L‘evoluzione dell’intelligenza artificiale nel lavoro ha portato l’Unione Europea ad approvare il Regolamento 2024/1689 o AI Act, che stabilisce nuove regole per l’utilizzo di sistemi IA anche nei rapporti lavorativi.
Questa normativa si integra con il GDPR e le leggi giuslavoristiche esistenti, creando un quadro complesso di obblighi e tutele per datori di lavoro e dipendenti.
Indice degli argomenti
L’AI Act e il rapporto con le altre normative
L’evoluzione di sistemi informatici avanzati che permettono trattamenti di dati automatizzati, tra gli altri, in ambito lavorativo, ha imposto negli ultimi 15 anni continui adattamenti normativi ed interpretativi ai legislatori italiani ed europei, nonché alle autorità preposte.
Diverse normative giuslavoristiche disciplinano strumenti tecnologici automatizzati impiegati dal datore di lavoro per selezionare candidati, monitorare o prendere decisioni sul personale. Tuttavia, non tutti questi strumenti coincidono con la definizione di intelligenza artificiale dell’art. 3 del Regolamento (UE) 2024/1689 AI Act, dove l’IA è descritta come un sistema automatizzato, adattabile, capace di generare output influenti su ambienti fisici o virtuali.
Il Regolamento si aggiunge quindi a tutte quelle normative che nell’ambito giuslavoristico disciplinano generalmente l’uso di “sistemi automatizzati” per la gestione o comunque di monitoraggio, anche a distanza, del personale: dall’art. 4 dello Statuto dei Lavoratori (L. 300/1970, novellato dal D. lgs. 151/2015), al D. lgs. 81/2015 (Job Act) integrato dalla L. 128/2019 che ha introdotto il Capo V-bis Tutela del lavoro tramite piattaforme digitali, al D. lgs. 104/2022 (Decreto Trasparenza), che ha riscritto i primi 4 articoli del d.lgs. 26 maggio 1997 n. 52 e all’art. 1-bis impone obblighi informativi specifici in caso di ricorso a sistemi decisionali o di monitoraggio automatizzati.
E si aggiunge, senza sovrapporsi, condividendo con esse i richiami espliciti alla disciplina in materia di trattamento dei dati personali, ossia al Regolamento UE 2016/679 (GDPR), applicabile indipendentemente dalla definizione del sistema tecnologico utilizzato. Rimane applicabile – per quanto riguarda specificatamente l’Italia – anche il d.lgs. 30 Giugno 2003, n. 196 così come modificato dal d.lgs. 101/18 (Codice Privacy).
Già il considerando 10 del Regolamento IA infatti ribadisce che non si pregiudica l’applicazione del diritto dell’Unione in materia di trattamento dati personali “non è pregiudicata” . Il Gdpr sarà poi citato nel Regolamento IA altre 28 volte.
I due strumenti normativi infatti, Gdpr e AI Act seppur autonomi e strutturalmente distinti, si integrano su un piano multilivello.
Se il Gdpr opera su un piano soggettivo volto a garantire i diritti della persona interessata dal trattamento, e se lo stesso ha già da tempo stabilito tutele per le persone sottoposte a trattamenti automatizzati (art. 22 e considerando 71 in particolare) rimandando poi (art. 88) ai legislatori nazionali la facoltà di prevedere norme più specifiche per assicurare la protezione dei diritti e delle libertà nell’ambito dei rapporti di lavoro, il Regolamento IA introduce una cornice normativa distinta, focalizzata su usi specifici dei sistemi IA, adottando una prospettiva oggettiva e preventiva, regolamentando lo sviluppo, la messa in commercio e l’uso dell’intelligenza artificiale come definita, secondo una logica di classificazione per rischio, fermo restando che lo scopo ultimo del Regolamento IA rimane anch’esso quello di garantire che l’uso dell’intelligenza artificiale non pregiudichi i diritti fondamentali individuali e collettivi, quali la libertà e la dignità della persona.
