Normative

Decreto legislativo 104/2022, maggiori tutele per i diritti e le libertà personali dei lavoratori

Le previsioni inserite nel corpus normativo impongono al datore di comunicare ai lavoratori una serie di elementi essenziali del rapporto e informarli dell’utilizzo di sistemi decisionali e di monitoraggio automatizzati

Pubblicato il 06 Dic 2022

Anna Ciracò

Avvocato, co-founder di E-nomos

Con l’approvazione del decreto legislativo 104/2022 l’ordinamento recepisce la direttiva UE 2019/1152, che si occupa di condizioni di lavoro trasparenti e prevedibili nell’Unione. Come in molti altri ambiti, anche questa volta il legislatore europeo innalza i livelli di tutela dei diritti e delle libertà personali. In questo caso, l’intervento si colloca nel contesto lavoristico e ha l’obiettivo di ampliare e rafforzare il diritto di informazione e di garantire una maggior trasparenza sugli elementi essenziali del rapporto di lavoro.

Decreto legislativo 104/2022, le principali norme

In particolare, le previsioni inserite nel corpus normativo impongono al datore di comunicare ai lavoratori una serie di elementi essenziali del rapporto. Per quel che qui interessa, l’art.1bis rubricato “ulteriori obblighi informativi nel caso di utilizzo di sistemi decisionali o di monitoraggio automatizzati” disciplina una sorta di onere di disclosure in relazione all’uso di strumenti tecnologici e di modelli organizzativi innovativi.

WHITEPAPER
Risk management: l’importanza di quantificare correttamente il rischio (non solo quello informatico)
Contract Management
Privacy/Compliance

Il datore è tenuto a informare i lavoratori dell’utilizzo di sistemi decisionali e di monitoraggio automatizzati:

  • finalizzati a realizzare un procedimento decisionale in grado di incidere sul rapporto di lavoro,
  • incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori.

Le informazioni che costituiscono oggetto della comunicazione riguardano:

  • gli aspetti del rapporto su cui il sistema incide,
  • gli scopi e le finalità dei sistemi,
  • la logica e il funzionamento,
  • le categorie di dati e i parametri usati per programmare o addestrare i sistemi,
  • le misure di controllo adottate per le decisioni automatizzate, il responsabile del sistema di gestione della qualità,
  • il livello di accuratezza, robustezza e cybersicurezza dei sistemi usati nonché le metriche per la misura dei parametri, come anche gli impatti potenzialmente discriminatori delle metriche stesse.

Ebbene, illustrato il nucleo centrale della previsione, è opportuno fare alcune considerazioni di sistema per comprendere quali siano le difficoltà applicative introdotte dalla nuova norma.

Decreto legislativo 104/2022, le difficoltà applicative

Come noto, nel contesto lavoristico la disciplina di settore si interseca a stretto giro con altre normative, come quella in materia di protezione dei dati a carattere personale, al punto che la compliance in questo ambito è molto articolata, imponendo di coordinare una serie di adempimenti data protection (pensiamo alle informative e ai ruoli privacy, nonché, dove necessario, alle DPIA per taluni trattamenti a rischio) con i peculiari adempimenti lavoristici.

L’art.4 dello Statuto dei lavoratori ne è un esempio, imponendo vincoli ai controlli a distanza sull’attività lavorativa. Già per effetto di tale previsione, infatti, soprattutto alla luce delle modifiche intervenute nel 2015 e 2016, il datore è tenuto a valutare quali strumenti tecnologici impiegare nella propria realtà, verificando se gli stessi siano o meno compatibili con la normativa data protection.

Quest’ultima previsione, oggi, si lega a doppio filo con il nuovo art.1-bis, tanto che nel comma 1 ne viene esplicitato il coordinamento.

A completare l’analisi, pur non esaustiva, della cornice normativa in cui si colloca la nuova previsione, occorre citare l’art.22 del Gdpr, che riconosce il diritto dei soggetti interessati a non essere sottoposti a decisioni basate unicamente sul trattamento automatizzato, compresa la profilazione, che producano effetti giuridici che li riguardino o che incidano in modo analogo significativamente sulla sfera individuale.

Gli adempimenti per i datori di lavoro

Fatta questa premessa, emerge con chiarezza che l’adozione di simili strumenti richieda un’attenta valutazione da parte delle aziende, pena la violazione di un complesso normativo, il cui quadro sanzionatorio è molto elevato e si riflette anche sulla utilizzabilità dei dati e delle informazioni raccolte, a tutti i fini connessi al rapporto di lavoro.

Emerge, dunque, con chiarezza la necessità per i datori di lavoro di acquisire innanzitutto conoscenza e consapevolezza sulle caratteristiche degli strumenti tecnologici impiegati al fine di assolvere agli obblighi informativi nei confronti dei lavoratori ma, anche, del sistema pubblico, dal momento che la nuova norma impone di comunicare le informazioni anche alle rappresentanze sindacali.

