La radicale trasformazione del lavoro, visto il quasi totale passaggio allo smart working a seguito del periodo pandemico da Covid-19 che ha coinvolto il nostro paese, e non solo, negli ultimi due anni, ha maggiormente accelerato il processo di implementazione dell’intelligenza artificiale e degli strumenti, i quali si basano su degli algoritmi creati e finalizzati a gestire e valutare le prestazioni dei dipendenti che lavorano da casa.
Tutto questo incide inevitabilmente sulla necessaria instaurazione di misure per la protezione dei lavoratori dalle minacce che tali strumenti possono rappresentare per la loro privacy e salute mentale, soprattutto perché, negli ultimi anni, l’IA e la gestione algoritmica sono state impiegate in maniera massiccia.
Scopriamo di più si seguito.
Tutto questo incide inevitabilmente sulla necessaria instaurazione di misure per la protezione dei lavoratori dalle minacce che tali strumenti possono rappresentare per la loro privacy e salute mentale, soprattutto perché, negli ultimi anni, l’IA e la gestione algoritmica sono state impiegate in maniera massiccia. Scopriamo di più si seguito.
GLI ALGORITMI E IL CONTROLLO SUI LAVORATORI
Un esempio tipico del modello di lavoro controllato da algoritmi riguarda Amazon, il quale ha introdotto dispositivi indossabili che monitorano la produttività degli operai ed anche la durata delle loro pause bagno, con evidenti violazioni reiterate che conseguono poi alla risoluzione algoritmica del contratto.
Le forme di lavoro nelle piattaforme digitali hanno rappresentato il luogo più adatto per dare prova al cosiddetto monitoraggio tecnologico dei dipendenti; la pandemia ha contribuito certamente a generalizzare tali tecniche che ad oggi rappresentano un punto di svolta importante per i diritti del lavoro.
Il monitoraggio include e-mail, localizzazione, finestre di chat private e screenshot, tutti metodi utilizzati al fine di controllare i dipendenti ed esser certi che siano seduti alla scrivania.
L’enorme quantità di dati che devono essere gestiti fa sì che le aziende si ritrovino in balia di un processo decisionale automatico il che le rende certamente vulnerabili dinanzi alle imprecisioni che potrebbero rivelarsi dannose per la carriera delle persone.
Una cosa è certa, in questa era, di totale cambiamento, risulta necessario che il progetto del Regolamento UE sia in grado di rassicurare i lavoratori sul fatto che i loro diritti siano protetti dalle pratiche di sorveglianza, anche se ad oggi risulta ancora poco produttivo poiché si lascia l’implementazione delle tutele al datore di lavoro che può, quindi, farle rispettare come meglio crede.
COME SI POSSONO TUTELARE I DIRITTI DEI LAVORATORI?
È tesi assai condivisa il fatto che, nella maggior parte dei casi, il datore di lavoro medio non sia spesso consapevole dei rischi associati ad alcune tecnologie, che ben potrebbero violare i principi legati alla privacy del lavoratore.
Inoltre, nonostante ci si sia mobilitati nel ricercare nuove forme di tutela in questo ambito, in sede di attuazione della Direttiva UE 2019/1152, relativa all’introduzione di tutele volte ad assicurare condizioni di lavoro trasparenti e prevedibili nell’Unione europea, si sono posti diversi dubbi.
La Direttiva UE 2019/1152 del 20 giugno 2019, relativa per l’appunto alle nuove condizioni di lavoro, è intervenuta sancendo il diritto del lavoratore ad essere messo a conoscenza in merito alle “condizioni contrattuali applicabili al proprio rapporto di lavoro”.
scopo della Direttiva è quello di cercare di dettare, a livello dell’Unione Europea, delle prescrizioni minime nella comunicazione degli elementi essenziali del rapporto di lavoro e sulle condizioni applicabili, ciò al fine di “garantire che tutti i lavoratori dell’Unione fruiscano di un livello adeguato di trasparenza e di prevedibilità”.
Da qui risulta più che lampante quello che è un impatto diretto sull’articolata normativa di protezione dei dati personali, e quindi sul GDPR.
IL D.LGS. 27 GIUGNO 2022 N. 104 “DECRETO TRASPARENZA”
In adeguamento agli standard europei il Decreto D.lgs. 27 giugno 2022 n. 104, cosiddetto “Decreto Trasparenza” vengono introdotti nuovi obblighi informativi in capo al datore di lavoro al momento della stipula di un contratto, che vanno dalle informazioni sulle condizioni di lavoro alla durata del periodo di prova fino alla prevedibilità minima della prestazione professionale in caso di lavori “atipici”.
L’obiettivo è certamente quello di migliorare le modalità di accesso dei lavoratori alle informazioni che riguardano le condizioni di lavoro, anche e soprattutto in adeguamento ai parametri europei.
In particolare, il provvedimento chiarisce ogni aspetto informativo e punta a non lasciare più margini di incertezza in capo al lavoratore, soprattutto per ciò che riguarda le diverse tipologie di lavoro non standard e diverse dai rapporti subordinati.
La norma modifica sostanzialmente il precedente Decreto Legislativo n.152 del 1997, il quale già prevedeva un obbligo in capo al datore di lavoro nel fornire al dipendente tutte le informazioni riguardanti il proprio rapporto di lavoro.
In pratica, dunque, il datore di lavoro, pubblico e privato, deve fornire al lavoratore, entro 30 giorni dall’assunzione, le relative informazioni sul rapporto di lavoro.
Inoltre, in base a quanto sancito dal Decreto, il datore di lavoro deve adempiere ai nuovi obblighi informativi consegnando al lavoratore le suddette informazioni al momento dell’instaurazione del rapporto di lavoro e prima dell’inizio dell’attività lavorativa.
A porre diversi dubbi è stato sicuramente l’introduzione dell’art. 1-bis recante “Ulteriori obblighi informativi nel caso di utilizzo di sistemi decisionali o di monitoraggio automatizzati”.
La disposizione, in vigore dal 13 agosto 2022, pur sembrando una disposizione introdotta a beneficio dei lavoratori, rubricata per l’appunto come “introduzione di ulteriori obblighi informativi”, non sembrerebbe vietare tali sistemi, anzi, al contrario, ritenendo necessario informare il lavoratori di essi, appare pacifica l’idea di consentire “l’utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori”
IL RAPPORTO DEL DECRETO TRASPARENZA E IL NUOVO ART. 1-BIS CON IL GDPR
Come suddetto l’introduzione nel nuovo 1-bis ha posto un ulteriore dubbio circa l’inserimento di garanzie che sarebbero in realtà già esistenti, quali a titolo di esempio il diritto di accesso ai dati personali ovvero l’obbligo di informare sulle finalità del trattamento.
Bisogna difatti meglio comprendere se il su citato articolo facendo riferimento a sistemi decisionali e a decisioni automatizzate voglia piuttosto intendere in modo ristretto le decisioni unicamente automatizzate e significative normate ai sensi dell’art. 22 GDPR, o, alla lettera, qualsiasi decisione presa con l’ausilio di sistemi elettronici o di altro genere, ma nella quale l’apporto umano potrebbe essere rilevante.
È di fondamentale importanza chiarire il punto, in quanto se ci trovassimo nell’ultimo caso l’area di applicazione del citato 1-bis risulterebbe allora notevolmente più estesa.
Ulteriori dubbi vengono a crearsi in riferimento al comma quarto del nuovo art. 1-bis, il quale sembra introdurre nell’informativa anche “le istruzioni per il lavoratore in merito alla sicurezza dei dati”, attuando così una sorta di mescolanza, si direbbe inopportuna, tra gli articoli 13 e 29 GDPR.
Un contributo, ma purtroppo negativo, che ha contribuito a peggiorare il tutto è stata la casistica individuata dal Ministero del Lavoro e delle Politiche sociali con circolare n. 19 del 20 settembre 2022, dove leggiamo tra gli esempi di sistemi decisionali automatizzati: “software per il riconoscimento emotivo”, “strumenti di data analytics o machine learning, rete neurali, deep-learning”, “sistemi per il riconoscimento facciale, sistemi di rating e ranking”.
Si è dato in tal modo, il via al pieno sviluppo degli algoritmi di controllo applicati alla prestazione lavorativa.
Ma è proprio nell’ambito di questo contesto normativo che interviene il Garante.
L’Autorità ha infatti precisato particolarmente avvertita e necessaria l’esigenza di coordinamento, ponendo in particolare due vincoli.
Primo fa tutti bisogna sempre domandarsi se i sistemi utilizzati, di cui discusso sopra, siano leciti e, qualora la risposta sia positiva, in quale misura.
