L’integrazione degli agenti di intelligenza artificiale (agent AI) nei tool di videoconferenza si sta diffondendo sempre di più nelle realtà aziendali.
Strumenti come Microsoft Teams e Google Meet offrono oggi funzionalità AI sempre più sofisticate: trascrizioni automatiche, sintesi dei meeting, traduzioni simultanee, fino alla partecipazione “autonoma” dell’agente alla videocall.
In alcuni casi, l’agent AI può persino connettersi a una riunione rilevando gli appuntamenti dall’agenda digitale dell’utente, partecipare alla call al posto o a fianco dell’utente e produrre, infine, un report dettagliato dell’incontro.
Il personale delle aziende percepisce questi tool come un’ottima scorciatoia per ottenere report affidabili e dettagliati delle call interne tra colleghi e di quelle con le controparti esterne, considerandoli uno strumento efficiente per la produttività e la documentazione interna, ma si sottovalutano gli importanti rischi – giuridici ed organizzativi – che tali tecnologie comportano per le loro aziende.
Indice degli argomenti
Come funzionano gli agenti AI nelle videocall aziendali
Gli agenti AI non si limitano a “registrare” ciò che viene detto durante le call aziendali. Sono, infatti, progettati per analizzare la conversazione e sviluppare summary, redigere verbali e altri documenti programmatici sui contenuti appena discussi e possono anche interpretare il linguaggio non verbale dei partecipanti.
Alcuni agenti AI, infatti, utilizzano tecniche di analisi dell’espressività facciale e dell’intonazione vocale per valutare il livello di coinvolgimento dei partecipanti alla conversazione. Ne consegue che, al termine del meeting, non producono semplicemente una registrazione e/o trascrizione della riunione, ma sono in grado di offrire una vera e propria sintesi interpretativa delle posizioni emerse.
Questa nuova tecnologia, che è sicuramente affascinante ed impressionante, deve, tuttavia, essere calata nel contesto normativo ed organizzativo in cui operano le imprese e fa emergere numerosi profili critici che ogni azienda che intende adottarla non può assolutamente ignorare prima di farne uso e deve attentamente disciplinare.
Un esempio concreto può chiarire la preoccupazione l’agent AI produce un report della call, ma chi controlla la correttezza del report? E se quel report viene condiviso tra i partecipanti e nessuno lo contesta, quale valore probatorio acquisisce? O se il coinvolgimento dei partecipanti rilevato dall’agent AI sia differente rispetto alle posizioni assunte e alle promesse palesate durante la call?
Privacy e protezione dei dati nei sistemi agent AI
Anche dal punto di vista della protezione dei dati personali, l’utilizzo di questi agent AI pone numerosi problemi.
Se è vero che alcuni di questi agenti riescono a “leggere” le espressioni facciali, valutando emozioni, reattività e coinvolgimento empatico dei partecipanti, dobbiamo tenere presente che l’analisi di questi parametri biometrici comportamentali richiede, in base alle regole del Regolamento Generale sulla Protezione dei Dati (GDPR), stringenti verifiche tecniche di attendibilità dell’algoritmo in base ai principi di privacy by design e by default; le aziende dovranno, inoltre, redigere una accurata DPIA e, inoltre, occorrerà stabilire una stringente policy ICT che disciplini accuratamente le modalità di utilizzo di questi strumenti.
Senza contare che, se i report prodotti dall’agent AI (ad esempio sui dati comportamentali di un dipendente di call center impegnato in call con la clientela) fossero utilizzati direttamente per valutare la performance di quel dipendente, si ricadrebbe nei vincoli previsi dall’art. 22 del GDPR per il processo decisionale automatizzato relativo alle persone fisiche, con i relativi risvolti giuslavoristici, di cui si dirà in seguito.
I limiti tecnici e normativi nell’adozione aziendale
Non si può certo ritenere che questi profili di criticità siano banali o semplici da risolvere, in seno ad un’azienda.
Se si pensa a quali e quanti scrupoli di sicurezza si richiedono per autorizzare, in casi eccezionali e ben circoscritti, il riconoscimento facciale nei sistemi di videosorveglianza, si può consentire che la stessa tecnologia sia utilizzabile indiscriminatamente nei nostri pc?
Agenti AI nelle videocall aziendali: i rischi di controllo e profilazione dei lavoratori
L’articolo 4 dello Statuto dei Lavoratori (Legge 300/1970), così come riformato dal Jobs Act, disciplina i controlli a distanza e prevede la sottoscrizione di un accordo sindacale o, in mancanza, l’autorizzazione dell’Ispettorato del Lavoro, per l’installazione di strumenti non utilizzati per rendere la prestazione lavorativa ma che possano comportare il controllo dell’attività dei lavoratori (l’esempio più noto è la videosorveglianza).
L’evoluzione tecnologica, proprio con riferimento all’adozione di agenti AI, impone una riflessione giuridica sul concetto di “strumento necessario” allo svolgimento della prestazione lavorativa. Oggi, infatti, molte attività lavorative sono rese per mezzo di sistemi digitali automatizzati e non risulta sempre agevole distinguere tra strumenti “funzionali” all’attività lavorativa e strumenti che, pur non necessari per l’esecuzione della stessa, svolgono una funzione di controllo sistemico sull’operato del lavoratore.
L’utilizzo di agent AI nel contesto lavorativo può, ad esempio, coinvolgere la fase di selezione del personale (come nel caso di una analisi automatizzata dei curricola), la fase di gestione del rapporto di lavoro (per gestire turni, promozioni, performance etc.) così come, infine, la fase della sua cessazione.
Se, quindi, si considerano tali attività come una forma di controllo dell’attività del lavoratore, si rientra nell’alveo dell’art. 4 dello Statuto dei Lavoratori, quindi oltre ad un accordo sindacale sarà necessario consegnare ai dipendenti anche – e non solamente o in sostituzione dell’accordo con le rappresentanze sindacali – una apposita informativa ex art. 13 GDPR (comma 3).
Una ulteriore criticità derivante dall’utilizzo di sistemi di agent AI sul luogo di lavoro è quello di una profilazione sistematica dei dipendenti.
Ai sensi dell’art. 4 lett 4) GDPR per profilazione si intende la raccolta e il trattamento di dati personali di un individuo o gruppo di individui per analizzarne le caratteristiche, al fine di suddividerli in categorie, gruppi o poterne fare delle valutazioni o delle previsioni.
Nell’ambito del rapporto di lavoro, l’agent AI e il suo meccanismo di profilazione possono essere utilizzati per valutare performance individuali, assegnare incarichi o premi, decidere chi mandare in formazione o chi promuovere fino, addirittura, a scegliere il personale da licenziare in caso di esuberi.
Il ricorso a sistemi automatizzati per queste finalità pone seri rischi di discriminazione algoritmica e di lesione dei principi di equità, trasparenza e non discriminazione. In particolare, il cosiddetto bias algoritmico può generare disparità di trattamento, spesso difficilmente individuabili ex ante.
L’art. 22 del GDPR riconosce il diritto dell’interessato a non essere soggetto a una decisione basata unicamente su un trattamento automatizzato, salvo specifiche eccezioni. Inoltre, prevede la possibilità di ottenere l’intervento umano da parte del titolare del trattamento, esprimere la propria opinione e contestare la decisione.
AI Act e uso degli agenti AI sul luogo di lavoro
Il nuovo Regolamento Europeo sull’Intelligenza Artificiale (AI Act – Reg. UE 1689/2024) è intervenuto sui sistemi di AI vietando alcune pratiche ritenute troppo rischiose nei luoghi di lavoro.
