Come scrivere una nomina a responsabile del trattamento dei dati conforme al GDPR? Le indicazioni del Garante   Da un provvedimento dell’Autorità Garante ricaviamo alcune importanti considerazioni su come sviluppare un contratto fra titolare e responsabile del trattamento che sia conforme…

Il Regolamento sull’IA è qui: quali obblighi per le aziende che utilizzano sistemi di Intelligenza Artificiale?   In seguito all’accordo raggiunto con gli stati membri dell’UE, il Parlamento europeo ha approvato, lo scorso 13 marzo 2024, il Regolamento sull’Intelligenza Artificiale (IA).…

Come scrivere l’informativa privacy? Le accortezze per scrivere un’informativa veramente conforme   Il Regolamento UE in materia di protezione dei dati personali (GDPR), agli articoli 13 e 14, elenca una serie di elementi che devono necessariamente essere inclusi nell’informativa privacy. Basta…

È sempre necessario predisporre l’informativa privacy?   Il Regolamento europeo in materia di protezione dei dati personali (GDPR) prevede diverse eccezioni all’obbligo di predisporre e fornire l’informativa privacy agli interessati. Anche il Garante per la protezione dei dati personali ha emanato,…

Garante privacy: differita l’efficacia del documento di indirizzo sui metadati.Quando gli obblighi previsti diverranno applicabili?    A pochi giorni di distanza dal comunicato con cui il Garante diffondeva il “Documento di indirizzo sulla conservazione dei metadati”, la stessa Autorità ha deciso…

Con chi si interfaccia il DPO e con quali modalità? I risultati del CEF 2023    Dall’indagine condotta dalle Autorità europee sul ruolo del DPO (il CEF 2023, ne abbiamo parlato qui), sono emersi alcuni dati preoccupanti: spesso i Responsabili della…

Nuova Linea di Indirizzo del Garante per la Protezione dei Dati sul Trattamento dei metadati e mail nelle aziende    Il Garante per la protezione dei dati personali ha recentemente introdotto una nuova linea di indirizzo che riguardano la gestione dei…

Data Protection Officer e conflitto di interesse: DPO interno o DPO esterno? Questo è il problema    La recente indagine condotta dalle Autorità europee in materia di protezione dei dati ha rilevato molteplici situazioni di Responsabili della Protezione dei Dati (DPO)…

Colpa d’organizzazione e responsabilità D.Lgs. 231       La recente sentenza 4210/2024 della Cassazione ribadisce un principio fondamentale riguardo alla responsabilità amministrativa delle società e degli enti: l'essenza colposa della responsabilità dell'ente per reati commessi nell'interesse o a vantaggio…

La proposta di riforma della Direttiva ePrivacy è finita su un binario morto               La Direttiva ePrivacy del 2002 rappresenta uno strumento legale fondamentale per la privacy nell'era digitale, questa si concentra specificatamente sulla…

Decreto trasparenza: un iter travagliato. Quali obblighi permangono?

Il nuovo Decreto Legge del 4 maggio 2023, n. 48 (c.d. “Decreto Lavoro”), recante “Misure urgenti per l’inclusione sociale e l’accesso al mondo del lavoro” alimenta i dubbi in merito all’applicazione degli obblighi in materia di trasparenza, introdotti dal Decreto Legislativo 104/2022 (c.d. “Decreto Trasparenza”). Il Decreto Trasparenza era già stato oggetto di una nota interpretativa dell’Ispettorato Nazionale del Lavoro e di una circolare del Ministero del Lavoro. Ripercorriamo, quindi, le tappe di una riforma estremamente travagliata, sino alle modifiche introdotte dal nuovo Decreto Lavoro.