Sistemi IA ad alto rischio nell’ambiente lavorativo e approcci preventivi
E proprio l’ambito lavorativo, per le sue caratteristiche di asimmetria e potenziale vulnerabilità del soggetto interessato, costituisce una tra le aree di maggiore attenzione; il Regolamento IA che ha un approccio risk based individua infatti espressamente come “sistemi di IA ad alto rischio” quelli destinati a essere utilizzati per la selezione dei candidati, la valutazione delle performance, il monitoraggio comportamentale, la terminazione del rapporto lavorativo, per assegnare compiti sulla base del comportamento individuale o dei tratti e delle caratteristiche personali o per monitorare il comportamento delle persone nell’ambito di tali rapporti di lavoro. (Considerando 57, Articolo 26 comma 7, Allegato III punto 4), laddove per rischio si intende, la combinazione della probabilità del verificarsi di un danno e la gravità del danno stesso (Art. 2 Regolamento IA).
Rischio alto dunque quando le finalità di utilizzo di un sistema IA sono quelle sopra descritte con due limiti insuperabili, ossia da un lato il divieto all’articolo 5 dell’AI Act, di utilizzare
- sistemi che possano analizzare le emozioni di una persona fisica nell’ambito del luogo di lavoro; ovvero
- di categorizzazione biometrica che classificano individualmente le persone fisiche sulla base dei loro dati biometrici per trarre deduzioni o inferenze in merito a razza, opinioni politiche, appartenenza sindacale, convinzioni religiose o filosofiche, vita sessuale o orientamento sessuale;
e dall’altro il principio ai sensi dell’articolo 10 secondo cui i dati utilizzati per addestrare gli algoritmi devono tenere conto degli effettivi elementi rappresentativi della realtà e del contesto in cui dovranno operare, al fine di evitare discriminazioni generali.
Una volta identificato il livello di rischio, l’AI Act concepisce l’intervento umano ex ante, sia da parte specificatamente del fornitore nella progettazione di sistemi IA che, a cascata, del deployer (così anche nella versione italiana del Regolamento IA) ossia l’utilizzatore persona fisica e/o giuridica pubblica e/o privata che utilizza l’intelligenza artificiale per scopi professionali. Deployer che nel contesto lavorativo sarà quindi il datore di lavoro o, nel processo selettivo, colui che ambisce a diventarlo.
Obblighi del deployer ai sensi dell’AI Act
Cosa dovrà fare quindi il deployer – datore di lavoro per agire correttamente ai sensi del Regolamento IA, qualora intendesse utilizzare l’IA per finalità definite ad alto rischio?
Il considerando 93 definisce cruciale il ruolo dei deployer che utilizzano sistemi IA ad alto rischio al fine di informare le persone fisiche che sono soggette all’uso di tali sistemi IA. Sarà poi l’articolo 26 dell’AI Act a descriverne i principali obblighi generali.
Innanzitutto il comma 7 dell’articolo 26, stabilisce che prima di mettere in servizio o utilizzare un sistema di IA ad alto rischio sul luogo di lavoro, i datori di lavoro informano i rappresentanti dei lavoratori e i lavoratori interessati che saranno soggetti all’uso del sistema di IA ad alto rischio.
Oltre a dare preventiva informazione, sono previste ulteriori regole generali incluse anche in altri passaggi del Regolamento IA oltre che all’articolo 26, ossia e in sintesi,
(i) un uso conforme alle istruzioni del fornitore e adozione di adeguate misure tecniche e organizzative per l’uso corretto del sistema (art. 26);
(ii) la sorveglianza umana adeguata poiché eventuali decisioni automatizzate dovranno comunque essere supervisionate da persone fisiche (art. 14), e di riflesso
(iii) il personale che accede ai sistemi IA e che lo utilizza per conto del deployer dovrà avere la formazione e le competenze necessarie per un utilizzo corretto (art. 29)
(iv) l’effettuazione una notifica al fornitore e/o alle Autorità competenti, a seconda dei casi, tra cui quella del Garante per la protezione dei dati, in caso di anomalie gravi o incidenti informatici (art. 73);
(v) la conservazione dei log generati dal sistema per almeno 6 mesi, salvo diverse disposizioni nazionali (art. 12 e 29) e
(vi) una valutazione di impatto sui diritti fondamentali, predisposta secondo le previsioni dell’ articolo 35 del Gdpr (art. 29). Perciò tale valutazione dovrà essere effettuata prima dell’avvio dell’utilizzo del sistema di intelligenza artificiale, come previsto dal citato articolo e rivisita in caso di modifiche del sistema IA.
