Decreto Trasparenza: obblighi informativi da coordinare con la privacy
Pubblicato il 25 gennaio 2023
In questo articolo:
- Decreto Trasparenza: nuovi obblighi informativi per i datori di lavoro
- Decreto Trasparenza: nuovi obblighi informativi e privacy
- Decreto Trasparenza: ambito di applicazione degli obblighi informativi
- Decreto Trasparenza: ricorso a sistemi decisionali o di monitoraggio automatizzati
- Decreto Trasparenza e obblighi del titolare del trattamento
Condividi l'articolo:
Si torna a parlare del decreto Trasparenza. A farlo è stavolta il Garante per la privacy, con alcune indicazioni (le prime) fornite in risposta ai quesiti e alle richieste di chiarimento provenienti da imprese e enti pubblici e inviate al Ministero del Lavoro e all’Ispettorato Nazionale del Lavoro, con l'invito ad aprire un tavolo di confronto.
Le indicazioni sono contenute in una nota (del 13/12/2022) veicolata nella newsletter del 24 gennaio 2023.
Il documento, suddiviso in 6 paragrafi, fornisce un’interpretazione sistematica delle disposizioni del decreto Trasparenza alla luce della disciplina in materia di protezione dei dati.
Duplice è l'obiettivo che l’Autorità si pone. Più specificatamente, quello di superare, da un lato, le difficoltà interpretative, aiutando i datori di lavoro a dare corretta attuazione alle norme e, dall'altro, quello di addivenire a posizioni e linee interpretative comuni e coordinate con il Ministero del Lavoro e l'INL.
Decreto Trasparenza: nuovi obblighi informativi per i datori di lavoro
Il D.lgs. 27 giugno 2022, n. 104, c.d. decreto Trasparenza, reca norme in materia di condizioni di lavoro trasparenti e prevedibili.
In vigore a far data dal 13 agosto 2022, il decreto si applica, per espressa previsione (art. 16, comma 1), “a tutti i rapporti di lavoro già instaurati alla data del 1° agosto 2022”.
NOTA BENE: L'INL ha avuto modo di chiarire che anche per i rapporti di lavoro instaurati tra il 2 ed il 12 di agosto 2022 i lavoratori possono richiedere l’eventuale integrazione delle informazioni relative al proprio rapporto di lavoro.
Il Ministero del lavoro e l'INL hanno rispettivamente emanato le loro istruzioni con la circolare n. 19 del 20/9/2022 e con la circolare n. 4 del 10/8/2022.
Decreto Trasparenza: nuovi obblighi informativi e privacy
La disciplina del decreto Trasparenza presenta rilevanti profili di interesse anche per la protezione dei dati personali. In particolare, oggetto di attenzione del Garante è l'impiego dei “sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell'incarico, della gestione o della cessazione del rapporto di lavoro, dell'assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l'adempimento delle obbligazioni contrattuali dei lavoratori”.
Tale impiego dà luogo a trattamenti di dati personali, riferiti a “interessati”, identificati o identificabili (art. 4, par. 1, nn. 1) e 2), del Regolamento) nel contesto lavorativo e pertanto la sua disciplina va coordinata, in sede applicativa, con la normativa privacy (Regolamento (UE) 2016/679 e D. Lgs. 30 giugno 2003, n. 196 - Codice in materia di protezione dei dati personali). Tanto più che lo stesso decreto espressamente specifica che resta salva “la configurabilità di eventuali violazioni in materia di protezione dei dati personali ove sussistano i presupposti di cui agli articoli 83 del Regolamento UE 2016/679 e 166 del decreto legislativo 30 giugno 2003, n. 196 e successive modificazioni”.
A catalizzare l'attenzione del Garante privacy è la circolare n. 19/2022 del Ministero del lavoro e in particolare il riferimento ai casi in cui il datore di lavoro ricorra a “software per il riconoscimento emotivo”, a “strumenti di data analytics o machine learning, rete neurali, deep-learning”, nonché a “sistemi per il riconoscimento facciale, sistemi di rating e ranking”.
Strumenti e tecnologie che, spiega il Garante privacy, soprattutto se impiegati nel contesto lavorativo presentano un elevato livello di rischio per i diritti e le libertà degli interessati tutelati dalla normativa privacy.
Decreto Trasparenza: ambito di applicazione degli obblighi informativi
Il Garante privacy ricorda il diverso perimetro di applicazione del decreto Trasparenza rispetto alla disciplina generale in materia di protezione dati che è applicabile anche ai rapporti autonomi, esclusi invece dal campo di operatività dei nuovi obblighi informativi.
Più nel dettaglio, l’Autorità spiega che le norme del decreto Trasparenza si applicano con riferimento al contratto di lavoro subordinato, ivi compreso quello di lavoro agricolo; al contratto di lavoro somministrato; al contratto di lavoro intermittente; al rapporto di collaborazione con prestazione prevalentemente personale e continuativa organizzata dal committente (art. 2, co. 1, del d. lgs. 15 giugno 2015, n. 81); al contratto di collaborazione coordinata e continuativa (art. 409, n. 3, c.p.c.); al contratto di prestazione occasionale (art. 54-bis del d. l. 24 aprile 2017, n. 50, convertito, con modificazioni, dalla l. 21 giugno 2017, n. 96).
Gli obblighi informativi scattano per i dipendenti del settore privato, delle pubbliche amministrazioni, degli enti pubblici economici, per i lavoratori marittimi, i lavoratori della pesca (fatta salva la disciplina speciale vigente in materia) e per i lavoratori domestici (fatta eccezione per le previsioni di cui agli artt. 10 e 11).
