Il legislatore assegna al Garante per la protezione dei dati personali, Autorità amministrativa indipendente nata dalla visione moderna di Stefano Rodotà, un’importante funzione di regolazione dei rapporti di lavoro sia nel settore pubblico sia nel privato, avendo previsto nell’art. 4 dello Statuto dei lavoratori una specifica competenza nel vigilare che l'utilizzo di strumenti dai quali derivi la possibilità di controllo a distanza sul luogo di lavoro avvenga nel rispetto dei diritti e delle libertà fondamentali dei lavoratori, in particolare il diritto alla protezione dei dati personali.

Il Garante, quindi, pur non essendo direttamente coinvolto nella procedura di autorizzazione prevista dall'art. 4 per l’utilizzo di tali strumenti, ha il potere di intervenire in caso di violazioni, applicando sanzioni e ordinando la cessazione dei trattamenti illeciti.

Nell’ambito di quella che viene definita “Industria 4.0”, i compiti di regolazione del Garante consentono di impedire un’accettazione acritica della “dittatura digitale”, perché alcune delle nuove tecnologie abilitanti e a supporto dell’attività lavorativa non sono solo in grado di semplificare i processi lavorativi, ma anche di spingere all’estremo attività pervasive quali il tracciamento e il dossieraggio sistematico.

In questo contesto, un’Autorità formalmente indipendente dal potere politico e dall’esecutivo come Il Garante può svolgere un ruolo fondamentale nella regolamentazione degli strumenti digitali e dell'intelligenza artificiale in ambito lavorativo, assicurando che l'innovazione tecnologica non comprometta i diritti e le libertà fondamentali dei lavoratori.

Perché, è bene ribadirlo, il diritto alla protezione dei dati personali non si esaurisce in una generica tutela della riservatezza individuale (che ha sempre erroneamente portato a definire la normativa privacy come un’estensione delle tutele in materia di proprietà privata, a tutto vantaggio delle classi più agiate), ma trova la sua vera ragion d’essere nella salvaguardia dell’interesse di ciascuno a vedere trattati correttamente i propri dati personali, affinché siano impedite discriminazioni e limitazioni della libertà di autodeterminazione.

Evitando ragionamenti che rimangano impantanati nella mera teoria, è necessario scendere nel concreto e capire dove, nell’Industria 4.0, si annidano i rischi maggiori per i lavoratori, quale sia la “cassetta degli attrezzi” che può essere utilizzata per minimizzare tali rischi e quando e come si possa fare affidamento sull’intervento del Garante.

Nell’ambito delle nuove tecnologie, lo sviluppo di sistemi di intelligenza artificiale che permettono di raccogliere, organizzare e analizzare enormi quantità di dati provenienti da diverse fonti, l’utilizzo di dispositivi muniti di sensori che raccolgono dati trattati da algoritmi con la finalità di intervenire sui processi ottimizzandoli e potenziandoli, l’introduzione nel mondo del lavoro di strumenti di realtà aumentata o virtuale e di tecniche di elaborazione attraverso il cloud computing dell’intera mole di dati generata dalle attività produttive, ampliano enormemente il patrimonio di informazioni che si riferiscono ai lavoratori.

Ampliano quindi il rischio di un loro utilizzo indebito e ampliano la sfera di intervento del Garante: se si pensa che fino a qualche anno fa l’ambito di applicazione dell’art. 4 dello Statuto dei lavoratori era confinato al solo utilizzo degli impianti audiovisivi, si può comprendere quanto oggi il perimetro delle informazioni che entrano nella disponibilità del datore di lavoro si sia significativamente ampliato. Basti pensare che, nel luglio 2023, il Garante è intervenuto sanzionando un'azienda per violazioni della privacy nell'utilizzo di tre tecnologie: un sistema di allarme con rilevatori di impronte digitali, un impianto di videosorveglianza e un'applicazione per la geolocalizzazione dei lavoratori.

I provvedimenti del Garante in relazione alle nuove tecnologie calate nel mondo del lavoro sono stati numerosi e particolarmente significativi: proprio con riferimento all’utilizzo di dati biometrici, nel 2021 l’Autorità aveva accertato come un'azienda sanitaria avesse installato un sistema di rilevazione delle presenze basato su impronte digitali senza un idoneo presupposto giuridico, nonostante l'azienda non conservasse i dati biometrici in modo centralizzato. In quel caso, oltre alla sanzione pecuniaria, il Garante aveva imposto all'azienda sanitaria la cancellazione dei dati biometrici dei dipendenti.