Infine, ai sensi dell’articolo 49, i deployer – datori di lavoro soggetti pubblici, dovranno altresì prima dell’utilizzo di un sistema IA registrarsi, indicare il sistema IA utilizzato e registrarne l’uso in una banca dati europea istituita ad hoc ai sensi dell’articolo 71.
Basi giuridiche GDPR per trattamenti automatizzati sul lavoro
Esauriti tali obblighi preliminari che sono prerogativa per l’utilizzo legittimo di un sistema IA, bisognerà poi preoccuparsi della legittimità del trattamento dei dati personali effettuato tramite l’intelligenza artificiale dal deployer-datore di lavoro- titolare del trattamento, ricordando che il RGPD garantisce – tra gli altri – all’interessato un diritto all’intervento umano ex post, con finalità correttiva e contestativa (art. 22, par. 3, e considerando 71).
Il Gdpr, come visto, continua infatti a sancire le modalità e le finalità lecite per trattare dati personali; l’art. 22 vieta decisioni fondate unicamente su processi automatizzati che producano effetti giuridici, salvo il ricorrere di specifiche condizioni, tra cui il consenso esplicito libero e revocabile in qualsiasi momento dell’interessato o altra base giuridica adeguata.
Ma il consenso nel contesto lavorativo, raramente può dirsi libero e revocabile, ragione per cui l’Autorità Garante per la protezione dei dati personali (Garante) nonché l’European Data Board Protection (EDBP) hanno più volte sottolineato la necessità di fondare i trattamenti di dati dei lavoratori su basi giuridiche più robuste, come l’interesse legittimo o l’esecuzione di obblighi contrattuali o adempimento di obblighi di legge (art. 6 Gdpr), sempre accompagnati da valutazioni d’impatto (DPIA) – prevista anche dall’AI Act come descritto nel paragrafo precedente – quando il trattamento è svolto con sistemi automatizzati atti ad avere un impatto sul rapporto di lavoro (in essere o futuro) e garanzie rafforzate di trasparenza informativa.
Inoltre, il documento del Garante intitolato “Questioni interpretative e applicative in materia di protezione dei dati connesse all’entrata in vigore del D.lgs. 104/2022” (cd. Decreto Trasparenza) costituisce un vero e proprio vademecum operativo per i datori di lavoro sia pubblici che privati in caso di utilizzo di sistemi decisionali automatizzati che possano influenzare assunzioni, licenziamenti, valutazioni o monitoraggi dei lavoratori. Il datore di lavoro dovrà infatti previamente fornire una serie di informazioni aggiuntive rispetto a quanto già previsto dal Gdpr all’articolo 13 e 14. Queste includono: le modalità di funzionamento dei sistemi, i parametri usati per addestrarli, i meccanismi di valutazione delle prestazioni, le misure di controllo e i processi di correzione, le misure di sicurezza dei sistemi e i potenziali impatti. Le informazioni devono essere fornite in modo chiaro, accessibile e in un formato leggibile.
Le informazioni dovranno essere rese note prima dell’inizio dell’attività lavorativa nei nuovi contratti o, per quelli già in essere al 1° agosto 2022, su richiesta scritta del lavoratore. La disciplina si applica anche ai lavoratori tramite piattaforme digitali ai sensi dell’articolo 47 ter del Job Act, nonché per il caso di collaborazioni ai sensi dell’articolo 409, comma 3 c.p.c. e a quelle etero organizzate di cui al Jobs Act.
