Lo scorso 10 luglio 2023 la Commissione Europea ha adottato una decisione di adeguatezza per il “EU-US Data Privacy Framework” che determina che gli Stati Uniti d’America garantiscono un livello di protezione dei dati personali adeguato e paragonabile a quello dell’Unione Europea.
La decisione di adeguatezza è uno degli strumenti previsti dal Regolamento (UE) 2016/679 (il “Regolamento”) per trasferire dati personali dall’Unione Europea a Paesi Terzi che, a fronte di una preventiva valutazione della Commissione Europea, offrono “un adeguato livello di protezione”, ossia un livello di protezione dei dati personali equivalente a quello garantito all’interno dell’UE.
La conseguenza è che i dati personali possono essere trasferiti in modo sicuro e possono essere gestiti allo stesso modo delle trasmissioni di dati che avvengono all’interno del territorio europeo.
L’EU-US Data Privacy Framework si struttura su un meccanismo di autocertificazione in base al quale le aziende statunitensi si impegnano a rispettare una serie di obblighi in materia di protezione dei dati personali, tra cui, a titolo esemplificativo e non esaustivo, il rispetto dei principi di limitazione delle finalità, di minimizzazione e conservazione dei dati, nonché obblighi specifici in materia di sicurezza dei dati e condivisione dei dati con soggetti terzi.
L’impegno da parte delle organizzazioni sarà rinnovato su base annuale e soggetto al controllo e al monitoraggio del Dipartimento del Commercio degli Stati Uniti, il quale elaborerà le domande di certificazione e verificherà periodicamente il rispetto dei requisiti da parte delle aziende partecipanti.
I cittadini europei beneficeranno di diverse vie di ricorso indipendenti ed imparziali nel caso in cui i loro dati siano trattati in modo non conforme, e tra esse rientra il neo istituito Tribunale di Revisione sulla Protezione dei Dati (DPRC).
L’ordinamento statunitense prevederà una serie di garanzie, tra cui la limitazione dell’accesso ai dati personali da parte delle autorità pubbliche a quanto necessario e proporzionato al fine di proteggere la sicurezza nazionale o allo scopo di applicare la legge penale.
In ogni caso, il Data Privacy Framework sarà soggetto a revisioni periodicheda parte della Commissione Europea unitamente ai rappresentanti delle autorità europee per la protezione dei dati e alle competenti autorità statunitensi. Il primo riesame avrà luogo entro un anno dall’entrata in vigore della decisione di adeguatezza.
Con l’occasione, vale la pena ricordare che oltre alla decisione di adeguatezza, il Regolamento prevede anche altri strumenti utilizzabili per realizzare un corretto trasferimento di dati al di fuori dell’Unione Europea, tra cui:
◊◊◊◊
Come da ultimo sottolineato nella nota informativa del Comitato Europeo per la Protezione dei Dati (EDPB) lo scorso 18 luglio 2023, tutte le tutele previste dal governo statunitense nell’ambito della sicurezza nazionale si applicano a tutti i trasferimenti di dati personali effettuati verso aziende negli Stati Uniti, indipendentemente dai meccanismi di trasferimento utilizzati. Pertanto, tali garanzie servono a facilitare anche il ricorso agli altri strumenti previsti dal Regolamento.
Altri insights correlati:
1. RIVOLUZIONE DIGITALE E DIRITTO
L’emersione di tecnologie caratterizzate dall’impiego di sistemi di intelligenza artificiale ha inaugurato una nuova stagione di dibattito in merito alle principali questioni etiche, sociali e giuridiche attorno all’impiego di tali tecnologie e alle relative conseguenze.
Le odierne tecnologie – incidendo sempre più sulla società e sui costumi – sollevano infatti il problema della elaborazione di strumenti di tutela dei diritti fondamentali, della sicurezza e della protezione dai dati e ciò al fine di assicurare che il progresso tecnologico si svolga in armonia con le esigenze di tutela individuali e collettive, nel rispetto di una dimensione antropocentrica.
Risulta infatti evidente che lo sviluppo di algoritmi di nuova generazione e di tecniche sempre più sofisticate di trattamento automatizzato dei dati offre nuove opportunità ma, allo stesso tempo, pone complesse sfide che investono pressoché ogni area del diritto.
Il diritto del lavoro non è immune da tale profonda trasformazione che impone un continuo adattamento rispetto alle nuove istanze provenienti dall’esperienza concreta. Si è osservato, in proposito, come questo renda il diritto del lavoro «un diritto necessariamente dinamico avendo alla propria base il contratto di lavoro connesso funzionalmente alle organizzazioni produttive e strutturato in modo che i contenuti del rapporto di lavoro si modifichino in funzione dei mutamenti organizzativi e produttivi».
