Quali cambiamenti siamo tenuti ad apportare nella nostra vita aziendale

Dal 13 agosto 2022 è entrato in vigore il D.Lgs. 104 del 27-06-2022 “Attuazione della direttiva (UE) 2019/1152 del Parlamento europeo e del Consiglio del 20 giugno 2019, relativa a condizioni di lavoro trasparenti e prevedibili nell’Unione europea”.

Vediamo quali indicazioni operative e considerazioni specifiche apportare alla luce degli aspetti trattati nel suddetto decreto in relazione alla protezione dei dati personali dei lavoratori.

Quali impatti sulla protezione dei dati personali

Già con il decreto legislativo del 26 maggio 1997, n. 152 (104/2022), “Il datore di lavoro o il committente sono tenuti a integrare l’informativa con le istruzioni per il lavoratore in merito alla sicurezza dei dati e l’aggiornamento del registro dei trattamenti riguardanti le attività di cui al comma 1, incluse le attività di sorveglianza e monitoraggio. Al fine di verificare che gli strumenti utilizzati per lo svolgimento della prestazione lavorativa siano conformi alle disposizioni (…) il datore di lavoro o il committente effettuano un’analisi dei rischi e una valutazione d’impatto degli stessi trattamenti, procedendo a consultazione preventiva del Garante per la protezione dei dati personali (…).”

Ovvero per il trattamento dei dati dei dipendenti deve essere aggiornata l’informativa e parallelamente il registro dei trattamenti, va effettuata la valutazione dei rischi e la valutazione d’impatto. Quando necessario è da effettuare una consultazione preventiva.

L’informativa egli altri documenti citati nel comma 4 del Decreto devono essere forniti al lavoratore nei tempi definiti e la consegna di tali documenti deve essere rintracciabile; sono previste sanzioni nel caso in cui di ciò non fosse possibile fornire evidenze.

A queste indicazioni si aggiungono quelle contenute nella Circolare n 4/2022 del 10.08.2022 dell’INL in cui è specificato che saranno fornite specifiche ulteriori disposizioni sulle tematiche di diritto sostanziale, in particolare sul Capo III “Prescrizioni minime relative alle condizioni di lavoro”.

Infine da segnalare che, oltre a quanto riportato nel Decreto, devono essere previste anche azioni mirate nei confronti degli autorizzati chiamati a trattare i dati dei lavoratori; tali azioni prevedono l’integrazione delle loro istruzioni/nomina di autorizzato e la formazione mirata sulle misure specifiche da porre in atto come potrebbe emergere dall’analisi dei rischi.

Interessante evidenziare che, sempre in relazione agli impatti sulla protezione dei dati personali il comma 4 richiami il comma 1, considerando, in sintesi, i trattamenti che fanno uso di sistemi decisionali o di monitoraggio automatizzati relativi all’intero “ciclo di vita” del lavoratore all’interno dell’azienda e riguardanti ogni attività svolta da e/o nei confronti di quest’ultimo.

Infine, vi è un elemento completamente nuovo come indica la Circolare INL:

“…Da ultimo, se la comunicazione delle medesime informazioni e dati non viene effettuata anche alle rappresentanze sindacali aziendali ovvero alla rappresentanza sindacale unitaria o, in loro assenza, alle sedi territoriali delle associazioni sindacali comparativamente più rappresentative sul piano nazionale, trova applicazione una sanzione amministrativa pecuniaria…”.

Questo comporta la necessità di effettuare una comunicazione alle rappresentanze sindacali, il che rappresenta un ulteriore aspetto da presidiare. E’ pur vero che il Decreto non richiede l’approvazione delle informazioni da parte di tali soggetti, ma unicamente che questi siano messi al corrente delle stesse informazioni e dei sistemi che trattano i dati.

Di seguito solo alcuni esempi dei trattamenti a cui si applica il Decreto Trasparenza: non è ovviamente possibile riportare una lista completa ed esaustiva di tutti i trattamenti che possono essere oggetto delle misure definite, che restano da valutare caso per caso.

