Decreto trasparenza, obblighi informativi e trattamento dei dati personali

In anteprima da Guida al Lavoro n. 40 del 14 ottobre 2022

Nel quadro delle novità introdotte dal Dlgs 104/2022 – Decreto Trasparenza in vigore dal 13 agosto 2022 – attuativo della Dir. 2019/1152/UE - il quale prevede la ridefinizione in capo al datore di lavoro (e al committente entro i limiti della compatibilità) di specifici obblighi di informazione sulle condizioni di lavoro applicate al rapporto di lavoro, sono state introdotte alcune importanti novità che hanno implicazioni anche in termini di trattamento dei dati personali.
Diversi sono gli obiettivi della nuova disciplina, che rivede e amplia gli obblighi già introdotti nel nostro ordinamento giuridico dal Dlgs 152/1997, anch'esso attuativo di una Direttiva comunitaria (Dir. 91/533/CE). D'altronde, sono le stesse premesse della Direttiva che identificano alcuni fondamentali principi guida cui si ispira la revisione della disciplina, riassumibili nell'intento di salvaguardare il principio di effettività (e trasparenza) nella conoscenza, da parte del lavoratore, delle condizioni applicate al rapporto di lavoro, soprattutto con riguardo ad istituti sui quali la previgente disciplina aveva preferito adottare la tecnica del rinvio (essenzialmente alla contrattazione collettiva di riferimento). Si fa riferimento, ad esempio, alla programmazione e specificazione dell'orario di lavoro – soprattutto quando la prestazione lavorativa è governata da una elevata imprevedibilità (da cui discende anche il coinvolgimento della posizione del committente nell'ambito dei rapporti di collaborazione coordinata e continuativa) – all'obbligo di specificare il diritto alle ferie e ai congedi, così come i termini di preavviso applicabili in caso di recesso e il riferimento esplicito a tutta la contrattazione collettiva applicabile al rapporto di lavoro, anche di livello aziendale.
In definitiva, lo scopo della nuova disciplina – come si legge nell'articolo 1 della Dir. 2019/1159/UE - è migliorare le condizioni di lavoro promuovendo un'occupazione più trasparente e prevedibile, pur garantendo nel contempo l'adattabilità del mercato del lavoro.
Tra i nuovi obblighi di informativa e con l'osservanza delle medesime decorrenze e modalità previste per le informazioni dovute in fase di instaurazione del rapporto di lavoro (articolo 1, Dlgs 152/1997) ossia mediante:
a) la consegna del contratto individuale di lavoro (e dei relativi allegati – cfr. INL circolare 4/2022),
oppure
b) la consegna di copia della comunicazione di instaurazione del rapporto di lavoro trasmessa ai sensi dell'articolo 9bis Dl 510/1996 convertito in legge 608/1996.

Informativa in casi di utilizzo di sistemi decisionali o di monitoraggio automatizzati
Il legislatore italiano ha voluto inserire un ulteriore adempimento, legato alla predisposizione di una ulteriore e più specifica informativa, dovuta qualora le modalità di esecuzione della prestazione siano organizzate mediante l'utilizzo di sistemi decisionali o di monitoraggio automatizzati (articolo 1, comma 1, lettera s, Dlgs 152/1997).
L'articolo 1bis aggiunto al Dlgs 152/1997 stabilisce, infatti, l'obbligo di fornire – sempre prima dell'inizio della prestazione lavorativa – ulteriori informazioni che trovano applicazione al datore di lavoro privato e pubblico ed anche al committente nell'ambito dei rapporti di collaborazione coordinata e continuativa (quelli etero-organizzati di cui all'articolo 2, Dlgs 81/2015 e quelli previsti dall'articolo 409 n. 3 c.p.c.).
L'obbligo non trova applicazione in caso di informazioni rientranti nell'ambito dei segreti commerciali di cui all'articolo 98 del Codice della proprietà intellettuale (Dlgs 30/2005).
