Monitoraggi automatizzati

Decreto Trasparenza: Adempimenti privacy per enti e imprese tra dubbi interpretativi e sovrapposizioni con la normativa europea

28 settembre 2022

di Michela BARBAROSSA

Come noto, il più che discusso Decreto Trasparenza (D. Lgs. 104/2022) aveva l’obbligo di recepire nell’ordinamento italiano una direttiva europea (precisamente la n. 1152 del 2019) “relativa a condizioni di lavoro trasparenti e prevedibili”.

L’intento del legislatore europeo era quello imporre più dignitose condizioni di lavoro all’interno dello spazio economico europeo poiché le garanzie ottenute per il tramite della direttiva n. 533 del 1991, essendo intervenute in un contesto diverso da quello attuale potevano considerarsi ormai obsolete.

Tuttavia, nonostante il perimetro fosse stato ben definito e delimitato, il legislatore italiano, oltre ad inserire il dettagliato elenco degli ulteriori obblighi informativi inerenti il rapporto di lavoro indicati dalla Direttiva, si è spinto ben oltre quanto prescritto, inserendo nel D.Lgs 26 maggio 1997, n. 152 l’Art. 1-bis rubricato “Ulteriori obblighi informativi nel caso di utilizzo di sistemi decisionali o di monitoraggio automatizzati”.

Tale articolo impone ai datori di lavoro e/o ai committenti degli specifici oneri il cui perimetro è di complessa definizione.

Ed infatti, l’Articolo 1-bis prevede che, nell’ipotesi in cui il datore di lavoro o il committente pubblico o privato utilizzi sistemi decisionali o di monitoraggio automatizzati “deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni” nonché a fornire “indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori”, dovrà fornire oltre alle informazioni di cui all’art. 1 del medesimo decreto (inerenti soprattutto gli aspetti giuslavoristici), precisazioni riguardanti:

a) gli aspetti del rapporto di lavoro sui quali incide l’utilizzo dei sistemi decisionali o di monitoraggio automatizzati;

b) gli scopi e le finalità dei medesimi;

c) la loro logica ed il loro funzionamento;

d) le categorie di dati e i parametri principali utilizzati per programmare o addestrare i sistemi, inclusi i meccanismi di valutazione delle prestazioni;

e) le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità;

f) il livello di accuratezza, robustezza e cybersicurezza dei sistemi e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.

Rispetto a queste informazioni, il lavoratore, autonomamente o per il tramite delle rappresentanze sindacali, ha il diritto di richiedere informazioni aggiuntive, con l’obbligo del datore di lavoro o del committente di rispondere entro 30 giorni.

Detta previsione, complessivamente considerata, presenta numerose criticità interpretative.

Anzitutto occorre delimitare l’ambito di applicazione della norma, comprendendo cosa possa rientrare nella definizione di sistemi decisionali o di monitoraggio automatizzati.

Sono utili per circoscrivere l’area di applicazione le Linee guida sul processo decisionale automatizzato e profilazione avallate dal EDPB, che identificano con i primi (i processi decisionali automatizzati) tutti quei processi che hanno la capacità di prendere decisioni impiegando mezzi tecnologici (quindi senza il coinvolgimento umano).

Non è altrettanto facile comprendere a cosa si riferisca il legislatore con il termine “sistema di monitoraggio automatizzato”; tuttavia, a parere di chi scrive, potrà essere considerato tale quel processo decisionale (ovviamente automatizzato) che è finalizzato all’attività di monitoraggio (tema peraltro che troviamo all’interno del considerando 71 del GDPR).

A chiarimento della terminologia usata è anche giunta la circolare del 20 settembre 2022 n. 19 del Ministero del Lavoro e delle Politiche Sociali che ha chiarito che “il legislatore ha inteso occuparsi di strumenti tecnologici e modelli organizzativi in costante evoluzione” precisando altresì che “sulla base delle conoscenze e delle esperienze attualmente disponibili, si può ritenere che per sistemi decisionali o di monitoraggio automatizzatisi intendono quegli strumenti che, attraverso l’attività di raccolta dati ed elaborazione degli stessi effettuata tramite algoritmo, intelligenza artificiale, ecc., siano in grado di generare decisioni automatizzate” aggiungendo però che “l’obbligo dell’informativa sussiste anche nel caso di intervento umano meramente accessorio”.

