Nel corso della 45a Global Privacy Assembly, tenutasi lo scorso ottobre, che ha riunito le Autorità di protezione dei dati di tutto il mondo per discutere le tendenze relative alle nuove tecnologie, sono state adottate diverse risoluzioni conclusive rispetto ai principali profili più inerenti alla protezione dei dati personali.
Tra le risoluzioni più rilevanti emerge sicuramente quella resa dall’Autorità Garante per la protezione dei dati personali italiana, con la collaborazione dell’Autorità tedesca e di quella inglese, relativa all’uso dell’IA applicata al contesto lavorativo (la “Risoluzione”).
Il nucleo della Risoluzione mira a garantire che l’impiego di sistemi di IA nel contesto lavorativo - sia nel corso del rapporto di lavoro che nella fase precedente di reclutamento - sia basato su un approccio di tipo umano-centrico, sottolineando il potenziale impatto di tali tecnologie sulla vita personale e professionale dei lavoratori e indicando alcune linee da seguire.
Gli aspetti e gli obiettivi principali richiamati dalla risoluzione:
- assicurare che l’uso dei sistemi di IA nel contesto lavorativo ponga l’uomo al centro delle valutazioni;
- sviluppare i sistemi di IA nel rispetto sia del principio di privacy by design e privacy by default che dei diversi principi sanciti dall’art. 5 del GDPR;
- individuare un’adeguata base giuridica per il trattamento dei dati personali in tutte le fasi del processo di utilizzo dell’IA nel contesto lavorativo, considerando i limiti del consenso, anche alla luce dello squilibrio di potere che si presume sussistere nel rapporto tra datore di lavoro e dipendente (cfr. Linee guida 5/2020 sul consenso dell’European Data Protection Board, par. 21);
- adottare garanzie adeguate per evitare il rischio di un’eventuale sorveglianza sproporzionata nei confronti dei lavoratori e coinvolgere i sindacati nel processo decisionale in merito all’implementazione di sistemi di IA nell’ambito lavorativo;
- sviluppare e utilizzare i sistemi di IA, con un approccio olistico orientato al rispetto della normativa sulla protezione dei dati personali, alle normative giuslavoristiche e, in generale, ai principi sanciti in materia di diritti dell’uomo;
- rispettare i principi trasparenza in relazione alle modalità di trattamento dei dati personali, considerando che il datore di lavoro (titolare del trattamento) ha l’obbligo di fornire al dipendente (nel caso in cui sia sottoposto a una decisione che vede il coinvolgimento di sistemi algoritmici o di IA nel contesto lavorativo) e al sindacato, prima dell’implementazione di qualsiasi sistema di IA, informazioni dettagliate sull’uso e sul funzionamento di tali sistemi (ad esempio, se l’utilizzo del sistema possa determinare il posizionamento di un candidato o di un dipendente in una certa graduatoria, l’assegnazione di mansioni, la gestione o il licenziamento);
- garantire al candidato/lavoratore, soggetto a una decisione che vede il coinvolgimento dell’IA, il diritto di accedere alle informazioni sui dati in possesso del datore di lavoro e sulle modalità di utilizzo dei suoi dati personali in relazione alle decisioni prese, nonché alle informazioni sui dati ottenuti e su eventuale profilazione dei soggetti effettuate con sistemi di IA;
- garantire che i lavoratori/candidati che sono soggetti alle decisioni prese mediante l’utilizzo di sistemi di IA, così come i datori di lavoro che utilizzano tali sistemi, siano in grado di comprendere la decisione presa con il sistema di IA e possano ottenere chiarimenti in merito al funzionamento con modalità tempestive e che la spiegazione fornita ai lavoratori includa informazioni comprensibili sulla logica utilizzata, nonché l’importanza e le conseguenze previste dall’uso dei sistemi di IA, sia in generale che nel caso specifico del lavoratore, per garantire che questi possa proporre reclami informati ed esperire le eventuali azioni presso le competenti autorità giudiziarie;
- garantire all’interessato la possibilità, in caso di utilizzo di sistemi di IA che prendano decisioni basate unicamente sul trattamento automatizzato, di ottenere l’intervento umano da parte del datore di lavoro, nonché di esprimere la sua opinione e di contestare la decisione presa;
- formare gli utilizzatori degli strumenti di IA in modo da garantire che le decisioni automatizzate prese non siano soggette a bias;
- assicurare che gli utilizzatori degli strumenti di IA siano dotati delle necessarie competenze, esperienze e qualifiche tecniche;
- rispettare il principio di accountability in capo al titolare, tenuto a considerare e attenuare, ove necessario, i rischi per i diritti e le libertà degli interessati (i.e. candidati e lavoratori) che potrebbero derivare dall’utilizzo dei sistemi di IA nel contesto lavorativo, ed essere in grado di comprovare di aver adottato adeguate misure di sicurezza;
- implementare policy aziendali che prevedano lo svolgimento di valutazioni di impatto sulla protezione dei dati ai sensi dell’art. 35 del GDPR, in caso di utilizzo di sistemi di IA, prima di procedere alla loro implementazione, tenendo in considerazione tutti i rischi ragionevolmente prevedibili per i diritti e le libertà dei candidati e dei lavoratori, nonché l’individuazione di meccanismi di segnalazione e di ricorso a cui possono ricorrere gli interessati;
- ridurre e attenuare i bias e le discriminazioni, sia dirette che indirette, che possono scaturire dall’utilizzo dei sistemi di IA nel contesto lavorativo, anche adottando misure adeguate a garantire che i dati personali utilizzati nell’addestramento del sistema siano appropriati al contesto in cui il sistema sarà utilizzato, siano regolarmente aggiornati, attuando misure tecniche e organizzative adeguate per garantire che anche i parametri utilizzati per i sistemi di selezione del personale e di amministrazione del lavoro che comportano inesattezze nei dati personali siano corretti e che il rischio di errori sia ridotto al minimo.
In definitiva, le Autorità:
- sollecitano le società che sviluppano o utilizzano sistemi di IA nel contesto lavorativo a tenere in considerazione i profili e gli obiettivi sopra richiamati;
- invitano tutti i membri della Global Privacy Assembly a collaborare, sia a livello nazionale che a livello globale, con le società che sviluppano o utilizzano sistemi di IA nel contesto lavorativo per assisterle nel recepimento delle considerazioni illustrate;
- si impegnano ad aggiornare i risultati dell’indagine svolta dal Gruppo di lavoro sull’etica e la protezione dei dati nell’intelligenza artificiale, in caso di possibili mutamenti nel panorama giuridico o tecnico relativo all’uso dell’IA nel contesto lavorativo.
Il testo della Risoluzione è disponibile, in lingua inglese, qui.