Sistemi decisionali o di monitoraggio automatizzati e tutela dati personali dei lavoratori: nuovi obblighi per le imprese 4.0

I processi automatizzati rappresentano senza dubbio un'innovazione fondamentale per la trasformazione digitale delle imprese che guardano al futuro. Come spesso accade, tuttavia, ogni cambiamento può comportare opportunità ma anche potenziali rischi. In questo orizzonte dinamico e in continua evoluzione si è inserito il Legislatore, tentando di individuare alcuni punti fissi nella regolamentazione del rapporto uomo-macchina sul posto di lavoro.

Il frutto di tali sforzi è stato il D. Lgs. n. 104/2022, adottato lo scorso 27 giugno soprannominato " Decreto Trasparenza ".

Il presente contributo si propone di offrire alcuni primi chiarimenti in merito alla novella legislativa, prendendo in considerazione anche le recenti circolari emanate dal Ministero del Lavoro e Delle Politiche Sociali e dall'Ispettorato Nazionale del Lavoro per valutare se, e a quali condizioni, gli obblighi di informativa privacy introdotti dalla predetta novella si applicano anche ai macchinari utilizzate dalle imprese 4.0.

Partiamo con ordine. Con il "Decreto Trasparenza" il Legislatore ha inteso recepire la Direttiva europea n. 2019/1152 relativa alle "condizioni di lavoro trasparenti e prevedibili nell'Unione europea". Le nuove disposizioni europee ampliano il corredo informativo da rendere al lavoratore, così modificando a livello nazionale il D. Lgs. n. 152/1997.

Il fine esplicito di tale intervento normativo è dunque quello di innalzare ulteriormente i livelli di tutela dei lavoratori. Il Decreto, perciò, indica una dettagliata serie di informazioni che devono essere rese al lavoratore al momento dell'instaurazione del rapporto, in maniera tale che quest'ultimo sia informato degli elementi essenziali del rapporto di lavoro e delle condizioni di lavoro applicabili. Questi sono, ad esempio, l'identità del datore di lavoro, il luogo della prestazione, l'inquadramento, l'importo iniziale della retribuzione, la programmazione dell'orario, nonché la durata del congedo per ferie e l'eventuale diritto a periodi di formazione.

Tale obbligo di informazione può essere assolto mediante la consegna al lavoratore del contratto individuale di lavoro redatto per iscritto. Sulle modalità di informazione, la circolare n. 4/2022 dell'Ispettorato Nazionale del Lavoro ha chiarito che il datore di lavoro può adempiere a tale onere operando nel contratto un " rinvio al contratto collettivo applicato o ad altri documenti aziendali qualora gli stessi vengano contestualmente consegnati al lavoratore ovvero messi a disposizione secondo le modalità di prassi aziendale". Tuttavia, la successiva Circolare n. 19 del Ministero del Lavoro (vedi infra) ha aggiunto che tale obbligo informativo non è assolto con "l'astratto richiamo delle norme di legge che regolano gli istituti oggetto dell'informativa", bensì attraverso "la comunicazione di come tali istituti, nel concreto, si atteggiano, nei limiti consentiti dalla legge, nel rapporto tra le parti, anche attraverso il richiamo della contrattazione collettiva applicabile al contratto di lavoro ".

In sintesi, pare che si debba propendere per l'ammissibilità di un richiamo circostanziato e non invece di un mero rinvio alle norme applicabili.

Ma vi è di più. Il Decreto in esame ha stabilito alcuni ulteriori obblighi in capo al datore di lavoro, i quali non erano stati originariamente previsti dalla summenzionata Direttiva europea n. 2019/1152.

Infatti, l'art. 4, lett. b) del D. Lgs. n. 104/2022 obbliga il datore di lavoro a "informare il lavoratore dell'utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell'incarico, della gestione o della cessazione del rapporto di lavoro, dell'assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l'adempimento delle obbligazioni contrattuali dei lavoratori."

La novella in esame precisa inoltre ben sei specifici ambiti di informazione riguardanti tali sistemi automatizzati, ovvero:
• gli aspetti del rapporto di lavoro sui quali incide l'utilizzo dei sistemi;
• gli scopi e le finalità dei sistemi;
• la logica ed il funzionamento dei sistemi;
• le categorie di dati e i parametri principali utilizzati per programmare o addestrare i sistemi, inclusi i meccanismi di valutazione delle prestazioni;
• le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità;
• e il livello di accuratezza, robustezza e cybersicurezza dei sistemi e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.