Viene infine ribadito che qualora venga effettuato un processo decisionale completamente automatizzato che possa produrre effetti giuridici (assunzioni, licenziamenti, sanzioni disciplinari, assegnazione di bonus e benefit) o comunque significativi, i lavoratori hanno il diritto di ottenere l’intervento umano, esprimere la propria opinione e contestare la decisione, come previsto dall’art. 22 del Gdpr.
Ricordiamo anche come il Regolamento IA richieda sempre la supervisione umana e la verifica dei processi decisionali automatizzati.
E, in ogni caso, l’utilizzo di tali sistemi comporta sempre la necessità di verificare la liceità delle finalità del trattamento secondo quanto stabilito dalle normative di settore, compreso il rispetto dell’art. 4 dello Statuto dei Lavoratori.
L’articolo 4 dello Statuto dei lavoratori e le finalità del trattamento dei dati personali
L’articolo 4 dello Statuto dei lavoratori che nella versione novellata dal Job Act impone il rispetto della normativa in materia di trattamento di dati, vieta l’uso di strumenti di controllo a distanza, salvo previo accordo sindacale o autorizzazione dell’Ispettorato del Lavoro competente, fermo restando che tali mezzi di controllo debbano essere impiegati esclusivamente per finalità relative ad esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e solo in tali casi ci si potrà rifare al concetto di interesse legittimo del titolare (art. 6 comma 1 lett. f)) quale base giuridica per le finalità di trattamento citate.
Tra i trattamenti finalizzati alla tutela del patrimonio aziendale, rientrano anche i cosiddetti controlli difensivi, quali quelli atti ad indagare in caso di illeciti. Tali controlli – che si inseriscono anche nell’alveo della disciplina del whistleblowing – per essere leciti dovranno essere condotti solo successivamente al presunto comportamento illecito segnalato e/o sospettato e mai a priori e a tappeto.
Si noti come i richiamo all’articolo 26 comma 7 del Regolamento IA esaminato nel paragrafo precedente, che fa riferimento alla necessità di informare lavoratori e i rappresentanti dei lavoratori in merito all’uso di sistemi di monitoraggio, ben si inserisce nel contesto dell’Articolo 4, e laddove un sistema IA fosse usato in tal senso, la nostra normativa specialistica imporrebbe non solo una informativa, ma anche un placet da parte dei rappresentanti dei lavoratori.
Casi concreti di violazioni nell’uso intelligenza artificiale lavoro
Come esaminato, l’articolo 4 dello Statuto dei Lavoratori chiarisce le circostanze e i limiti in virtù dei quali un datore di lavoro, per suo interesse legittimo (base giuridica diversa dall’esecuzione di un contratto o di ottemperanza ad obblighi di legge) possa monitorare il proprio personale e due Provvedimenti, uno del Garante italiano e l’altro dell’Autorità francese per la protezione dei dati personali CNIL, seppure antecedenti al Regolamento IA, che vedono coinvolti sistemi algoritmici forniscono degli esempi concreti di quali tipologie di controllo siano considerate esorbitanti i parametri fin qui descritti.
Il primo Provvedimento è il n. 234 del 10 giugno 2021 avverso Foodinhno Srl accertamenti ispettivi individuarono numerose violazioni e un uso improprio di tecnologie e algoritmi proprio nella gestione dei dati personali dei rider.
Foodinho utilizzava un’app (Glover) per assegnare ordini ai rider sulla base di algoritmi sviluppati dalla capogruppo, che consideravano parametri come la vicinanza, il mezzo di trasporto e punteggi di prestazione (Excellence Score). I rider venivano tracciati in tempo reale durante i turni e durante la consegna, con aggiornamenti di posizione ogni 15 secondi e la registrazione dei percorsi, memorizzati per dieci mesi. Tuttavia, l’informativa resa ai rider non spiegava chiaramente né la logica della geolocalizzazione né l’esistenza di processi di profilazione automatizzata.
Era altresì emerso che il sistema di assegnazione degli ordini e di punteggio dei rider si basava su trattamenti automatizzati e profilazioni senza che fossero garantite adeguate tutele, come previsto dall’art. 22 del GDPR. L’algoritmo influenzava infatti l’accesso dei rider agli slot di lavoro, incidendo direttamente sulle loro possibilità di guadagno, senza adeguata trasparenza o possibilità di intervento umano significativo.