Sono fatte salvi gli obblighi e la tipologia di informative rientranti nel campo di applicazione della disciplina dei controlli a distanza. La legge stabilisce, infatti, che ferme restando le disposizioni di cui all'articolo 4 della legge 300/1970, il datore di lavoro è tenuto a fornire una specifica informativa legata all'utilizzo di sistemi decisionali o di monitoraggio automatizzati quando questi siano deputati a fornire, nell'ambito del rapporto di lavoro, indicazioni ai fini:
– dell'assunzione
– del conferimento dell'incarico
– della gestione del rapporto di lavoro
– della cessazione del rapporto di lavoro
– dell'assegnazione di compiti o mansioni
Nonché indicazioni incidenti su:
– sorveglianza
– valutazione
– prestazioni
– adempimento delle obbligazioni contrattuali.
Le informazioni aggiuntive che vanno obbligatoriamente fornite da parte del datore di lavoro (e del committente) sono molto dettagliate, pervasive e coinvolgono gradi di complessità tecnica che il legislatore non sembra aver opportunamente vagliato in fase di stesura della norma.
Esse riguardano, infatti:
a) gli aspetti del rapporto di lavoro sui quali incide l'utilizzo dei sistemi (informatici latu sensu) adottati;
b) gli scopi e le finalità dei sistemi adottati;
c) la logica e il funzionamento dei sistemi adottati;
e fino a qui si rientra nei criteri ordinariamente preordinati a mettere l'interessato del trattamento dei dati – specie quando parte di un rapporto contrattuale – nella condizione di conoscere scopi e finalità del trattamento in base al principio di liceità del trattamento (articolo 6 GDPR – Reg. n. 679/2016) e della "minimizzazione" (ossia nel rispetto dei criteri di adeguatezza, pertinenza e limitazione in relazione allo scopo che caratterizza tale principio ai sensi dell'articolo 5, comma 1, lettera c) del GDPR – Reg. n. 679/2016).
Ciò detto. la successiva elencazione di quanto dovrebbe costituire oggetto di informativa suscita, invece, alcune perplessità.
La norma, infatti, stabilisce ancora che devono essere oggetto di informazione:
d) le categorie di dati e i parametri principali utilizzati per programmare o addestrare i sistemi adottati, inclusi i meccanismi di valutazione delle prestazioni;
e) le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità;
f) il livello di accuratezza, robustezza e cybersicurezza dei sistemi e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.
Si tratta di dati e parametri coinvolgenti (normalmente anche se non esclusivamente) algoritmi, programmazione dei sistemi e intelligenza artificiale, di una complessità tale da far sì che difficilmente possano rientrare in una semplice informativa, perché non solo si tratta di dati tecnici ma soprattutto – a nostro parere - perché non è possibile sintetizzarli e renderli intellegibili una volta per tutte a chi non ha conoscenze tecniche.
Se l'intento è in astratto condivisibile, considerata anche la posizione della giurisprudenza più recente (cfr. Corte di cassazione 14381/2021) e del Garante della Privacy (Provvedimento 5 luglio 2021), è tuttavia evidente – come affermato dagli studi e dalla dottrina - che esistono evidenti difficoltà nel conoscere – e soprattutto rendere intellegibili a non tecnici - i meccanismi che presidiano allo svolgimento dei compiti, delle attività e dei parametri su cui si basa l'intelligenza artificiale (ossia quanto richiede il legislatore indicando i parametri principali utilizzati per programmare o addestrare i sistemi adottati). E ciò in quanto le conoscenze che connotano i sistemi di intelligenza artificiale sono esse stesse sorrette da processi metodologici specifici e complessi che rendono particolarmente difficoltosa anche la loro stessa sistematizzazione in regole giuridiche.
La norma prosegue stabilendo inoltre che il lavoratore - direttamente o per il tramite delle rappresentanze sindacali aziendali o territoriali - ha il diritto di accedere ai dati e di richiedere ulteriori informazioni concernenti gli obblighi sopra riportati.