 

Il c.d. “Decreto Trasparenza”, D.lgs. 104/2022 di “attuazione della Direttiva (UE) 2019/1152 del Parlamento europeo e del Consiglio del 20 giugno 2019, relativa a condizioni di lavoro trasparenti e prevedibili nell’Unione europea” è stato pubblicato in Gazzetta Ufficiale il 27 giugno 2022. La ratio della Direttiva, e del relativo decreto nazionale di attuazione, è quella di ampliare e rafforzare gli obblighi informativi nei confronti dei lavoratori, in modo da innalzarne il relativo livello di tutela. Tale obiettivo veniva perseguito attraverso specifiche disposizioni, con cui sono state introdotte:

  • prescrizioni minime relative alle condizioni di lavoro;
  • la previsione di una dettagliata serie di informazioni che devono essere rese al lavoratore al momento dell’instaurazione del rapporto.

Il cambio di rotta: l’articolo 26 del Decreto Lavoro 2023

Il 4 maggio 2023 è stato pubblicato in Gazzetta Ufficiale il Decreto Legge n. 48 (c.d. “Decreto Lavoro”), recante “Misure urgenti per l’inclusione sociale e l’accesso al mondo del lavoro”. In particolare, l’articolo 26 del Decreto (“Semplificazioni in materia di informazioni e di obblighi di pubblicazione in merito al rapporto di lavoro”) ha dato adito ad un ampio dibattito, rappresentando un importante cambio di rotta rispetto all’assetto normativo consolidato dal Ministero del Lavoro, ed ha riaperto la discussione in merito all’applicazione degli obblighi in materia di trasparenza.

L’articolo 26, infatti, interviene nuovamente sull’articolo 1-bis del D.lgs. n. 152/1997, prevedendo che:

“Il datore di lavoro o il committente pubblico e privato è tenuto a informare il lavoratore dell’utilizzo di sistemi decisionali o di monitoraggio integralmente automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori”.

(articolo 1-bis del D.lgs. n. 152/1997, rivisto dall’articolo 26, c. 2, lett. a), del D.l. n. 48/2023).

Il cambiamento è sostanziale: l’aggiunta dell’avverbio “integralmente” sembrerebbe limitare fortemente l’ambito di applicazione degli obblighi informativi introdotti dal D.lgs. 104/2022. Il condizionale, tuttavia, non è un caso: in dottrina si sta aprendo un ampio dibattito sulla questione.

A ciò si aggiunge la modifica apportata al comma 8 dell’articolo 1-bis: “Gli obblighi informativi di cui al presente articolo non si applicano ai sistemi protetti da segreto industriale e commerciale”. Anche questo periodo è decisamente controverso: la stragrande maggioranza delle piattaforme, che dovrebbero essere tenute ad adempiere agli obblighi di comunicazione sui sistemi decisionali adottati, sono basate su algoritmi protetti da segreto industriale e commerciale.

In prima battuta, quindi, tutta la struttura impostata dal Decreto Trasparenza a tutela dei lavoratori, sembrerebbe crollare.

Critiche e considerazioni

Come anticipato, la riforma apportata dal nuovo Decreto Lavoro ha rappresentato la scintilla di un acceso dibattito. Fra i maggiori rappresentanti che si sono espressi sul tema, l’ex ministro del lavoro, Andrea Orlando, ha accusato il Governo di essersi schierato dalla parte delle grandi piattaforme, con una norma che mina “il diritto alla trasparenza sull’uso degli algoritmi nei posti di lavoro”. In questo modo crolla completamente l’impianto che avevamo costruito finora”, ha affermato l’ex ministro.

