L’utilizzo di tecnologie e di sistemi di intelligenza artificiale (“IA”) da parte delle aziende – adoperati per svolgere diverse attività come, ad esempio, per realizzare nuovi contenuti tramite sistemi online (c.d. sistemi di IA generativa), oppure direttamente per i processi di ricerca e selezione del personale o, in generale, per la gestione dei lavoratori – costituiscono ormai una realtà concreta. Si tratta di sistemi con molteplici benefici, in grado di automatizzare determinati processi, aumentare l’efficienza e migliorare la qualità del lavoro. D’altro canto, però, è importante prendere in considerazione e cercare di mitigare i rischi associati al loro utilizzo (talvolta anche improprio). Conseguentemente, risulta fondamentale per ogni realtà aziendale dotarsi di specifiche linee guida sull’utilizzo di sistemi di IA (“Policy sull’IA”), non tanto per proibire o limitare l’utilizzo di simili tecnologie, quanto piuttosto per fornire apposite e chiare indicazioni e istruzioni, con il duplice obiettivo di rendere noto ai dipendenti l’utilizzo da parte del datore di lavoro dell’IA nei processi aziendali, e di far sì che gli stessi ne comprendano le potenzialità e ne evitino, al contempo, utilizzi impropri. Sebbene il contenuto della Policy sull’IA dipenderà da e dovrà essere strutturato in base alla specifica realtà industriale e aziendale di riferimento, vi sono alcuni fattori che devono essere considerati come indispensabili, anche alla luce dei principi sanciti dal Regolamento europeo sull’intelligenza artificiale (“AI Act”) e ribaditi dal Disegno di legge sull’intelligenza artificiale del Governo italiano (“DDL AI” – per un maggior approfondimento sul tema, si rimanda al nostro precedente contributo, in lingua inglese, disponibile qui). Ma quali sono gli elementi chiave da prendere in considerazione per elaborare una Policy sull’IA completa, esaustiva e tecnologicamente “neutra”? 1. La tutela dei dati personali e delle informazioni aziendali riservate L’erogazione e l’implementazione di servizi basati sull’IA derivano dall’elaborazione dei dati personali, pilastro fondamentale per il loro funzionamento: gli algoritmi, infatti, necessitano di ampie quantità di dati personali, inclusi quelli forniti direttamente dagli utenti durante l’interazione, per apprendere con precisione dal contesto. Ne deriva che uno dei principali rischi connesso all’uso di sistemi di IA è costituito dal pericolo di violazione della normativa, europea e nazionale, in materia di protezione dei dati personali, i.e. il Regolamento (UE) 679/2016 (“GDPR”) e il D. Lgs. 196/2003, come modificato dal D. Lgs. 101/2018 (il “Codice Privacy”). A tal fine, considerando che – anche in un’ottica di accountability – tra gli obiettivi di una società vi è quello di proteggere la riservatezza dei propri dipendenti, clienti, fornitori e, in generale, di tutti gli stakeholders, è necessario individuare e selezionare la tipologia di dati che potranno essere trattati attraverso i sistemi di IA, limitando o, ove necessario, vietando, la condivisione degli stessi. In tale ottica, esempi di regole di condotta da inserire nella Policy sull’IA potrebbero riguardare il divieto di condividere informazioni che non siano già di dominio pubblico oppure l’indicazione di anonimizzare tali dati. Considerazioni analoghe dovranno essere svolte con riferimento a quelle informazioni aziendali che, pur non costituendo dati personali, l’impresa ha interesse a mantenere riservate (ad esempio, tutto ciò che può costituire know-how aziendale). 2. Le linee guida per il controllo dell’output L’output fornito potrebbe contenere bias, discriminazioni e/o informazioni inesatte, insufficienti o comunque errate, che potrebbero arrecare problemi alla realtà aziendale di riferimento laddove utilizzati nel contesto lavorativo in assenza delle necessarie verifiche circa l’attendibilità e l’utilizzabilità dell’output stesso. Pertanto, sarà sempre necessario prevedere l’obbligo di valutare la qualità degli output forniti e cioè richiedere di verificare se questi contengano contenuti errati, discriminatori o comunque contrari al codice etico adottato dalla società. In tal senso, la Policy sull’IA potrà prevedere il divieto di utilizzare documenti aziendali rilevanti (ad esempio, contratti, statuti, bilanci, ecc.) oppure prevedere specifiche modalità di formulazione delle richieste. 3. Le conseguenze derivanti da un uso scorretto delle tecnologie di AI: a) la tutela dei diritti di proprietà intellettuale e del diritto d’autore di terze parti I sistemi di IA vengono addestrati con una ampia varietà di dati, i quali potrebbero contenere informazioni e/o contenuti protetti dal diritto di proprietà intellettuale e/o dal diritto di autore di terzi. Il rischio è che tali informazioni potrebbero essere, a loro volta, riprodotte pedissequamente (o quasi) negli output a seguito di un prompt dell’utente, senza alcun riferimento alla fonte o all’autore da cui le informazioni sono state raccolte. Qualora si verificasse una simile situazione, l’impresa che abbia fatto uso di tali contenuti potrebbe essere soggetta a procedimenti legali. In aggiunta, tale violazione, ai sensi del DDL AI (attualmente non ancora in vigore), costituisce altresì una fattispecie penalmente rilevante. Al fine di scongiurare rischi legali, dunque, le società dovrebbero prevedere tra le regole di condotta da inserire nella Policy sull’IA anche l’obbligo di verificare che gli output non violini diritti di proprietà intellettuale o diritto d’autore di terze parti. b) I profili giuslavoristici Come già precisato, l’implementazione dei sistemi di IA potrebbe comportare anche diversi rischi, specialmente se utilizzati nei luoghi di lavoro. Sul punto occorre fare una distinzione tra gli strumenti di IA generativa (quali, a mero titolo esemplificativo, ChatGPT, Dall-E, Midjourney, Gemini, Stable Diffusion, LaMDA, Aleph Alpha, Bloom), e quei sistemi utilizzati dal datore di lavoro, ad esempio per garantire la sicurezza sul luogo di lavoro o nella gestione del personale. Con riguardo ai primi, sarà fondamentale assicurare la sicurezza dei dati personali, la segretezza di eventuali informazioni riservate e la tutela di diritti di proprietà intellettuale e/o di diritti di autore di terzi, per i quali si richiama quanto già esposto nei precedenti paragrafi. Quanto invece all’utilizzo di tali sistemi da parte del datore di lavoro, preme innanzitutto osservare come sia lo stesso AI Act a classificare i sistemi di IA utilizzati per le assunzioni, la gestione dei lavoratori e l’accesso al lavoro autonomo come sistemi c.d. “ad alto rischio”, ponendo al contempo in capo ai datori di lavoro un obbligo di informazione circa l’utilizzo di tali tecnologie. Obbligo quest’ultimo che, oltre tramite apposita informativa privacy ex articolo 13 del GDPR, dovrà essere soddisfatto anche tramite l’adozione di un’apposita Policy sull’IA. In tale Policy, i datori di lavoro dovranno in ogni caso rispettare tutte le prescrizioni imposte in materia di protezione dei dati personali, quali ad esempio il rispetto del principio di minimizzazione, la nomina del fornitore del prodotto o del software di IA a responsabile del trattamento (e eventualmente ad amministratore di sistema) e la preventiva necessità di svolgere apposita valutazione d’impatto (c.d. DPIA). Occorre effettuare infine alcune precisazioni circa l’uso di sistemi di IA al fine specifico di tutelare il lavoratore e la sua sicurezza. In quest’ultimo caso, il datore di lavoro, oltre alle misure sopra esposte, dovrà verificare se da una simile attività possa derivare un controllo a distanza del lavoratore, oppure un controllo c.d. difensivo (di origine giurisprudenziale e suddivisi in controlli difensivi in senso lato e controlli difensivi in senso stretto). In caso di risposta affermativa, fermo restando gli adempimenti richiesti dal GDPR e dal Codice Privacy, il datore di lavoro sarà altresì tenuto a rispettare, a seconda dei casi, i requisiti previsti dall’articolo 4 della L. 300/1970, come modificato dal D. Lgs. 151/2015 (i.e. lo Statuto dei Lavoratori), oppure quelli dettati dalla giurisprudenza. 4. La cybersecurity e la gestione degli incidenti L’utilizzo di strumenti di IA generativa online richiede normalmente la creazione e l’utilizzo di un account da parte dell’utente. In tale ottica, la Policy sull’IA dovrebbe contenere alcune regole di condotta volte a garantire la sicurezza informatica, riguardanti ad esempio la gestione e l’utilizzo delle password, l’utilizzo di sistemi che offrano un’autentificazione forte, a più fattori, oppure la necessità di verificare i permessi richiesti dallo strumento di IA generativa prima di concederli. In aggiunta, sarebbe opportuno includere nella Policy sull’IA disposizioni specifiche circa la gestione delle violazioni di dati personali derivanti da incidenti informatici che potrebbero verificarsi mediante l’utilizzo degli strumenti di IA. Ciò assicura ai dipendenti l’accesso a informazioni dettagliate e precise riguardanti le modalità, i tempi e i soggetti da contattare in caso di tali incidenti. 5. La formazione del personale Le tecnologie dell’IA presentano la caratteristica di evolvere molto velocemente. Pertanto, al fine di poter garantire un uso efficace e corretto di tali strumenti, è essenziale tenere costantemente aggiornati i lavoratori. Ogni impresa dovrà dunque investire tempo e risorse nella formazione dei propri dipendenti, al fine di garantire un utilizzo etico dell’IA, nonché il rispetto delle ulteriori procedure aziendali già in essere e della normativa vigente.