il vademecum

Sistemi decisionali o di monitoraggio automatizzati sul luogo di lavoro: guida pratica alla compliance



Indirizzo copiato

L’impiego sempre più frequente di sistemi decisionali e di monitoraggio automatizzati nel contesto lavorativo, tanto più se basati su algoritmi e AI, impone ai datori di lavoro una attenta valutazione circa gli adempimenti normativi richiesti. Analizziamo nel dettaglio quali e come occorre procedere

Pubblicato il 10 mag 2023

Lorenzo Giannini

Consulente legale privacy e DPO



Videosorveglianza

Che ci si riferisca a grandi gruppi industriali o a piccole aziende, sono ormai molte le realtà che impiegano sistemi e procedure digitalizzate, così come tecnologie o software basati su algoritmi o intelligenza artificiale (AI), al fine di migliorare i flussi produttivi o la gestione del rapporto lavorativo.

Come già osservato[1], “la rivoluzione digitale, vero e proprio propulsore della quarta rivoluzione industriale e della digital economy, ha trasformato in modo significativo il modo di operare di aziende private a tutti i livelli”.

L’impianto normativo

A fronte degli indubbi e molteplici vantaggi derivanti dall’impiego di tali tecnologie nel contesto lavorativo, i datori di lavoro sono chiamati a prestare particolare attenzione non solo sotto il profilo della sicurezza informatica correlata a detti sistemi, ma anche all’attuale impianto normativo, in particolar modo quello giuslavoristico e quello in materia di protezione dei dati personali.

Oggetto del presente intervento è il “decreto trasparenza” (D. Lgs. 27 giugno 2022, n. 104[2]) e, nello specifico, l’art. 4, comma 1, lett. b) del provvedimento, con cui è stato inserito il nuovo articolo 1-bis all’interno del D. Lgs. 152/1997. Come già osservato in un precedente contributo[3] (al quale si rinvia per un esame più dettagliato sotto il profilo prettamente normativo e dell’ambito di applicazione) l’importanza dell’articolo, rubricato “Ulteriori obblighi informativi nel caso di utilizzo di sistemi decisionali o di monitoraggio automatizzati”, si sostanzia tanto negli obblighi di trasparenza in capo al datore di lavoro, quanto negli adempimenti a lui richiesti – nella sua qualità di titolare del trattamento dei dati personali – nell’ottica della normativa privacy.

Strumenti o software inclusi nella normativa

Per prima cosa, ai fini della presente guida applicativa, appare doveroso chiarire quali siano gli strumenti o i software ai quali la normativa sopra richiamata si riferisce.

L’espressione utilizzata dal nuovo art. 1-bis è molto ampia, finanche vaga, laddove richiama genericamente i “sistemi decisionali o di monitoraggio automatizzati”. Appaiono, pertanto, quanto mai preziosi i chiarimenti offerti dall’Ispettorato Nazionale del Lavoro[4], dal Garante privacy[5] e dal Ministero del Lavoro e delle Politiche Sociali[6].

In particolare, quest’ultimo distingue due categorie:

  • I sistemi decisionali o di monitoraggio automatizzati finalizzati a realizzare un procedimento decisionale in grado di incidere sul rapporto lavorativo. In questa categoria troviamo, ad esempio, per la fase di assunzione o conferimento di incarico, i software che sfruttano chatbots durante il colloquio; quelli in grado di effettuare lo screening dei curricola o di compiere una profilazione automatizzata dei candidati; i software di riconoscimento emotivo. Ancora, per la fase di gestione o cessazione del rapporto lavorativo, i software in grado di assegnare o revocare in via automatizzata compiti, mansioni o turni; quelli in grado di definire l’orario di lavoro, di analizzare la produttività, di determinare retribuzioni o promozioni, tramite strumenti di data analytics o machine learning, etc.[7].
  • I sistemi decisionali o di monitoraggio automatizzati incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori. In tale categoria rientrano strumenti come, ad esempio, tablet, dispositivi wearables, geolocalizzatori, sistemi di facial recognition e di rating e ranking, etc.

