal dipendente in un determinato lasso temporale, i tentativi di accesso fraudolento ai sistemi aziendali.

Tuttavia, se l’attività svolta mediante il supporto di mezzi tecnologici non implica la decisione automatizzata mediante algoritmi ovvero la produzione di effetti giuridici, nel senso sopra descritto, questa non rientra nel campo di applicazione del Decreto in oggetto.

Siamo qui per aiutarTi!

Leave a Reply Cancel Reply

“I nomi dei condomini morosi: sino a che punto vale il diritto alla riservatezza?”

“Whistleblowing: una luce nel buio degli illeciti”

“Garantire un’efficace cooperazione giudiziaria in materia penale e di polizia: recommendation 01/2021 EDPB”

“Licenziato per aver timbrato il badge per il collega – reintegrato in quanto il sistema di rilevazione delle presenze non rispettava i presupposti previsti”

“Attenzione a scaricare dati personali dal dark web!”

“Caro alunno dimmi cosa fai e io non dirò in giro chi sei”

“L’invio spontaneo dei CV: obblighi informativi del Titolare e gestione (o non gestione) del consenso”

“I settori sotto la lente del Garante per il semestre gennaio – giugno 2023: attenzionati, ancora una volta, i cookie presenti sui siti web”

“Il Modello Organizzativo e di Gestione 231”

“A.c.a. di tutte le aziende: attenzione allo strumento utilizzato per la gestione del Whistleblowing!”

AboutContatti

infoSede legale

Rimani in contatto con noiSocial links

AboutContatti

infoSede legale

Rimani in contatto con noiSocial links