Uno dei fattori di mutamento dell’organizzazione e dello svolgimento della prestazione lavorativa è senz’altro rappresentato da quella particolare branca dell’informatica denominata intelligenza artificiale (codificato ormai come I.A. o, con il corrispondente acronimo inglese, A.I.).
2. L’INTELLIGENZA ARTIFICIALE NELLA GESTIONE DEL RAPPORTO DI LAVORO
Con il preciso fine di mettere a fuoco le infinite sfaccettature e le molteplici applicazioni del fenomeno, si sono succedute nel tempo molte definizioni di I.A. Particolarmente interessante, data la sua provenienza, è la definizione di Intelligenza Artificiale fornita dalla Commissione Europea nella Proposta di Regolamento del Parlamento Europeo e del Consiglio dell’aprile 2021 che stabilisce regole armonizzate sull’intelligenza artificiale (I.A. Act).
La Proposta di Regolamento, all’art. 3, definisce il “sistema di intelligenza artificiale” come “un sistema progettato per funzionare con elementi di autonomia e che, sulla base di dati e input forniti da macchine e/o dall’uomo, deduce come raggiungere una determinata serie di obiettivi avvalendosi di approcci di apprendimento automatico e/o basati sulla logica e sulla conoscenza, e produce output generati dal sistema quali contenuti (sistemi di IA generativi), previsioni, raccomandazioni o decisioni, che influenzano gli ambienti con cui il sistema di IA interagisce”.
Funzione specifica del Regolamento, nei termini formulati dalla Proposta, è quella di fissare i requisiti specifici dei sistemi di I.A. e gli obblighi cui deve sottostare chi immette sul mercato questo tipo di prodotti, fino all’utilizzatore, al fine di assicurare che i sistemi di I.A. immessi sul mercato e utilizzati siano sicuri e rispettino i diritti fondamentali e i valori dell’Unione.
Le relative disposizioni si basano su una gradazione del livello potenziale di incidenza dei sistemi sulla collettività, con particolare attenzione alle applicazioni dell’I.A. formalmente qualificabili “ad alto rischio” (ovvero che hanno “un impatto nocivo significativo sulla salute, la sicurezza e i diritti fondamentali delle persone nell’Unione”.
Per quanto qui di interesse, si rileva che l’A.I. Act qualifica, tra l’altro, come “sistemi ad alto rischio” quelli utilizzati “nel settore dell’occupazione, nella gestione dei lavoratori e nell’accesso al lavoro autonomo, in particolare per l’assunzione e la selezione delle persone, per l’adozione di decisioni in materia di promozione e cessazione del rapporto di lavoro, nonché per l’assegnazione dei compiti, per il monitoraggio o la valutazione delle persone nei rapporti contrattuali legati al lavoro”.
Tale classificazione deriva dal fatto che “tali sistemi possono avere un impatto significativo sul futuro di tali persone in termini di future prospettive di carriera e sostentamento”.
2.1 INTELLIGENZA ARTIFICIALE NELLA FASE DI RECRUITING
Già nella fase prodromica del rapporto lavorativo, l’I.A. sta acquisendo una sempre maggiore importanza: grande sviluppo sta, infatti, avendo l’algorithmic hiring, inteso quale procedura di selezione del personale integralmente o parzialmente affidata ad algoritmi.
La percezione diffusa è che tali procedure automatizzate siano più rapide, affidabili ed economiche rispetto alle selezioni “canoniche”, consentendo di individuare efficacemente le caratteristiche e le attitudini personali dei candidati tramite l’analisi di una grande mole di dati raccolti durante le interviste virtuali.
Se da un lato l’I.A. rappresenta una grande opportunità, dall’altro, quando non è adeguatamente controllata, può essere influenzata da una problematica insidiosa, ovverosia il pregiudizio umano che si riflette inevitabilmente sugli algoritmi. Richiamando l’A.I. Act sopra citato, sono infatti considerati ad “Alto Rischio”:
Con riferimento ai rischi connessi all’utilizzo dell’intelligenza artificiale nel contesto lavorativo, è stato infatti rilevato che “durante tutto il processo di assunzione, nonché ai fini della valutazione e della promozione delle persone o del proseguimento dei rapporti contrattuali legati al lavoro, tali sistemi possono perpetuare modelli storici di discriminazione, ad esempio nei confronti delle donne, di talune fasce di età, delle persone con disabilità o delle persone aventi determinate origini razziali o etniche o un determinato orientamento sessuale. I sistemi di IA utilizzati per monitorare le prestazioni e il comportamento di tali persone possono inoltre incidere sui loro diritti in materia di protezione dei dati e vita privata”.