Si tratta, pertanto, di tutti gli strumenti (sia lato hardware che software) utilizzati nel contesto lavorativo che possono incidere – a vario titolo e in varia misura – sul rapporto lavorativo medesimo (dalla fase inziale di assunzione a quella della sua cessazione), “attraverso l’attività di raccolta dati ed elaborazione degli stessi effettuata tramite algoritmo, intelligenza artificiale, ecc., [e che] siano in grado di generare decisioni automatizzate. […] Nella sostanza, […] quando la disciplina della vita lavorativa del dipendente, o suoi particolari aspetti rilevanti, siano interamente rimessi all’attività decisionale di sistemi automatizzati”[8].

L’art. 26 del “decreto lavoro”

È molto importante richiamare, infine, l’ulteriore e più recente aggiornamento introdotto dall’art. 26 del “decreto lavoro” (decreto legge 4 maggio 2023, n. 48), il quale non solo ha previsto semplificazioni in merito ai generali obblighi informativi (es. durata del periodo di prova, congedo per ferie, importo iniziale della retribuzione, etc.) in capo al datore di lavoro, ma è anche intervenuto sul significato di “sistemi decisionali o di monitoraggio automatizzati”, circoscrivendoli a quelli “integralmente” automatizzati[9]. Occorre pertanto far riferimento ai soli sistemi che siano totalmente automatizzati e non anche ai sistemi in cui l’automatismo, per quanto preponderante, sia solo parziale[10].

Inoltre, un altro chiarimento introdotto dal D.L. 48/2023 ha precisato come il datore di lavoro non sia tenuto a comunicare alcunché in relazione ai sistemi “protetti da segreto industriale e commerciale”[11], consentendo di superare i timori di molte aziende rispetto a un obbligo di trasparenza che, se applicato tout court, avrebbe potuto pregiudicare la riservatezza di informazioni sensibili sul piano commerciale e produttivo[12].+

Gli obblighi in capo al datore di lavoro

Una volta accertato di rientrare nell’ambito di applicazione della norma[13] e di impiegare nel proprio contesto i suddetti strumenti, ciascun datore di lavoro è chiamato a adempiere a obblighi sotto diversi profili, riassumibili così come riportato nell’immagine 1 sottostante.

Immagine 1

È possibile distinguere:

  • Obblighi di informazione nei confronti di ciascun lavoratore, che dovrà essere informato relativamente a:
  • Gli aspetti del rapporto di lavoro sui quali incide l’utilizzo di detti sistemi;
  • Gli scopi e le finalità per l’utilizzo dei sistemi;
  • La logica e il funzionamento dei sistemi;
  • Le categorie di dati e i parametri principali utilizzati per programmare o addestrare i sistemi, inclusi i meccanismi di valutazione delle prestazioni;
  • Le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità;
  • Il livello di accuratezza, robustezza e cybersicurezza dei sistemi, nonché le metriche utilizzate per misurare tali parametri e gli impatti potenzialmente discriminatori delle metriche stesse.

Come rendere tali informazioni ai lavoratori

Per quanto attiene alle modalità con le quali rendere tali informazioni ai lavoratori[14], il sesto comma dell’art. 1-bis de quo, sottolinea il carattere della trasparenza, l’utilizzo di un formato strutturato, di uso comune e leggibile da dispositivo automatico.

Anche il Garante privacy ha auspicato[15] il ricorso a una forma che sia quanto mai “concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro” (cfr. art. 12 GDPR), raccomandando inoltre che le specifiche informazioni sui sistemi decisionali o di monitoraggio automatizzati vengano fornite congiuntamente a quanto contenuto nelle più “generali” informative privacy ex artt. 13 e 14 GDPR.

  • Obblighi di comunicazione circa l’impiego di sistemi decisionali e di monitoraggio automatizzati nel proprio contesto lavorativo, nonché di tutte le informazioni di cui ai commi da 1 a 5 dell’art. 1-bis, alle rappresentanze sindacali aziendali ovvero alla rappresentanza sindacale unitaria o, in loro assenza, alle sedi territoriali delle associazioni sindacali comparativamente più rappresentative sul piano nazionale.
  • Come previsto dal comma 4 dell’art. 1-bis, obblighi connessi alla normativa in materia di protezione dei dati personali, quali:
  • Implementazione delle informative redatte ex artt. 13 e 14 GDPR;
  • Previsione di specifiche istruzioni in merito alla sicurezza dei dati;
  • Aggiornamento del registro dei trattamenti di cui all’art. 30 GDPR;
  • Redazione di una valutazione d’impatto ex art. 35 GDPR (c.d. DPIA – Data Protection Impact Assessment).