Come a dire che da questa prima informativa ne possono o debbono seguire altre a richiesta del lavoratore/lavoratrice ovvero delle organizzazioni sindacali cui la/lo stessa/o abbia conferito mandato.
Il datore di lavoro o il committente sono tenuti a trasmettere i dati richiesti e a rispondere per iscritto entro 30 giorni dalla richiesta.
Il datore di lavoro o il committente sono inoltre tenuti a integrare l'informativa con le istruzioni per il lavoratore in merito alla sicurezza dei dati e l'aggiornamento del registro dei trattamenti riguardanti le attività relative all'adozione di sistemi in oggetto, incluse le attività di sorveglianza e monitoraggio.
Come a dire – ancora – che il lavoratore dovrà essere di volta in volta aggiornato e informato sulle eventuali modifiche e/o implementazioni dei sistemi che siano di volta in volta adottati dal datore di lavoro (integrando di volta in volta, peraltro, le policy interne in materia di privacy e sicurezza dei dati).
Infatti, la norma specifica (articolo 1bis, comma 4, Dlgs 152/1997) che al fine di verificare che gli strumenti utilizzati per lo svolgimento della prestazione lavorativa siano conformi alle disposizioni previste dal GDPR - Regolamento (UE) 2016/679 - il datore di lavoro o il committente sono tenuti a effettuare un'analisi dei rischi e una valutazione d'impatto degli stessi trattamenti, procedendo a consultazione preventiva del Garante per la protezione dei dati personali ove sussistano i presupposti ex articolo 36 del Regolamento (quando il trattamento presenta un rischio elevato anche di violazione del Regolamento per il titolare del trattamento).

QUANDO VA FORNITA L'INFORMATIVA?
– Prima dell'inizio della prestazione;
– In caso di modifiche (ai sistemi automatizzati) incidenti sulle informazioni sopra indicate che comportino variazioni delle condizioni di lavoro: 24 ore prima
– Entro 30 giorni dalla richiesta di ulteriori informazioni da parte del lavoratore direttamente o per il tramite delle rappresentanze sindacali aziendali o territoriali

COME VANNO FORNITE LE INFORMAZIONI E A CHI?
Le informazioni vanno fornite in modo trasparente, in formato strutturato, di uso comune e leggibile da dispositivo automatico. Locuzione quest'ultima alquanto criptica, che ha indotto i primi commentatori a ipotizzare che tali informazioni debbano essere fornite attraverso la predisposizione di apposite App dedicate (altra complicazione tecnica che tuttavia non ci sentiamo di condividere in questa fase, anche per non appesantire oltremodo gli adempimenti a carico delle aziende).
Le informazioni vanno fornite:
– al lavoratore
– al collaboratore
ma anche
– alle rappresentanze sindacali aziendali
oppure
– alla rappresentanza sindacale unitaria
oppure
–alle sedi territoriali delle associazioni sindacali comparativamente più rappresentative sul piano nazionale (articolo 1bis, comma 6, Dlgs 152/1997). Il Ministero del lavoro e l'INL possono richiedere la comunicazione delle medesime informazioni e dati e l'accesso agli stessi.
Altra previsione che suscita non poche perplessità considerato che molti dei dati tecnici oggetto di informativa potrebbero integrare diffusione all'esterno dell'azienda di know how e dati aziendali (che il legislatore salvaguarda con il riferimento, come già detto all'articolo 98 del Codice della Proprietà intellettuale (Dlgs 30/2005).

Sanzioni
Sono poi previste specifiche sanzioni in caso di inadempimento.
