CONTATTACI

Decreto trasparenza e aspetti privacy: obblighi informativi del datore di lavoro

Il 13 agosto è diventato operativo il Decreto trasparenza il cui obiettivo è garantire la conoscenza delle condizioni di lavoro a tutti i lavoratori. Riuscirà a garantire il diritto alla trasparenza dei lavoratori o creerà un aumento degli oneri burocratici a carico delle imprese, generando sovrapposizioni con altre norme come, ad esempio, il GDPR?

 

Decreto trasparenza: obblighi informativi del datore di lavoro

Il Decreto trasparenza, come riportato nel suo art. 1, si propone di “disciplinare il diritto all’informazione sugli elementi essenziali del rapporto di lavoro e sulle condizioni di lavoro e la relativa tutela” e si applica a tutti i contratti di lavoro subordinato, a prescindere dalle loro caratteristiche, al mondo delle Agenzie per il Lavoro e alle collaborazioni coordinate e continuative; vengono invece esclusi dall’applicazione del Decreto quei rapporti di lavoro la cui durata media sia inferiore alle tre ore settimanali, i rapporti di lavoro autonomo e i contratti di agenzia.

Più in dettaglio, il Decreto si occupa di modificare diversi aspetti che disciplinano il rapporto di lavoro, dal cumulo degli impieghi, alla durata massima del periodo di prova, fino alla formazione obbligatoria, ma qui vogliamo soffermarci su un aspetto estremamente importante, e controverso, presente nel decreto: il contenuto e le modalità con cui devono essere fornite le informazioni al lavoratore.

In base all’art. 4 comma 1, le informazioni che dovranno essere comunicate ai lavoratori sono le seguenti:

  • l’identità delle parti ivi compresa quella dei co-datori di lavoro;
  • il luogo di lavoro. In mancanza di un luogo di lavoro fisso o predominante, il datore di lavoro dovrà specificare che la sede può corrispondere a luoghi diversi, oppure che il lavoratore è libero di decidere il proprio luogo di lavoro;
  • la sede o il domicilio del datore di lavoro;
  • l’inquadramento, il livello e la qualifica attribuiti al lavoratore o, in alternativa, le caratteristiche o la descrizione sommaria del lavoro svolto dal lavoratore;
  • la data di inizio del rapporto di lavoro;
  • la tipologia di rapporto di lavoro, precisandone la durata nel caso di rapporti a termine;
  • nel caso di lavoratori dipendenti da agenzia di somministrazione di lavoro, l’identita’ delle imprese utilizzatrici, quando e non appena sia nota;
  • la durata del periodo di prova, se previsto;
  • il diritto a ricevere la formazione erogata dal datore di lavoro, se prevista;
  • la durata del congedo per ferie, nonché degli altri congedi retribuiti a cui il lavoratore ha diritto o, se ciò non può essere indicato all’atto dell’informazione, le modalità di determinazione e di fruizione degli stessi;
  • la procedura, la forma e i termini del preavviso in caso di recesso del datore di lavoro o del lavoratore;
  • l’importo iniziale della retribuzione o comunque il compenso e i relativi elementi costitutivi, con l’indicazione del periodo e delle modalità di pagamento;
  • la programmazione dell’orario normale di lavoro e le eventuali condizioni relative al lavoro straordinario e alla sua retribuzione, nonché le eventuali condizioni per i cambiamenti di turno, se il contratto di lavoro prevede un’organizzazione dell’orario di lavoro in tutto o in gran parte prevedibile;
  • se il rapporto di lavoro, caratterizzato da modalità organizzative in gran parte o interamente imprevedibili, non prevede un orario normale di lavoro programmato, il datore di lavoro informa il lavoratore circa:
  1. la variabilità della programmazione del lavoro, l’ammontare minimo delle ore retribuite garantite e la retribuzione per il lavoro prestato in aggiunta alle ore garantite;
  2. le ore e i giorni di riferimento in cui il lavoratore e’ tenuto a svolgere le prestazioni lavorative;
  3. il periodo minimo di preavviso a cui il lavoratore ha diritto prima dell’inizio della prestazione lavorativa e, ove ciò sia consentito dalla tipologia contrattuale in uso e sia stato pattuito, il termine entro cui il datore di lavoro può annullare l’incarico;
  • il contratto collettivo, anche aziendale, applicato al rapporto di lavoro, con l’indicazione delle parti che lo hanno sottoscritto;
  • gli enti e gli istituti che ricevono i contributi previdenziali e assicurativi dovuti dal datore di lavoro e qualunque forma di protezione in materia di sicurezza sociale fornita dal datore di lavoro stesso;
  • gli elementi previsti dall’articolo 1-bis qualora le modalità di esecuzione della prestazione siano organizzate mediante l’utilizzo di sistemi decisionali o di monitoraggio automatizzati.

