Gli impatti Privacy del decreto trasparenza in vigore dal 13 agosto 2022

A partire dal 13 agosto 2022 diventerà operativo il Decreto Legislativo 27 giugno 2022, n. 104 con cui vengono recepite le novità della direttiva UE n. 2019/1152, in materia di condizioni di lavoro trasparenti e prevedibili. Per raggiungere tali obiettivi, il Legislatore ha ritenuto opportuno introdurre nuovi obblighi informativi in capo al datore di lavoro/committente, da assolvere in larga parte al momento della stipula contrattuale. 

Il decreto si applica a diverse fattispecie contrattuali a partire dal lavoro subordinato, sino ai contratti atipici come le collaborazioni organizzate tramite piattaforma digitale; prestazioni occasionali; lavoro intermittente; somministrazione; lavoro domestico e marittimo.

L’obbligo è previsto sia per i lavoratori del settore privato che per quelli della pubblica amministrazione, e si applica ai nuovi assunti a far data dal 13 agosto ’22 (art. 16) e per i contratti già in essere vi è l’obbligo del datore di lavoro di fornire informazioni.

Il decreto legislativo ha impatti non solo sul mondo giuslavoristico, ma anche sulla protezione dei dati, di seguito vediamo quali sono nel dettaglio:

Art.3 – Modalità di comunicazione delle informazioni

Il datore di lavoro comunica a ciascun lavoratore in modo chiaro e trasparente le informazioni previste dal presente decreto in formato cartaceo oppure elettronico. Le medesime informazioni sono conservate e rese accessibili al lavoratore ed il datore di lavoro ne conserva la prova della trasmissione o della ricezione per la durata di cinque anni dalla conclusione del rapporto di lavoro.

Art. 4 - Modifiche al decreto legislativo 26 maggio 997, n. 152

Viene aggiunto l’art.1-bis) molto importante per la Protezione dei dati, in esso infatti il datore di lavoro (o il committente) è tenuto:

“a informare il lavoratore dell'utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell'incarico, della gestione o della cessazione del rapporto di lavoro, dell'assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l'adempimento delle obbligazioni contrattuali dei lavoratori. Resta fermo quanto disposto dall'articolo 4 della legge 20 maggio 1970, n. 300.”

Per adempiere a tale obbligo il datore di lavoro (pubblico o privato) deve fornire al lavoratore le seguenti informazioni:

1. gli aspetti del rapporto di lavoro sui quali incide l'utilizzo dei sistemi (es. bonus o promozione);

2. gli scopi e le finalità dei sistemi di cui l’utilizzo dei sistemi;

3. la logica ed il funzionamento dei sistemi;

4. le categorie di dati e i parametri principali utilizzati per programmare o addestrare i sistemi inclusi i meccanismi di valutazione delle prestazioni;

5. le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità;

6. il livello di accuratezza, robustezza e cybersicurezza dei sistemi e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.

Inoltre “Il lavoratore ha diritto a richiedere, direttamente o per il tramite delle rappresentanze sindacali aziendali o delle organizzazioni sindacali territoriali, ulteriori informazioni sull'impatto di tali sistemi automatizzati sul rapporto di lavoro. Il datore di lavoro o committente è tenuto a dare risposta entro 30 giorni dalla richiesta e deve comunque comunicare preventivamente (almeno 24 ore prima) ogni modifica delle informazioni già fornite, che comporti variazione delle condizioni di lavoro.”

Lato GDPR il decreto specifica anche che:

comma 4 - Il datore di lavoro o il committente sono tenuti a integrare l'informativa con le istruzioni per il lavoratore in merito alla sicurezza dei dati e l'aggiornamento del registro dei trattamenti. Al fine di verificare che gli strumenti utilizzati per lo svolgimento della prestazione lavorativa siano conformi alle disposizioni previste dal Regolamento (UE) 2016/679 (GDPR), il datore di lavoro o il committente effettuano un'analisi dei rischi e una valutazione d'impatto degli stessi trattamenti, procedendo a consultazione preventiva del Garante per la protezione dei dati personali ove ne sussistano i presupposti (art. 36 GDPR).

Conseguenze sugli adempimenti Privacy

Quali sono le conseguenze di queste modifiche sugli adempimenti richiesti dal GDPR?

1. Si deve aggiornare l’Informativa ex art.13 del GDPR nei confronti di dipendenti e collaboratori, inserendo le informazioni relative all’art. 1-bis) richieste nei punti da a) a f) visti nel paragrafo precedente.
2. Si deve integrare la nomina di autorizzato ex art. 29 GDPR fornendo indicazioni circa la sicurezza dei dati;
3. Si deve aggiornare il Registro dei trattamenti (qualora non fosse già stato fatto) e si deve effettuare una analisi del rischio dei trattamenti inseriti;
4. Si deve redigere la Valutazione d’Impatto (DPIA) dei trattamenti effettuati su strumenti informatici e sistemi decisionali o di monitoraggio automatizzati.
5. Si deve gestire il Tempo di Conservazione relativo alla prova di ricezione/trasmissione delle nuove informazioni. Per l’art.3 infatti questa attestazione deve essere mantenuta per 5 anni mentre le altre informazioni relative al lavoratore che vengono tenute generalmente per 10 anni dalla conclusione del rapporto.

Vuoi avere maggiori informazioni? Contattami per una consulenza.