In secondo luogo, preme sottolineare come gli obblighi ai quali è chiamato a ottemperare il datore di lavoro potrebbero essere di altro genere nell’eventualità in cui dai sistemi e dagli strumenti richiamati derivi anche la possibilità di un vero e proprio controllo a distanza dell’attività dei lavoratori. È lo stesso art. 1-bis, al suo primo comma, a chiarire come in tal caso “resta fermo quanto disposto dall’art. 4 della legge 20 maggio 1970 n. 300”.

Ciò comporta, innanzitutto, la necessità di verificare l’effettiva sussistenza degli scopi inerenti a esigenze organizzative e produttive; esigenze connesse alla sicurezza del lavoro; esigenze inerenti alla tutela del patrimonio aziendale. I sistemi e gli strumenti di controllo a distanza non potrebbero essere impiegati in assenza di almeno uno di questi tre scopi.

Inoltre, il datore di lavoro dovrebbe provvedere in questo caso al preventivo raggiungimento di un “accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali […]o, in alternativa nel caso di mancanza di accordo – tanto nell’eventualità in cui risultino assenti RSU o RSA, quanto perché, pur data la loro presenza, l’accordo non venga raggiunto – all’ottenimento della “autorizzazione della sede territoriale dell’Ispettorato nazionale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali, della sede centrale dell’Ispettorato nazionale del lavoro”[16].

Come procedere all’ottenimento dell’autorizzazione dell’Ispettorato del lavoro

Tralasciando in questa sede il dettaglio circa l’autorizzazione di carattere negoziale (accordo sindacale), vediamo come procedere all’ottenimento dell’autorizzazione amministrativa (autorizzazione dell’Ispettorato del lavoro).

Sul proprio sito, l’Ispettorato nazionale del lavoro ha messo a disposizione l’apposito modello di istanza disponibile per il download e la successiva compilazione (INL 1.1 Istanza Videosorveglianza Altri Sistemi; vedi immagine 2).

Immagine 2

Nella prima parte, viene richiesto l’inserimento dei dati inerenti alla sede territoriale dell’Ispettorato nazionale del lavoro alla quale l’istanza verrà trasmessa (sul sito stesso è possibile trovare la sede più vicina: Uffici Territoriali (ispettorato.gov.it)), quanto i dati relativi al legale rappresentante dell’azienda, nonché informazioni relative a quest’ultima.

Successivamente, nella “premessa” del modello, occorrerà indicare nell’ordine:

  • Di aver o meno ricevuto una visita ispettiva con prescrizione per violazione dell’art. 4 Legge 300/1970 (in caso affermativo, occorrerà anche indicare numero e data del verbale);
  • Le motivazioni per cui si intende ricorrere all’utilizzo dei sistemi;
  • Il numero di lavoratori presenti in azienda;
  • L’assenza di rappresentanze sindacali in azienda o il mancato raggiungimento dell’accordo. È utile infatti ribadire, come sopra accennato, che l’istanza all’ispettorato rappresenta una via alternativa e subordinata al mancato raggiungimento dell’accordo o all’assenza delle rappresentanze sindacali. Peraltro, come indicato nella recente Nota 2572 dell’Ispettorato Nazionale del Lavoro del 14 aprile scorso, “le istanze dovranno contenere […] la dichiarazione di assenza delle RSA/RSU o la documentazione comprovante il mancato accordo”.

Successivamente, viene previsto di indicare se la richiesta riguardi una prima installazione dei sistemi o l’integrazione/modifica di sistemi già in esercizio.

Nel primo caso viene richiesta l’indicazione della sede aziendale o dell’unità operativa in cui avrà luogo l’installazione; nel secondo, gli estremi del provvedimento con cui è stato autorizzato l’utilizzo dei sistemi per i quali si richiede l’integrazione o modifica.

