MINISTERO LAVORO INTERPRETA DECRETO TRASPARENZA INTERVENDO SU GPS, SCREENING AUTOMATICO DI CV, RICONOSCIMENTO FACCIALE, SOFTWARE E APP CHE POSSO MONITORARE LAVORATORE
Vorremmo questo mese parlare della Circolare n. 19 del 20 settembre 2022 del Ministero del Lavoro che ha destato parecchie preoccupazioni tra uffici del personale, DPO ed esperti di privacy, perché di fatto entra nella tematica della protezione dei dati personali dei dipendenti di un’azienda o di chi volendo far parte dell’azienda invia un CV o viene convocato per un primo colloquio.
Nel testo si parla di “prime indicazioni interpretative” del Decreto Trasparenza (il decreto legislativo 27 giugno 2022 n. 104, in attuazione della Direttiva europea 2019/1152 sulle condizioni di lavoro trasparenti). Tale decreto all’art 4 prevede obblighi ulteriori particolari allorquando il titolare faccia ricorso all“utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori”. Limitatamente a queste ipotesi il datore deve fornire informazioni aggiuntive al lavoratore indicando:
“a) gli aspetti del rapporto di lavoro sui quali incide l’utilizzo dei sistemi di cui al comma 1;
b) gli scopi e le finalita’ dei sistemi di cui al comma 1;
c) la logica ed il funzionamento dei sistemi di cui al comma 1;
d) le categorie di dati e i parametri principali utilizzati per programmare o addestrare i sistemi di cui al comma 1, inclusi i meccanismi di valutazione delle prestazioni;
e) le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualita’;
f) il livello di accuratezza, robustezza e cybersicurezza dei sistemi di cui al comma 1 e le metriche utilizzate per misurare tali parametri, nonche’ gli impatti potenzialmente discriminatori delle
metriche stesse”.
Senza aver sentito il Garante Privacy e senza mai citare il GDPR, la Circolare ministeriale al punto 3 inserisce “Ulteriori obblighi informativi nel caso di utilizzo di sistemi decisionali o di monitoraggio automatizzati”. Entrando nel merito si spiega che ci sarebbero ulteriori obblighi informativi del datore di lavoro nei confronti dei lavoratori e che per tali sistemi si intende “a) finalizzati a realizzare un procedimento decisionale in grado di incidere sul rapporto di lavoro; b) incidenti sulla videosorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali”.
Interpretando il linguaggio burocratico, alcuni esperti di privacy hanno pensato che il punto a) faccia riferimento a sistemi dotati di GPS, geolocalizzazione quindi tablet, mezzi di trasporto, muletti con dispositivi di geolocalizzazione, utilizzo di dati biometrici o dispositivi di riconoscimento facciale e il punto b) faccia riferimento invece a dispositivi di videosorveglianza sui lavoratori e meccanismi digitali di controllo del lavoro, ma l’avv. Gianluca Amarù esperto di privacy considera che “un’interpretazione letterale farebbe ricomprendere anche il caso della videosorveglianza, ma ritengo che il Legislatore abbia voluto includere solo i casi di trattamento che avvengono in maniera automatica sulle informazioni generate a seguito della prestazione lavorativa, ad esempio la posizione nello spazio del lavoratore, la “timbratura” da remoto su app, l’affidamento degli ordini in maniera automatica tramite tablet o comunicazione radio come il noto caso della logistica”.
Quindi senza far riferimento esplicito alla geolocalizzazione che a nostro avviso è oggi uno dei problemi dirimenti, la Circolare invece dettaglia nei capoversi successivi eventuali dispositivi e software che potrebbe fare monitoraggio automatico al momento dell’assunzione o dei colloqui. La Circolare infatti dice che nel momento dell’ “assunzione o del conferimento dell’incarico” l’azienda potrebbe ricorrere a “chatbots, profilazione automatizzata, screeening dei curricula, software per riconoscimento emotivo”. Quindi il documento ministeriale pone l’attenzione sul momento di analisi dei cv e dei primi contatti con il candidato. Se vi ricordate abbiamo sempre consigliato anche nei nostri corsi di formazione di non inviare niente al candidato se il cv viene eliminato e di mandare invece l’Informativa da noi predisposta sul trattamento dei dati personali del cv nel caso la candidatura venga tenuta (per un periodo massimo di 2 anni).
