Avv. Marco Galli, Avv. Massimiliano Cucé
Studio Legale Gattai, Minoli & Partners
L’utilizzo di sistemi di intelligenza artificiale diviene ogni giorno sempre più pervasivo e la rivoluzione avviene proprio davanti ai nostri occhi. Strumenti fino a ieri noti soltanto agli addetti ai lavori stanno entrando nella nostra quotidianità, rivoluzionando modelli che sembravano solidissimi soltanto fino a ieri: chi ha utilizzato una volta, anche solo per gioco, strumenti come ChatGPT sa bene che gran parte dei servizi online, per come li conosciamo, sono destinati a divenire ben presto obsoleti.
L’intelligenza artificiale possiede un potenziale dirompente in ambito aziendale: migliora e semplifica i processi, aumenta la produttività, contribuisce a migliori e più precise valutazioni del mercato e delle opportunità di business.
Dall’altro lato, l’utilizzo di questi sistemi comporta rischi nuovi e finora poco considerati. Rischi che, se non adeguatamente individuati, trattati e mitigati anche attraverso l’assistenza di soggetti professionali, possono impattare significativamente sull’impresa, tanto sotto il profilo economico – ad esempio, sanzioni e risarcimenti del danno – quanto sotto quello reputazionale.
Il quadro diviene, se possibile, ancor più complesso ove gli strumenti di AI vengano utilizzati per la gestione dei rapporti di lavoro. Si tratta di un argomento che ben si può definire di importanza “epocale”: fiumi di inchiostro sono già stati versati, e tanti altri se ne verseranno, dentro e fuori le aule di Tribunale.
Conviene quindi affrontare la tematica da una prospettiva più limitata, ma di grande impatto pratico per le realtà aziendali: quella della trasparenza, nei confronti dei lavoratori, circa le logiche sottese a decisioni incidenti sul rapporto di lavoro e adottate attraverso l’utilizzo di sistemi algoritmici e di intelligenza artificiale.
Il principio di trasparenza in materia di decisioni algoritmiche è sancito, in via generale, dal Regolamento (UE) 2016/679 (GDPR), che prevede all’articolo 22 una specifica disciplina in materia di decisioni “basate unicamente su un trattamento automatizzato che produca effetti giuridici significativi sull’interessato”. La norma prevede, nello specifico, il diritto dell’interessato a non essere sottoposto a decisioni automatizzate che producano effetti giuridici rilevanti nei suoi confronti, salvo alcuni casi particolari, quali il consenso o la necessità di concludere o eseguire un contratto di cui l’interessato è parte.
Anche in presenza di un’eccezione a tale divieto, il titolare del trattamento è in ogni caso tenuto ad attuare misure idonee a tutela dei diritti e delle libertà dell’interessato, quali il diritto dell’interessato di richiedere un intervento umano, di esprimere la propria opinione, o di contestare la decisione.
La norma, in sé considerata, non pare prevedere alcun obbligo specifico in materia di trasparenza in relazione alle decisioni algoritmiche e automatizzate. Tuttavia, letta in combinato disposto con la previsione in materia di informativa (articolo 13) e con il Considerando 71 GDPR, essa lascia spazio interpretativo circa l’esistenza di un vero e proprio obbligo di spiegazione relativo alle logiche e alle conseguenze sottese alla decisione algoritmica.
Il Considerando 71 ricomprende infatti tra le garanzie adeguate a tutela dell’interessato in caso di decisioni automatizzate il diritto di ottenere una spiegazione della decisione conseguita dopo le valutazione algoritmica, mentre l’articolo 13 ricomprende nell’ambito dell’obbligo di informativa anche “l’esistenza di un processo decisionale automatizzato … e informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato”.
Proprio la carenza di informativa ai rider circa le modalità e alle caratteristiche dei trattamenti automatizzati posti in essere è uno degli elementi che il Garante ha recentemente valorizzato nell’infliggere a Foodinho una sanzione da oltre due milioni e mezzo di Euro.
Da segnalare è inoltre il D.lgs. 104/2022 (Decreto Trasparenza), che recepisce la Direttiva (UE) n. 2019/1152, che sancisce l’obbligo per il datore di lavoro di informare i prestatori circa l’utilizzo di processi decisionali e di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini dell’assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione dei compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori.
Gli obblighi di trasparenza non trovano la loro fonte soltanto nel GDPR e nel Decreto Trasparenza. L’AI Act, la nota proposta di Regolamento dell’Unione Europea sull’intelligenza artificiale, si propone infatti di regolamentare i sistemi di intelligenza artificiale “ad alto rischio”, tra i quali rientrano espressamente i sistemi per l’assunzione e la gestione del personale.
La bozza di regolamento in discussione prevede, allo stato, che tali sistemi debbano essere progettati e sviluppati in modo tale da garantire che il loro funzionamento sia sufficientemente trasparente da consentire agli utenti di interpretare l’output e utilizzarlo adeguatamente. I sistemi ad alto rischio dovranno inoltre essere accompagnati da istruzioni per l’uso che specifichino, tra le altre cose “le caratteristiche, le capacità e i limiti delle prestazioni del sistema”.
Tutta la disciplina in materia di protezione di dati personali deve, peraltro, essere strettamente coordinata con le disposizioni giuslavoristiche e, in particolare, con lo Statuto dei Lavoratori: l’utilizzo di sistemi di intelligenza artificiale o, comunque, algoritmici nell’ambito del rapporto di lavoro rappresentano difatti con alto grado di probabilità uno strumento di controllo del lavoratore, anche solo a livello potenziale.
Trova pertanto applicazione la disciplina in materia di controlli a distanza, di cui all’art. 4 dello Statuto dei Lavoratori, con le conseguenti limitazioni d’uso alle sole esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale, oltre all’obbligo di preventivo accordo con la rappresentanza sindacale aziendale o, in assenza, di preventiva autorizzazione da parte dell’Ispettorato del Lavoro.
Il lavoratore deve, peraltro, essere portato a debita conoscenza, nel rispetto della normativa privacy, circa la modalità d’uso dei predetti strumenti, pena l’inutilizzabilità di tutte le informazioni raccolte attraverso di essi per finalità connesse al rapporto di lavoro.
Le brevi considerazioni che precedono evidenziano quanto possa rivelarsi complesso adempiere agli obblighi di trasparenza che la normativa impone nell’utilizzo di sistemi algoritmici e di intelligenza artificiale, soprattutto in un ambito estremamente regolamentato come quello lavoristico.
Ciò, soprattutto, alla luce dell’opacità che normalmente caratterizza tali sistemi, che comporta un certo grado di difficoltà nello “spiegare” le logiche sottese alla decisione, specie nei casi più complessi – come quelli delle reti neurali e dei sistemi di deep learning – costituite da centinaia o migliaia di layer nascosti e di nodi che aumentano l’imperscrutabilità. Algoritmo che, peraltro, potrebbe addirittura avere carattere dinamico, imparando a seconda degli input ricevuti e modificandosi nel tempo a livelli di complessità difficili da determinare a valle.
È, in conclusione, di primaria importanza verificare, con attenzione e in via preventiva, le modalità più adeguate per informare correttamente i dipendenti, non solo sotto la prospettiva strettamente giuridica, ma coinvolgendo il più possibile le diverse funzioni aziendali interessate (IT, risorse umane, ecc.) per valutare con (ragionevole) certezza la “pervasività” dello strumento che si intende implementare ed utilizzare e, pertanto, gli impatti sui diritti e le libertà dei lavoratori.