Le condizioni da rispettare

Nella parte delle dichiarazioni, il richiedente si impegna a rispettare diverse condizioni, ossia:

  • Che venga data apposita comunicazione ai lavoratori circa le modalità d’uso degli strumenti e l’effettuazione dei controlli secondo gli obblighi informativi di cui alla normativa privacy;
  • Che vengano rispettate tutte le disposizioni normative vigenti in materia di protezione dei dati personali, nonché i provvedimenti del Garante privacy.

Infine, viene richiesto di allegare all’istanza una relazione, firmata dal legale rappresentante, nella quale sia data evidenza:

  • Delle specifiche esigenze di carattere organizzativo, produttivo, sicurezza sul lavoro o tutela del patrimonio aziendale poste a fondamento dell’istanza;
  • Delle modalità di funzionamento degli strumenti dai quali derivi la possibilità di controllo a distanza e, in particolare:
    • Modalità di esercizio del controllo a distanza sull’attività dei lavoratori (es. controllo telefonico, controllo posizionamento lavoratore, controllo attività lavoratore, etc.);
    • Eventuale possibilità di visualizzazione in tempo reale dei dati e sistema di registrazione degli accessi;
    • Possibilità di conoscibilità e disattivazione da parte del lavoratore;
    • Modalità di funzionamento del dispositivo di immagazzinamento dei dati;
    • Modalità e tempi di conservazione dei dati e loro gestione;
    • Modalità e motivazioni di accesso ai dati;
    • Ogni ulteriore informazione ritenuta necessaria.

Le modalità di presentazione dell’istanza

Una volta compilato in tutte le sue parti – compresa la parte finale che richiede l’inserimento del nominativo della persona alla quale eventualmente potranno richiedersi chiarimenti – il modello, unitamente alla relazione e a due marche da bollo da 16 euro (una per l’istanza e una per il rilascio del provvedimento autorizzativo) dovrà essere inoltrato per il rilascio dell’autorizzazione.

Le modalità di presentazione dell’istanza sono due:

  • Tramite consegna a mano all’ufficio della sede territoriale dell’Ispettorato nazionale del lavoro;
  • Tramite modalità telematica. In questo caso per la trasmissione delle marche da bollo occorrerà utilizzare il modello “INL 1.4 – Dichiarazione sostitutiva per marca da bollo”, sempre scaricabile dal sito, come nell’immagine 3 sotto riportata.

Immagine 3

All’interno del modello, sono previsti due appositi spazi dove apporre le marche da bollo, per poi procedere alla scansione dello stesso e al successivo invio (vedi immagine 4).

Immagine 4

Due aspetti fondamentali da considerare

In conclusione, due aspetti fondamentali devono essere presi in considerazione (parimenti a quanto già rilevato in un precedente intervento in tema di videosorveglianza[17]).

Il primo viene esplicitamente riportato nello stesso modulo “INL1.1” di istanza, che al capoverso conclusivo sottolinea come “anche la sola installazione e/o la messa in esercizio di impianti audiovisivi e di altri strumenti di controllo prima della prescritta autorizzazione darà luogo all’applicazione delle sanzioni previste dall’art. 38, comma 1, Legge 300/70”.

Ciò significa che prima dell’ottenimento del provvedimento autorizzativo (o del raggiungimento dell’accordo sindacale, laddove dette rappresentanze siano presenti), non solo i sistemi o gli strumenti non potranno essere messi in esercizio, ma non si potrà neppure procedere alla loro installazione fisica pur mantenendoli disattivati.

In secondo luogo, sotto il profilo privacy, è più che mai utile ricordare come l’impiego di detti sistemi non possa basarsi sul consenso degli stessi lavoratori. Ciò in quanto – come già sottolineato in altra sede[18] – una delle caratteristiche del consenso di cui all’art. 7 GDPR, nonché alle Linee guida sul consenso 5/2020 dell’EDPB (cfr. par. 3.1, punto 13) è quella di dover costituire manifestazione di una libera volontà dell’interessato[19].

Alla luce dello squilibrio tra le parti contrattuali del rapporto lavorativo (datore/titolare del trattamento dei dati da un lato, lavoratore/interessato al trattamento dall’altro), il consenso eventualmente prestato dal lavoratore non potrebbe ritenersi valido.

