Come noto, il Decreto Legislativo n. 104 del 27 giugno 2022 (si veda la news pubblicata il 3 agosto u.s.) ha l’obiettivo di fornire ai lavoratori una maggiore trasparenza delle informazioni sulle condizioni e le caratteristiche del rapporto di lavoro.
Tra le novità introdotte in ambito giuslavoristico, il provvedimento normativo ha previsto a carico del datore di lavoro o del committente , sia pubblico che privato, l’obbligo di informare il lavoratore dell’utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni, nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori .
Il provvedimento ha previsto, tuttavia, che resta fermo il disposto dell’art. 4 della Legge n. 300/1970 in merito ai controlli a distanza sull’attività dei lavoratori, norma che, come noto, limita la possibilità di impiegare gli strumenti di controllo alle sole esigenze organizzative e produttive, alla tutela del patrimonio e alla sicurezza del lavoro, previo accordo sindacale o, in mancanza, con autorizzazione dell’Ispettorato del Lavoro.
Sempre in base al disposto normativo in esame, il datore di lavoro o il committente è tenuto a fornire al lavoratore, unitamente alle informazioni di cui all’articolo 1, prima dell’inizio dell’attività lavorativa, ulteriori informazioni dettagliate tra cui la logica ed il funzionamento di tali sistemi, le categorie di dati e i parametri principali utilizzati per programmarli o addestrarli, inclusi i meccanismi di valutazione delle prestazioni, le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità.
Come evidenziato, anche nella Relazione illustrativa allo schema del decreto legislativo in esame, il provvedimento non ha introdotto alcuna novità in merito all’utilizzo di sistemi decisionali, essendo tale adempimento già richiesto dall’art. 13 del GDPR – Regolamento UE 2016/679, il quale al comma 2 lett. f) obbliga il Titolare a fornire all’interessato informazioni circa “l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato”, mentre, secondo alcuni, avrebbe introdotto, invece, una novità in merito all’obbligo per il datore di lavoro di informare il lavoratore, durante tutto il rapporto, sull’adozione di sistemi di monitoraggio automatizzati.
Si rileva che, tuttavia, non essendo stato chiarito dal provvedimento in esame cosa si debba intendere per “sistema decisionale e di monitoraggio automatizzato”, tra i casi più frequenti di utilizzo dei sistemi di monitoraggio automatizzato, si può pensare, ad esempio, alle piattaforme in cui l’assegnazione di un compito dipenda da un algoritmo, a sistemi utilizzati in fase di recruiting per selezionare e decidere se assumere un candidato, all’adozione di un sistema elettronico di rilevamento presenze dei lavoratori o di videosorveglianza volto a monitorare aree aziendali o, infine, a dei sistemi di geolocalizzazione installati sui veicoli assegnati ai lavoratori, ai sistemi premianti basati su algoritmi o, infine, ai sistemi di monitoraggio dell’attività lavorativa in “smartworking”.
È evidente, inoltre, come vi sia un particolare rapporto, sebbene con alcune criticità, tra le disposizioni del presente provvedimento e alcune norme preesistenti del GDPR, avendo il provvedimento introdotto dei nuovi obblighi per i datori di lavoro (nella loro qualità di Titolari del trattamento) nei confronti dei loro dipendenti.
Il provvedimento normativo ha previsto, infatti, che il datore di lavoro è tenuto, ad integrare l’informativa, consegnando al lavoratore, al momento dell’assunzione, una più dettagliata con le “istruzioni” in merito alla sicurezza dei dati e all’aggiornamento del registro dei trattamenti riguardanti le attività suindicate, ampliando considerevolmente gli obblighi informativi già previsti dal GDPR – Regolamento UE 2016/679 (Art. 13 e 14 GDPR “informazioni da fornire”; art. 35 GDPR “Valutazione di Impatto sulla protezione dei dati”, Art. 36 GDPR “Consultazione preventiva”.
Tuttavia, da una lettura interpretativa della norma, si evidenzia che il legislatore sembrerebbe aver utilizzato impropriamente il termine “istruzioni” e che avrebbe, invece, dovuto utilizzare correttamente il termine “informazioni”.
In primo luogo, infatti, l’informativa non può contenere istruzioni, essendo una comunicazione rivolta all’interessato con lo scopo di informarlo sulle finalità e le modalità del trattamento dei dati da parte del Titolare del trattamento.
In secondo luogo, l’informativa è un documento destinato per sua natura ad un’ampia diffusione (può essere, ad esempio, affissa sui luoghi di lavoro dove viene esercitato il trattamento dei dati), diversamente dalle istruzioni sul trattamento che sono documenti riservati, destinati solo agli autorizzati al trattamento dei dati.
Si rammenta, inoltre, sempre in base al disposto normativo in esame, che il datore di lavoro o il committente deve comunicare ai lavoratori le informazioni in modo trasparente, in formato strutturato, di uso comune e leggibile da dispositivo automatico. La comunicazione deve essere effettuata anche alle rappresentanze sindacali aziendali (RSA) o alla rappresentanza sindacale unitaria (RSU). Qualora l’azienda ne sia priva, la comunicazione deve avvenire alle sedi territoriali delle associazioni sindacali comparativamente più rappresentative in ambito nazionale.
Da ultimo, si segnala che con la Circolare n. 4 del 10 agosto 2022, l’INL ha precisato che il mancato, ritardato, incompleto o inesatto assolvimento degli obblighi informativi suesposti, è sanzionato dal nuovo art. 19, comma 2, del D.Lgs. n. 276/2003 con una sanzione amministrativa pecuniaria da 100 a 750 euro “per ciascun mese di riferimento”, soggetta a diffida ex art. 13 D.Lgs. n. 124/2004. La sanzione viene, pertanto, applicata per ciascun mese in cui il lavoratore svolge la propria attività lavorativa in violazione degli obblighi informativi in esame da parte del datore di lavoro o del committente.
La Circolare evidenzia, inoltre, che si tratta di una sanzione “per fasce”, e, pertanto, fermo restando la sua applicazione per ciascun mese di riferimento, se la violazione si riferisce a:
– più di cinque lavoratori è prevista una sanzione amministrativa da 400 a 1.500 euro;
– più di dieci lavoratori, è prevista una sanzione da 1.000 a 5.000 euro, non è ammesso il pagamento in misura ridotta e neanche la procedura di diffida ex art. 13 del D.Lgs. n. 124/2004.
Da ultimo, si segnala che se la comunicazione delle informazioni di cui sopra e dei dati non viene effettuata anche alle rappresentanze sindacali aziendali ovvero alla rappresentanza sindacale unitaria o, in loro assenza, alle sedi territoriali delle associazioni sindacali comparativamente più rappresentative sul piano nazionale, viene applicata una sanzione amministrativa pecuniaria, anche essa soggetta a diffida, da 400 a 1.500 euro per ciascun mese in cui si verifica l’omissione.