Per ciascun mese di riferimento, è prevista la sanzione amministrativa da 100 a 750 euro, ferma restando la configurabilità di eventuali violazioni in materia di protezione dei dati personali (sanzione soggetta a diffida ex articolo 13 Dlgs 124/2004, cfr. INL circolare 4/2022) cui potrebbe essere aggiunta la illegittimità di decisioni aziendali assunte in forza del dato raccolto illegittimamente in assenza di adeguata informativa (e pertanto non solo inutilizzabile ma soggetta alle ulteriori possibili sanzioni previste dal decreto in relazione all'adozione di provvedimenti organizzativi potenzialmente considerati ritorsivi – articoli 13 e 14 Dlgs 104/2022)
Se la violazione si riferisce a più di 5 lavoratori, la sanzione amministrativa è da 400 a 1.500 euro.
Se la violazione si riferisce a più di 10 lavoratori, la sanzione amministrativa è da 1.000 a 5.000 euro e non è ammesso il pagamento della sanzione in misura ridotta (per la violazione dell'articolo 1bis comma 2 – ulteriori informazioni relative ai sistemi automatizzati – comma 3 – fornitura entro il termine di 30 giorni di ulteriori dati su richiesta del lavoratore o delle rappresentanze sindacali aziendali o territoriali – comma 5 violazione dell'obbligo di informare entro 24 ore il lavoratore delle modifiche incidenti sulle informazioni ulteriori - Dlgs 152/1997 – articolo 19, comma 2, Dlgs 276/2003 come modificato dall'articolo 5 Dlgs 104/2022).
Per ciascun mese in cui si verifica la violazione, sanzione amministrativa da 400 a 1.500 euro (per la violazione dell'articolo 1-bis, c. 6 secondo periodo Dlgs 152/1997 – mancato rispetto dell'obbligo di informare su richiesta il Ministero del lavoro e delle politiche sociali e l'INL – articolo 19, comma 2, Dlgs 276/2003 come modificato dall'articolo 5, Dlgs 104/2022 – sanzione soggetta a diffida ex articolo 13, Dlgs 124/2004, cfr. INL circolare 4/2022).
In caso di denuncia del lavoratore del mancato, ritardato, incompleto e inesatto assolvimento degli obblighi previsti dall'articolo1-bis (informazioni aggiuntive) e successivo accertamento da parte dell'Ispettorato del lavoro di tali inadempimenti del datore di lavoro, l'applicazione della sanzione amministrativa da 250 a 1.500 euro per ogni lavoratore interessato (articolo 4, comma 1, Dlgs 152/1997 – sanzione diffidabile ex articolo 13 Dlgs 124/2004, cfr. INL circolare 4/2022).
Per la Pubblica Amministrazione le violazioni sono valutate ai fini della responsabilità dirigenziale, nonché della misurazione della performance ai sensi dell'articolo 7 Dlgs 150/2009 (articolo 4, comma 2, Dlgs 152/1997).

Implicazioni pratiche
Complice il periodo estivo (la norma come le altre novità in materia di informazioni da consegnare al momento dell'instaurazione del rapporto di lavoro, è entrata in vigore il 13 agosto), la piena portata e rilevanza di tale nuova norma – da sola e unitamente agli obblighi già previsti dall'articolo 1, Dlgs 152/1997 – così come la pervasività e ampiezza dei nuovi obblighi – per non parlare delle oggettive complessità tecniche sopra richiamate – probabilmente non sono state fino ad ora valutate in tutta la loro incisività (e problematicità).