 

L’introduzione dell’art. 1-bis “Ulteriori obblighi informativi nel caso di utilizzo di sistemi decisionali o di monitoraggio automatizzati”, obbliga inoltre il datore di lavoro “a informare il lavoratore dell’utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori”.

 

Nel caso, quindi, in cui il datore di lavoro faccia uso di tali sistemi, oggi davvero diffusi, al lavoratore devono essere fornite anche le seguenti informazioni:

  • gli aspetti del rapporto di lavoro sui quali incide l’utilizzo di tali sistemi decisionali o di monitoraggio;
  • gli scopi e le finalità di tali sistemi;
  • la logica e il funzionamento di tali sistemi;
  • le categorie di dati e i parametri principali utilizzati per programmare o addestrare tali sistemi, inclusi i meccanismi di valutazione delle prestazioni;
  • le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità;
  • il livello di accuratezza, robustezza e cybersicurezza di tali sistemi, le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.

 

A complicare la situazione, va aggiunto che “il datore di lavoro o il committente sono tenuti a integrare l’informativa con le istruzioni per il lavoratore in merito alla sicurezza dei dati e l’aggiornamento del registro dei trattamenti” aggiungendo poi che “al fine di verificare che gli strumenti utilizzati per lo svolgimento della prestazione lavorativa siano conformi alle disposizioni previste dal Regolamento (UE) 2016/679 (GDPR), il datore di lavoro o il committente effettuano un’analisi dei rischi e una valutazione d’impatto degli stessi trattamenti, procedendo a consultazione preventiva del Garante per la protezione dei dati personali ove sussistano i presupposti di cui all’articolo 36 del Regolamento medesimo”.

Esistono diverse modalità per adempiere all’obbligo di informazione introdotto dal decreto: la consegna delle informazioni all’atto dell’instaurazione del rapporto o prima dell’inizio dell’attività lavorativa, all’interno del contratto o con la comunicazione di assunzione inviata ai sensi del D.lgs. 510/1996.

Se, però, le informazioni richieste dal Decreto trasparenza non fossero disponibili in questi documenti, il datore di lavoro potrà fare ricorso alle norme del comma 3 del modificato art. 1 del Decreto trasparenza, che consente di comunicare la gran parte delle informazioni mediante comunicazione scritta da consegnare entro i sette giorni successivi all’inizio della prestazione lavorativa e per un altro gruppo di informazioni di far ricorso a un periodo di dilazione più lungo, fino a un mese.

Ricordiamo poi che il lavoratore, direttamente o attraverso le rappresentanze sindacali (aziendali o territoriali), ha diritto di richiedere ulteriori informazioni concernenti gli obblighi sull’impatto dei sistemi decisionali o di monitoraggio automatizzati nel rapporto di lavoro.

Il datore di lavoro è tenuto a dare risposta entro 30 giorni dalla richiesta e deve comunque comunicare preventivamente (almeno 24 ore prima) ogni modifica delle informazioni già fornite, che comporti variazione delle condizioni di lavoro.

Infine, in assenza della comunicazione al lavoratore, sono previste sanzioni differenziate per tipologia di omissioni (mancanza, ritardo, omissioni); nel caso generale, è prevista una sanzione pecuniaria tra i 250 e i 1500 euro per ogni lavoratore interessato.

 

La comunicazione al lavoratore, un vuoto normativo?

Per quanto riguarda le modalità di comunicazione delle informazioni, gli obblighi introdotti dal Decreto si caratterizzano per un probabile vuoto normativo legato al regime “transitorio” individuato nell’art. 16 del decreto.

Poiché il Decreto trasparenza è stato pubblicato in Gazzetta Ufficiale il 29 luglio ed entra in vigore dopo 15 giorni dalla sua pubblicazione, il datore di lavoro sarà tenuto a soddisfare i nuovi obblighi per i lavoratori neo-assunti a partire dal 13 agosto.

L’art. 16 del Decreto, “Disposizioni transitorie”, dispone che “le disposizioni di cui al presente decreto si applicano a tutti i rapporti di lavoro già instaurati alla data del primo agosto 2022“, specificando che “Il datore di lavoro o il committente, su richiesta scritta del lavoratore già assunto alla data del primo agosto 2022, è tenuto a fornire, aggiornare o integrare entro sessanta giorni le informazioni di cui agli articoli 1, 1-bis, 2 e 3 del decreto legislativo 26 maggio 1997, n.152, come modificati dall’articolo 4 del presente decreto”.

Pertanto i nuovi assunti tra il 2 e il 12 agosto sembrano rimanere esclusi dal diritto di ricevere le informazioni previste dal Decreto. Una svista del legislatore?

 

Le sovrapposizioni tra norme GDPR e Decreto trasparenza

La trasparenza è un concetto da tempo consolidato nel diritto dell’Unione europea: essa viene considerata sia come elemento strategico indispensabile per la realizzazione dell’avvicinamento in senso democratico dei cittadini alle attività e alle istituzioni dell’Unione, perchè rende possibile un maggior controllo da parte dei cittadini su quanto operato dai pubblici poteri, sia come strumento di potenziamento della crescita economica nello spazio europeo, quando l’accesso alle informazioni permette agli operatori economici di prendere decisioni specificatamente valutate sulla base di tali informazioni per supportare il corretto funzionamento del mercato e lo sviluppo della concorrenza.

La trasparenza nelle informazioni è un principio cardine anche nell’ambito della protezione dei dati, dove l’art. 5-1 del GDPR prescrive che i dati personali siano trattati “in modo trasparente nei confronti dell’interessato”, in modo che l’interessato abbia la capacità di compiere scelte consapevoli sull’uso dei propri dati.

L’art. 12 del GDPR definisce “l’istituto della trasparenza”, dove viene previsto un ampio obbligo generale per i titolari del trattamento di fornire informazioni trasparenti e/o comunicare le modalità con cui gli interessati possono esercitare i propri diritti e dove viene evidenziato (si veda anche i consideranto 38 e 58) come “le informazioni destinate al pubblico o all’interessato siano concise, facilmente accessibili e di facile comprensione e che sia usato un linguaggio semplice e chiaro”: l’obbligo alla trasparenza del titolare del trattamento trova espressione nella consegna all’interessato di una informativa, quindi un documento, recante una serie di elementi (stabiliti dagli art. 13 e 14) atti a informarlo adeguatamente riguardo al trattamento in essere, a come i suoi dati sono usati e collezionati e ai diritti che egli può esercitare.

Già nelle linee guida sulla trasparenza WP260 del Gruppo di Lavoro articolo 29, adottate il 29 novembre 2017, e modificate l’11 aprile 2018, la trasparenza era assunta a obbligo trasversale, che “mira a infondere fiducia nei processi che riguardano i cittadini, permettendo loro di comprenderli e, se necessario, di opporvisi”. Essa si esplica in tre elementi centrali:

  • la fornitura agli interessati d’informazioni relative al trattamento corretto;
  • le modalità con le quali il titolare del trattamento comunica con gli interessati riguardo ai diritti di cui godono ai sensi del regolamento;
  • le modalità con le quali il titolare del trattamento agevola agli interessati l’esercizio dei diritti di cui godono

 

Sempre le Linee Guida WP260 illustrano i criteri che devono (o dovrebbero) essere rispettati nel fornire le informazioni e le comunicazioni, le quali devono essere:

  • presentate in maniera efficace e succinta al fine di “evitare un subissamento informativo” (“concise e trasparenti”);
  • “intelligibili”, ovvero comprensibili a un esponente medio del pubblico a cui sono dirette, quindi scritte in un “linguaggio semplice e chiaro”;
  • se fornite elettronicamente, presentate in modo da permettere la consulazione immediata di una specifica sezione desiderata, senza dover scorrere ampie porzioni di testo alla ricerca di un argomento in particolare (informative stratificate).

Un aspetto particolarmente importante, evidenziato dalle linee guida, è quello per cui la “facile accessibilità” implica che “l’interessato non sia costretto a cercare le informazioni, ma che anzi gli sia immediatamente chiaro dove e come queste siano accessibili, ad esempio perché gli sono fornite direttamente, o un link lo dirige verso di esse o le informazioni sono contrassegnate chiaramente o perché le informazioni si configurano come risposta a una domanda in linguaggio naturale”.

Nel Decreto trasparenza, la trasparenza si concretizza nell’obbligo infomativo che il datore di lavoro deve assolvere nei confronti del lavoratore.

È evidente però che, per soddisfare tale obbligo, sarà inevitabile per il datore di lavoro consegnare a un lavoratore, al momento dell’assunzione, una informativa che comprenderà tutto ciò che caratterizza il rapporto di lavoro, anche andando ad ampliare considerevolmente gli obblighi informativi già previsti dal GDPR.

Il risultato di tutto ciò sarà quello di produrre un enorme corpus di documenti, probabilmente lunghi e complessi, poco comprensibili e niente affatto succinti, con un approccio che sembra ben lontano da quell’idea di semplificazione ed efficacia già indicato dal Gruppo di Lavoro Articolo 29 e dal GDPR, e a cui gli esperti della protezione dei dati stanno lavorando da tempo.

Sono molti, infatti, gli esperti del settore che si dedicano ad individuare e a studiare approcci per semplificare da un lato, l’onere per i titolari e, dall’altro, riuscire ad essere maggiormente efficaci nel fornire le informazioni alle diverse tipologie di interessati: questo non perché sia in discussione l’esercizio dell’informativa, ma perché oggi più che mai è evidente che nessun utente è disposto a leggere pagine e pagine di informazioni, spesso incomprensibili, percepite più come un “fastidio” inevitabile e ineluttabile, piuttosto che come opportunità per comprendere meglio l’ambito del trattamento dei propri dati o l’esercizio dei propri diritti.

Tante le iniziative messe in campo, come Informative privacy più chiare grazie alle icone del Garante italiano, un contest dedicato allo studio di soluzioni grafiche dedicate, o la creazione del protocollo tra il Garante e Creative Commons, sempre nell’ottica di semplificazione degli adempimenti previsti dal GDPR e di miglioramento all’accesso e alla comprensibilità delle informazioni, o ancora l’informativa privacy a fumetti, dell’ Istituto Italiano per la Privacy e la Valorizzazione dei Dati.

Ad oggi nessuno può dire di aver trovato la soluzione, che comunque dovrà essere sempre adattata al contesto e ai destinatari a cui l’informazione deve essere fornita, ma è condivisa la consapevolezza della necessità di semplificare, senza banalizzare, i contenuti di questi documenti e il dover trovare nuove modalità di comunicazioni, facendo anche uso delle tecnologie del mondo digitale.

Altro aspetto da considerare, nel rapporto tra Decreto trasparenza e GDPR, è l’ampiezza della portata dell’art. 1-bis, che va ben oltre la Direttiva (UE) 2019/1152 (che non la contiene) e quanto già previsto dall’ art. 22 del GDPR, “Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione”, che attribuisce all’interessato il diritto di non essere sottoposto “a una decisione basata unicamente sul trattamento automatizzato”, prevedendo eccezioni e il diritto dell’individuo di ottenere l’intervento umano da parte del titolare, di esprimere la propria opinione e di contrastare la decisione.

Infatti, il decreto include nei “sistemi decisionali e di monitoraggio automatizzati” anche quei sistemi atti a supportare i processi aziendali, aprendo di fatto le porte a una grande quantità di strumenti, quali sono quelli oggi utilizzati dalle aziende per la valutazione di performance dei propri dipendenti o simili.

Il decreto non chiarisce comunque cosa sia un “sistema decisionale e di monitoraggio automatizzato” e di fronte a una materia in continua evoluzione, non è chiaro perchè il legislatore italiano abbia voluto introdurre un obbligo per i datori di lavoro poco definito e non richiesto dalla normativa europea.

Infine, il Decreto ribadisce la necessità dell’aggiornamento del registro delle attività di trattamento (GDPR art. 30), che dovranno includere anche le attività di sorveglianza e monitoraggio, e la richiesta di compiere le opportune analisi dei rischi (GDPR considerando 49, 83 e art. 32) le valutazioni di impatto sulla protezione dei dati (GDPR art. 35), quando necessario, tutte attività che, se non già in atto, dovranno essere intraprese dai datori di lavoro.

 

Conclusioni

Se il fine di rendere più trasparenti i termini del rapporto di lavoro appare lodevole e condivisibile, appare invece criticabile la complessità della norma, che introduce una serie di complicazioni burocratiche non richieste dalla normativa europea, e la tempistica scelta dal legislatore per l’entrata in vigore del provvedimento, il mese di agosto.

I datori di lavoro, infatti, dovranno considerare attentamente le norme introdotte, in aggiunta a quelle già in vigore sulla protezione dei dati, e revisionare opportunamente le proprie informative, per integrarle con quanto richiesto dal decreto; dovranno inoltre studiare in maniera approfondita le disposizioni della contrattazione collettiva e applicarle al loro caso specifico, nonché i vari rinnovi e modifiche rispetto alle condizioni indicate in sede di assunzione, poiché non sarà più possibile rinviare alla contrattazione collettiva del settore, come si è fatto fino ad oggi, ma bisognerà dettagliare queste informazioni ai lavoratori.

Resta da capire se a fronte di tutte queste criticità operative e della scelta di non avvalersi dei processi di semplificazione e digitalizzazione previsti dalla disciplina europea e nazionale, non si finisca per vanificare la finalità sostanziale del diritto all’informazione, dando vita a documenti che, ancora una volta, si riveleranno poco comprensibili e alla fine inutili per i lavoratori.

Il Consiglio Nazionale dell’Ordine dei Consulenti del Lavoro, tramite la sua Presidente Marina Calderone, ha in questi giorni indirizzato una lettera al Ministro del Lavoro e delle Politiche Sociali, per chiedere sia la revisione immediata del Decreto, a partire dalla data di entrata in vigore del 13 agosto, sia per rilevare l’ assenza di rinvio ai contenuti dei CCNL nei contratti di assunzione, evidenziando come il Decreto ha scelto di andare oltre la portata dei contenuti della Direttiva europea 2019/1152 recepita, che invece prevede espressamente la possibilità che una cospicua parte delle informazioni introdotte dal Decreto possa essere fornita facendo riferimento a disposizioni legislative o ai contratti collettivi coinvolti.

Condividi

Alcuni nostri clienti

Precedente
Successivo

Compet-e srl

A TESISQUARE® Ecosystem Company

Facebook Linkedin

CF – PIVA: 02760970042

Tel: 0172 38 27 63 – Fax: 0172 18 32 072

info@compet-e.it – compet-e@pec.it

Codice fatturazione: USAL8PV

SEDE DI BRA

Via Don Luigi Orione, 202/G
12042 – BRA Fraz. Bandito (CN)

SEDE DI ROMA

Viale Giorgio Ribotta, 11
00144 – ROMA (RM)

Resta sempre aggiornato!

Iscriviti alla nostra newsletter per essere sempre aggiornato sulle novità e le ultime notizie in ambito di compliance, privacy e sicurezza.

Ti invieremo solo notizie interessanti e pertinenti, nessuno spam!

Centro privacy e compliance.

Informative
Privacy Policy & Cookie
Informativa clienti
Informativa fornitori
DPA – Data processing Agreement
Politiche

Politica per la protezione dei dati personali
Politica  sistema di gestione integrato

Diritti degli interessati
Esercizio dei diritti degli interessati
Ci trovi sul Marketplace ACN
Catalogo dei servizi Cloud qualificati per la PA

ACN Cloud Marketplace

Prassi di Riferimento
UNI/PdR 43:2018

logo-dasa-raegister

UNI CEI EN ISO/IEC 27001:2017
IIS-0223-01

UNI EN ISO 9001:2015
IQ-0423-02

© 2023 COMPET-E SRLinfo@compet-e.itCompet-e Srl – Via Don Luigi Orione 202/G, 12042 Bra fraz. Bandito (CN) – PIVA/CF 02760970042