Imprese tenute alla trasparenza sull’uso dell’Intelligenza Artificiale sul lavoro tra Dlgs Trasparenza, AI Act, e Gdpr
Imprese e Pa sempre tenute alla trasparenza sull’uso di sistemi automatizzati nell’organizzazione del lavoro: gli obblighi informativi a favore di lavoratori e sindacati valgono, senza deroghe, sia per le automatizzazioni totali, sia per quelle parziali e anche per l’uso di sistemi di intelligenza artificiale con sorveglianza umana. È quanto discende dalla lettura sistematica del regolamento Ue sull’intelligenza artificiale n. 2024/1869 (entrato in vigore il 1° agosto 2024) del Regolamento Ue sulla privacy n. 2016/679 (Gdpr), del decreto legislativo 152/1997 (obblighi di trasparenza del datore di lavoro) e dell’articolo 4 della legge 300/1970.
Si tratta, in ogni caso, di un’intricata rete di obblighi che si intersecano e si sovrappongono, creando alcune difficoltà applicative.
Il dlgs trasparenza – L’articolo 1-bis del dlgs 152/1997 (inserito dal dlgs 104/2022 e modificato dal decreto-legge 48/2023) prevede a carico dei datori di lavoro (privati e pubblici) specifici obblighi informativi nel caso di utilizzo di sistemi decisionali o di monitoraggio “integralmente” automatizzati.
L’avverbio “integralmente”, non indicato nella rubrica dell’articolo 1-bis, è stato inserito d’urgenza (dal d-l 48/2023) nel testo del primo comma del medesimo articolo 1-bis: la modifica è stata motivata dalla necessità di semplificare la vita alle imprese, esonerandole da pesanti obblighi informativi. Ma era già chiaro allora (si veda ItaliaOggi dell’11 maggio 2023), che non c’era alcun alleggerimento di adempimenti per i datori di lavoro pubblici e privati.
La stessa formulazione della norma era comunque equivoca non potendosi interpretare in maniera certa quando un sistema sia integralmente automatizzato o parzialmente automatizzato. In ogni caso, in base all’articolo 1-bis del dlgs 152/1997, sono soggetti agli obblighi informativi i sistemi decisionali o di monitoraggio integralmente automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori.
L’esecuzione di questo adempimento informativo, a favore di lavoratori e ai sindacati, è così articolato: 1) fornitura di complete informazioni, prima dell’inizio dell’attività lavorativa; 2) diritto di accesso alle medesime informazioni; 3) istruzioni al lavoratore sulla sicurezza dei dati; 4) preventivo aggiornamento delle informazioni in caso di modifiche ai sistemi.
Le sanzioni per le violazioni degli obblighi di trasparenza e di informazione sopra descritti sono fissate dall’articolo 19, comma 2, del dlgs 276/2003 e sono strutturate in forma di penale su base mensile, stabilita in un importo da 100 a 750 euro. Se, però, la violazione si riferisce a più di cinque lavoratori la sanzione amministrativa è da 400 a 1.500 euro. Se la violazione si riferisce a più di dieci lavoratori, la sanzione amministrativa è da mille a cinque mila euro e non è ammesso il pagamento della sanzione in misura ridotta. Per la violazione dell’obbligo di comunicare dati e informazioni ai sindacati è prevista, per ciascun mese in cui si verifica la violazione, la sanzione amministrativa pecuniaria da 400 a 1.500 euro. Questi importi si cumulano con le sanzioni previste dal Gdpr e dal codice della privacy.
L’intelligenza artificiale – I sistemi usati sul luogo di lavoro, anche quelli presi di mira dal dlgs 152/1997, potranno essere rappresentati e sicuramente lo saranno, anche nell’immediato futuro, da sistemi di intelligenza artificiale: in questi casi bisogna tenere conto degli adempimenti previsti dal regolamento Ue sull’intelligenza artificiale n. 2024/1869, in particolare per i sistemi di IA “ad alto rischio”. Tra i sistemi di IA ad alto rischio, infatti, l’allegato III al regolamento Ue sull’intelligenza artificiale annovera i sistemi destinati a essere utilizzati per adottare decisioni riguardanti le condizioni dei rapporti di lavoro, la promozione o cessazione dei rapporti contrattuali di lavoro, per assegnare compiti sulla base del comportamento individuale o dei tratti e delle caratteristiche personali o per monitorare e valutare le prestazioni e il comportamento delle persone nell’ambito di tali rapporti di lavoro.
