Privacy e GDPR: il nuovo obbligo di informativa e l’art. 13 GDPR

In materia di trattamento dei dati personali, lo scorso 13 agosto è entrato in vigore il decreto trasparenza (d.lgs. 104/2022), che disciplina il diritto all’informazione sugli elementi essenziali del rapporto di lavoro, sulle condizioni di lavoro e la relativa tutela. Una norma che deve necessariamente essere applicata dal Data Protection Officer (o consulente privacy) dell’Ente pubblico o dell’Azienda.

Si tratta di una norma che introduce nuovi obblighi per i datori di lavoro, poiché titolari del trattamento, nei confronti dei propri dipendenti o assimilati, aumentando così le informazioni sul trattamento dei dati da fornire al dipendente stesso all’atto di instaurazione del rapporto di lavoro e per tutta la sua durata.

Inoltre, il decreto trasparenza si applica al lavoro pubblico e privato, fatti salvi i rapporti di lavoro non a tempo pieno e autonomi (inclusi quelli di agenzia e rappresentanza).

Tra le novità che porta questo decreto abbiamo gli obblighi di informazione – introdotti dall’art. 4 – gravanti sul titolare del trattamento in relazione all’utilizzo di sistemi decisionali o di monitoraggio automatizzati.

Per quanto riguarda i sistemi decisionali, non sono introdotte novità vere e proprie, in quanto si tratta di un obbligo ad adempiere già richiesto dall’art. 13 GDPR: che obbliga appunto il titolare del trattamento a fornire all’interessato informazioni circa “l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato”.

La novità riguarda l’obbligo del datore di lavoro di informare il lavoratore dell’adozione di sistemi di monitoraggio automatizzati, durante tutto il rapporto di lavoro. Ad esempio: rilevamento presenze, videosorveglianza, monitoraggio dello smartworking o gestione della posta elettronica.

Tale informazione non deve essere generica. Il datore di lavoro o il committente è tenuto a fornire al lavoratore (prima dell’inizio dell’attività lavorativa) ulteriori informazioni legate a:

  • aspetti del rapporto di lavoro sui quali incide l’utilizzo dei sistemi decisionali o monitoraggio automatizzati;
  • scopi e finalità della scelta di utilizzare questi sistemi;
  • logica e funzionamento dei sistemi;
  • categorie di dati e parametri principali utilizzati per programmare o addestrare i sistemi;
  • misure di controllo adottate per le decisioni automatizzate, nonché eventuali processi di correzione e il responsabile del sistema di gestione della qualità;
  • livello di accuratezza, robustezza e cybersicurezza dei sistemi, comprese le metriche utilizzate per misurare tali parametri e gli impatti potenzialmente discriminatori delle metriche stesse.

Inoltre, il datore di lavoro o il committente devono integrare l’informativa con le istruzioni per il lavoratore relative alla sicurezza dei dati e l’aggiornamento del registro dei trattamenti riguardanti le attività, incluse quelle di sorveglianza e monitoraggio.

In più, in applicazione del principio privacy by design, è necessario informare i lavoratori, almeno 24 ore prima e per iscritto, di ogni modifica incidente sulle informazioni fornite che comportino variazioni delle condizioni di svolgimento del lavoro.

Tutto ciò deve essere poi trasmesso e comunicato alle rappresentanze sindacali, in caso contrario sarà applicata una sanzione amministrativa pecuniaria mensile. Le informazioni vanno fornite in modo trasparente, con un linguaggio semplice e leggibile.

Tuttavia, considerando l’art. 13 GDPR, alcune regole suscitano qualche contraddizione: l’informativa non è un documento che contiene istruzioni, queste si trovano in un altro documento contenente concetti base per l’utilizzo degli strumenti aziendali. Inoltre, l’informativa è un documento al quale si fornisce la massima diffusione pubblica, mentre le istruzioni sul trattamento sono documenti riservati, destinati agli autorizzati al trattamento stesso. Elementi su cui si dovrà fare chiarezza.

Si attendono infatti maggiori indicazioni da parte del Garante della privacy e dall’Istituto nazionale del lavoro, così da procedere con l’adeguamento agli adempimenti introdotti dal decreto trasparenza.

 

Se vuoi maggiori informazioni, vi invitiamo a richiedere on line un appuntamento oppure a contattare Paul Renda, CEO | Co-Founder di Miller Group: paul.renda@millergroup.it, tel. 02.36762490.

Condividi l'articolo

Condividi l'articolo