La Società fu multata per un importo pari ad euro 1,6 milioni.
Monitoraggio eccessivo e violazioni privacy con sistemi automatizzati
Il secondo provvedimento è stato emesso in Francia avverso Amazon France Logistique che con Provvedimento SAN-2023-021 il 27 dicembre 2023 la CNIL ha multato – per un importo pari ad Euro 32 milioni – per avere adottato pratiche di monitoraggio eccessivamente intrusive e lesive della dignità dei lavoratori, violando, tra gli altri, il principio di minimizzazione del trattamento (art. 5) del Gdpr.
Tra le violazioni riscontrate vi era l’uso di scanner assegnati a ogni lavoratore per registrare dettagliatamente ogni azione compiuta nei magazzini. In particolare, tre indicatori risultavano illeciti: “Stow Machine Gun”, che monitorava se un lavoratore scansiona troppo velocemente; “Idle Time”, che segnalava periodi di inattività dello scanner superiori a dieci minuti; e “Latency under ten minutes”, che rilevava brevi pause inferiori a dieci minuti. Tali strumenti sono stati considerati lesivi della privacy, in quanto sottoponevano i dipendenti a una sorveglianza serrata, generando pressione psicologica e obbligandoli a giustificare pause anche minime.
Se l’AI Act fosse stato applicabile al tempo dei Provvedimenti esaminati, la possibilità stessa di immettere sul mercato ovvero di utilizzare sistemi atti a creare discriminazioni o a ledere diritti fondamentali della persona, sarebbe stata impedita a monte. E quand’anche a livello di progettazione un’IA avesse passato il vaglio dei requisiti sanciti, è verosimile che un utilizzo delle tecnologie in maniera analoga a quello effettuato dalle società sanzionate, sarebbe stato altrettanto sanzionato dal Regolamento IA ai sensi dell’articolo 99.
Sfide implementative dell’intelligenza artificiale nel lavoro moderno
Eppure Amazon contestò duramente la posizione del CNIL annunciando ricorso (gli esiti se il ricorso fu fatto, non sono ancora noti alla data del presente articolo) e affermando in un comunicato stampa come la gestione dei magazzini con sistemi tecnologici avanzati fosse una pratica standard e necessaria per garantire sicurezza, efficienza e qualità del servizio.
D’altronde, la cospicua produzione normativa e di orientamenti vari degli ultimi anni sin qui esaminata si pone in contrapposizione quasi ideologica con un mondo lavorativo sempre più controllato ed automatizzato spesso sacrificando qualsiasi margine di “individualità” sui luoghi di lavoro. Produzione normativa che ribadisce costantemente il valore di certi diritti fondamentali in favore dei lavoratori e i comportamenti etici che i datori di lavoro dovrebbero adottare, aumentando – ad ogni nuova promulgazione – gli obblighi attivi in capo agli stessi, che siano obblighi procedurali, formali, documentali, imponendo anche sempre nuovi doveri di competenza e conoscenza in capo al datore-deployer- titolare che come minimo dovrà avvalersi di un numero sempre maggiori di consulenti o comunque nuove funzioni all’interno della Società, per non “sbagliare”; si pensi ad esempio al settore della pubblica amministrazione e alla obiettiva scarsa informatizzazione della generalità del personale, dirigenti inclusi, per mancanza di una formazione adeguata.