Peraltro, il Ministero del lavoro è anche intervenuto a fornire la propria interpretazione di alcuni significativi passaggi della nuova disciplina (ministero del Lavoro, circolare 19/2022) complicando ulteriormente lo scenario, quantomeno però nella consapevolezza che trattasi di "strumenti tecnologici e modelli organizzativi in costante evoluzione". Conosciamo già dei precedenti di norme aperte di questa portata, soggette all'evoluzione tecnico scientifica ma comportanti comunque obblighi e responsabilità in capo al datore di lavoro. Una tra tutte, l'articolo 2087 Codice civile sulla responsabilità in materia di salute, sicurezza e ambiente…
La nuova norma – pur qualificandosi come "aperta" - sceglie tuttavia di scendere in modo molto puntuale nel dettaglio, seppure sembri voler circoscrivere gli ambiti in cui ricorre l'obbligo dell'informativa e quindi, l'ipotesi dell'utilizzo di sistemi decisionali o di monitoraggio automatizzati, ossia quando essi siano:
a) finalizzati a realizzare un procedimento decisionale in grado di incidere sul rapporto di lavoro;
b) incidenti sulla sorveglianza, la valutazione, le prestazioni e l'adempimento delle obbligazioni contrattuali dei lavoratori,
ma apre, di fatto, alla più ampia casistica di un ambito che è peraltro – come opportunamente osservato – in continua evoluzione.
L'intento, probabilmente, è quello di tutelare la posizione dei lavoratori che svolgono la loro attività attraverso piattaforme (e App dedicate), in linea come già detto, con una certa evoluzione giurisprudenziale e con gli stessi orientamenti del Garante Privacy. Il risultato però è quello di una norma che si inserisce nel quadro della già ampia e complicata disciplina del controllo a distanza (articolo 4, legge 300/1970) e della tutela della Privacy (GDPR, Reg. n. 679/2016), senza prevedere alcuna forma di coordinamento se non l'integrazione dell'Informativa con le istruzioni in merito alla sicurezza dei dati e l'aggiornamento del registro dei trattamenti, oltre alla verifica che gli strumenti utilizzati per lo svolgimento della prestazione siano conformi al Regolamento (articolo 1bis, comma 4, Dlgs 104/2022).
Il ministero del Lavoro (circolare 19/2022 cit.) forse nella consapevolezza dell'ampia portata della norma, ha provato a dare una esemplificazione dei casi in cui ritiene applicabile l'ulteriore obbligo di informativa.
Ad esempio, l'obbligo dell'informativa sussiste nelle seguenti ipotesi:
1. assunzione o conferimento dell'incarico tramite l'utilizzo di chatbots durante il colloquio, la profilazione automatizzata dei candidati, lo screening dei curricula, l'utilizzo di software per il riconoscimento emotivo e test psicoattitudinali, ecc.;
2. gestione o cessazione del rapporto di lavoro con assegnazione o revoca automatizzata di compiti, mansioni o turni, definizione dell'orario di lavoro, analisi di produttività, determinazione della retribuzione, promozioni, etc., attraverso analisi statistiche, strumenti di data analytics o machine learning, rete neurali, deep-learning, ecc.
Se il caso sub 1) è facilmente comprensibile e appare piuttosto circoscritto, l'elencazione delle ipotesi sub 2 porta con sé molteplici implicazioni in termini di corretta valutazione non solo da parte della Direzione HR, ma anche della Direzione IT (per non parlare della Direzione Commerciale) delle aziende in merito a quali e quanti elementi tecnici ed ingegneristici inserire all'interno dell'informativa.
Il Ministero, poi, non ritiene necessario procedere all'informativa nel caso, ad esempio, di sistemi automatizzati deputati alla rilevazione delle presenze in ingresso e in uscita, cui non consegua un'attività interamente automatizzata finalizzata ad una decisione datoriale (i badge elettronici a distanza, allo studio di alcune aziende per favorire il lavoro da remoto potrebbero ad esempio non rientrare più in tale esclusione…).
Discorso a parte merita, invece, la previsione riguardante «le indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l'adempimento delle obbligazioni contrattuali dei lavoratori». Anche in questa ipotesi, afferma il Ministero, il datore di lavoro ha l'obbligo di informare il lavoratore dell'utilizzo di tali sistemi automatizzati, quali – a puro titolo di esempio: tablet, dispositivi digitali e wearables, gps e geolocalizzatori, sistemi per il riconoscimento facciale, sistemi di rating e ranking, etc. A tal fine, il Ministero del lavoro ritiene che l'obbligo informativo introdotto dal citato articolo 1-bis del Dlgs 152/1997 trovi applicazione anche in relazione all'utilizzo di sistemi decisionali o di monitoraggio automatizzati integrati negli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa, allorquando presentino le caratteristiche tecniche e le funzioni descritte in precedenza.