Inoltre, tenuto conto che dovranno essere oggetto di informazioni quei processi decisionali o di monitoraggio automatizzati finalizzati ad incidere sul rapporto di lavoro (in termini di valutazione e sorveglianza), certamente possiamo escludere dalla sua applicazione tutti quei software installati nei strumenti aziendali in dotazione al personale che non hanno una precipua finalità di sorveglianza e/o di valutazione o, comunque, che non prevedano un utilizzo per questa finalità da parte del datore di lavoro. Al contrario, come precisato nella circolare del Ministero del Lavoro e delle Politiche Sociali sopra richiamata, dovranno essere oggetto di informativa tutti quei processi decisionali e di monitoraggio automatizzati che abbiano finalità di monitoraggio e sorveglianza e che siano integrati in strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa (es. tablet, dispositivi digitali e wearables, gps e geolocalizzatori, sistemi per il riconoscimento facciale, sistemi di rating e ranking, etc.)

Sembra quindi assolutamente assodato che i sistemi in questione siano solo quelli che abbiano un impatto sui diritti e le libertà dei lavoratori. A riprova di questo, il comma 4 dell’art. all’Art. 1-bis prevede che il datore di lavoro (o committente) non solo debba svolgere la consueta analisi dei rischi ma una vera e propria valutazione d’impatto ai sensi dell’art. 35 del GDPR; tale circostanza presuppone che i sistemi in oggetto debbano essere comunque ad alto rischio per i diritti e le libertà del lavoratore.

Altro aspetto particolarmente critico ad avviso di chi scrive riguarda il livello di dettaglio che il datore di lavoro/ committente dovrà raggiungere nel fornire queste informazioni; ed infatti se si immagina il caso tipo di un datore di lavoro che utilizza un sistema di geolocalizzazione o altri software di società terze, difficilmente potrà conoscere in profondità

(i) i parametri principali utilizzati per programmare o addestrare i sistemi,

(ii) il livello di accuratezza, robustezza e cybersicurezza dei sistemi e

(iii) le metriche utilizzate per misurare tali parametri e/o (iv) gli impatti potenzialmente discriminatori delle metriche stesse. Senza contare poi che si dovrà – in concreto – valutare la capacità del lavoratore di comprendere complessi meccanismi informatici e le logiche che ci sono dietro.

Ancora una volta quindi occorrerà un po’ di buon senso nell’applicare questa norma e, se da un lato i datori di lavoro dovranno chiedere necessariamente supporto ai propri fornitori nella descrizione delle caratteristiche degli strumenti di controllo utilizzati, dall’altra dovranno cercare di rendere tali informazioni il più possibile semplici ed intellegibili per i lavoratori. Si tratta, certamente, di un’attività non semplice.

A tutto ciò si aggiungono ulteriori – e ancora più oscuri – obblighi previsti dal legislatore.

In particolare quest’ultimo prevede che “il datore di lavoro o il committente sono tenuti a integrare l’informativa con le istruzioni per il lavoratore in merito alla sicurezza dei dati e l’aggiornamento del registro dei trattamenti .. incluse le attività di sorveglianza e monitoraggio”.

Da una prima lettura della previsione certamente sorgono molteplici dubbi.

Anzitutto salta agli occhi che si specifichi di “integrare l’informativa con le istruzioni per il lavoratore in merito alla sicurezza dei dati”.

Ed infatti il documento con cui propriamente si danno istruzioni al lavoratore non è l’informativa, ma semmai è l’atto di designazione come persona autorizzata al trattamento dei dati e/o il regolamento aziendale per l’utilizzo degli strumenti informatici. Sicuramente non risulta corretto arricchire l’informativa privacy di informazioni che non siano quelle espressamente richieste e menzionate negli artt. 13 e ss del GDPR.

Altro punto che pone numerose perplessità è il resto della disposizione, dove si prevede che siano aggiornate le informative e il registro, includendo le attività di sorveglianza e monitoraggio.
Ebbene già prima del presente intervento normativo tutte le attività di trattamento, incluse le loro finalità, basi giuridiche, tipologie di dati trattati e tempi di conservazione dovevano essere inseriti nei registri del trattamento e nelle informative. Per di più, se si considera che la tenuta del registro dei trattamenti non è un adempimento obbligatorio per tutti i titolari del trattamento, viene da chiedersi:

  1. perché il legislatore è intervenuto precisando l’obbligo di svolgere un’attività già prescritta da una normativa europea?
  2. perché nel “ricordare” tale adempimento (ammesso che sia questo l’intento) non circoscrive questa attività solo a chi è obbligato alla tenuta del registro dei trattamenti?

La circolare del Ministero del Lavoro e delle Politiche Sociali, intervenuta, come detto, per dipanare alcuni dei dubbi rispetto al Decreto Trasparenza non fornisce sul punto alcun chiarimento. Non può che concludersi che dobbiamo ritenere tale adempimento assorbito all’interno di quanto già prescritto dal GDPR.

 



Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *