22/09/2023

SISTEMI DI INTELLIGENZA ARTIFICIALE E TUTELA DEI DATI PERSONALI

22/09/2023

SISTEMI DI INTELLIGENZA ARTIFICIALE E TUTELA DEI DATI PERSONALI

Negli ultimi anni l’intelligenza artificiale (“AI“) ha segnato l’ennesimo passaggio importante da una società analogica ad una società digitale.

L’AI è uno strumento sempre più utilizzato a supporto dell’attività umana, ad esempio, per l’agevolazione dell’attività gestoria, per la definizione di indirizzi strategici sia che pubblici che privati, ovvero per il miglioramento dei cicli lavorativi e delle attività produttive.

Il presente articolo si occuperà di trattare brevemente l’applicazione dell’intelligenza artificiale nello specifico ambito del mondo del lavoro dalla quale potrebbe derivare il controllo sistematico del lavoratore e del bilanciamento fra esigenze produttive e protezione dei dati personali; considerando che il tema non è solo normativo ma anche etico e tecnico.

Decreto Trasparenza

Il 13 agosto 2022 è entrato in vigore il d.lgs. 27 giugno 2022, n. 104 in attuazione della direttiva (UE) 2019/1152 in materia di condizioni di lavoro trasparenti e prevedibili c.d. “Decreto Trasparenza”, che ha introdotto ulteriori obblighi informativi qualora il datore di lavoro utilizzi “sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché́ indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori”.

Con le Circolari n. 19 del 2022 e n. 4 del 10 agosto 2022 il Ministero del Lavoro e l’Ispettorato Nazionale del Lavoro nell’esemplificare i casi in cui possono trovare applicazione gli obblighi informativi oggetto del Decreto, fanno riferimento, fra le altre tecnologie, agli “strumenti di data analytics o machine learning”. Questi sistemi, specie se impiegati nel contesto lavorativo, determinano un elevato livello di rischio per i diritti e le libertà degli interessati oggetto di specifica tutela nell’ambito del sistema di protezione dei dati personali.

Temi principali

Alla luce delle riportate considerazioni introduttive, si rileva che il primo importante tema riguarda la liceità dei trattamenti dei dati personali effettuati tramite la c.d. Business Intelligence (B.I.), o sistemi di controllo sistematico del lavoratore, anche in considerazione della disciplina all’art. 4 della L. 300/1970 “Statuto dei Lavoratori”.

In secondo luogo, è significante il rispetto delle diposizioni che vietano al datore di lavoro di acquisire e comunque trattare informazioni e fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore o comunque afferenti alla sua sfera privata (art. 8 della l. 20 maggio 1970, n. 300 e art. 10 d.lgs. 10 settembre 2003, n. 276).

Attività del Garante

È necessario domandarsi se la specificità e le funzionalità di queste tecnologie siano proporzionali e compatibili con i principi generali in materia di protezione dei dati, ma soprattutto con le garanzie in ambito di libertà e dignità del lavoratore.

Con Newsletter del gennaio 2023 il Garante ha manifestato l’apertura al confronto con i soggetti interessati (es. datori di lavoro), cercando di superare le incertezze in ambito interpretativo; pubblicando un documento atto fornire le prime indicazioni applicative in ambito di sistemi di monitoraggio del lavoratore.

Di rilevante importanza, come si legge nel corpo del documento pocanzi menzionato, è l’obbligo di predisporre, da parte del datore di lavoro, in qualità di titolare del trattamento, sistemi informativi per il lavoratore adeguati ed opportuni.

Tra le informazioni che il datore di lavoro deve fornire all’interessato rientrano: gli aspetti del rapporto di lavoro sui quali incide l’utilizzo dei sistemi decisionali o di monitoraggio automatizzati; il funzionamento dei sistemi; i parametri principali utilizzati per programmare o addestrare i sistemi decisionali o di monitoraggio automatizzati, inclusi i meccanismi di valutazione delle prestazioni; le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità; il livello di accuratezza, robustezza e cibersicurezza dei sistemi decisionali o di monitoraggio automatizzati e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.

L’ Ordinanza d’ ingiunzione del 15 aprile 2021 del Garante della Privacy

Il Garante, con Ordinanza del 15 aprile 2021, ha condannato una società per trattamenti illeciti di dati personali derivanti dal controllo sistematico, non giustificato né autorizzato ex lege, dell’impresa nei confronti dei dipendenti, disponendo:

  1. la limitazione definitiva del trattamento dei dati raccolti mediante il sistema PPMS, riconducibili ad interessati identificabili;
  2. l’ingiunzione alla società di conformare al GDPR il modello di informativa  relativo al sistema di B.I. “PPMS”;
  3. l’ingiunzione alla società di adottare misure di segregazione dei dati raccolti attraverso i form cartacei, conservandoli sia in un archivio cartaceo sia attraverso l’utilizzo di un software;
  4. in aggiunta alla misura correttiva, una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto.

Contributo a cura della dott.ssa Chiara Lorenzon.