In linea generale, il Garante ha sempre evidenziato che il trattamento dei dati biometrici, come le impronte digitali, deve essere soggetto a una normativa specifica più rigorosa perché tali dati sono unici e immutabili, e la loro compromissione può determinare conseguenze significative per i diritti e le libertà fondamentali degli individui (le impronte digitali possono, ad esempio, collocare una persona nella scena di un crimine).

Anche l’introduzione di strumenti legati al mondo IoT (“Internet of Things”) nei processi di lavoro ha sollevato molte preoccupazioni: l'utilizzo di tali strumenti può comportare un aumento del controllo a distanza dei lavoratori da parte dei datori di lavoro. Ad esempio, l'utilizzo di smartphone o tablet aziendali con gps integrato potrebbe permettere di tracciare la posizione dei lavoratori anche al di fuori dell'orario di lavoro, ricadendo in specifiche ipotesi di violazione previste dall’art. 8 dello Statuto dei lavoratori.

I dispositivi IoT inoltre possono raccogliere una grande quantità di dati sui lavoratori, di natura personale e sensibile, e l'analisi dei dati raccolti, anche attraverso i processi di intelligenza artificiale, può essere utilizzata per profilare i lavoratori e prendere decisioni automatizzate che li riguardano, ad esempio in merito all'assegnazione di compiti o alla valutazione delle performance.

In questo caso esistono specifiche norme in ambito privacy (art. 22 del Regolamento Ue sulla protezione dei dati personali - Gdpr), che garantiscono la trasparenza e il controllo umano sulle decisioni automatizzate, tenendo peraltro conto dei pericoli di decisioni assunte mediante l’utilizzo di sistemi di intelligenza artificiale che (ad esempio nel recruiting), comportano rischi per i diritti dei lavoratori, tra cui la possibile discriminazione. Il Garante ha avviato i lavori per la predisposizione di un provvedimento che individui le misure di garanzia per i trattamenti di dati biometrici e sanitari nell'ambito lavorativo, anche alla luce delle nuove tecnologie come l'intelligenza artificiale.

Più in generale, sotto la lente del Garante sono finiti trattamenti di geolocalizzazione (è stato ribadito che i sistemi di geolocalizzazione dei dipendenti sono strumenti di controllo a distanza e non semplici strumenti di lavoro), videosorveglianza (l'installazione di sistemi di videosorveglianza sul luogo di lavoro deve avvenire nel rispetto della normativa sulla privacy, anche quando le telecamere riprendono aree di transito o dedicate ai dipendenti come spogliatoi o aree ristoro ed è necessaria un’informativa, rivolta sia ai dipendenti che a eventuali clienti), controllo della posta elettronica aziendale (sono state sanzionate diverse aziende per la conservazione sistematica e senza limiti temporali dei log di accesso e del contenuto della posta elettronica aziendale, anche dopo la cessazione del rapporto di lavoro), dati giudiziari e sanitari dei dipendenti (il cui trattamento è consentito solo in casi specifici e con idonee garanzie per i diritti degli interessati).

Le violazioni più frequenti hanno riguardato la mancata o inadeguata informativa, la mancanza del presupposto giuridico del trattamento, la conservazione eccessiva dei dati e l'omesso riscontro alle richieste di esercizio dei diritti (accesso, cancellazione, aggiornamento dei dati personali, opposizione al trattamento per motivi legittimi ecc.), avanzate dai lavoratori.

E quali possono essere le forme di coinvolgimento di un’Autorità indipendente come il Garante nei processi aziendali che riguardano la gestione del rapporto di lavoro?

Occorre in primo luogo evidenziare che proprio il 12 luglio 2024 la Gazzetta ufficiale dell’Unione Europea ha pubblicato il Regolamento (UE) 2024/1689, noto come "regolamento sull'intelligenza artificiale", che fornisce un quadro giuridico uniforme per lo sviluppo, l'immissione sul mercato e l'uso dei sistemi di intelligenza artificiale nell'Unione Europea, con l'obiettivo di promuovere un' intelligenza artificiale antropocentrica e affidabile, garantendo al contempo un livello elevato di protezione della salute, della sicurezza e dei diritti fondamentali dei lavoratori.