Le disposizioni al decreto Trasparenza non si applicano invece ai:
- rapporti di lavoro autonomo non integranti rapporti di collaborazione coordinata e continuativa (titolo III del libro V del codice civile e D. Lgs. 28 febbraio 2021, n. 36);
- rapporti di lavoro caratterizzati da un tempo di lavoro predeterminato ed effettivo di durata pari o inferiore a una media di 3 ore a settimana in un periodo di riferimento di 4 settimane consecutive;
- rapporti di agenzia e rappresentanza commerciale;
- rapporti di collaborazione prestati nell'impresa del datore di lavoro dal coniuge, dai parenti e dagli affini non oltre il terzo grado, che siano con lui conviventi;
- i rapporti di lavoro del personale dipendente di amministrazioni pubbliche in servizio all'estero, limitatamente all'art. 2 del D. Lgs. 26 maggio 1997, n. 152;
- i rapporti di lavoro del personale di cui all'art. 3 del D. Lgs. 30 marzo 2001, n. 165 (relativamente alle disposizioni di cui al Capo III del decreto).
Rapporti ai quali, sottolinea il Garante privacy, continua ad applicarsi invece la disciplina generale in materia di protezione dati, incluse le disposizioni relative alle informazioni da rendere agli interessati e all’esercizio dei diritti da parte degli stessi (artt. 5, par. 1, lett. a), 12, 13, 14, 15, 16, 17, 18, 19 e 21 del Regolamento).
Decreto Trasparenza: ricorso a sistemi decisionali o di monitoraggio automatizzati
Il decreto Trasparenza (art. 4, che integra il D. Lgs. 26 maggio 1997, n. 152 con l'aggiunta dell'art. 1-bis) pone in capo al datore di lavoro l'obbligo di informare il lavoratore dell'utilizzo di sistemi decisionali o di monitoraggio automatizzati ai fini dell'assunzione (o del conferimento dell'incarico) ovvero nella fase di gestione o della cessazione del rapporto di lavoro.
Il legislatore elenca le informazioni che il datore di lavoro ha l’obbligo di fornire al lavoratore qualora tratti dati personali attraverso i predetti sistemi decisionali o di monitoraggio automatizzati.
Alcune di queste informazioni, evidenzia il Garante privacy, si aggiungono, a quelle che il datore di lavoro deve fornire all’interessato in qualità di titolare del trattamento. Altre invece specificano la portata delle informazioni da rendere ai fini privacy in base agli artt. 13 e 14 del Regolamento UE.
NOTA BENE: Per entrambi i casi cui vengono riportati degli esempi nella nota in commento.
Particolarmente interessante, nel documento del Garante, è il passaggio dedicato alle tempistiche previste dal decreto Trasparenza per adempiere ai nuovi obblighi informativi.
Si ricorda innanzitutto che le disposizioni del decreto si applicano anche ai rapporti già instaurati alla data del 1° agosto 2022.
Per i rapporti di lavoro instaurati anteriormente i dipendenti possono ottenere gli stessi elementi informativi solo a seguito di specifica richiesta scritta rivolta al datore di lavoro, che è tenuto a fornire riscontro entro 60 giorni.
ATTENZIONE: Il Garante fa presente che, in quest'ultimo caso, è fatto salvo il diritto per l’interessato di ottenere l’accesso ai propri dati personali comprese le ulteriori informazioni previste dal Decreto Trasparenza, alle condizioni e nei tempi previsti dall’art. 15 Regolamento UE.
Per i rapporti di lavoro instaurati successivamente a tale data gli obblighi informativi aggiuntivi devono essere adempiuti prima dell’inizio dell’attività lavorativa.
Ai fini privacy valgono invece i diversi termini di cui agli artt. 13, par. 1, e 14, par. 3, del Regolamento.
Al riguardo il Garante privacy auspica, anche ai fini di una semplificazione degli adempimenti richiesti al datore di lavoro, che tutte le informazioni siano complessivamente fornite al lavoratore prima dell’inizio del trattamento, ivi comprese quelle specifiche sui sistemi decisionali o di monitoraggio automatizzati e congiuntamente (quindi nello stesso documento) alle informazioni di cui agli artt. 13 e 14 del Regolamento.
Decreto Trasparenza e obblighi del titolare del trattamento
Il Garante privacy, infine, in merito all'utilizzo di sistemi decisionali o di monitoraggio automatizzati da parte del datore di lavoro, fa presente che il datore di lavoro, titolare del trattamento:
- deve rispettare le condizioni per il lecito impiego di strumenti tecnologici nel contesto lavorativo (art. 88, par. 2, del Regolamento);
- deve osservare i principi generali del trattamento (art. 5 del Regolamento) e porre in essere tutti gli adempimenti previsti dalle disposizioni normative in materia di protezione dei dati personali;
- deve valutare se i trattamenti che si intende realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche - in ragione delle tecnologie impiegate e considerati la natura, l'oggetto, il contesto e le finalità perseguite - che renda necessaria una preventiva valutazione di impatto sulla protezione dei dati personali (art. 35 del Regolamento).
Il Garante ricorda inoltre gli elementi da considerare per verificare la sussistenza dell’obbligo di procedere ad una valutazione di impatto e l'obbligo, in capo al titolare del trattamento, di redigere il registro delle attività di trattamento al ricorrere di determinati presupposti.
Tale registro, che fornisce un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, è indispensabile per consentire al titolare di censire i trattamenti effettuati e documentarne la conformità alla disciplina privacy.
Il titolare del trattamento, chiarisce il Garante, non è tenuto a informare gli interessati della predisposizione del registro e di ogni aggiornamento dello stesso.
Ricevi GRATIS la nostra newsletter
Ogni giorno sarai aggiornato con le notizie più importanti, documenti originali, anteprime e anticipazioni, informazioni sui contratti e scadenze.
Richiedila subitoCondividi l'articolo: