'Decreto Trasparenza': impatti sulla privacy

sito web compliance gdpr
Vai ai contenuti

'Decreto Trasparenza': impatti sulla privacy

consulenza gdpr, protezione dati personali, MOG231, ISO 27001
Pubblicato da studio maggiolo pedini associati in privacy · Mercoledì 24 Ago 2022
Tags: decretotrasparenzadlgs104/2022
IMPATTI SULLA PROTEZIONE DEI DATI
Il D.lgs. 104/2022, seppur rispettoso dei principi etici della Direttiva UE 1152/2019 relativa a condizioni di lavoro trasparenti e prevedibili che recepisce, va a modificare il D.lgs. 152/1997 concernente l'obbligo del datore di lavoro di informare il lavoratore delle condizioni applicabili al contratto o al rapporto di lavoro.
Molte aziende sono già adeguate e forniscono già ai propri lavoratori dipendenti le informazioni prescritte dal novellato D.lgs. 152/1997 attraverso la documentazione di assunzione, ma poche hanno aggiornato documenti e informazioni alle prescrizioni del sopravvenuto GDPR.   
Il comma 4 dell’art. 4 “Modifiche al decreto legislativo 26 maggio 1997, n. 152” del D.lgs. 104/2022 prescrive:
“4. Il datore di lavoro o il committente sono tenuti a integrare l'informativa con le istruzioni per il lavoratore in merito alla sicurezza dei dati e l'aggiornamento del registro dei trattamenti riguardanti le attività di cui al comma 1, incluse le attività di sorveglianza e monitoraggio. Al fine di verificare che gli strumenti utilizzati per lo svolgimento della prestazione lavorativa siano conformi alle disposizioni previste dal Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, il datore di lavoro o il committente effettuano un'analisi dei rischi e una valutazione d'impatto degli stessi trattamenti, procedendo a consultazione preventiva del Garante per la protezione dei dati personali ove sussistano i presupposti di cui all'articolo 36 del Regolamento medesimo.”
Ciò comporta che, per i trattamenti indicati, deve essere aggiornata l’informativa e parallelamente il registro dei trattamenti, va effettuata la valutazione dei rischi e la valutazione d’impatto.
Inoltre, la consegna ai lavoratori dei documenti informativi deve essere rintracciabile e sono previste sanzioni nel caso in cui non fosse possibile fornirne evidenza.
Ulteriori indicazioni operative le troviamo nella Circolare n 4/2022 del 10.08.2022 dell’INL dal titolo: “D.lgs. n. 104/2022 recante – “Attuazione della direttiva (UE) 2019/1152 del Parlamento europeo e del Consiglio del 20 giugno 2019, relativa a condizioni di lavoro trasparenti e prevedibili nell'Unione europea” – prime indicazioni”.
Infine, oltre a quanto riportato nel Decreto, devono essere previste anche azioni mirate nei confronti degli autorizzati interni incaricati a trattare i dati dei lavoratori; tali azioni prevedono l’integrazione delle loro istruzioni/nomina di autorizzato e la formazione mirata sulle misure specifiche da porre in atto come potrebbe emergere dall’analisi dei rischi.
Infine, oltre a quanto riportato nel Decreto, devono essere previste anche azioni mirate nei confronti degli autorizzati interni incaricati a trattare i dati dei lavoratori; tali azioni prevedono l’integrazione delle loro istruzioni/nomina di autorizzato e la formazione mirata sulle misure specifiche da porre in atto come potrebbe emergere dall’analisi dei rischi.

APPLICAZIONE DEL GDPR E UTILIZZO SISTEMI DECISIONALI E MONITORAGGIO AUTOMATIZZATI
Sempre in relazione agli impatti sulla protezione dei dati personali, il comma 4 richiama il comma 1 del medesimo articolo che a sua volta recita:
“…1. Il datore di lavoro pubblico e privato è tenuto a comunicare al lavoratore, secondo le modalità di cui al comma 2, le seguenti informazioni:
s) gli elementi previsti dall'articolo 1-bis qualora le modalità di esecuzione della prestazione siano organizzate mediante l'utilizzo di sistemi decisionali o di monitoraggio automatizzati...”
L’art. 1-bis a sua volta recita:
“Il datore di lavoro o il committente pubblico e privato è tenuto a informare il lavoratore dell'utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell'incarico, della gestione o della cessazione del rapporto di lavoro, dell'assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l'adempimento delle obbligazioni contrattuali dei lavoratori….”.
Nel caso, quindi, in cui il datore di lavoro faccia uso di tali sistemi, oggi davvero diffusi, per rispettare le prescrizioni del GDPR, al lavoratore devono essere fornite anche le seguenti informazioni:
  • gli aspetti del rapporto di lavoro sui quali incide l’utilizzo di tali sistemi decisionali o di monitoraggio;
  • gli scopi e le finalità di tali sistemi;
  • la logica e il funzionamento di tali sistemi;
  • le categorie di dati e i parametri principali utilizzati per programmare o addestrare tali sistemi, inclusi i meccanismi di valutazione delle prestazioni;
  • le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità;
  • il livello di accuratezza, robustezza e cybersicurezza di tali sistemi, le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.

scarica i documenti citati nell'articolo riferiti all'applicazione del D.lgs. 144/2022:


Torna ai contenuti