Se ci si sofferma sulla portata delle novità, risultano in pratica coinvolti tutti gli aspetti tecnici di gestione del rapporto di lavoro che sono oggetto della rivoluzione tecnologica in atto. A tutti i livelli e anche secondo le prospettive di sviluppo ed estensione dei sistemi di Intelligenza Artificiale (ancora peraltro in discussione a livello europeo sulla base della proposta di Reg. UE COM/2021/206). In aggiunta, peraltro, non solo agli obblighi di Informativa già in essere connessi all'applicazione dell'articolo 4 della legge 300/1970 (infatti la norma specifica che resta fermo quanto disposto dall'articolo 4 dello Statuto dei lavoratori) ma anche del GDPR che prevede già specifici obblighi di Informativa quando siano coinvolti processi decisionali automatizzati di base (articoli 13, lettera f) e 14, lettera g) Reg. n. 679/2016) o più complessi (articolo 22 GDPR, Reg. n. 679/2016), con una inspiegabile duplicazione di obblighi già opportunamente delineati e in vigore.
Il tutto partendo, peraltro, da un livello di complessità – quello delle piattaforme digitali preso come riferimento prioritario dal legislatore – che è inferiore a quello dei sistemi più evoluti di intelligenza artificiale, ancora tutti da normare e da regolare sotto il profilo non solo giuridico ma soprattutto etico.
Che poi è lo scopo di un'informativa. E' come se il legislatore italiano avesse voluto anticipare aspetti di complessità tali da non tenere conto del fatto che a livello europeo - cui dovrebbe conformarsi la relativa disciplina (non dimentichiamoci che si tratta dell'attuazione di una Direttiva che peraltro non affronta in alcuna sua parte questi aspetti) - si sta ancora discutendo delle molteplici sfaccettature dell'intelligenza artificiale.
Vi sono, infatti due diverse forme di intelligenza artificiale. Gli studiosi distinguono in questo tra weak Artificial Intelligence e strong Artificial Intelligence, dove il termine "strong" sta a significare che si è in presenza di una forma più evoluta di Intelligenza Artificiale in grado di operare senza alcun intervento umano. Le attuali tecnologie consentono un elevato grado di automazione ma non possono ancora definirsi "autonome". Forse, in questa fase di evoluzione, sarebbe stato sufficiente rafforzare gli obblighi di Informativa sui sistemi automatizzati già presente nel GDPR (articolo 22, Reg. n. 679/2016). Richiedere al datore di lavoro (e al committente) di fornire al lavorare, in fase di instaurazione del rapporto di lavoro un'informativa di natura tecnica del tipo e della complessità di quella appena introdotta dalla legge (che va peraltro riconsegnata entro 24 ore da ogni rilevante modifica dei sistemi incidente sulle informazioni già rilasciate), è aspetto particolarmente delicato perché è adempimento che, con il dettaglio identificato dal legislatore implica non solo informative puntuali e molto tecniche ma il coinvolgimento degli strumenti – anche più innovativi - di gestione del rapporto di lavoro e degli strumenti stessi di business, che non sono (e non potrebbero essere), quantomeno nei loro più specifici dettagli oggetto di informativa. Di questo aspetto il legislatore è pure consapevole, ma lo risolve con il solo riferimento alle informazioni di natura commerciale rinvenibili nel codice della proprietà industriale (articolo 98, Dlgs 30/2005 cit.).
Troppo poco per ritenere soddisfatte tutte le possibili implicazioni pratiche, etiche e giuridiche di quell'operazione di bilanciamento di interessi in gioco che scaturisce dal sempre più pervasivo uso degli algoritmi in tutti gli aspetti della nostra vita, non solo lavorativa.