L’articolo 26, paragrafo 7, del regolamento Ue sull’IA prevede obblighi di trasparenza per i sistemi di IA ad alto rischio, per i quali deve comunque essere garantita la sorveglianza umana (articolo 14). In particolare, il citato paragrafo 7 dispone che prima di mettere in servizio o utilizzare un sistema di IA ad alto rischio sul luogo di lavoro, i deployer (cioè gli utilizzatori), che sono datori di lavoro, devono informare i rappresentanti dei lavoratori e i lavoratori interessati che saranno soggetti all’uso del sistema di IA ad alto rischio. L’articolo 26 citato aggiunge che queste informazioni preventive dovranno essere fornite, se del caso, conformemente alle norme e alle procedure stabilite dal diritto e dalle prassi dell’Unione europea e nazionali in materia di informazione dei lavoratori e dei loro rappresentanti. A questo ultimo riguardo l’articolo 26 del regolamento sull’intelligenza artificiale deve essere coordinato con l’articolo 1-bis del dlgs 152/1997, che sviluppa l’obbligo informativo su più livelli: in particolare, occorrerà che le autorità spieghino se nel gruppo dei sistemi decisionali o di monitoraggio integralmente automatizzati rientrino anche i sistemi di intelligenza artificiale con sorveglianza umana (che per i sistemi di IA ad alto rischio è obbligatoria). Peraltro, qualunque sia la collocazione, l’impresa e l’ente pubblico non sfuggono a obblighi di trasparenza e informazione.
Le sanzioni, fissate dal regolamento UE sull’intelligenza artificiale, per le violazioni dell’articolo 26 commesse dagli utilizzatori prevedono il massimo di 15 milioni di euro o, se l’autore dell’illecito (la disposizione parla di “reato”, ma è solo un errore di traduzione) è un’impresa, una cifra massima fino al 3% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Il Gdpr – D’altra parte, non si può nemmeno trascurare il fatto che in base all’articolo 13 del Gdpr (regolamento Ue sulla privacy n. 2016/679), gli obblighi informativi valgono per tutti i tipi di trattamento realizzati con qualsiasi mezzo. Lo stesso va detto a proposito del diritto di acceso ai dati disciplinato dall’articolo 15 Gdpr. Entrambe le disposizioni, infatti, contemplano il caso dei processi decisionali automatizzati, comprese le profilazioni e i processi interamente automatizzati. Questi trattamenti devono essere esplicitamente menzionati nell’informativa agli interessati e nelle risposte alle loro richieste di accesso, ricordandosi di esporre informazioni significative sulla logica utilizzata, l’importanza e le conseguenze previste per gli interessati.
Anche ai sensi del Gdpr, dunque, imprese e pubbliche amministrazione, se svolgono un trattamento automatizzato, qualunque sia il grado dell’automatizzazione, devono descriverlo ai lavoratori cui si riferiscono i dati trattati.
L’articolo 83 Gdpr prevede per le violazioni dei diritti di informativa e di accesso la sanzione pecuniaria fino a 20 milioni di euro o, per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Statuto dei lavoratori – L’articolo 4, comma 3, della legge 300/1970 (Statuto dei lavoratori) prevede appositi obblighi di informazione a favore dei lavoratori a proposito delle informazioni raccolte con impianti audiovisivi e altri strumenti di controllo indiretto a distanza dei lavoratori, con strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e con strumenti di registrazione degli accessi e delle presenze.
Per poter utilizzare le informazioni, il comma 3 citato esige che il datore di lavoro dia al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli.
Queste prescrizioni valgono anche e senza distinzione per tutti gli impianti e i sistemi automatizzati.
Queste informazioni su come funzionano impianti e strumenti sono aggiuntive rispetto alle informazioni sulle caratteristiche del trattamento dei dati.
La violazione delle prescrizioni dell’articolo 4 della legge 300/1970 comporta l’applicazione delle sanzioni pecuniarie amministrative previste dal Gdpr.
Se, poi, il datore di lavoro tratta dati dei lavoratori usando strumenti eventualmente automatizzati, di controllo indiretto, in assenza di un previo accordo sindacale o in alternativa, quando previsto, in assenza di autorizzazione dell’ispettorato del lavoro, si applica la sanzione penale prevista dall’articolo 38 della medesima legge 300/1970 (si veda l’articolo 171 del codice della privacy): per l’ipotesi base, arresto da 15 giorni a un anno oppure ammenda da 51 a 516 euro.Nei casi più gravi le sanzioni dell’arresto e dell’ammenda sono applicate congiuntamente. Quando, per le condizioni economiche del reo, l’ammenda può presumersi inefficace anche se applicata nel massimo, il giudice ha facoltà di aumentarla fino al quintuplo.
Fonte: Italia Oggi – di Antonio Ciccia Messina
Articolo ripreso da FederPrivacy