Della stessa opinione la CGIL: “In un tempo in cui è sempre più diffuso l’utilizzo di sistemi algoritmici e l’Europa stessa si muove per rendere la trasparenza l’elemento cardine del loro utilizzo [con la Direttiva (UE) 2019/1152, fondamento del Decreto Trasparenza, e con le iniziative in materia di I.A., n.d.r.”>, il Governo decide di fare un passo indietro garantendo i datori di lavoro, accettando di non contrastare l’opacità dell’algoritmo e privando lavoratori e loro rappresentanze di uno strumento essenziale per esercitare diritti”. Diritti che sono stati riconosciuti anche da diverse sentenze, aventi ad oggetto il controllo sui lavoratori effettuato attraverso le piattaforme di food delivery (Uber Eats, Deliveroo e Glovo, per citarne alcune), sanzionate anche dall’Autorità Garante per la protezione dei dati personali. In molteplici occasioni, infatti, il giudice del lavoro chiamato a pronunciarsi, aveva condannato i gestori delle note APP di consegna del cibo, a comunicare alle organizzazioni sindacali le informazioni sull’utilizzo di sistemi decisionali o di monitoraggio automatizzati, al fine di rendere chiari e trasparenti i meccanismi di assegnazione del lavoro.

Non è tutto perduto

Se, da un lato, la norma pare rappresentare un “assist” alle multinazionali del food delivery (ma non solo), dall’altro lato permangono, in capo ad enti ed imprese, gli obblighi informativi, a tutela dei lavoratori, previsti dal Regolamento europeo in materia di protezione dei dati personali.

Ricordiamo, infatti, che il GDPR, in quanto fonte di diritto comunitario, prevale sulle fonti di rango primario come i decreti nazionali. E il GDPR conferisce agli interessati il diritto di conoscere “l’esistenza di un processo decisionale automatizzato, compresa la profilazione […”> e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato” (art. 13 par. 2 lett. f); art. 14 par. 2 lett. g); art. 15 par. 1 lett. h)). A ciò si aggiunge la garanzia previste dall’articolo 22, che sancisce il “diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione”.

Il nuovo Decreto Lavoro sembrerebbe, quindi, introdurre una limitazione solo parziale degli obblighi in capo alle organizzazioni che ricorrono a sistemi di monitoraggio o decisionali automatizzati. In particolare, ai sensi del nuovo comma 8 dell’articolo 1-bis, le informazioni da rendere al lavoratore potranno non includere aspetti specifici, idonei a rivelare profili di know-how aziendale, ai sensi del Codice della Proprietà Industriale. Quello che conta, e che interessa di più ai lavoratori, però, non sono tanto i parametri tecnici di funzionamento delle piattaforme (coperti da segreto), quanto piuttosto le logiche alla base, ovvero i parametri utilizzati dal sistema, ad esempio, per affidare il lavoro ad un rider piuttosto che ad un altro.

L’informativa “rafforzata” permane

In attesa di ulteriori chiarimenti da parte del Governo, rispetto alle controverse modifiche apportate, è bene ricordare quanto disposto dal Garante per la protezione dei dati personali all’interno dei vari provvedimenti con cui ha comminato sanzioni, anche milionarie, nei confronti di organizzazioni di food delivery.

Nel caso Deliveroo (provvedimento n. 285 del 22 luglio 2021), ad esempio, il Garante rilevava la mancanza di informazioni trasparenti in merito ai trattamenti automatizzati svolti. Tali trattamenti, “classificabili tra quelli di cui all’art. 22 del Regolamento” necessitano di un’informativa “rafforzata”. Deliveroo è stata quindi sanzionata, fra le altre cose, per aver “violato gli obblighi di informativa “rafforzata” che il Regolamento esplicitamente richiede in questi casi (cfr. art. 13, par. 2, lett. f))”.

Restano fermi quindi gli obblighi privacy, così come gli ulteriori adempimenti previsti dall’articolo 4 dello Statuto dei Lavoratori, in caso di utilizzo di strumenti tecnologici che comportano un potenziale controllo a distanza della prestazione lavorativa. Tali obblighi, infatti, richiamati dal Decreto Trasparenza, permangono anche all’interno del Decreto Lavoro 2023 (la disciplina resta quindi immutata, così come le azioni necessarie per conformarsi).

Fonti: 

Il Decreto Trasparenza 

Circolare Ministero del Lavoro e delle Politiche Sociali n. 19 del 20 settembre 2022

Il Decreto Lavoro 

Follow us on
Our Gallery