Ricordiamo che l’art. 13 del GDPR già sottolinea che l’informativa deve contenere riferimento anche all‘“l’esistenza di un processo automatizzato” (2.f dell’art. 13), quindi nel processo automatizzato rientra anche per esempio uno screening dei curricula con un software, di cui andrà informato l’interessato/candidato se il suo cv passa al vaglio della “macchina”.
Sulla Circolare ministeriale n. 19, esperti e legali si sono parecchio agitati: di fatto alcuni legali dicono che è meglio aspettare altre pronunce tra cui si spera quella del Garante, che il Ministero è entrato in un campo non suo e che le spiegazioni sono sommarie. Altri invece suggeriscono di: 1) mettere mano alle Informative ai dipendenti e ai candidati e apportare correzioni sentito anche il responsabile del personale; 2) fare una mappatura complessiva per scovare l’eventuale utilizzo di AI (Intelligenza artificiale) e 3) procedere con della Valutazioni d’impatto, Pia o Dpia.
La Circolare di fatto, a nostro avviso, in maniera non chiarissima, stressa un punto: il fatto che molte aziende hanno introdotto dispositivi di controllo del lavoro attraverso GPS, app o su device vari, senza pensare preventivamente alle ricadute per il noto principio della Privacy by design. A tutti quelli che avessero già in uso dispositivi simili (di cui a volte il DPO viene a conoscenza cammin facendo), consigliamo di fare una Valutazione d’impatto al più presto, quindi di valutare insieme al DPO le ricadute e i rischi sui lavoratori, sugli interessati e su chiunque venga intercettato dal dispositivo.
Il rischio è che qualche lavoratore si appelli alla Circolare ministeriale considerando di non essere stato sufficientemente informato e quindi ricusando magari l’eventuale accordo sindacale.
Se invece l’AI entrerà a breve e la Vostra azienda decida di introdurre sistemi di Intelligenza artificiale, algoritmi o software vari che fanno monitoraggi automatizzati, sarebbe quanto mai opportuno procedere a una valutazione preventiva.
IL GARANTE SUI DATI MINORI LANCIA IL MANIFESTO DI PIETRARSA
Anche i big del web come TikTok e Google risultano tra i primi firmatari del “Manifesto di Pietrarsa” con cui il Garante italiano privacy punta ad educare 5 milioni di minori all’uso dei dati personali. La Carta è stata al centro di un meeting a Napoli presso il Museo ferroviario di Pietrarsa a fine settembre e promuove la trasparenza e progetti educativi sulla protezione dei dati con laboratori indirizzati ad adulti e bambini. Tra i firmatari anche Telefono azzurro.
Il Notiziario, coperto da copyright, è stato realizzato dall’Avvocato Gianluca Amarù specializzato in privacy, l’avvocato Eleonora Maschio, il Dpo Marco Fossi consulente aziendale e Alessandra Fava giornalista e Dpo, riuniti nell’acronimo A2F Privacy&Compliance. Con Giuseppe Ferrante (responsabile Dpo Services per Grant Thornton) sono autori di ‘La privacy in azienda – Tutti gli errori da evitare per non incappare nelle sanzioni del Garante’ (Liberodiscrivere, 2019). Amarù, Fava e Fossi hanno pubblicato anche ‘Manuale di accoglienza enti e autorità’ (Liberodiscrivere, 2019) , ‘Howto – Come scrivere i documenti privacy’ (Liberodiscrivere 2020) e ‘Privacy in progress’ (editore Franco Angeli, giugno 2021), acquistabile anche in digitale sul sito francoangeli.it. Il nostro ultimo volume sta avendo un certo successo con oltre 500 copie vendute.