decreto-trasparenza-privacy

Ad agosto è entrato in vigore il Decreto Trasparenza che individua nuovi obblighi in capo al datore di lavoro, principalmente di natura giuslavoristica ma anche in tema di protezione dei dati personali. Di questo ne abbiamo già parlato nella flashnews del 6 settembre dove davamo atto dell’incertezza normativa che si era venuta a creare sul concetto di sistemi decisionali o di monitoraggio; della circolare n. 4/2022 dell’Ispettorato Nazionale del Lavoro del 10 agosto 2022; delle tempistiche di attuazione, degli adempimenti “privacy” e delle sanzioni.

Il 20 settembre u.s., il Ministero del Lavoro e delle Politiche sociali ha diramato la circolare n. 19  con la quale ha esplicitato quanto segue: “si può ritenere che per sistemi decisionali o di monitoraggio automatizzati si intendono quegli strumenti che, attraverso l’attività di raccolta dati ed elaborazione degli stessi effettuata tramite algoritmo, intelligenza artificiale, ecc., siano in grado di generare decisioni automatizzate. Nell’ipotesi descritta, l’obbligo dell’informativa sussiste anche nel caso di intervento umano meramente accessorio.”

Secondo la maggioranza degli orientamenti in costante evoluzione, il riferimento “all’intervento umano” significa che continua a considerarsi un sistema decisionale o di monitoraggio automatizzato laddove pur essendovi l’intervento umano, questo non influisca sulla decisione elaborata dal sistema decisionale o di monitoraggio. La mera informazione, quindi, ottenuta dallo strumento automatizzato, appresa solamente dall’incaricato ma da quest’ultimo non elaborata al fine di arrivare ad una sua decisione finale, identifica l’intervento umano come meramente accessorio.

La circolare distingue due ipotesi di sistemi decisionali e di monitoraggio, a seconda che incidano sul rapporto di lavoro o sulla sorveglianza, valutazione, prestazioni e adempimento delle obbligazioni contrattuali dei lavoratori. Elenchiamo gli esempi forniti, di aiuto all’individuazione di detti sistemi:

  • assunzione o conferimento dell’incarico tramite l’utilizzo di chatbots durante il colloquio, la profilazione automatizzata dei candidati, lo screening dei curricula, l’utilizzo di software per il riconoscimento emotivo e test psicoattitudinali, ecc.;
  • gestione o cessazione del rapporto di lavoro con assegnazione o revoca automatizzata di compiti, mansioni o turni, definizione dell’orario di lavoro, analisi di produttività, determinazione della retribuzione, promozioni, etc., attraverso analisi statistiche, strumenti di data analytics o machine learning, rete neurali, deep-learning, ecc
  • tablet, dispositivi digitali e wearables, gps e geolocalizzatori, sistemi per il riconoscimento facciale, sistemi di rating e ranking,

Sistemi rilevanti per il Decreto Trasparenza

In aggiunta vogliamo fornirvi ulteriori indicazioni che possano aiutarvi nella mappatura dei sistemi rilevanti per il Decreto Trasparenza:

  1. Software di business intelligence che monitorino l’attività dei lavoratori (software di workforce analytics)
  2. Sistemi di «controllo qualità» ove gestiti in modo automatizzato.
  3. Sistemi MES (Monitoring Execution System) per la raccolta, la gestione e il controllo del processo produttivo, ove siano presenti algoritmi di monitoraggio del lavoratore o automatismi decisionali che abbiano un impatto sullo stesso. I dati di produzione possono consistere in:
    1. tempi relativi alle fasi ed ai cicli di lavoro;
    2. quantità di pezzi prodotti, scarti;
    3. qualità dei semilavorati e dei prodotti finiti;
    4. fermi macchina e uomo;
    5. materiali impiegati;
    6. dati statistici sulle rese operative di macchine, centri di lavoro, risorse umane e reparti
  4. Sistemi SIEM, software di sicurezza di tipo “behavioral”, ove siano presenti sistemi di monitoraggio e automatismi di intervento sugli account o gli strumenti del lavoratore (es. raccolta di informazioni su minacce ed eventi di sicurezza, correlazione delle informazioni tramite processi di machine learning, risposte automatizzate sulla base di quanto analizzato).
  5. Sistemi di monitoraggio dei log, quando effettuato in modo automatizzato (esempio: con alert su accessi in orari non autorizzati, blocco di funzionalità degli account in caso di comportamenti anomali)
  6. Sistemi di monitoraggio della navigazione web (firewall, proxy, Web Gateway), della gestione dell’account e-mail o del profilo di accesso alle reti o alle applicazioni, ove gestita in modo automatizzato (esempio: alert su flussi anonimi in uscita o su determinate categorie di siti web, interventi di blocco dell’account a seguito di anomalie ecc.);
  7. Sistemi MDM (Mobile Device Management) configurati in modo tale da ottenere informazioni sulla localizzazione dei lavoratori o attività svolte, correlate ai compiti loro assegnati (raccolta di log, informazioni sulla localizzazione, correlazione degli eventi, monitoraggio delle attività svolte, ecc).
  8. Sistemi di geolocalizzazione e “uomo a terra” che prevedano segnalazioni o interventi automatici installati su tablet, smartphone, dispositivi indossabili. Nello specifico, è incluso il rilevamento della posizione del lavoratore attraverso il compimento di una determinata azione (carico/scarico di pacchi, ritiro raccolta differenziata, ecc).
  9. Muletti con GPS: analisi del movimento all’interno dell’azienda, rilevazione del superamento della velocità. Attraverso un sistema di log managment vi è la possibilità di utilizzo delle informazioni anche per una segnalazione al lavoratore (richiamo disciplinare), ex d.lgs 81/08
  10. Premi di produzione legati alle performance (lavoratori che utilizzano un macchinario)
  11. Firewall con una black list di siti dove arriva periodicamente un report al responsabile informatico che traccia la navigazione per motivi di sicurezza
  12. Sistemi per la formazione a distanza (E-learning) utilizzati per assumere decisioni in merito all’assegnazione, modifica e revoca delle mansioni svolte dal lavoratore

Previa mappatura dei sistemi informatici ed elettronici che impattino sull’attività del lavoratore o del candidato ovverosia che diano delle informazioni sulle prestazioni lavorative o di selezione del personale, i consulenti di Mondo Privacy saranno pronti ad elaborare insieme a Voi la documentazione necessaria per adempiere al Decreto Trasparenza:

  • Elaborazione delle informative;
  • Conduzione dell’analisi dei rischi;
  • Valutazione di impatto (DPIA);
  • Aggiornamento del registro dei trattamenti;
  • Aggiornamento della lettera di incarico ex art. 29 GDPR.

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!