In relazione ai predetti sistemi automatizzati, il datore di lavoro dovrà svolgere alcuni nuovi adempimenti, tra cui:
a) redigere una nuova informativa;
b) effettuare un'analisi dei rischi e una valutazione d'impatto (DPIA);
c) aggiornare il registro dei trattamenti;
d) aggiornare la lettera di incarico ex art. 29 GDPR, con indicazioni delle ulteriori misure di sicurezza; e infine
e) comunicare tale informativa alle Rappresentanze sindacali, qualora presenti, oltre che al lavoratore, rispondendo per iscritto entro 30 giorni se sono avanzate richieste in merito.

Si segnala inoltre che il Decreto prevede altresì un obbligo di comunicazione previa ai lavoratori in caso di modifica dei sistemi automatizzati. Il datore di lavoro deve infatti informare i lavoratori, almeno 24 ore prima, "per iscritto di ogni modifica incidente sulle informazioni fornite" che comportino "variazioni delle condizioni di svolgimento del lavoro".

Dal punto di vista sanzionatorio, si rileva come il ritardo, l'incompleto o l'inesatto assolvimento degli obblighi di cui sopra comporta per il datore di lavoro una sanzione economica calcolata per "fasce" e applicata "per ciascun mese di riferimento", con un importo massimo di 5.000 euro se la violazione si riferisce ad oltre 10 dipendenti. La sanzione è erogata dall'Ispettorato territoriale del lavoro, previa denuncia da parte del lavoratore, compiuti i necessari accertamenti ispettivi.

Risulta pertanto di fondamentale importanza discernere e circoscrivere la portata della norma ai soli sistemi tecnologici da essa specificatamente richiamati.

Secondo le " Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione " adottate nel 2018 dal Gruppo di lavoro ex Art. 29 (oggi EDPB) con "sistemi automatizzati" devono intendersi esclusivamente quei processi decisionali che consentono di prendere decisioni impiegando mezzi tecnologici senza alcun coinvolgimento umano.

A tal riguardo, Le anzidette Linee Guida chiariscono che "un processo automatizzato produce ciò che di fatto è una raccomandazione riguardante un interessato. Se un essere umano riesamina il risultato del processo automatizzato e tiene conto di altri fattori nel prendere la decisione finale, tale decisione non sarà basata unicamente sul trattamento automatizzato".

Il diritto europeo vieta che una macchina possa determinare, in modo autonomo, effetti che modificano la sfera giuridica di un essere umano.

L'art. 22 GDPR prevede infatti che "l'interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona". La norma, tuttavia, fa salvo il caso in cui tale decisione sia "necessaria per la conclusione di un contratto tra l'interessato ed il Titolare del trattamento, sia autorizzata dal diritto dell'Unione o di uno Stato membro cui è soggetto il Titolare del trattamento o si basi su un consenso esplicito dell'interessato".

La predetta clausola derogatoria deve essere però interpretata in modo restrittivo: secondo il Gruppo di Lavoro art. 29, per avvalersi legittimamente di tale clausola il Titolare del trattamento deve dimostrare che non ci sono ulteriori mezzi alternativi meno invasivi per raggiungere lo stesso obiettivo (WP251, Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679).

Successivamente alla promulgazione del Decreto si erano affermati tra gli addetti ai lavori due principali filoni interpretativi in relazione alla definizione di "sistemi automatizzati": il primo, maggiormente restrittivo, auspicava l'applicazione della normativa unicamente ai soli mezzi e sistemi decisionali totalmente privi dell'intervento umano; il secondo, più estensivo, sosteneva invece l'esigenza di ricomprendere nell'obbligo di informativa anche i sistemi parzialmente automatizzati, ove cioè l'intervento della macchina si affianca a quello dell'uomo.