L’onere di tale obbligo, ovvero di porsi la questione della compatibilità dei sistemi decisionali e di monitoraggio con la normativa vigente, è solo e soltanto il titolare del trattamento, e quindi, il datore di lavoro pubblico e privato, ovvero anche il committente, posto che “l’impiego di tali sistemi di monitoraggio particolarmente invasivi, pone, anzitutto, un tema di liceità dei trattamenti di dati personali effettuati mediante gli stessi” e soprattutto pone dubbi in ordine al rispetto del principio di proporzionalità.
Il secondo vincolo fondamentale riguarda, invece, la collocazione della novella nella gerarchia delle fonti.
Difatti, L’Autorità di controllo riconduce il Decreto Trasparenza non nell’area delle deroghe bensì in quella delle precisazioni di garanzia, e per l’esattezza all’art. 88 GDPR.
La corretta collocazione dell’art. 1-bis tra le disposizioni di garanzia ha quale conseguenza che nessuna previsione ivi contenuta può derogare al Regolamento in peius per il lavoratore.
QUAL È LA DOCUMENTAZIONE DA ADOTTARE
Per ciò che concerne la redazione del DPIA (Data Protection Impact Assessment) il nuovo art. 1-bis d.lgs. 152/1997 prevede che “al fine di verificare che gli strumenti utilizzati per lo svolgimento della prestazione lavorativa siano conformi alle disposizioni previste dal GDPR, il datore di lavoro o il committente effettuano un’analisi dei rischi e una valutazione d’impatto degli stessi trattamenti”, effettuando altresì, qualora ci siano i presupposti, a consultazione preventiva.
È bene precisare in questo caso che, il fatto di aver previsto il DPIA all’interno della formulazione dell’articolo suddetto, non vuole intendersi l’introduzione di un nuovo caso di DPIA obbligatoria, ma viene semplicemente richiamata la legge che prevede, per l’appunto, i casi in cui tale obbligo sia previsto in base alle regole generali.
È di fondamentale importanza chiarire il punto, in quanto se ci trovassimo nell’ultimo caso l’area di applicazione del citato 1-bis risulterebbe allora notevolmente più estesa.
Ciò viene chiaramente espresso dal Garante, ricordando in particolare, quelle che sono le linee guida europee nonché una breve rassegna degli indici rilevanti, inclusa la situazione di vulnerabilità in cui verte il lavoratore, e facendo espresso richiamo al proprio provvedimento dell’11 ottobre 2018 relativo ai casi in cui la DPIA è obbligatoria.
Rimane dovuta, invece, l’analisi del rischio, in ottemperanza alla regola generale prevista dall’art. 32 GDPR.
Per ciò che attiene, invece, i registri del trattamento, l’Autorità chiarisce, sempre in linea con quanto previsto dal GDPR, che “il titolare del trattamento non è tenuto a informare gli interessati della predisposizione del registro e di ogni aggiornamento dello stesso”, questo nonostante il fatto che la confusa formulazione dell’art. 1-bis possa far ritenere diversamente.
Anche in riferimento all’Informativa, l’Autorità si è espressa rispetto alla corretta collocazione dei nuovi obblighi di comunicazione al lavoratore ed evidenzia la necessità di astenersi da frammentazione e dispersione degli apporti conoscitivi, poiché ciò si porrebbe in contrasto con l’art. 12 GDPR.
Dunque, di regola, le ulteriori previsioni previste dall’art. 1-bis vanno sempre e in ogni caso integrate nell’informativa ex art. 13 o se del caso 14 GDPR.
Infine, rispetto all’espressione di “decisione automatizzata”, il Garante interpreta, com’è conforme a diritto, l’espressione letteralmente, ciò significa che viene ripreso in sostanza il significato proprio delle parole utilizzate dal legislatore.
Ne consegue che rientra nell’ambito di tale concetto anche la decisione non unicamente automatizzata, ossia quella in cui si affianca all’algoritmo un più o meno ampio margine di intervento umano.
Nel caso invece i sistemi impiegati diano luogo anche a un processo decisionale unicamente automatizzato, troverà applicazione l’art. 22 del Regolamento.
Come hai probabilmente notato leggendo questo articolo, è ormai sempre più diffuso l’utilizzo di algoritmi e di software per la sorveglianza dei lavoratori ma è anche fortemente regolamentato il loro impiego.
Se vuoi avere maggiori informazioni sulle disposizioni normative riguardo l’impiego di algoritmi per la sorveglianza dei lavoratori nel rispetto delle normative che tutelano la privacy, siamo pronti a dedicarti tutto il nostro supporto.
Scrivici all’indirizzo di posta elettronica info@abinnovationconsulting.com, oppure compila il modulo seguente.
