Intelligenza artificiale in azienda: la necessità di adottare una policy per un uso sicuro e responsabile

Nell’era dell’Intelligenza Artificiale (AI – Artificial Intelligence), le aziende si trovano davanti ad un bivio cruciale: abbracciare la potenza delle tecnologie AI per guadagnare competitività sul mercato o rischiare di rinunciare ad una fondamentale leva di sviluppo. Recenti studi hanno, infatti, rilevato che i settori con una maggiore compenetrazione dell’AI stanno registrando una crescita della produttività quasi cinque volte superiore rispetto a quelli in cui gli strumenti di AI non vengono utilizzati: strumenti come ChatGPT, Dall-E o Copilot portano innovazione e valore, ma pongono altresì sfide molto complesse.

Come sfruttare al massimo il loro potenziale senza compromettere la sicurezza, l’etica e il rispetto della normativa vigente? 

L’AI Act (Regolamento UE n. 2024/1689), recentemente pubblicato, introduce uno dei primi quadri normativi per l’Intelligenza Artificiale a livello globale e rappresenta una pietra miliare per le aziende che decidono di implementare sistemi di AI. Lo scopo primario di tale regolamento, infatti, è proprio quello di definire chiare regole affinché sia garantito un utilizzo sicuro ed etico dei sistemi di AI immessi nel mercato. L’intento, in altre parole, è quello di bilanciare l’innovazione tecnologica con la tutela dei valori e dei principi fondamentali dell’Unione Europea.

Se da un lato proibire l’utilizzo dei sistemi di AI sarebbe non solo inefficace, ma altresì del tutto controproducente, dall’altro, occorre necessariamente sviluppare una ‘cultura’ volta a promuoverne un uso consapevole e responsabile. 

L’adozione di efficaci policy aziendali diventa oggi fondamentale per costruire fiducia, trasparenza e un futuro in cui l’AI possa operare in modo sicuro e proficuo.

Detta policy dovrà naturalmente essere personalizzata in base al settore di riferimento e alla specifica realtà aziendale ma è necessario che contenga una serie di elementi essenziali conformi ai principi dell’AI Act e alle normative vigenti: vediamoli insieme.

Un aspetto fondamentale della policy aziendale è la gestione dei dati personali. I sistemi di AI elaborano enormi quantità di dati, alcuni dei quali possono contenere informazioni personali su clienti, dipendenti o partner commerciali. È cruciale che chi opera con l’AI – siano essi fornitori o utilizzatori – consideri le implicazioni derivanti dalla intersezione tra AI Act e G.D.P.R. (Regolamento EU sulla Protezione dei Dati) e adotti tutte le misure necessarie per un uso sicuro e lecito di questi nuovi strumenti.

È infatti concreto il rischio che un dipendente, nell’interagire con i sistemi di AI, inserisca – anche inavvertitamente – dati personali di clienti, fornitori, colleghi. Tali dati potrebbero essere successivamente elaborati dai vari algoritmi in modalità non conformi con le normative in materia, esponendo l’azienda al rischio di sanzioni. Anche informazioni inerenti al know-how aziendale, seppur di natura non personale (si pensi ai dati finanziari o alle strategie aziendali), se divulgate senza la relativa autorizzazione, potrebbero esporre l’azienda a rischi reputazionali o danneggiarne la competitività sul mercato. 

La policy aziendale dovrebbe quindi contenere regole di condotta che prevengano tali rischi, vietando ad esempio la condivisione di informazioni che non siano già di dominio pubblico o imponendo l’anonimizzazione di determinati input/prompt nei sistemi di AI. In questo modo, è possibile assicurarsi che i dipendenti sappiano distinguere i dati che possono essere condivisi con i sistemi di AI da quelli che, invece, devono necessariamente rimanere riservati. 

Per proteggere i segreti commerciali e le informazioni confidenziali si potrebbe, poi, prevedere la sottoscrizione di accordi di non divulgazione con dipendenti, fornitori e partner commerciali, nonché l’implementazione di specifiche misure volte a prevenire la divulgazione non autorizzata di informazioni riservate.

Le aziende devono anche tenere a mente l’importanza di rispettare i diritti di proprietà intellettuale di terzi soggetti, assicurando un uso dei dati e un addestramento dei modelli di intelligenza artificiale conforme con la disciplina in materia di brevetti, marchi o diritti d’autore. A questo proposito, è quindi essenziale integrare tutte queste regole e misure in una strategia complessiva per la sicurezza dei dati e la protezione della privacy, in conformità con le normative in materia, primo fra tutte, il già menzionato G.D.P.R. 

L’output generato dai sistemi di AI a seguito dell’input/prompt ricevuto non è sempre privo di errori, neutro o accurato e potrebbe risultare addirittura discriminatorio o contrario ai valori aziendali. Per scongiurare i predetti rischi, la policy dovrebbe quindi stabilire rigorose procedure di controllo e valutazione degli output generati in modo che sia garantita la qualità e l’affidabilità dei contenuti generati.