E allora ecco che anche nel recentissimo disegno di legge n. 1146 approvato in Senato lo scorso 20 marzo 2025 relativo a “Disposizioni e deleghe al Governo in materia di intelligenza artificiale” al fine di armonizzare ed integrare il Regolamento IA nel nostro sistema giuridico, all’articolo 11, Disposizioni sull’uso dell’intelligenza artificiale in materia di lavoro, leggiamo come l’intelligenza artificiale debba essere impiegata per migliorare le condizioni di lavoro, tutelare l’integrità psicofisica dei lavoratori, accrescere la qualità delle prestazioni lavorative e la produttività delle persone (…). E che l’utilizzo dell’intelligenza artificiale in ambito lavorativo deve essere sicuro, affidabile, trasparente e non può svolgersi in contrasto con la dignità umana né violare la riservatezza dei dati personali (…). Insomma, un sistema di intelligenza artificiale dovrebbe essere impiegato dal datore di lavoro per tutelare l’integrità psicofisica dei lavoratori e al tempo stesso per accrescere la produttività. Come questi obiettivi possano essere coincidenti nella realtà dei fatti, è tutto da vedere.
Entrata in vigore dell’AI Act e sua applicazione
Anche perché l’AI Act, è entrato sì in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea in data 12 luglio 2024, ma è applicabile dal 2 febbraio 2025 solo – in buona sostanza – in relazione ai sistemi di IA vietati all’interno dell’UE ed elencati all’articolo 5.
Dopodiché gli articoli 111 e 113, stabiliscono ulteriori diverse fasi di applicazione, rendendo in qualche modo macchinosa la comprensibilità di un testo già molto tecnico e dettagliato per un operatore che sia un fornitore, ma soprattutto un utilizzatore. Vediamone alcune.
Dal 2 agosto 2025 saranno applicabili le disposizioni del Regolamento sui modelli IA per finalità generali, il Capo VII relativo alla governance, il Capo XII relativo alle sanzioni, nonché una parte del Capo III che disciplina i Sistemi IA ad Alto Rischio e specificatamente quella relativa solo agli organismi di verifica di conformità dei sistemi IA e le Autorità che riceveranno tra gli altri, le notifiche di conformità. I fornitori di modelli di IA per finalità generali che sono stati immessi sul mercato prima del 2 agosto 2025 dovranno conformarsi agli obblighi del Regolamento entro 2 agosto 2027.
Dal 2 agosto 2026 saranno invece applicabili le parti del Regolamento IA – tra le altre – dedicate ai sistemi ad alto rischio di cui all’Allegato III che comprende i sistemi IA utilizzati nel contesto lavorativo. Tuttavia, per quei sistemi considerati ad alto rischio che sono stati immessi sul mercato o messi in servizio prima del 2 agosto 2026, le specifiche disposizioni per tali sistemi si applicheranno solo se questi necessitino – per essere utilizzati – di modifiche significative nella loro progettazione.
In altre parole, posto che modelli IA per finalità generali possono essere anche ad alto rischio a seconda dell’applicazione e delle impostazioni che vengono immesse nel sistema, sicuramente il fornitore dovrà adeguare qualsiasi sistema IA al Regolamento entro il 2 agosto 2027, ma qualora si fosse anche in presenza di un sistema con finalità di utilizzo ad alto rischio, gli obblighi più specifici diverranno tali – per i sistemi già in uso prima del 2 agosto 2026 – solo se sono operate delle modifiche sostanziali alla loro progettazione (come se diventassero un diverso sistema IA). Le autorità pubbliche poi, nel caso, dovranno adeguarsi entro i 2 agosto 2030.
Prospettive future per l’uso etico dell’intelligenza artificiale lavoro
E’ abbastanza evidente che questa applicabilità asincrona dell’AI Act potrà creare non pochi problemi interpretativi, ma soprattutto operativi e di controllo della correttezza dell’uso di tali sistemi, tanto più che la proliferazione negli anni di obblighi formali e sostanziali a carico degli imprenditori è andata di pari passo con il calare dei controlli da parte delle autorità competenti.
Ma come abbiamo visto sia il Gdpr sia la normativa giuslavoristica, offrono già diverse possibilità per operare e soprattutto per orientarsi correttamente rispetto ai limiti sistemici dell’utilizzo di tali strumenti: se il modello di IA usato da un datore di lavoro viola i principi del Gdpr e delle normative giuslavoristiche molto probabilmente starà violando anche i principi sanciti dall’AI Act, almeno a partire dalla data in cui sarà applicabile.
