ai act, Gdpr, decreti

IA e lavoro: ecco tutte le norme che le aziende devono conoscere



Indirizzo copiato

L’AI Act si intreccia con normative esistenti come il Decreto Trasparenza e il GDPR. Un’analisi di: obblighi informativi, sistemi vietati e classificazione dei rischi nel contesto lavorativo

Pubblicato il 21 nov 2024



ia e lavoro (2) (1)

L’uso di sistemi di intelligenza artificiale sul posto di lavoro rappresenta uno dei terreni più scivolosi sul quale si è poggiato il piede del Regolamento 1689/24, l’ormai noto AI Act. È proprio nelle relazioni lavorative, infatti, che si gioca una partita decisiva nel reperimento di un punto di equilibrio tra la promozione di una “IA antropocentrica e affidabile” e la garanzia di un “livello elevato di protezione della salute, della sicurezza e dei diritti sanciti dalla Carta dei diritti fondamentali” (considerando n. 1).

C’è da chiedersi, allora: le nuove disposizioni con le quali ci dovremo misurare in sede di applicazione del Regolamento IA costituiscono davvero delle novità? Come si coordinano con quelle già esistenti?

Per iniziare a rispondere a questi interrogativi, e fatti salvi tutti gli approfondimenti che saranno necessari nei mesi a venire, può essere utile fare un po’ di ordine.

Decreto trasparenza e sistemi decisionali o di monitoraggio automatizzati

Scatenando letteralmente il panico tra gli interpreti della prima ora, il d.gls.104 del 2022 aveva introdotto ormai due anni fa una disposizione che anticipava i temi oggi affrontati nel Regolamento IA, e che fu vista fin da subito con terrore e diffidenza. La novità era stata collocata eloquentemente nel d.lgsl. 152/1997, e cioè a dire nel (ormai risalente) impianto di obblighi di informazione fissati a carico del datore di lavoro pubblico e privato, mediante la declinazione del nuovo art. 1 bis, rubricato “Ulteriori obblighi informativi nel caso di utilizzo di sistemi decisionali o di monitoraggio automatizzati”, che così recitava al comma 1:

“Il datore di lavoro o il committente pubblico e privato è tenuto a informare il lavoratore dell’utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori. Resta fermo quanto disposto dall’art. 4 L. 300/70.

Seguiva – e segue – al comma 2 un elenco ultra dettagliato di informazioni da fornire ai lavoratori (ed – a norma del comma 6 – anche ai sindacati), tale da far tremare le mani ed i polsi a chi fosse stato – e fosse – chiamato ad articolarle, visto che accanto ad elementi di base (quali “gli aspetti del rapporto di lavoro sui quali incide l’utilizzo dei sistemi automatizzati, ed i loro “scopi e finalità”), si ponevano – e si pongono – categorie di difficilissima gestione, quali:

la “logica ed il funzionamento” dei sistemi (sic!);

– “i parametri principali utilizzati per programmare o addestrare i sistemi, inclusi i meccanismi di valutazione delle prestazioni”;

– le “misure di controllo adottate per le decisioni automatizzate” e “gli eventuali processi di correzione”;

– fino ad arrivare al record del mondo, essendo il datore onerato di informare il lavoratore anche del “livello di accuratezza, robustezza e cybersicurezza dei sistemi” e delle “metriche utilizzate per misurare tali parametri”!

Pubblicata la norma, tanto critica da esser sottoposta ad immediati interventi interpretativi dell’Ispettorato del Lavoro (Circolare n. 4/22) e del Ministero del Lavoro (Circolare n. 19/22), l’unica certezza fu ab initio che il solo modo di misurarsi con una pietanza così indigeribile, fosse quello di … boicottarla in tutti i modi, cercando di limitare al massimo la relativa area applicativa. E’ in questa direzione che vanno letti i tentativi esegetici di perimetrare il concetto stesso di “sistema decisionale o di monitoraggio automatizzato” ad un ambito talmente residuale e circoscritto da risultare estraneo alla stragrande maggioranza dei sistemi utilizzati sul posto di lavoro. Ed è proprio su questo crinale, che si è dichiaratamente collocato anche il Legislatore (o meglio, il nuovo Governo), che con l’art. 26 d.l. 48/2023 dalla rubrica eloquente (“Semplificazioni in materia di informazioni in merito al rapporto di lavoro”) ha introdotto nella norma un piccolo e potentissimo avverbio, limitando tutti i sopra richiamati obblighi informativi ai soli sistemi decisionali e di monitoraggio “integralmente” automatizzati.

Giusto o sbagliato che sia, è bastato questo a far scomparire dal dibattito la questione, e se si affronta il tema con un minimo di onestà intellettuale, dobbiamo riconoscere che nessuno, proprio nessuno ne ha sentito la mancanza: la norma si è quindi sostanzialmente inabissata, essendosi considerata con giubilo la relativa portata applicativa tanto ristretta da non abbisognare più di allarmi e lamentazioni.

Il Garante, il GDPR ed i processi decisionali automatizzati

Ad una tavola così imbandita, non poteva non partecipare il Garante per la protezione dei dati personali, come noto estremamente attento a tutti i crocevia tra privacy e lavoro, tanto da aver vestito a più riprese gli abiti dell’interprete su importantissime ed ultradecennali disposizioni di pura emanazione giuslavoristica (prima fra tutte, l’art. 4 dello Statuto dei Lavoratori sui controlli a distanza).

È in questa prospettiva che, nell’approcciare il Regolamento IA, torna estremamente utile rileggere il documento (divulgativo?) pubblicato sulla Newsletter del 24.01.23 e denominato “Questioni interpretative e applicative in materia di protezione dei dati connesse all’entrata in vigore del Decreto Trasparenza”.

