renorm sfondo bianco

GDPRPUBBLICAZIONI“Decreto trasparenza (D. Lgs. 27 giugno 2022, n. 104): è davvero così difficile da interpretare?”

29 Settembre 20220

 

Hai in azienda un software per la valutazione automatizzata dei profili dei candidati della quale discende una decisione che produce effetti giuridici nei confronti dei medesimi? oppure hai un sistema per la gestione dei premi automatizzato? Si consiglia di prestare attenzione!

Il 13 agosto 2022 è entrato in vigore il Decreto Legislativo 27 giugno 2022, n. 104 con il quale sono state recepite le novità della direttiva UE n. 2019/1152, in materia di condizioni di lavoro trasparenti e prevedibili. In particolare, il Decreto Legislativo 27 giugno 2022, n. 104 – c.d. “Decreto Trasparenza” – introduce oneri ulteriori in capo al datore di lavoro: deve comunicare per iscritto al lavoratore gli “elementi essenziali del rapporto di lavoro” all’instaurazione del rapporto stesso e le “condizioni di lavoro e la relativa tutela”. Ulteriori indicazioni su taluni specifici profili sono contenute nella recente “Circolare del Ministero del Lavoro e delle Politiche Sociali sulle novità introdotte dal D.Lgs n. 104/2022”.

Al netto degli aspetti propriamente giuslavoristici, le novità legislative impattanti sulla protezione e tutela dei dati personali dei lavoratori si rinvengono all’articolo 1 bis del Decreto, il quale pone un obbligo in capo al datore di lavoro – pubblico e privato – di “informare il lavoratore dell’utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori”.

Stante l’onere informativo gravante in capo al datore di lavoro in presenza di “sistemi decisionali o di monitoraggio automatizzati “, l’informativa rivolta al lavoratore – oltre agli elementi già previsti ex art 13 e 14 del Regolamento (UE) 2016/679 – dovrà contenere:

  • gli aspetti del rapporto di lavoro sui quali incide l’utilizzo di tali sistemi (es. bonus o promozione);
  • gli scopi e le finalità dei sistemi (es. organizzativi);
  • la logica ed il funzionamento dei sistemi;
  • le categorie di dati e i parametri principali utilizzati per programmare o addestrare i sistemi, inclusi i meccanismi di valutazione delle prestazioni;
  • le misure di controllo adottate per   le   decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità;
  • il livello di accuratezza, robustezza e Cybersicurezza dei sistemi e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.

L’utilizzo di strumenti decisionali automatizzati implica l’effettuazione di una valutazione circa l’impatto che tali strumenti hanno sui diritti e libertà dei lavoratori (Data Protection Impact Assessment – DPIA) ovvero l’effettuazione della analisi dei rischi connessi nonché la necessita di revisionare ovvero implementare il Registro dei trattamenti del Titolare.

Si evidenzia come il Decreto faccia riferimento a strumenti informatici e sistemi decisionali o di monitoraggio automatizzati utilizzati dal datore di lavoro sia in fase pre-assuntiva che in fase di svolgimento attività lavorativa. Rientrano in quest’ambito tutti quegli strumenti che consentono di prendere decisioni impiegando mezzi tecnologici senza l’intervento umano. Si fa, dunque, riferimento tanto alle scelte automatizzate senza l’intervento di un operatore basato puramente su un algoritmo (il quale, a fronte di un determinato input, ne fa derivare un determinato output) quanto ad un software che aiuti ad effettuare scelte attraverso l’utilizzo di metriche e logiche informatiche. In altri termini, per rientrare nell’ambito operativo del Decreto si deve trattare di strumenti decisionali automatizzati dai quali derivi un effetto giuridico in capo al lavoratore.

A titolo esemplificativo e non esaustivo, possiamo intendere come rientranti in quest’ambito le seguenti situazioni:

  • Sistemi di rilevamento presenze in azienda che rendono obsoleta la timbratura: Terminali impronta digitale, badge e PIN o anche software che consentono il monitoraggio, gestione e creazione di report relativi a: ore di lavoro dei dipendenti, tempo standard, straordinari, tempo flessibile, assenze, programmazione e ferie annuali ovvero sistemi di accessi fisico alle aree aziendali, mediante dispositivi come le chiavi elettroniche badge o anche sistemi di autenticazione tramite apparati mobile (smartphone, smartwatch, ecc) che sfruttano la comunicazione Bluetooth e NFC e che permette la regolazione del transito delle persone all’interno di determinate aree, garantendo o negando l’accesso e registrandone gli eventi, fatta eccezione per i dispositivi che consentono la mera apertura dei locali senza registrazione dell’evento;

 

  • Sistemi premianti basati su algoritmi o “anche” su algoritmi: strumenti ovvero software che attraverso algoritmi predefiniti dal datore consentono di valutare i risultati finali forniti dalle persone, identificare i punti forti e deboli della prestazione fornita dal collaboratore;

 

  • Sistemi di monitoraggio del traffico sul cellulare aziendale: software ovvero piattaforme web che consentono di controllare e monitorare il traffico telefonico allo scopo di valutare situazioni anomale che possono compromettere i sistemi aziendali oppure vedere la distribuzione delle chiamate entranti/uscenti in base all’interno o ancora raccogliere tutte le telefonate fatte o ricevute per un particolare cliente e vedere quante sono e quanto tempo hanno impegnato le line;

 

  • Sistemi di accesso logico e di rilevazione dei log dei collaboratori per segnalare comportamenti anomali: Software che consentono di monitorare le attività che vengono effettuate sul sistema informativo aziendale: gli accessi a cartelle di rete condivise o mail aziendali, le attività svolte dal dipendente in un determinato lasso temporale, i tentativi di accesso fraudolento ai sistemi aziendali.

Tuttavia, se l’attività svolta mediante il supporto di mezzi tecnologici non implica la decisione automatizzata mediante algoritmi ovvero la produzione di effetti giuridici, nel senso sopra descritto, questa non rientra nel campo di applicazione del Decreto in oggetto.

 

Siamo qui per aiutarTi!

Contattaci

Lascia un commento

Rimani in contatto con noiSocial links
Ti terremo aggiornato su tutte le novità del mondo compliance.
AboutContatti
Siamo qui per te
infoSede legale
La nostra Sede
Rimani in contatto con noiSocial links
Ti terremo aggiornato su tutte le novità del mondo compliance.

© 2020 Renorm – Tutti i diritti riservati – Powered by Italian Alchemy and Webita

© 2020 Renorm – Tutti i diritti riservati – Powered by Italian Alchemy and Webita