Sul punto, si è pronunciato il Ministero del Lavoro, con un intervento che, a dire il vero, non pare aver sciolto in modo definitivo i predetti dubbi interpretativi.
Secondo la Circolare n. 19 del 20 settembre 2022, per sistemi decisionali o di monitoraggio automatizzati si devono intendere quegli strumenti che "attraverso l'attività di raccolta dati ed elaborazione degli stessi effettuata tramite algoritmo, intelligenza artificiale, ecc., siano in grado di generare decisioni automatizzate".
La Circolare ha avuto modo di specificare che in tale ipotesi " l 'obbligo dell'informativa sussiste anche nel caso di intervento umano meramente accessorio ".

Sennonché il Ministero successivamente aggiunge, in modo apparentemente contraddittorio, che l'obbligo di informativa sorge quando, in sostanza, " la disciplina della vita lavorativa del dipendente, o suoi particolari aspetti rilevanti, siano interamente rimessi all'attività decisionale di sistemi automatizzati ". A fortiori, la Circolare esclude l'obbligo di informativa quando all'utilizzo dei sistemi "non consegua un'attività interamente automatizzata finalizzata ad una decisione datoriale", come, ad esempio, nel caso di sistemi automatizzati deputati alla rilevazione delle presenze in ingresso e in uscita.

La domanda è legittima: dalla lettura delle predette indicazioni ministeriali può escludersi l'obbligo di informativa in caso di utilizzo di sistemi decisionali non interamente automatizzati?

Può inoltre escludersi la necessità di una valutazione di impatto sulla protezione dei dati personali?

Le indicazioni ministeriali purtroppo non paiono offrire una risposta univoca a riguardo.

La Circolare si limita a offrire alcuni esempi: l'obbligo dell'informativa sussiste nei casi di " assunzione o conferimento dell'incarico tramite l'utilizzo di chatbots durante il colloquio, la profilazione automatizzata dei candidati, lo screening dei curricula, l'utilizzo di software per il riconoscimento emotivo e test psicoattitudinali, ecc.".

Oppure quando i sistemi vengono utilizzati per la "gestione o cessazione del rapporto di lavoro con assegnazione o revoca automatizzata di compiti, mansioni o turni, definizione dell'orario di lavoro, analisi di produttività, determinazione della retribuzione, promozioni, etc., attraverso analisi statistiche, strumenti di data analytics o machine learning, rete neurali, deep-learning, ecc.".

Per quanto invece attiene ai sistemi di monitoraggio automatizzati, un punto appare chiaro: vi è l'obbligo di informativa quando il datore utilizza tali sistemi al fine di sorvegliare e valutare le prestazioni del lavoratore, avvalendosi ad esempio di "tablet, dispositivi digitali e wearables, gps e geolocalizzatori, sistemi per il riconoscimento facciale, sistemi di rating e ranking, etc".

Veniamo al quesito centrale della presente indagine: i summenzionati obblighi di informativa privacy introdotti dal Decreto Trasparenza si applicano anche ai macchinari delle imprese 4.0?

Procediamo anche qui con ordine. Con la Legge di Bilancio n. 232/2016 il Legislatore ha inaugurato il "Piano Nazionale d'Impresa 4.0". Il Piano ha lo scopo di "Supportare e incentivare le imprese che investono in beni strumentali nuovi, in beni materiali e immateriali (software e sistemi IT) funzionali alla trasformazione tecnologica e digitale dei processi produttivi" .

A tal fine, è stato previsto un credito d'imposta per le imprese che acquistano beni "strumentali materiali tecnologicamente avanzati". In particolare per l'anno 2023-2025, tale credito ammonta a 20% del costo per la quota di investimenti fino a 2,5 milioni di euro; 10% del costo per la quota di investimenti oltre i 2,5 milioni di euro e fino al limite di costi complessivamente ammissibili pari a 10 milioni di euro; 5% del costo per la quota di investimenti tra i 10 milioni di euro e fino al limite di costi complessivamente ammissibili pari a 20 milioni di euro.

Risulta dunque fondamentale definire quali sono questi "beni strumentali" per comprendere se il loro utilizzo richieda o meno l'applicazione degli obblighi in tema di privacy previsti dal Decreto Trasparenza.