Con l’art. 5 il legislatore Europeo ha identificato una serie di pratiche di AI che devono considerarsi vietate. Tra queste:
- l’immissione sul mercato, la messa in servizio per tale finalità specifica o l’uso di sistemi di IA per inferire le emozioni di una persona fisica nell’ambito del luogo di lavoro (art. 5 lett. f)
- l’immissione sul mercato e l’uso di sistemi di categorizzazione biometrica che classificano individualmente le persone fisiche sulla base dei loro dati biometrici per trarre deduzioni o inferenze in merito a razza, opinioni politiche, appartenenza sindacale (art. 5 lett. g)
Si precisa che il Considerando 18 esclude dalla nozione di “emozione” gli stati fisici (quali il dolore o l’affaticamento) e la mera individuazione di espressioni, gesti e movimenti immediatamente evidenti purché non utilizzati per dedurre emozioni.
Oltre alle pratiche vietate, l’AI Act identifica anche una serie di sistemi ad alto rischio, che possono comunque essere usati, ma con rigide regole. Tra questi sono indicati nell’Allegato III:
“a) i sistemi utilizzati per l’assunzione o la selezione di persone fisiche, in particolare per pubblicare annunci di lavoro mirati, analizzare o filtrare le candidature e valutare i candidati;
b) i sistemi utilizzati per adottare decisioni riguardanti le condizioni dei rapporti di lavoro, la promozione o cessazione dei rapporti contrattuali di lavoro, per assegnare compiti sulla base del comportamento individuale o dei tratti e delle caratteristiche personali o per monitorare e valutare le prestazioni e il comportamento delle persone nell’ambito di tali rapporti di lavoro.”
I depolyer (cioè il datore di lavoro che decide di utilizzare sistemi di AI) sono infatti tenuti ad adempiere agli obblighi di cui all’art. 26, fra cui:
- l’utilizzo e l’implementazione del sistema di AI in conformità con le istruzioni fornite dal provider (o fornitore) (comma 1);
- la garanzia di una sorveglianza umana ex art. 14, affidata a persone fisiche appositamente formate (commi 2 e 3);
- gli obblighi di monitoraggio e di segnalazione nel caso di incidenti gravi (comma 5);
- informare i rappresentanti dei lavoratori e i lavoratori interessati prima di mettere in servizio o utilizzare un sistema di IA ad alto rischio sul luogo di lavoro (comma 7).
Questo ultimo punto rafforza il ruolo dei sindacati, che diventano attori centrali nella gestione dell’AI nei luoghi di lavoro.
Infine, anche se l’obbligo di effettuare una Valutazione di Impatto sulla Privacy (DPIA) non è esplicito (art. 26, comma 9 AI Act), questa valutazione deve essere considerata fondamentale quando i rischi per i diritti dei lavoratori risultino elevati.
L’AI Act, per quanto innovativo e completo, va in ogni caso inerito nel contesto normativo nazionale e integrato, oltre che con il GDPR e lo Statuto dei Lavoratori, anche e le nuove norme italiane, come il disegno di legge sull’intelligenza artificiale, e l’art. 1-bis del D.lgs. 152/1997, che introduce obblighi informativi specifici sull’uso di sistemi automatizzati.
Senza tutte le cautele descritte, il trattamento è illegittimo.
Verso una governance consapevole degli agenti AI aziendali
Ogni azione dell’agent AI dev’essere governata da policy aziendali chiare, che stabiliscano finalità, limiti e modalità di utilizzo, assicurando trasparenza verso i dipendenti e i soggetti coinvolti. È fondamentale un coinvolgimento attivo dei DPO, degli HR manager e degli IT officer per valutare le implicazioni di queste tecnologie sotto tutti i profili: privacy, diritto del lavoro, responsabilità contrattuale.
In un momento storico in cui le imprese discutono di “AI Governance”, non è più possibile ignorare il fatto che anche una semplice videocall possa diventare un laboratorio di profilazione.
Gli agent AI sono strumenti potenti ma pericolosamente sottovalutati. L’idea che “semplifichino” è vera solo se ne comprendiamo appieno i meccanismi. Lasciarli operare senza regole equivale ad accettare una sorveglianza opaca e un’automazione della comunicazione che può compromettere non solo la compliance, ma anche la fiducia tra le persone. Serve consapevolezza, e serve subito.
