Il Decreto Trasparenza (D. Lgs. 27 giugno 2022 n. 104, attuazione della direttiva (UE) 2019/1152 del Parlamento europeo e del Consiglio del 20 giugno 2019, relativa a condizioni di lavoro trasparenti e prevedibili nell’Unione europea), disciplina il diritto all’informazione del lavoratore sugli elementi essenziali del rapporto di lavoro e sulle condizioni di lavoro nonché la relativa tutela e trova applicazione in relazione a specifici rapporti e contratti di lavoro.
Gli obblighi del decreto trasparenza saranno in vigore dal 13 agosto 2022 e riguardano le seguenti tipologie di contratti:
subordinato, ivi compreso quello di lavoro agricolo, a tempo indeterminato e determinato e a tempo parziale; somministrato; lavoro intermittente; rapporto di collaborazione con prestazione prevalentemente personale e continuativa organizzata dal committente; rapporto di collaborazione coordinata e continuativa; prestazione occasionale; rapporti di lavoro dei dipendenti delle pubbliche amministrazioni.
OBBLIGHI DI TRASPARENZA.
Oltre gli aspetti prettamente relativi al rapporto di lavoro, non trattati nel presente articolo, riportiamo di seguito gli obblighi in materia privacy relativi ai c.d. sistemi decisionali o di monitoraggio automatizzati (di seguito “Sistemi Automatizzati”):
Il datore di lavoro o il committente pubblico e privato è tenuto a informare il lavoratore dell’utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni:
-
rilevanti ai fini della assunzione o del conferimento dell’incarico;
-
della gestione o della cessazione del rapporto di lavoro;
-
dell’assegnazione di compiti o mansioni ;
-
degli incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori.
Resta fermo quanto disposto dall’articolo 4 della legge 20 maggio 1970, n. 300.
Ai fini dell’adempimento degli obblighi sopra descritti, il datore di lavoro o il committente sono tenuti a fornire al lavoratore, unitamente alle informazioni di cui all’ articolo 1, prima dell’inizio dell’attività lavorativa, le seguenti ulteriori informazioni:
-
gli aspetti del rapporto di lavoro sui quali incide l’utilizzo dei Sistemi Automatizzati;
-
gli scopi e le finalità dei Sistemi Automatizzati;
-
la logica ed il funzionamento dei Sistemi Automatizzati;
-
le categorie di dati ed i parametri principali utilizzati per programmare o addestrare i Sistemi Automatizzati, inclusi i meccanismi di valutazione delle prestazioni;
-
le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità;
-
il livello di accuratezza, robustezza e cybersicurezza dei Sistemi Automatizzati e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.
DIRITTO DI ACCESSO DEL LAVORATORE.
Il lavoratore, direttamente o per il tramite delle rappresentanze sindacali aziendali o territoriali, ha diritto di accedere ai dati e di richiedere ulteriori informazioni concernenti gli obblighi di cui al comma 2. Il datore di lavoro o il committente sono tenuti a trasmettere i dati richiesti e a rispondere per iscritto entro trenta giorni.
INFORMATIVA PRIVACY E REGISTRO DEI TRATTAMENTI.
Il datore di lavoro o il committente sono tenuti ad integrare l’informativa con le istruzioni per il lavoratore in merito alla sicurezza dei dati e l’aggiornamento del registro dei trattamenti riguardanti le attività dei Sistemi Automatizzati, incluse le attività di sorveglianza e monitoraggio. Al fine di verificare che gli strumenti utilizzati per lo svolgimento della prestazione lavorativa siano conformi alle disposizioni previste dal Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (GDPR), il datore di lavoro o il committente effettuano un’analisi dei rischi e una valutazione d’impatto degli stessi trattamenti, procedendo a consultazione preventiva del Garante per la protezione dei dati personali ove sussistano i presupposti di cui all’articolo 36 del GDPR.
MODALITA’ DI INFORMAZIONE DEL LAVORATORE.
I lavoratori, almeno 24 ore prima, devono essere informati per iscritto di ogni modifica incidente su “Sistemi Automatizzati” utilizzati e che comportino variazioni delle condizioni di svolgimento del lavoro.
Le informazioni e i dati sopra descritti, devono essere comunicati dal datore di lavoro o dal committente ai lavoratori in modo trasparente, in formato strutturato, di uso comune e leggibile da dispositivo automatico. La comunicazione delle medesime informazioni e dati deve essere effettuata anche alle rappresentanze sindacali aziendali ovvero alla rappresentanza sindacale unitaria e, in assenza delle predette rappresentanze, alle sedi territoriali delle associazioni sindacali comparativamente piu’ rappresentative sul piano nazionale. Il Ministero del lavoro e delle politiche sociali e l’Ispettorato nazionale del lavoro possono richiedere la comunicazione delle medesime informazioni e dati e l’accesso agli stessi.
SANZIONI DECRETO TRASPARENZA.
Il lavoratore denuncia il mancato, ritardato, incompleto o inesatto assolvimento degli obblighi all’Ispettorato nazionale del lavoro che, compiuti i necessari accertamenti, applica la sanzione amministrativa pecuniaria da 250 a 1.500 euro per ogni lavoratore interessato (prevista all’articolo 19, comma 2, del decreto legislativo 10 settembre 2003, n. 276).
Per le pubbliche amministrazioni le violazioni degli obblighi sono valutate ai fini della responsabilità dirigenziale, nonché della misurazione della performance ai sensi dell’articolo 7 del decreto legislativo 27 ottobre 2009, n. 150.
SANZIONI GDPR.
Il datore di lavoro può incorrere anche in sanzioni riferibili all’art. 83 del GDPR ove i sistemi decisionali o di monitoraggio automatizzati non siano conformi alla normativa in materia di protezione dei dati personali (fino al 4% del fatturato dell’ultimo anno).
RIEPILOGO DELLE COSE DA FARE.
Qualora il Datore di lavoro impieghi sistemi decisionali di valutazione o monitoraggio automatizzati, secondo le caratteristiche sopra descritti, dovrà:
-
aggiornare l’informativa ex art. 13 (e/o 14) del GDPR dei dipendenti e collaboratori, integrando le ulteriori informazioni necessarie in merito ai sistemi decisionali o di monitoraggio automatizzati, comprensive anche delle logiche di funzionamento (vedi obblighi sopra descritti);
-
aggiornare la nomina a soggetto autorizzato ex artt. 29 del GDPR e 2-quaterdecies del Codice privacy con istruzioni relative alla sicurezza delle informazioni;
-
eseguire, o aggiornare se già presente, sia la Valutazione dei Rischi Privacy, sia la Valutazione d’Impatto Privacy DPIA sui sistemi decisionali o di monitoraggio automatizzati che colpiscono i dipendenti e collaboratori (comprendere anche il periodo di 5 anni, a partire dalla conclusione del rapporto di lavoro, riferibile al periodo di conservazione della prova della trasmissione o della ricezione delle informazioni al lavoratore.);
-
aggiornare il registro di trattamento ed a seguito dell’esecuzione della Valutazione dei Rischi e del DPIA.
-
aggiornare, qualora sia presente, la procedura per la designazione/nomina dei soggetti autorizzati prevedendo il termine di preavviso di 24 ore, riferibile al termine entro cui i lavoratori devono essere informati per iscritto di ogni modifica incidente sulle informazioni fornite in merito ai sistemi decisionali di valutazione o di monitoraggio automatizzati che comportino variazioni delle condizioni di svolgimento del lavoro.
Fonte: cercolavoro.com