In base alle modalità di costruzione del software, anche l’azienda che non abbia finalità discriminatorie, potrebbe inconsapevolmente introdurre c.d. bias nel processo di trattamento, che, con un effetto a catena, condizionerebbero gli esiti del processo, con effetti discriminatori.
Ciò in quanto i software, per quanto possano essere artificialmente intelligenti, vengono comunque programmati da esseri umani e risentono quindi delle dinamiche giudicanti dei loro stessi programmatori.
A ciò aggiungasi che i dati inseriti nei software rimangono memorizzati all’interno del programma condizionando le analisi predittive future che risulteranno influenzate da dati non aggiornati.
Interessante ricordare, a tal proposito, il noto caso di Amazon.
Il famoso colosso statunitense aveva sviluppato un programma sperimentale di talent finding automatizzato con lo scopo di valutare i candidati secondo una scala di punteggio graduale. Tuttavia, con specifico riferimento a ruoli IT, il sistema non selezionava le candidature in modo neutrale rispetto al genere: le figure femminili venivano escluse automaticamente. La ragione era dovuta al fatto che il software si basava su dati raccolti negli ultimi 10 anni e la maggior parte delle risorse assunte in tale arco temporale in ambito informatico erano, appunto, di genere maschile.
Gli algoritmi hanno quindi individuato e messo in luce i pregiudizi dei loro stessi creatori, dimostrando così che l’addestramento dei sistemi automatizzati su dati imparziali porta a future decisioni non neutrali.
Il caso di Amazon offre un interessante spunto di riflessione sui limiti dell’apprendimento dell’Intelligenza Artificiale e su quanto i c.d. bias umani possano riflettersi sui sistemi automatici, condizionandone gli algoritmi.
2.2 POTERE DIRETTIVO ATTRAVERSO L’ALGORITHMIC MANAGEMENT
Oltre alla fase pre-assuntiva, i sistemi di I.A rappresentano un fattore importante altresì nell’organizzazione del lavoro: si pensi, ad esempio, ai sistemi per la gestione della logistica nei magazzini nonché alle piattaforme utilizzate per la gestione dei riders.
In questi settori, le decisioni in merito alla migliore gestione delle attività e delle risorse umane è sempre più spesso demandata ad algoritmi, in grado di analizzare un’infinita quantità di dati e di individuare la soluzione gestionale ed organizzativa più efficace: algoritmi che determinano l’assegnazione di mansioni in base a determinati parametri, sistemi automatizzati di monitoraggio, sistemi di geolocalizzazione che prevedano segnalazioni o interventi automatici in caso di pericolo.
In tale contesto lavorativo in rapida evoluzione, l’Unione Europea ha sottolineato l’esigenza che i lavoratori siano pienamente e tempestivamente informati in merito alle condizioni essenziali del loro lavoro.
Al fine di garantire al lavoratore e alle organizzazioni sindacali una conoscenza dei sistemi digitali nelle singole organizzazioni imprenditoriali, il legislatore, recependo nell’ordinamento interno la Direttiva (UE) 2019/1152 relativa a condizioni di lavoro trasparenti e prevedibili, ha introdotto a carico del datore di lavoro un obbligo di informativa relativo al caso di utilizzo di sistemi decisionali o di monitoraggio automatizzati (art. 1-bis del D.lgs. n. 152/1997 introdotto dal c.d. Decreto Trasparenza, D.Lgs. 104/2022).
Lo scopo della novella legislativa è stato quello, come si evince dalla lettura delle premesse e dell’art. 1 della Direttiva UE, di «migliorare le condizioni di lavoro promuovendo un’occupazione più trasparente e prevedibile, pur garantendo nel contempo l’adattabilità del mercato del lavoro».
Una traduzione in termini pratici di un linguaggio a tratti ostico è che il lavoratore deve poter conoscere se si usano le tecniche automatizzate, se il datore di lavoro si avvale di decisioni algoritmiche e simili; inoltre, il lavoratore ha diritto di sapere come tali tecniche funzionano, quale ne sia la logica e quale gli impatti, anche in termini di rischi per la sicurezza dei dati personali.
Da una lettura combinata dell’art. 1, co. 1, lett. s) e dell’art. 1-bis, co. 1 del D.lgs. 152/1997, si evince che la predisposizione di tale specifica informativa è richiesta nel caso in cui le modalità di esecuzione della prestazione dei lavoratori siano organizzate tramite l’utilizzo di sistemi decisionali e/o di monitoraggio automatizzati, destinati a «fornire indicazioni rilevanti ai fini dell’assunzione o del conferimento dell’incarico della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori».
La portata della norma contenuta nell’art. 1-bis del Decreto Trasparenza ha creato dubbi interpretativi e difficoltà applicative relativi all’individuazione di quali sistemi fossero da includere tra quelli soggetti a tale ulteriore informativa da distinguersi dagli strumenti di controllo a distanza, rispetto ai quali gli obblighi informativi sono viceversa regolati, come ampiamente noto, dall’art. 4 della L. n. 300/1970, ossia da una disposizione fatta espressamente salva dalla novella e che sembra mantenere un suo grado di autonomia.
Con riferimento alle tipologie di strumenti da intendersi quali sistemi automatizzati, la Circolare del Ministero del Lavoro e delle Politiche Sociali n. 19/2022 ha tentato di fornire alcune precisazioni sulle novità introdotte dal D.lgs. 104/2022. In particolare, la Circolare ha escluso l’obbligo informativo nel caso di utilizzo di badge, ovvero di strumenti automatizzati per la rilevazione delle presenze dei dipendenti in entrata o in uscita, sempre che tale registrazione non generi automaticamente una decisione datoriale, mentre, a titolo puramente esemplificativo ma non esaustivo, ha previsto tale obbligo nel caso di utilizzo di sistemi automatizzati di gestione dei turni, di determinazione della retribuzione, di tablet, GPS, wearables e altro.
Continua a leggere la versione integrale pubblicata su Guida al lavoro de Il Sole 24 Ore.
Un’ordinanza della Corte di Cassazione riconosce che il datore di lavoro può utilizzare le riprese delle videocamere di sicurezza per fini disciplinari
Il datore di lavoro può utilizzare le riprese delle videocamere di sicurezza per fini disciplinari. Lo ha affermato la Corte di Cassazione con ordinanza numero 8375 dello scorso 23 marzo 2023.
Come ormai noto, l’articolo 4 dello Statuto dei Lavoratori dispone che gli impianti audiovisivi – o comunque gli strumenti dai quali derivi una possibilità di controllo a distanza dell’attività dei lavoratori (tra cui rientrano anche i sistemi di videosorveglianza) possono essere impiegati dal datore di lavoro esclusivamente per:
Tali strumenti possono essere installati previo accordo collettivo stipulato con le organizzazioni sindacali e comunque non sono installabili per controllare l’attività lavorativa dei dipendenti.
Se l’articolo 4 dello Statuto dei Lavoratori si prefigge l’obiettivo di tutelare il lavoratore da un controllo a distanza della sua prestazione lavorativa, perché la Corte di Cassazione ha affermato che le registrazioni possono essere utilizzate per comminare una contestazione disciplinare?
Continua a leggere la versione integrale pubblicata su Wired
Con Ordinanza di ingiunzione dello scorso 11 gennaio 2023, il Garante per la Protezione dei dati Personali (il “Garante” o l’”Autorità”) ha comminato ad una società il pagamento di una sanzione amministrativa pari a euro 5.000 per aver mantenuto attivo l’account di posta elettronica di una collaboratrice e aver preso visione del contenuto dello stesso.
Una società, nel corso di alcune trattative volte a definire l’acquisizione di una società cooperativa, concordava che una esponente di quest’ultima collaborasse, spendendo il nome della società acquirente, alla promozione di un fornitore comune in occasione di un evento fieristico.
Alla collaboratrice veniva quindi attivato un account di posta elettronica aziendale al fine di consentirle di relazionarsi con i potenziali clienti conosciuti in occasione dell’evento.
A distanza di qualche mese, le trattative tra le due società venivano interrotte e la reclamante richiedeva la disattivazione dell’account di posta elettronica assegnatole. La società, al fine di non perdere i contatti di potenziali nuovi clienti raccolti durante l’evento, manteneva attivo l’account e impostava un sistema di inoltro delle comunicazioni in entrata alla mail del direttore commerciale, disattivando l’indirizzo di posta della reclamante solamente trascorsi (circa) sei mesi dall’attivazione.
Il Garante ha innanzitutto rilevato che la società non ha adempiuto all’obbligo di informare la reclamante circa il trattamento dei dati effettuato sul suo account di posta così come invece prescritto dall’articolo 13 del Regolamento (UE) 2016/679 (il “Regolamento“). Tale obbligo, ricorda l’Autorità, vige anche nell’ambito di eventuali trattative precontrattuali quale espressione dei principi di correttezza e trasparenza (cfr. art. 5, Regolamento).
Nel caso di specie, la società:
◊◊◊◊
Ciò detto, il Garante ricorda che: “[…] il legittimo interesse a trattare dati personali per difendere un proprio diritto in giudizio non [può] comportare un aprioristico annullamento del diritto alla protezione dei dati personali riconosciuto agli interessati […]”.
Con il provvedimento in oggetto viene, altresì, richiamato un consolidato orientamento dell’Autorità secondo cui un adeguato bilanciamento degli interessi come menzionati alla precedente lett. b) si realizza attivando un sistema di risposta automatico con il quale vengono forniti al mittente degli indirizzi alternativi attraverso cui contattare la società, titolare del trattamento, senza accedere alle comunicazioni in entrata, come invece fatto nel caso di specie in violazione, tra le altre, del principio di minimizzazione (cfr. art. 5 del Regolamento).
Con sentenza n. 28398 del 29 settembre 2022, la Corte di Cassazione, sezione Lavoro, si è espressa circa l’utilizzabilità, a fini difensivi, di registrazioni di colloqui tra il dipendente ed i colleghi sul luogo di lavoro.
Nel caso sottoposto all’attenzione della Suprema Corte, una dipendente era stata licenziata per giusta causa per avere violato alcune procedure aziendali di conservazione dei dati. Il licenziamento era stato ritenuto illegittimo dai giudici di merito sul presupposto che gli addebiti contestati alla lavoratrice fossero privi del carattere di gravità e non giustificassero l’irrogazione della sanzione espulsiva, essendo al più sanzionabili con una misura conservativa, secondo le previsioni del contratto collettivo applicato.
La Corte d’Appello di Salerno aveva tuttavia escluso il carattere ritorsivo del licenziamento (invocato dalla lavoratrice), ritenendo che, il carattere ritorsivo non potesse ritenersi provato in base alle deposizioni testimoniali raccolte né attraverso le “abusive, illegittimamente captate e registrate conversazioni” tra la lavoratrice e alcuni propri colleghi.
Nell’ambito del ricorso per la cassazione della sentenza proposto dalla società datrice di lavoro, la lavoratrice proponeva ricorso incidentale, censurando la sentenza impugnata per avere escluso la ritorsività del licenziamento sulla base di un presupposto errato e cioè la non utilizzabilità delle registrazioni dei colloqui tra presenti, in contrasto con l’orientamento di legittimità e sebbene controparte non avesse in alcun modo contestato lo svolgimento dei colloqui registrati e il relativo contenuto.
Nell’accogliere il ricorso incidentale proposto dalla lavoratrice, la Suprema Corte coglie l’occasione per fare il punto sui limiti e le condizioni di utilizzabilità delle registrazioni come mezzi di prova in sede giudiziale.
In primo luogo, si legge nella sentenza in commento, la registrazione su nastro magnetico di una conversazione può costituire fonte di prova, ex articolo 2712 c.c., se colui contro il quale la registrazione è prodotta non contesti che la conversazione sia realmente avvenuta, né che abbia avuto il tenore risultante dal nastro, e sempre che almeno uno dei soggetti, tra cui la conversazione si svolge, sia parte in causa.
L’art. 24 del Codice della Privacy prevede inoltre la legittimità delle registrazioni effettuate all’insaputa dell’interlocutore e la possibilità di un loro utilizzo in sede giudiziale, quando il loro utilizzo sia necessario per far valere o difendere un diritto e a condizione che, i dati raccolti siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento.
Pertanto, prosegue la Corte, l’utilizzo a fini difensivi di registrazioni di colloqui tra il dipendente e i colleghi sul luogo di lavoro non necessita del consenso dei presenti, in ragione dell’imprescindibile necessità di bilanciare le contrapposte istanze della riservatezza da una parte e della tutela giurisdizionale del diritto dall’altra e pertanto di contemperare la norma sul consenso al trattamento dei dati con le formalità previste dal codice di procedura civile per la tutela dei diritti in giudizio.
È dunque legittima la condotta del lavoratore che abbia effettuato tali registrazioni per tutelare la propria posizione all’interno dell’azienda e per precostituirsi un mezzo di prova, rispondendo la stessa, se pertinente alla tesi difensiva e non eccedente le sue finalità, alle necessità conseguenti al legittimo esercizio di un diritto.
Sulla base di tali premesse, la Corte di Cassazione, accoglie il ricorso incidentale proposto dalla lavoratrice, rinviando la causa alla Corte d’appello di Salerno con invito a provvedere ad un nuovo esame della fattispecie alla luce dei principi di diritto richiamati.