I sistemi automatizzati per i procedimenti decisionali

Il primo passo è quello di individuare quali sistemi ricadano nella disposizione in commento. Sul punto, il Ministero del Lavoro, con la circolare n. 19 del settembre 2022, ha offerto alcuni (seppur parziali) chiarimenti. I sistemi finalizzati a realizzare un procedimento decisionale che incida sul rapporto di lavoro sono quelli che, attraverso la raccolta dati e l’elaborazione degli stessi, effettuata tramite algoritmi e sistemi di intelligenza artificiale, siano in grado di generare decisioni automatizzate, anche nel caso di intervento umano accessorio.

Nella prassi questi sistemi sono spesso utilizzati, benché raramente il loro impiego avvenga in conformità alla normativa.

Basti pensare, ad esempio, alla fase di selezione del personale, contesto nel quale gli strumenti decisionali intervengono a supportare le decisioni umane e, talvolta, anche a sostituirsi ad esse.

Esistono numerosi tools che effettuano valutazioni preliminari dei profili dei candidati, molto spesso effettuando una scrematura, completamente automatizzata. O, ancora, sistemi che elaborano profili del candidato o del lavoratore, a seguito di valutazione psicoattitudinale.

Inoltre, sono ricompresi nella previsione i software per il riconoscimento emotivo, i chatbot applicabili in fase di colloquio, gli strumenti di data analytics o di machine learning.

I sistemi per la sorveglianza e la valutazione dei lavoratori

L’altra categoria di applicazioni rientranti nell’art.1bis include i sistemi incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori.

Qui troviamo, tra gli altri, Gps e geolocalizzatori, sistemi di rating e ranking. Come, anche, gli applicativi che effettuano il monitoraggio di sistemi informatici, l’accesso a database e applicazioni con registrazione di operazioni effettuate o non consentite (come i sistemi mes e industria 4.0 per la gestione e il controllo dei processi produttivi, se basati su algoritmi di monitoraggio dell’attività lavorativa) e, infine, sistemi mdm (mobile device management) qualora registrino informazioni sulla localizzazione dei lavoratori o sulle attività svolte.

Si tratta, quasi sempre, di software e/o applicativi che, se non correttamente impostati, effettuano la raccolta e la registrazione di informazioni del tutto sovrabbondanti rispetto alle finalità di utilizzo e, dunque, non in linea con la normativa giuslavoristica e data protection.

Le informazioni che hanno diritto di ricevere i lavoratori

Scorrendo il contenuto delle informazioni che i lavoratori hanno diritto di ricevere, si ricava quanto sia importante per chi decida di adottare sistemi siffatti, di comprenderne il funzionamento e di configurarli, per quanto possibile, in maniera compatibile con le normative di settore, sin qui citate. Ma quanta consapevolezza hanno i datori di lavoro in merito?

Stiamo parlando, molto spesso, di sistemi basati su algoritmi di intelligenza artificiale e/o di software proprietari coperti dalle norme sul diritto di autore o, in alcuni casi, dal segreto industriale. E ciò ne rende problematica la completa discovery. Non a caso, ad esempio, lo stesso legislatore ha introdotto una deroga (c.8), escludendo dagli obblighi informativi le informazioni ricadenti nella disciplina di cui all’art.98 del codice della proprietà industriale.

Il tema è molto complesso e si scontra, necessariamente, con la più ampia tematica della trasparenza e intelligibilità degli algoritmi.

Sul punto, il riferimento normativo è costituito dalla Proposta di Regolamento del Parlamento Europeo e del Consiglio che stabilisce regole armonizzate sull’intelligenza artificiale, dell’aprile 2021.

Di fondamentale importanza, per garantire la compatibilità dei sistemi con i principi fondamentali dell’ordinamento, sarà progettare sistemi in cui gli stadi evolutivi dello sviluppo siano accessibili ed espressi in linguaggio umano.

Ma, al momento, garantire un simile livello di comprensione non è affatto semplice.

Altrettanto complesso sarà conoscere i livelli di accuratezza, robustezza e cybersicurezza dei sistemi usati, nonché le metriche per la misura dei parametri, come anche gli impatti potenzialmente discriminatori delle metriche stesse.

In proposito, occorrerà verificare le caratteristiche tecniche dei prodotti, andando a comprendere se e in che misura il fornitore renda noti i dettagli sopra richiamati, in difetto il datore di lavoro dovrà valutare di non adottarli.

Conclusioni

In conclusione, i datori ma, nello stesso senso tutti i titolari del trattamento di dati, sono chiamati, ancora una volta, ad assumere un contegno accountable, valutando attentamente, in termini di costi-benefici, l’impatto che l’introduzione di nuovi sistemi possa determinare sulla gestione dei rapporti di lavoro, con la consapevolezza che la sfida attuale è quella di bilanciare le performances prestazionali offerte dalle soluzioni tecnologiche innovative con i rischi, anche solo potenziali, per diritti e libertà delle persone soprattutto in un contesto, quello lavoristico, connaturato da uno squilibrio di potere contrattuale tra le parti.

EVENTO
16 Maggio 2024 - 09:30
Torna Cybersecurity 360SummIT! Ti aspettiamo a Roma il 16 maggio
Backup
Cybersecurity
@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

C
Anna Ciracò
Avvocato, co-founder di E-nomos
Argomenti trattati

Approfondimenti

D
data protection
G
GDPR

I commenti sono chiusi.

LinkedIn

Twitter

Whatsapp

Facebook

Link