Possiamo considerare compresi i casi di trattamenti che si servono dei sistemi:

– di accesso fisico alle aree aziendali mediante dispositivi come le chiavi elettroniche;

– di rilevamento presenze in azienda che rendono obsoleta la timbratura;

– di accesso ad attività lavorative da remoto o presso una sede diversa da quella aziendale;

– che utilizzano il GPS (es. in dotazione ad un vigilante);

– di videosorveglianza dei luoghi in cui opera il lavoratore;

– premianti basati su algoritmi o “anche” su algoritmi;

– che si servono di tecnologia wearable (dispositivi indossabili) che prevedono la comunicazione da/verso altri sistemi anche attraverso triangolazioni di dati;

– uomo presente/uomo a terra/uomo fermo (che fanno scattare un allarme se lavoratore resta fermo per un tempo superiore a X);

– di gradimento dei dipendenti da parte degli utenti di un servizio;

– di monitoraggio del traffico sul cellulare aziendale;

– di accesso fisico per la rilevazione della presenza di collaboratori in aree precluse o che prevedono una autorizzazione preventiva non richiesta o non fornita;

– di accesso logico e di rilevazione dei log dei collaboratori per segnalare comportamenti anomali (prima in forma anonima e poi – nei casi più impattanti – con riferimenti specifici personale);

– software per la tenuta sotto controllo dei sistemi di gestione;

– di gestione della posta elettronica (e-mail);

– di videoconferenza;

– di assistenza da remoto e/o gestione dei ticket;

– con specifiche applicazioni software;

– di MDM – Mobile device management -;

– di MES – Monitoring Execution System (prevalenti applicazioni nell’ambito di industria 4.0).

In molti casi, tali sistemi sono preordinati alla tutela della salute e sicurezza dei lavoratori o alla tutela dei dati sia dei lavoratori che di altri interessati, e non ad effettuare il controllo delle attività del lavoratore. Ciononostante, la norma prevede che siano date informazioni su quei sistemi indipendentemente dalla finalità principale di loro utilizzo.

La questione dell’aggiornamento

L’informativa e quant’altro previsto, come ad esempio “le istruzioni per il lavoratore in merito alla sicurezza dei dati”, devono essere aggiornati nel caso dell’introduzione di nuovi sistemi decisionali o di monitoraggio automatizzati. Questo potrebbe essere un aspetto non facile da tenere sotto controllo, considerando anche la costante innovazione tecnologica che rede disponibili sempre più sistemi di monitoraggio.

Suggeriamo a tal proposito di:

– integrare lo scadenziario prevedendo di controllare, ad intervalli, la presenza di eventuali nuovi trattamenti che possono ricadere nella tipologia indicata;
– integrare la checklist di audit con almeno una domanda relativa alla verifica della presenza di tali trattamenti, della documentazione predisposta, delle comunicazioni effettuate (lavoratori e rappresentanze sindacali), delle misure poste in atto e della presenza di nuovi trattamenti di recente introduzione che non siano stati ancora tracciati o documentati;
– sensibilizzare le funzioni dell’area risorse umane e ICT in merito al tema.

Quanto frequentemente aggiornare tali documenti?

L’organizzazione che dettaglia molto tali informazioni non corre il rischio di vedersi sanzionata per indicazioni lacunose o superficiali; d’altra parte si trova costretta a continuare a modificare l’informativa resa, nel caso di introduzione di nuovi trattamenti o di variazioni. Rischio che invece corre chi non lo fa abbastanza. L’azienda deve, quindi, effettuare un giusto bilanciamento tra esigenze contrapposte, individuando le modalità corrette per fornire informazioni esaustive ed aggiornate senza dover procedere a correzioni e aggiornamenti continui.

Il ruolo del DPO – Il Titolare del trattamento – indicato nel Decreto come datore di lavoro – deve coinvolgere il DPO nel caso di un nuovo trattamento che comporta una valutazione d’impatto come previsto dall’art. 35 del GDPR.

Questo comporta l’aggiornamento dei flussi verso il DPO.

Le sanzioni previste per la mancata comunicazione ai lavoratori ed alle rappresentanze sindacali sono significative. Ciò implica che informazioni lacunose o errate o formulate con un linguaggio che non favorisca una corretta e completa comprensione da parte del lavoratore, possono essere oggetto di sanzione.

Vuoi farti guidare nell’adeguamento al Decreto Trasparenza?

Compila il form.