Dal Regolamento è possibile individuare sistemi di intelligenza artificiale ad alto rischio nel lavoro, che possono avere un impatto significativo sul futuro delle persone in termini di carriera, sostentamento e diritti dei lavoratori, in particolare quelli per l'assunzione e la selezione (impiegati per pubblicare annunci di lavoro mirati, analizzare i curricula, filtrare le candidature e valutare i candidati, sistemi che possono consolidate modelli illeciti di discriminazione), per assumere decisioni riguardanti le condizioni di lavoro (la promozione, il licenziamento, l'assegnazione dei compiti e la valutazione delle prestazioni dei lavoratori); per il monitoraggio dei lavoratori (strumenti che possono raccogliere dati sui comportamenti, le prestazioni e la posizione dei lavoratori, con il rischio di compromettere il loro diritto alla riservatezza e alla protezione dei dati personali).

Il Garante, nelle sue attribuzioni istituzionali, ha a disposizione numerosi strumenti sia di natura consultiva, fornendo pareri obbligatori al Parlamento e al governo su atti normativi (di rango primario e secondario) concernenti la protezione dei dati personali (ad esempio, di recente l’Autorità ha fornito indicazioni sull'utilizzo di sistemi decisionali automatizzati nel contesto lavorativo, evidenziando i criteri di legittimità da rispettare nel monitoraggio dei lavoratori in smart working), sia di natura ispettiva e regolatoria, annoverando fra i suoi poteri anche quello di accedere nei luoghi del trattamento e nelle banche dati con poteri di Polizia giudiziaria, naturalmente in stretta connessione con le funzioni di vigilanza rispetto al quadro normativo in ambito privacy.

Anche i sindacati possono sollecitare gli interventi dell’Autorità, sia attraverso gli strumenti classici della segnalazione e del reclamo al Garante, dai quali possono scaturire iniziative ispettive, istruttorie articolate e provvedimenti correttivi e sanzionatori, sia partecipando alle consultazioni pubbliche avviate dall’Autorità su documenti di interesse per la tutela dei lavoratori, come linee guida e provvedimenti.

Nel marzo 2024 la Fisac Cgil Lazio ha fornito i propri contributi sui provvedimenti del Garante sottoposti a consultazione pubblica nella materia della conservazione dei cosiddetti “metadati” delle e-mail aziendali, ovvero i dati “descrittivi” di ogni singola missiva elettronica, assistiti da garanzie di riservatezza che proteggono il nucleo essenziale della dignità della persona e il pieno sviluppo della sua personalità nelle formazioni sociali.

Ma ancora oggi la via maestra per la corretta regolamentazione delle nuove tecnologie e del loro impatto sul mondo del lavoro appare essere la “contrattazione d’anticipo”, ovvero la capacità dei sindacati di confrontarsi con le imprese in una fase di importanti cambiamenti e d’intervenire con regole condivise per plasmare le nuove forme di organizzazione del lavoro.

Utilizzando anche gli elementi forniti dall’attività istituzionale del Garante, condensati nelle Relazioni annuali al Parlamento oggetto di pubblicazione integrale nel sito dell’Autorità, è possibile promuovere una contrattazione preventiva con i datori di lavoro per definire le modalità di utilizzo degli strumenti digitali e dell'intelligenza artificiale nel rispetto della normativa e dei diritti dei lavoratori.

In alcuni casi, tale contrattazione è prevista per legge (ad esempio, l'installazione di sistemi di videosorveglianza sui luoghi di lavoro e di altri strumenti potenzialmente idonei a realizzare un controllo a distanza dei lavoratori richiede un accordo preventivo con le rappresentanze sindacali o, in alternativa, un'autorizzazione dell'Ispettorato del lavoro), mentre nelle restanti aree di intervento potrà svilupparsi una contrattazione che affronti i temi del crescente stress psicologico e fisico dei lavoratori, della formazione, del riconoscimento professionale, dell’autonomia e responsabilità nella prestazione lavorativa.

Nell’ambito della diffusione degli algoritmi sarà fondamentale rivendicare la trasparenza nei processi decisionali e negoziare la modifica e l'adattabilità dei codici e dei software. Attraverso la formazione di delegati alla cultura e alla metodologia dell'inchiesta sociale, che permette al sindacato di elaborare un'azione autonoma in risposta ai cambiamenti sociali, e dell’inchiesta sindacale, per raccogliere dati e interpretarli dal punto di vista dei lavoratori, sarà possibile costruire una risposta alle crescenti criticità della “Industria 4.0” e contrastare la diffusione del lavoro precario e l’individualismo nel luogo di lavoro, elementi che proprio lo sviluppo deregolamentato della “Industria 4.0” rischia drammaticamente di consolidare.

Alessandro Bartolozzi, Rsa Fisac Cgil dell’Ufficio del Garante per la protezione dei dati personali