Ebbene, i macchinari 4.0 sono individuati dall'Allegato A e B della predetta Legge di Bilancio. In particolare, per ottenere il credito di imposta, tali macchinari devono obbligatoriamente presentare cinque requisiti tecnici:
1) il bene dev'essere controllato per mezzo di sistemi programmabili, quali CNC (Computer Numerical Control) e/o PLC (Programmable Logic Controller);
2) il bene dev'essere interconnesso, cioè deve ricevere istruzioni da remoto per il proprio funzionamento;
3) il bene dev'essere inoltre oggetto di integrazione automatizzata con il sistema logistico della fabbrica o con la rete di fornitura e/o con altre macchine del ciclo produttivo;
4) il bene deve presentare un'interfaccia tra uomo e macchina semplice e intuitiva; e infine 5) esso deve rispondere ai più recenti parametri di sicurezza, salute e igiene del lavoro.

In aggiunta, i macchinari 4.0 devono essere dotati di almeno due tra le seguenti ulteriori caratteristiche:
a) sistemi di telemanutenzione e/o telediagnosi e/o controllo in remoto;
b) monitoraggio continuo delle condizioni di lavoro e dei parametri di processo mediante opportuni set di sensori e ad attività alle derive di processo;
c) caratteristiche di integrazione tra macchina fisica e/o impianto con la modellizzazione e/o la simulazione del proprio comportamento nello svolgimento del processo (sistema cyberfisico).

In sintesi, le agevolazioni fiscali adottate dal Legislatore scaturiscono dalla volontà di consolidare nel nostro sistema produttivo la quarta rivoluzione industriale, cioè l'evoluzione dell'industria verso un modello intelligente, dove gli strumenti di lavoro sono connessi alla rete e interconnessi tra di loro. I vantaggi derivanti da tale rivoluzione industriale sono molteplici: riduzione dei costi di produzione e dei tempi, miglioramento della produttività attraverso minori tempi di set-up, riduzione errori e fermi macchina, aumento delle informazioni relative al processo produttivo e miglioramento della qualità dei prodotti offerti e riduzione degli scarti.

I macchinari 4.0 ottimizzano l'efficientamento della produzione, garantendo un monitoraggio costante del processo produttivo. Invero, l'Allego A summenzionato prevede che tali macchinari assicurano la qualità e la sostenibilità della produzione attraverso "sistemi di monitoraggio in process per assicurare e tracciare la qualità del prodotto o del processo produttivo e che consentono di qualificare i processi di produzione in maniera documentabile e connessa al sistema informativo di fabbrica".

In conclusione, tentando una prima esegesi delle norme summenzionate, si può senz'altro affermare che i beni strumentali delle imprese 4.0 richiederanno l'obbligo di informativa e di valutazione impatto privacy ogniqualvolta essi, utilizzando sistemi decisionali o di monitoraggio automatizzati, siano in grado di fornire determinati dati al datore di lavoro che sono utilizzati a vario fine nel rapporto, ad esempio per l'assunzione, la gestione, la cessazione, l'assegnazione di mansioni nonché per valutare le prestazioni e l'adempimento delle obbligazioni contrattuali, e presentino al contempo le caratteristiche tecniche summezionate di cui all'allegato A e B della Legge di Bilancio 2017.

La Circolare summenzionata n. 19/2022 del Ministero del Lavoro ha il pregio di indicare in via esemplificativa alcune tipologie di sistemi tecnologici già in uso in molte realtà produttive a livello nazionale, che, qualora qualificabili quali beni strumentali tecnologicamente avanzati, determinano l'applicazione degli obblighi di informativa di cui al Decreto Trasparenza.

Un dubbio tuttavia rimane: né il Legislatore, né tanto meno le Circolari dell'Ispettorato del Lavoro e del Ministero competente hanno chiarito in modo definitivo quali siano i contorni dei sistemi "decisionali e di monitoraggio" automatizzati.
In altre parole, se l'intervento, seppur marginale, del datore di lavoro escluda la natura automatizza del sistema e quindi, di conseguenza, faccia venir meno anche l'obbligo di informativa. In attesa di riscontrare le prime soluzioni offerte dalla prassi, non può che farsi eco a quanto affermato nella menzionata Circolare Ministeriale, secondo la quale sono "evidenti, per il lavoratore, il valore e l'importanza di una corretta informativa", che, comunque, deve essere modulata in "maniera proporzionata e sostenibile per i datori di lavoro".

_____
*A cura degli Avv.ti Manuela Soccol, Partner 24 ORE Avvocati e Stefano Trevisan