Una rilettura importante per due ordini di ragioni:

  • il Garante, come era immaginabile, richiamava un po’ tutti a considerare che sul tema fosse già in vigore da un po’ una norma, l’art. 22 del GDPR (“Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione”), che pur avendo un respiro ben più ampio in quanto non dedicata soltanto ai rapporti di lavoro, dettava già dei principi ovviamente applicabili anche in questo ambito, quali: il diritto dell’interessato/lavoratore a non esser sottoposto a decisioni basate sui meri algoritmi senza il suo consenso (se non a certe condizioni), o il diritto di pretendere dal titolare/datore di lavoro un “intervento umano” nella adozione delle stesse;
  • ma ciò che è ancora più importante, con degli argomenti illuminati che come stiamo per vedere anticipavano le disposizioni dell’odierno Regolamento IA, già in tempi non sospetti il Garante sollevava il dubbio (o meglio, una certezza mascherata da dubbio) che alcuni sistemi pur presi in considerazione in astratto nelle Circolari dell’Ispettorato e del Ministero del lavoro sopra citate, potessero considerarsi leciti se riguardati alla luce delle disposizioni privacy (e non). Secondo il Garante, infatti, quando si parla nel contesto lavorativo di “software per il riconoscimento emotivo” o di “strumenti di data analytics o machine learning, rete neurali, deep-learning”, o ancora di “sistemi automatizzati di rating e di ranking”, allora non c’è informazione che tenga, al datore di lavoro deve essere impedito l’uso di queste diavolerie.

Regolamento IA: sistemi vietati e ad alto rischio

È alla luce di questa necessario ricostruzione di contesto, che devono e possono esser lette alcune disposizioni del Regolamento IA, e nello specifico:

  • sistemi vietati: come sappiamo, l’intera impalcatura articolata dal Legislatore Europeo ruota intorno alla classificazione dei sistemi di IA, partendo innanzitutto dalla categorizzazione dei sistemi che, sulla base delle loro caratteristiche, devono esser espulsi da una società che voglia mantenersi antroprocentrica e non “governata” dalle macchine. L’art. 5 del Regolamento IA individua quindi una serie di “pratiche i IA vietate”, e fra queste, ad esempio, quelle idonee ad “inferire le emozioni di una persona fisica nell’ambito del luogo di lavoro” (lett. f). In questo senso, le preoccupazioni del Garante sopra richiamate hanno trovato quindi una piena conferma, e a nessun datore di lavoro potrà mai essere permesso, anche adempiendo agli obblighi di informazione, di utilizzare una pratica così invasiva e dirompente;
  • sistemi ad alto rischio: con un ventaglio di garanzie (che non è questa le sede per poter ricostruire), il Regolamento all’art. 6 e nell’allegato III identifica sistemi di IA che pur presentando dei gravi rischi, possono essere utilizzati anche dai datori di lavoro. In questo quadro, spiccano alcune disposizioni di grande interesse:
  • nel citato allegato III (richiamato dall’art. 6), in seno ad una elencazione di sistemi ad alto rischio, è presente una sezione denominata “Occupazione, gestione dei lavoratori e accesso al lavoro autonomo”, nella quale sono espressamente indicati i sistemi di IA destinati a essere utilizzati: “a) per l’assunzione o la selezione di persone fisiche, in particolare per pubblicare annunci di lavoro mirati, analizzare o filtrare le candidature e valutare i candidati; b) per adottare decisioni riguardanti le condizioni dei rapporti di lavoro, la promozione o cessazione dei rapporti contrattuali di lavoro, per assegnare compiti sulla base del comportamento individuale o dei tratti e delle caratteristiche personali o per monitorare e valutare le prestazioni e il comportamento delle persone nell’ambito di tali rapporti di lavoro”.

Anche un sistema automatizzato di rating o di ranking utilizzato sul posto di lavoro, dunque, secondo il Legislatore Europeo, può a certe condizioni e con determinate garanzie essere utilizzato, e non può esser considerato vietato a monte (come ipotizzava il Garante);

  • l’art. 26 par. 6, dettando le regole che devono rispettare i datori di lavoro che intendano mettere in servizio o utilizzare un sistema ad alto rischio sul luogo di lavoro, li obbliga espressamente ad “informare i rappresentanti dei lavoratori e i lavoratori interessati“, chiarendo che “tali informazioni sono fornite, se del caso, conformemente alle norme e alle procedure stabilite dal diritto e dalle prassi dell’Unione e nazionali in materia di informazione dei lavoratori e dei loro rappresentanti”.

Ecco che allora, il cerchio si chiude: così come il decreto trasparenza ruota intorno agli obblighi informativi per il datore di lavoro che adotti sistemi decisionali o di monitoraggio integralmente automatizzati, nello stesso modo il Regolamento IA fa assumere agli obblighi informativi il medesimo ruolo decisivo, laddove quei sistemi siano riconducibili alla natura di sistemi di IA e siano classificabili “ad altro rischio”, come quelli elencati nell’allegato III. E se è vero, come lo è, che il Regolamento impone di fornire le informazioni seguendo le norme nazionali, il cadavere dell’art. 1 bis del Decreto Trasparenza riemerge in tutta la sua criticità!

Uno sguardo sistemico alle disposizioni dell’AI Act

Le disposizioni del Regolamento IA che hanno un impatto sulle relazioni lavorative devono essere guardate in modo sistemico, perché affrontarle isolatamente non permette di coglierne gli elementi realmente innovativi.

La certezza è una sola: ci sarà molto da riflettere, e da studiare.

EU Stories - La coesione innova l'Italia

Tutti
Social
Iniziative
Video
Analisi
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4