NUOVE INFORMATIVE AL LAVORATORE SECONDO LE NORME PRIVACY.
Il Decreto n. 104/2022 (c.d. “Decreto Trasparenza”) – di recepimento della Direttiva UE 2019/1152 – oltre a introdurre nuovi obblighi informativi a carico delle aziende e nuove tutele per i lavoratori, incide anche in ambito trattamento dati. Il concetto di trasparenza è uno dei principi cardine del GDPR che trova il suo fondamento nell’art. 5 ove viene statuito che i dati personali devono essere trattati in modo trasparente, nell’art. 12 il quale precisa che le informazioni devono essere fornite in forma concisa, trasparente, intelligibile e facilmente accessibile e nel Considerando 58 dove viene precisato che le informazioni destinate al pubblico o all’interessato devono essere concise, facilmente accessibili e di facile comprensione.
Il Regolamento UE sulla privacy 2016/679 (GDPR) ha complicato ulteriormente i contratti di fornitura di servizi: ogni possibile inadempimento contrattuale rischia di essere un inadempimento privacy (con l’applicazione di sanzioni amministrative) e, viceversa, ogni inadempimento privacy rischia di diventare un inadempimento contrattuale (con possibilità di risoluzione del contratto e pagamento dei danni). La normativa sulla privacy riconosce la possibilità per il lavoratore dipendente di avere il “controllo” delle informazioni raccolte dal datore di lavoro e di condizionarne l’utilizzazione.
La tecnica da usare per diminuire il rischio di sanzioni amministrative o di contenziosi civili è l’eccellente scrittura dei contratti. A rischiare sono tutti: qualche volta paga solo il titolare del trattamento (il committente), qualche altra volta paga solo il responsabile del trattamento (fornitore), ma spesso pagano tutti e due.
I contratti di fornitura di servizi devono essere precisi nella descrizione delle prestazioni contrattuali, così come uguale precisione deve essere dedicata alla descrizione degli strumenti da utilizzare.
Al riguardo, di particolare rilevanza è l’art. 4 del Decreto Trasparenza che obbliga il datore di lavoro a “informare il lavoratore dell’utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori […]” precisando altresì che le informazioni devono essere comunicate “in modo trasparente, in formato strutturato, di uso comune e leggibile da dispositivo automatico”.
Dalla lettura di questo articolo si evince che il Decreto in esame amplia il dettato normativo dell’art. 22 del GDPR – rubricato “Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione” – includendo nei sistemi decisionali e di monitoraggio automatizzati anche quei software atti a supportare l’imprenditore nelle proprie scelte aziendali.
Questa enorme mole di informazioni, il cui obiettivo principale è quelle di rendere maggiormente trasparente il rapporto di lavoro, corre il rischio di rendere le informative eccessivamente complesse e poco comprensibili.
I datori di lavoro, dunque, per non incorrere in sanzioni amministrative, dovranno aggiornare le informative (art. 13 GDPR), le lettere di incarico (art. 24 GDPR), il registro dei trattamenti (art. 30 GDPR) e l’eventuale valutazione di impatto (art. 35 GDPR).