A tal proposito, si potrebbe prevedere nella policy una sezione specifica che stabilisca:

(i) obblighi di verifica dei risultati ottenuti,

(ii) obblighi di correzione di eventuali errori o contenuti discriminatori e

(iii) indicazioni chiare su come formulare correttamente gli input.

L’adozione dell’Intelligenza Artificiale all’interno dei contesti aziendali solleva altresì questioni particolarmente delicate in ambito giuslavoristico. Oltre ai sistemi di AI generativa (quelli utilizzati per fornire supporto al lavoro dei dipendenti, fra i quali i già menzionati ChatGPT, Copilot o Dall-E) vi sono quelli utilizzati dai datori di lavoro per la gestione del personale, del processo di assunzione e cessazione del rapporto lavorativo o quelli inerenti alla valutazione delle performance dei dipendenti.

Secondo il considerando 57 dell’AI Act, questi sistemi sono considerati ‘ad alto rischio’ e richiedono adempimenti specifici, tra cui l’obbligo di informare i dipendenti circa l’utilizzo di tali strumenti. Le policy aziendali saranno, quindi, fondamentali proprio per supportare questo processo: dovranno infatti specificare quali sistemi di AI possono essere usati in azienda, quali i dati raccolti e trattati, le finalità di tale trattamento nonché la durata di conservazione dei dati stessi e dei relativi output. 

Inoltre, qualora gli strumenti di Intelligenza Artificiale venissero utilizzati per monitorare le prestazioni dei lavoratori o per garantirne la sicurezza, diventerà tassativo il rispetto della normativa giuslavoristica in materia, primo fra tutti l’art. 4 dello Statuto dei Lavoratori.

L’uso dei sistemi di intelligenza artificiale generativa richiede spesso che l’utente crei un account personale sulla piattaforma di riferimento. Per ridurre i rischi legati alla sicurezza informatica, la policy aziendale dovrà altresì stabilire alcune linee guida per proteggere tali account, come l’adozione dell’autenticazione a più fattori, una protezione efficace delle password e un rigoroso controllo sui permessi richiesti dal sistema di AI. Tuttavia, queste precauzioni potrebbero non essere sufficienti.

Sarebbe infatti consigliabile adottare ulteriori misure di sicurezza, e in particolare:

a) prevedere un sistema di controllo degli accessi per garantire che solo il personale autorizzato possa accedere a informazioni ‘sensibili’ gestite dai sistemi di intelligenza artificiale;

b) crittografare i dati personali in modo da garantire che, anche in caso di intercettazione o violazione, le informazioni restino inaccessibili e incomprensibili per chi non è autorizzato;

c) adottare sistemi di monitoraggio in modo da permettere di individuare e gestire tempestivamente eventuali attività sospette o non autorizzate. Questo potrebbe includere altresì l’analisi dei registri di accesso, il controllo delle attività del personale (sempre nel rispetto delle normative vigenti in materia di lavoro) e l’implementazione di sistemi di rilevamento delle minacce informatiche;

d) definire un piano d’intervento per affrontare eventuali violazioni dei dati personali derivanti da incidenti informatici. La policy aziendale dovrebbe quindi specificare chiaramente le procedure operative, i tempi di risposta e i contatti da attivare in caso di simili situazioni.

La rapida evoluzione dell’AI richiede competenze sempre aggiornate. Educare i dipendenti sui rischi legati all’uso dell’AI è, infine, fondamentale per garantirne un uso responsabile. La policy dovrebbe pertanto prevedere corsi di formazione periodici sui rischi legati alla diffusione non autorizzata di dati personali o comunque riservati e sui protocolli di sicurezza, sensibilizzando il personale sulle conseguenze derivanti dalla violazione delle policy aziendali.

In conclusione, la definizione di una policy aziendale sull’Intelligenza Artificiale non è più solo una scelta, ma una necessità per le imprese che desiderano integrare queste tecnologie in modo sicuro, responsabile e sostenibile.

L’adozione di linee guida chiare e definite aiuterà, infatti, le aziende a navigare tra i rischi e le sfide legate all’uso dell’AI, garantendo al contempo la protezione dei dati, la conformità alle normative vigenti e il rispetto dei diritti dei lavoratori. Solo attraverso un uso consapevole e regolamentato dell’AI sarà possibile massimizzare i benefici che queste innovazioni tecnologiche offrono, senza compromettere l’affidabilità dei risultati o la fiducia di clienti, dipendenti, partner commerciali e di qualsiasi altro possibile stakeholder.

________

*A cura di Massimo Riva, Associate Partner, Avvocato, Rödl & Partner Italia, Carlotta Caminati, Associate, Avvocato, Rödl & Partner Italia e Alessandro Murro, Junior Associate, Dottore in Giurisprudenza, Rödl & Partner Italia

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più