Il 13 agosto 2022 è entrato in vigore il D.Lgs. 104 del 27-06-2022 “Attuazione della direttiva (UE) 2019/1152 del Parlamento europeo e del Consiglio del 20 giugno 2019, relativa a condizioni di lavoro trasparenti e prevedibili nell'Unione europea”. In questo articolo, per quanto si tratti di una prima analisi, si forniscono alcuni esempi, indicazioni operative e considerazioni specifiche, in merito agli aspetti trattati nel suddetto decreto in relazione alla protezione dei dati personali dei lavoratori.
Quali impatti sulla protezione dei dati personali - Il comma 4 dell’art. 4 “Modifiche al decreto legislativo 26 maggio 1997, n. 152” del D.Lgs 104/2022 recita quanto segue:
“4. Il datore di lavoro o il committente sono tenuti a integrare l'informativa con le istruzioni per il lavoratore in merito alla sicurezza dei dati e l'aggiornamento del registro dei trattamenti riguardanti le attività di cui al comma 1, incluse le attività di sorveglianza e monitoraggio. Al fine di verificare che gli strumenti utilizzati per lo svolgimento della prestazione lavorativa siano conformi alle disposizioni previste dal Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, il datore di lavoro o il committente effettuano un'analisi dei rischi e una valutazione d'impatto degli stessi trattamenti, procedendo a consultazione preventiva del Garante per la protezione dei dati personali ove sussistano i presupposti di cui all'articolo 36 del Regolamento medesimo.”
Ciò comporta che, per i trattamenti indicati, deve essere aggiornata l’informativa e parallelamente il registro dei trattamenti, va effettuata la valutazione dei rischi e la valutazione d’impatto (il che sembra valere ad individuare una nuova casistica tipizzata di effettuazione della stessa). Quando necessario è da effettuare una consultazione preventiva.
Un dubbio legittimo sorge nel punto in cui il decreto specifica di “…integrare l'informativa con le istruzioni per il lavoratore in merito alla sicurezza dei dati…”. L’informativa non è “propriamente” il documento da integrare con delle “istruzioni”, mentre lo sarebbe l’atto di designazione all’autorizzato che tratta i dati dei lavoratori in relazioni ai quali sono effettuate i trattamenti oggetto del decreto.
L’informativa egli altri documenti citati nel comma devono essere forniti al lavoratore (compresi quelli interinali - con l’esclusione di quelle attività che hanno una durata di meno di ore media alla settimana per non più di 4 settimane) nei tempi definiti dal Decreto. La consegna di tali documenti ai lavoratori deve essere rintracciabile - per quanto il decreto non ponga vincoli nelle modalità -; sono previste sanzioni nel caso in cui di ciò non fosse possibile fornire evidenze.
Ulteriori indicazioni sono contenute nella Circolare n 4/2022 del 10.08.2022 dell’INL avente ad oggetto “D.Lgs. n. 104/2022 recante – “Attuazione della direttiva (UE) 2019/1152 del Parlamento europeo e del Consiglio del 20 giugno 2019, relativa a condizioni di lavoro trasparenti e prevedibili nell'Unione europea” – prime indicazioni”. Nella medesima Circolare è specificato che saranno fornite specifiche ulteriori disposizioni sulle tematiche di diritto sostanziale in particolare sul Capo III “Prescrizioni minime relative alle condizioni di lavoro”.
Infine da segnalare che, oltre a quanto riportato nel Decreto, devono essere previste anche azioni mirate nei confronti degli autorizzati chiamati a trattare i dati dei lavoratori; tali azioni prevedono l’integrazione delle loro istruzioni/nomina di autorizzato e la formazione mirata sulle misure specifiche da porre in atto come potrebbe emergere dall’analisi dei rischi.
A quali trattamenti si applica - Non è ovviamente possibile riportare una lista completa ed esaustiva dei trattamenti che possono essere oggetto delle misure definite, da valutare caso per caso; tra questi sono ricompresi i trattamenti che sono posti in essere attraverso sistemi:
- di accessi fisico alle aree aziendali, mediante dispositivi come le chiavi elettroniche;
- di rilevamento presenze in azienda che rendono obsoleta la timbratura;
- di avvio di attività lavorative da remoto o presso una sede diversa da quella aziendale (es. cantiere);
- che utilizzano il GPS (es. in dotazione ad un vigilante per verificare che lo stesso non sia stato aggredito da un malintenzionato);
- di videosorveglianza dei luoghi in cui opera il lavoratore (es. in una centrale di conta denaro);
- premianti basati su algoritmi o “anche” su algoritmi;
- a bordo di dispositivi indossabili – applicazioni di tecnologia wearable - (es. bracciale elettronico, palmare, occhiali) che prevedono la comunicazione da/verso altri sistemi anche attraverso triangolazioni di dati;
- uomo presente/uomo a terra/uomo fermo (che fanno scattare un allarme se lavoratore resta fermo per un tempo superiore a X);
- di gradimento dei dipendenti da parte degli utenti di un servizio (es. in un centro commerciale, aeroporto, uffici della P.A.);
- di monitoraggio del traffico sul cellulare aziendale (es. per finalità controllo del traffico telefonico allo scopo di valutare situazioni anomale che possono compromettere i sistemi aziendali
- di accesso fisico per la rilevazione della presenza di collaboratori in aree precluse o che prevedono una autorizzazione preventiva non richiesta o non fornita;
- di accesso logico e di rilevazione dei log dei collaboratori per segnalare comportamenti anomali (prima in forma anonima e poi – nei casi più impattanti - con riferimenti specifici personale);
- software per la tenuta sotto controllo dei sistemi di gestione (compresi quelli di whistleblowing);
- di gestione della posta elettronica (e-mail);
- di videoconferenza;
- di assistenza da remoto e/o gestione dei ticket;
- con specifiche applicazioni software (es. utilizzati nei centri di contatto);
- di MDM - Mobile device management -;
- di MES - Monitoring Execution System (prevalenti applicazioni nell’ambito di industria 4.0).
In molti casi, tali sistemi sono preordinati alla tutela della salute e sicurezza dei lavoratori o alla tutela dei dati sia dei lavoratori che di altri interessati (come ad esempio quello per la segnalazione di comportamenti anomali), e non ad effettuare il controllo (peraltro vietato) delle attività del lavoratore. Ciononostante la norma prevede che siano date informazioni su quei sistemi indipendentemente dalla finalità principale di loro utilizzo.
Qui l'articolo completo di Federprivacy
Per altri approfondimenti sul Decreto Trasparenza consultare:
-DECRETO LEGISLATIVO 27 giugno 2022, n. 104
-Sistemi automatizzati e privacy, lavoratori più tutelati con il 'Decreto Trasparenza'
-Decreto Trasparenza: sistemi automatizzati, l’informativa va delimitata