Il Garante per la protezione dei dati personali a fine maggio ha approvato un provvedimento con il quale ha inviato un avvertimento ad una start-up italiana che ha sviluppato un componente aggiuntivo (plug-in) per le piattaforme di messaggistica aziendale Slack e Teams.
Tale tecnologia di plug-in è finalizzata a rilevare, tramite intelligenza artificiale e analisi semantica delle chat, il livello di stress psicologico e la condizione emotiva dei lavoratori (cd. sentiment analysis) che decidano volontariamente di utilizzarlo per ricevere suggerimenti personalizzati.
L’avvertimento ha ad oggetto la necessità di adottare da parte della start-up, sin dalla progettazione del servizio, nella logica di una privacy by desgin e by default, misure e garanzie adeguate a prevenire ogni rischio di accesso del datore di lavoro a informazioni relative alla sfera emotiva dei lavoratori.
Il tema è particolarmente interessante intrecciando il versante della conformità alla normativa in materia di protezione dei dati (in primis, GDPR e Codice privacy), la disciplina di settore giuslavoristica del rapporto di lavoro (in particolare, lo Statuto dei lavoratori) e, infine, l’ambito delle norme sull’intelligenza artificiale (AI Act).
Lo strumento: plug-in per Slack e Teams
Slack e Microsoft Teams sono le due principali piattaforme di messaggistica istantanea e collaborazione pensate per il mondo del lavoro. Esse si affiancano alle tradizionali e-mail, ma sono spesso preferite essendo più veloci strutturandosi in chat di gruppo, chiamate audio/video e spazi condivisi per i file.
La start-up italiana, destinataria del provvedimento di avvertimento, ha ideato un plug-in che può essere acquistato da enti e imprese al fine di consentire alle persone che decidano di farne uso, mentre prestano la propria attività lavorativa, di verificare il proprio livello di stress psicologico alla luce dell’analisi della semantica dalle stesse impiegata nei messaggi scambiati nell’ambito delle chat Slack e Teams. La tecnologia, quindi, si fonda sull’analisi semantica di testi liberamente digitati.
Dal punto di vista della normativa privacy, la star-up si configura come titolare del trattamento dei dati personali gestiti dalla tecnologia applicata ai sistemi di messaggistica e, pertanto, si pongono in capo ad essa tutti gli adempimenti previsti per tale soggetto privacy, a partire da una configurazione privacy by design e by default del trattamento stesso, alla redazione dell’informativa privacy, fino alla previsione di misure tecniche ed organizzative adeguate.
Il sistema plug-in, trattandosi di un servizio acquistato dal datore di lavoro a beneficio del proprio personale che intenda fruirne, rappresenta, quindi, un applicativo messo a disposizione dei dipendenti e altro personale a vario titolo operante nella realtà organizzativa, unici soggetti che, in concreto, possono scegliere se utilizzarlo, o meno, per proprie personali esigenze, restando tecnicamente inibito al datore di lavoro accedere ai dati necessari all’erogazione del servizio da parte della società ai soli interessati.
Intreccio con la normativa privacy, giuslavoristica e l’AI Act
Il datore di lavoro che acquista il servizio non può accedere né ai contenuti delle comunicazioni analizzate né ai risultati individuali elaborati dal sistema, tuttavia, ed è questo il punto critico sottolineato dal Garante privacy, può richiedere alla società report aggregati sul livello di stress dei dipendenti.
L’avvertimento dell’Autorità di controllo, tenendo conto la particolare delicatezza dei dati trattati perché acquisiti in ambito lavorativo - dove i lavoratori sono viste sempre come “soggetti vulnerabili” (visto il “fisiologico squilibrio” nel rapporto “datore di lavoro-lavoratore”) -, ha ad oggetto la necessità di adottare da parte della start-up , sin dalla progettazione del servizio, misure adeguate a prevenire ogni rischio di accesso da parte del datore di lavoro, anche indiretto, a informazioni relative alla sfera emotiva dei lavoratori.
Si tratta, infatti, di informazioni che il datore di lavoro non può legittimamente acquisire o trattare, come anticipato sopra, in virtù delle diverse discipline normative che sovraintendono tre ambiti: la normativa privacy, lo Statuto dei lavoratori e il Regolamento europeo sull’intelligenza artificiale (cd. AI Act).
Ma andiamo con ordine:
- l’ambito della normativa privacy: l’art. 113 del Codice privacy (“Raccolta dati e pertinenza”), inserito nel Titolo VIII del corpus normativo dedicato ai “Trattamenti nell’ambito dei rapporti di lavoro”, fa espresso rinvio alle disposizioni nazionali di settore che tutelano la dignità delle persone sul luogo di lavoro e che vietano al datore di lavoro di raccogliere dati non pertinenti rispetto all’attività lavorativa;
- l’ambito diritto del lavoro: occorre far riferimento alla normativa di settore giuslavoristica, in particolare agli articoli 4 e 8 dello Statuto dei lavoratori, la cui violazione è peraltro penalmente sanzionata (articolo 171, Codice privacy) e la cui osservanza, per effetto di tale rinvio e tenuto conto dell’articolo 88, par. 2, GDPR, costituisce una condizione di liceità del trattamento;
- l’ambito della normativa sull’intelligenza artificiale: qui rileva l’articolo 5 dell’AI Act dedicato alle “Pratiche di AI vietate” che, al par. 1, lett. f), prevede il divieto di immettere sul mercato, la messa in servizio di sistemi di IA per inferire le emozioni di una persona fisica nell’ambito del luogo di lavoro; l’AI Act, pertanto, vieta l’uso di sistemi di intelligenza artificiale destinati a dedurre o analizzare le emozioni delle persone nei contesti lavorativi.
In tale cornice normativa, le informazioni riguardanti la sfera emotiva dei dipendenti, dunque il relativo stato di benessere o stress psicologico, costituiscono informazioni riconducibili all’ambito di applicazione dell’art. 113 del Codice privacy, la cui conoscibilità è preclusa al datore di lavoro.
Il Garante privacy ha infine richiamato i rischi legati all’impiego di tecnologie basate su modelli linguistici e analisi semantica, che possono produrre risultati non sempre trasparenti, spiegabili o verificabili, con possibili effetti discriminatori o lesivi dei diritti dei lavoratori.
Infatti, esso afferma a chiare lettere che l’affidabilità dei modelli, la qualità e la rappresentatività dei dati, nonché la trasparenza e la spiegabilità (cd. explainability) delle logiche di funzionamento non costituiscono meri aspetti tecnici, ma rappresentano condizioni essenziali per prevenire forme di trattamento invasive e non conformi alla disciplina di protezione dei dati.
L’assenza di tali garanzie produce, infatti, il rischio di un affidamento sugli output algoritmici, generati attraverso pattern statistici e modelli predittivi, che, ove non adeguatamente verificato, è foriero di possibili effetti distorsivi, amplificazione dei bias e margini di errore non sempre agevolmente rilevabili, in particolare laddove il sistema presenti profili di opacità o limitata spiegabilità. Ciò, peraltro, in taluni contesti di trattamento contraddistinti da particolare delicatezza e dalla presenza di interessati vulnerabili (come appunto, i lavoratori), può comportare effetti pregiudizievoli nonché discriminazione, con conseguenze, talvolta irrimediabili, in relazione all’identità e alla dignità della persona.
Ne consegue che l’adozione di tali tecnologie richiede un approccio prudente e consapevole, fondato su una valutazione concreta delle implicazioni derivanti dal loro utilizzo, sulla robustezza dei modelli, sulla qualità dei dati di addestramento e sulla verificabilità degli output, assicurando in ogni caso garanzie informative adeguate e un controllo umano effettivo, in grado di intervenire e incidere sul processo decisionale, idoneo a mitigare i rischi connessi all’automatizzazione