Peraltro, la citata Nota INL 2572 ha ribadito a chiare lettere come il bene giuridico tutelato dalla disposizione in parola abbia natura collettiva e non individuale; “la carenza di codeterminazione (accordo) tra il datore di lavoro e le rappresentanze sindacali aziendali o del successivo provvedimento autorizzativo (se l’accordo non è raggiunto o in assenza della RSA/RSU) non possono essere supplite dall’eventuale consenso, seppur informato, dei singoli lavoratori, restando in quest’ultimo caso l’istallazione illegittima e penalmente sanzionata, in quanto la tutela penale è apprestata per la salvaguardia di interessi collettivi di cui le rappresentanze sindacali sono portatrici, in luogo dei lavoratori”.

Note

  1. www.internet4things.it/industry-4-0/industrial-internet-of-things-e-privacy-un-percorso-a-ostacoli/
  2. www.gazzettaufficiale.it/eli/id/2022/07/29/22G00113/sg
  3. www.agendadigitale.eu/sicurezza/privacy/decreto-trasparenza-i-nuovi-obblighi-per-i-datori-di-lavoro-e-le-ricadute-di-privacy/
  4. Circolare n. 4/2022 INL: www.ispettorato.gov.it/files/2023/01/INL-circolare-4-2022-chiarimenti-decreto-trasparenza.pdf
  5. Garante per la Protezione dei Dati Personali, doc web 9844960: www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9844960
  6. Circolare n. 19/2022 del Ministero del Lavoro e delle Politiche Sociali: www.lavoro.gov.it/documenti-e-norme/normative/Documents/2022/Circolare-19-del-20-09-22.pdf
  7. Come indicato nella circolare sopra richiamata, “non sarà necessario procedere all’informativa nel caso, ad esempio, di sistemi automatizzati deputati alla rilevazione delle presenze in ingresso e in uscita, cui non consegua un’attività interamente automatizzata finalizzata ad una decisione datoriale”.
  8. Par. 3 Circolare n. 19/2022 Ministero del Lavoro e delle Politiche Sociali.
  9. Cfr. art. 26, comma 2, lett. a) D.L. 48/2023.
  10. Sul punto, “Decreto Trasparenza, riduzione per gli oneri dei datori di lavoro”, Il Sole 24 Ore, 1 maggio 2023.
  11. Cfr. art. 26, comma 2, lett. b) D.L. 48/2023.
  12. Sul punto, “Nuovi obblighi limitati ai sistemi interamente automatizzati”, Il Sole 24 Ore, 8 maggio 2023.
  13. Sul punto, si rinvia all’art. 1 del D. Lgs. 104/2022.
  14. Rispetto a tali informazioni, peraltro, ciascun lavoratore ha diritto di accesso, direttamente o per tramite delle rappresentanze sindacali aziendali o territoriali, e può richiedere ulteriori chiarimenti, che dovranno essere forniti con riscontro scritto del datore o del committente non oltre trenta giorni (comma 3 dell’art. 1-bis, D.Lgs. 152/1997). Inoltre, nel caso di modifiche incidenti sulle informazioni loro fornite che comportino variazioni delle condizioni di svolgimento del lavoro, i lavoratori dovranno essere informati per iscritto dei cambiamenti almeno ventiquattro ore prima che questi abbiano luogo (comma 5 dell’art. 1-bis, D.Lgs. 152/1997).
  15. Cfr. par. 4 doc web 9844960 Garante per la Protezione dei Dati Personali: www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9844960
  16. Art. 4, comma 1, L. 300/1970.
  17. www.agendadigitale.eu/sicurezza/videosorveglianza-in-azienda-come-chiedere-lautorizzazione-allispettorato-del-lavoro/
  18. www.agendadigitale.eu/sicurezza/privacy/lavoro-sistemi-videosorveglianza-guida/
  19. Lo stesso Considerando 42 GDPR evidenzia come “il consenso non dovrebbe essere considerato liberamente prestato se l’interessato non è in grado di operare una scelta autenticamente libera o è nell’impossibilità di rifiutare o revocare il consenso senza subire pregiudizio”.

EU Stories - La coesione innova l'Italia

Tutti
Social
Iniziative
Video
Analisi
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati