Data protection

L’utilizzo di sistemi di Intelligenza Artificiale in ambito lavorativo.

Il tema dell’utilizzo di sistemi di Intelligenza Artificiale (IA) in ambito lavorativo è stato oggetto di previsione normativa da parte del legislatore comunitario, attraverso il REGOLAMENTO (UE) 2024/1689 del Parlamento Europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale e modifica i regolamenti (CE) n. 300/2008, (UE) n. 167/2013, (UE) n. 168/2013, (UE) 2018/858, (UE) 2018/1139 e (UE) 2019/2144 e le direttive 2014/90/UE, (UE) 2016/797 e (UE) 2020/1828 (regolamento sull’intelligenza artificiale).

Di seguito di riportano le specifiche su tale argomento.

Il Considerando (9) ha stabilito l’opportunità che le norme armonizzate applicabili all’immissione sul mercato, alla messa in servizio e all’uso di sistemi di IA ad alto rischio dovrebbero applicarsi in tutti i settori e, in linea con il nuovo quadro legislativo, non dovrebbero pregiudicare il vigente diritto dell’Unione, in particolare in materia di occupazione e protezione dei lavoratori, al quale il presente regolamento è complementare[1].

Di conseguenza i sistemi di IA utilizzati in tutte o solo in alcune fasi che caratterizzano il rapporto di lavoro (sin dalla fase di avvio per arrivare alla gestione e terminare con la cessazione) rientrano nel novero dei sistemi ad alto rischio.

Inoltre, nel contesto dell’occupazione e della protezione dei lavoratori, il regolamento non dovrebbe pertanto incidere sul diritto dell’Unione in materia di politica sociale né sul diritto del lavoro nazionale, in conformità del diritto dell’Unione, per quanto riguarda le condizioni di impiego e le condizioni di lavoro, comprese la salute e la sicurezza sul luogo di lavoro, e il rapporto tra datori di lavoro e lavoratori.

Il regolamento non dovrebbe inoltre pregiudicare l’esercizio dei diritti fondamentali riconosciuti dagli Stati membri e a livello di Unione, compresi il diritto o la libertà di sciopero o il diritto o la libertà di intraprendere altre azioni contemplate dalla disciplina delle relazioni industriali negli Stati membri nonché il diritto di negoziare, concludere ed eseguire accordi collettivi, o di intraprendere azioni collettive in conformità del diritto nazionale. Il regolamento dovrebbe lasciare impregiudicate le disposizioni volte a migliorare le condizioni di lavoro nel lavoro mediante piattaforme digitali di cui alla direttiva del Parlamento europeo e del Consiglio relativa al miglioramento delle condizioni di lavoro nel lavoro mediante piattaforme digitali. Inoltre, il regolamento mira a rafforzare l’efficacia di tali diritti e mezzi di ricorso esistenti definendo requisiti e obblighi specifici, anche per quanto riguarda la trasparenza, la documentazione tecnica e la conservazione delle registrazioni dei sistemi di IA.

 Oltre a ciò, gli obblighi imposti a vari operatori coinvolti nella catena del valore dell’IA a norma del regolamento dovrebbero applicarsi senza pregiudizio del diritto nazionale, in conformità del diritto dell’Unione, e avere l’effetto di limitare l’uso di determinati sistemi di IA qualora tale diritto non rientri nell’ambito di applicazione del presente regolamento o persegua obiettivi legittimi di interesse pubblico diversi da quelli perseguiti dal presente regolamento. Ad esempio, il regolamento non dovrebbe incidere sulla normativa nazionale in materia di lavoro e sulla normativa in materia di protezione dei minori[2].

  Il Considerando (20) stabilisce che ai fini del regolamento la nozione di «spazio accessibile al pubblico» dovrebbe essere intesa come riferita a qualsiasi luogo fisico accessibile a un numero indeterminato di persone fisiche. I locali delle imprese e delle fabbriche, come pure gli uffici e i luoghi di lavoro destinati ad essere accessibili solo dai pertinenti dipendenti e prestatori di servizi, sono luoghi non accessibili al pubblico. L’ambito lavorativo viene preso in esame anche in tema di utilizzo di sistemi di IA volti a identificare o inferire emozioni, tra le principali carenze di tali sistemi figurano la limitata affidabilità, la mancanza di specificità e la limitata generalizzabilità. Pertanto, i sistemi di IA che identificano o inferiscono emozioni o intenzioni di persone fisiche sulla base dei loro dati biometrici possono portare a risultati discriminatori e possono essere invasivi dei diritti e delle libertà delle persone interessate. Considerando lo squilibrio di potere nel contesto del lavoro, combinato con la natura invasiva di tali sistemi, questi ultimi potrebbero determinare un trattamento pregiudizievole o sfavorevole di talune persone fisiche o di interi gruppi di persone fisiche. È pertanto opportuno vietare l’immissione sul mercato, la messa in servizio o l’uso di sistemi di IA destinati a essere utilizzati per rilevare lo stato emotivo delle persone in situazioni relative al luogo di lavoro. Considerando (44) Anche i sistemi di IA utilizzati nel settore dell’occupazione, nella gestione dei lavoratori e nell’accesso al lavoro autonomo, in particolare per l’assunzione e la selezione delle persone, per l’adozione di decisioni riguardanti le condizioni del rapporto di lavoro la promozione e la cessazione dei rapporti contrattuali di lavoro, per l’assegnazione dei compiti sulla base dei comportamenti individuali, dei tratti o delle caratteristiche personali e per il monitoraggio o la valutazione delle persone nei rapporti contrattuali legati al lavoro, dovrebbero essere classificati come sistemi ad alto rischio, in quanto tali sistemi possono avere un impatto significativo sul futuro di tali persone in termini di prospettive di carriera e sostentamento e di diritti dei lavoratori. I pertinenti rapporti contrattuali di lavoro dovrebbero coinvolgere, in modo significativo, i dipendenti e le persone che forniscono servizi tramite piattaforme, come indicato nel programma di lavoro annuale della Commissione per il 2021. Durante tutto il processo di assunzione, nonché ai fini della valutazione e della promozione delle persone o del proseguimento dei rapporti contrattuali legati al lavoro, tali sistemi possono perpetuare modelli storici di discriminazione, ad esempio nei confronti delle donne, di talune fasce di età, delle persone con disabilità o delle persone aventi determinate origini razziali o etniche o un determinato orientamento sessuale. I sistemi di IA utilizzati per monitorare le prestazioni e il comportamento di tali persone possono inoltre comprometterne i diritti fondamentali in materia di protezione dei dati e vita privata. Considerando (57) Per quanto attiene agli infortuni sul lavoro, il Considerando (58) sancisce che l’utilizzo dei sistemi di IA merita particolare attenzione per l’accesso ad alcuni servizi e prestazioni essenziali, pubblici e privati, necessari affinché le persone possano partecipare pienamente alla vita sociale o migliorare il proprio tenore di vita, e la fruizione di tali servizi. In particolare, le persone fisiche che chiedono o ricevono prestazioni e servizi essenziali di assistenza pubblica dalle autorità pubbliche, vale a dire prestazioni di sicurezza sociale, che forniscono protezione in casi quali gli infortuni sul lavoro, e la perdita di occupazione, sono di norma dipendenti da tali prestazioni e servizi e si trovano generalmente in una posizione vulnerabile rispetto alle autorità responsabili. I sistemi di IA, se utilizzati per determinare se tali prestazioni e servizi dovrebbero essere concessi, negati, ridotti, revocati o recuperati dalle autorità, compreso se i beneficiari hanno legittimamente diritto a tali prestazioni o servizi, possono avere un impatto significativo sul sostentamento delle persone e violare i loro diritti fondamentali, quali il diritto alla protezione sociale, alla non discriminazione, alla dignità umana o a un ricorso effettivo e dovrebbero pertanto essere classificati come sistemi ad alto rischio. Il regolamento – Considerando (92) -lascia impregiudicati gli obblighi dei datori di lavoro di informare o di informare e consultare i lavoratori o i loro rappresentanti a norma del diritto e delle prassi dell’Unione o nazionali, in merito alle decisioni di mettere in servizio o utilizzare sistemi di IA. Rimane necessario garantire che i lavoratori e i loro rappresentanti siano informati in merito alla diffusione programmata dei sistemi di IA ad alto rischio sul luogo di lavoro, qualora non siano soddisfatte le condizioni per tali obblighi di informazione o di informazione e co Riguardo all’ambito di applicazione – art. 2 – il regolamento non osta a che l’Unione o gli Stati membri mantengano o introducano disposizioni legislative, regolamentari o amministrative più favorevoli ai lavoratori in termini di tutela dei loro diritti in relazione all’uso dei sistemi di IA da parte dei datori di lavoro, o incoraggino o consentano l’applicazione di contratti collettivi più favorevoli ai lavoratori. Nel novero delle pratiche di IA vietate, l’art. 5, cita l’immissione sul mercato, la messa in servizio per tale finalità specifica o l’uso di sistemi di IA per inferire le emozioni di una persona fisica nell’ambito del luogo di lavoro, tranne laddove l’uso del sistema di IA sia destinato a essere messo in funzione o immesso sul mercato per motivi medici o di sicurezza Così come tra gli obblighi dei deployer dei sistemi di IA ad alto rischio (art. 26), essi prima di mettere in servizio o utilizzare un sistema di IA ad alto rischio sul luogo di lavoro, i deployer[3] che sono datori di lavoro informano i rappresentanti dei lavoratori e i lavoratori interessati che saranno soggetti all’uso del sistema di IA ad alto rischio. Tali informazioni sono fornite, se del caso, conformemente alle norme e alle procedure stabilite dal diritto e dalle prassi dell’Unione e nazionali in materia di informazione dei lavoratori e dei loro rappresentanti. L’ALLEGATO III del regolamento sulla IA richiama i Sistemi di IA ad alto rischio di cui all’articolo 6, paragrafo 2[4], annoverando tra questianche i sistemi di IA presenti nel settore  dell’occupazione, gestione dei lavoratori e accesso al lavoro autonomo: a) i sistemi di IA destinati a essere utilizzati per l’assunzione o la selezione di persone fisiche, in particolare per pubblicare annunci di lavoro mirati, analizzare o filtrare le candidature e valutare i candidati;   b) i sistemi di IA destinati a essere utilizzati per adottare decisioni riguardanti le condizioni dei rapporti di lavoro, la promozione o cessazione dei rapporti contrattuali di lavoro, per assegnare compiti sulla base del comportamento individuale o dei tratti e delle caratteristiche personali o per monitorare e valutare le prestazioni e il comportamento delle persone nell’ambito di tali rapporti di lavoro.

Adempimenti a carico dei datori di lavoro.

Come punto di partenza si suggerisce di non limitarsi a pensare che la IA è disciplinata esclusivamente dalla specifica normativa di settore; in realtà il Regolamento 2024/1689 va confrontato con tutta una serie di norme che in ambito lavorativo sono, in primis, quelle in materia di diritto del lavoro (L. n. 300/1970 e s.m.i.) senza tralasciare il ricorso al Regolamento 679/2016. Una volta chiarita l’impostazione e il metodo da seguire gli adempimenti in capo al datore di lavoro saranno, almeno, i seguenti:

  1. Censimento dei sistemi di IA. A tale proposito vanno coinvolte tutte le funzioni aziendali al fine di arrivare ad una mappatura dei sistemi di IA presenti in azienda e per ciascun sistema vanno acquisiti i seguenti debiti informativi: nome del sistema, indicazioni e dati di contatto del Fornitore, standard di riferimento posseduti; se il sistema si interfaccia con altri sistemi e/o dispositivi; scheda tecnica del prodotto, le finalità sottese all’impiego e la relativa base giuridica, categorie di dati personali trattati, soggetti coinvolti, ecc.
  2. Sottoposizione del sistema ad un’analisi dei rischi con successiva (obbligatoria) valutazione d’impatto ai sensi dell’art. 35 del GDPR.
  3. Adozione del principio di IA by design per cui le funzioni aziendali, ciascuna per quanto di competenza (Responsabile protezione dati, responsabile legale, responsabile sistemi informativi, risk management, compliance, ecc.), intervengano fattivamente ed in maniera sinergica sin dalla fase di progettazione dell’acquisto di un sistema IA.
  4. Prevedere che il sistema IA sia gestito in ultima analisi da un soggetto, persona fisica, in grado di utilizzarlo; ciò sta a significare che il cd “super administrator” – in grado di intervenire sul sistema – debba essere un umano.
  5. Adottare una politica integrata di cybersicurezza e tutela dei dati personali da applicare anche nei confronti dei sistemi di IA, al fine di essere in grado di gestire gli scenari dei rischi di sicurezza: perdita o indisponibilità dei dati; distruzione non autorizzata dei dati; modifiche indesiderate o non autorizzate dei dati; divulgazione non autorizzata di dati personali; accesso illegittimo o non autorizzato ai dati.
  6. Piena ed ampia disclosure verso i lavoratori, prevedendo anche il loro coinvolgimento, circa la presenza di sistemi di IA, indicando le finalità, il modello di funzionamento, le sue caratteristiche, ecc.

[1] Di conseguenza, restano impregiudicati e pienamente applicabili tutti i diritti e i mezzi di ricorso previsti da tali disposizioni di diritto dell’Unione a favore dei consumatori e delle altre persone su cui i sistemi di IA possono avere un impatto negativo, anche in relazione al risarcimento di eventuali danni a norma della direttiva 85/374/CEE del Consiglio.

[2] Ossia le persone di età inferiore ai 18 anni, tenendo conto del commento generale n,25 della Convenzione sui diritti dell’infanzia e dell’adolescenza (2021) sui diritti dei minori in relazione all’ambiente digitale, nella misura in cui esse non riguardino in modo specifico i sistemi di IA e perseguano altri obiettivi legittimi di interesse pubblico.

[3] Il deployer è  la “persona fisica o giuridica, autorità pubblica, agenzia o altro organismo che utilizza un sistema di IA sotto la propria autorità, tranne nel caso in cui il sistema di IA sia utilizzato nel corso di un’attività personale non professionale

[4] Articolo 6 Regole di classificazione per i sistemi di IA ad alto rischio 2. Oltre ai sistemi di IA ad alto rischio di cui al paragrafo 1, sono considerati ad alto rischio anche i sistemi di IA di cui all’allegato III.

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

Conservazione Digitale

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

trattamenti di dati personali e le garanzie da chiedere ai fornitori.
La esternalizzazione dei trattamenti di dati personali e le garanzie da chiedere ai fornitori.trattamenti di dati personali e le garanzie da chiedere ai fornitori.La esternalizzazione dei trattamenti di dati personali e le garanzie da chiedere ai fornitori.
15 Gennaio 2025
violazione-normativa-protezione-dati
Violazione della normativa in materia di protezione dei dati personali dovuta al mancato svolgimento delle Valutazioni di Impatto (D.P.I.A.) prescritte dall’art. 35 GDPR.
13 Aprile 2024
trattamento-dati
Il trattamento dei dati personali da parte della UOC Affari Generali e della UOC Affari Legali
25 Ottobre 2024

Start typing and press Enter to search