di Giovanni Finetto e Paola Finetto
Il diritto alla protezione dei dati personali ha assunto una nuova componente: quella sociale. Se tradizionalmente il diritto alla privacy veniva inteso come right to be alone, oggi esso deve necessariamente essere considerato in rapporto ad una società in cui lo scambio di dati è diventato ormai necessario, pena l’isolamento. Ogni interazione tecnologica richiede infatti la condivisione di dati (si pensi anche solo ad una banale navigazione in rete). Questo porta spesso alla captazione di dati che si possono definire res derelictae, più che dati intenzionalmente e consapevolmente immessi nel sistema digitale. Si tratta quindi di individuare quali sono le nuove sfide che l’utilizzo dell’intelligenza artificiale pone, soprattutto nell’ambito della business intelligence. Così, risulta ad esempio fondamentale l’utilizzo di algoritmi che, effettuando un’analisi predittiva per individuare le nuove tendenze del mercato, rapportate alle scelte nel tempo dei consumatori, danno la possibilità di adattare al meglio le strategie commerciali. Si tratta dei servizi di business-analytics, affinati sempre di più dalle tecniche di intelligenza artificiale, diventata ormai indispensabile per garantire un controllo trasparente e tracciabile.
Le applicazioni nell’ambito della business intelligence destano interesse e curiosità. La business intelligence (BI) si riferisce alle capacità che consentono alle organizzazioni di prendere decisioni migliori, intraprendere azioni informate e implementare processi aziendali più efficienti, consentendo di:
- raccogliere dati aggiornati;
- presentare i dati in formati di facile comprensione (come tabelle e grafici);
- fornire i dati in modo tempestivo.
Una soluzione di BI è una combinazione di strategia e tecnologia per la raccolta, l’analisi e l’interpretazione dei dati da fonti interne ed esterne, con il risultato finale di fornire informazioni e analytics sullo stato passato, presente e futuro del target esaminato. I dati vengono creati a partire da un numero crescente di dispositivi: i dati e la capacità di trarne intuizioni sono la risorsa più preziosa per sostenere e far crescere le aziende. L’utilizzo di un approccio opportunamente selezionato alla BI può aiutare l’organizzazione a ottenere un vantaggio in termini di competitività, riducendo il tempo e gli sforzi necessari per acquisire, integrare, distribuire, esaminare e rispondere ai nuovi dati: la BI rappresenta il cuore di ogni impresa data-driven. Le informazioni così ottenute possono essere utilizzate in azienda, ad esempio, per le seguenti attività:
- misurazione dei risultati delle campagne di marketing;
- aumento della visibilità sul flusso di cassa, sui margini lordi e sulle spese operative;
- acquisizione di insight su dipendenti e potenziali clienti per ottimizzare i processi e il recruiting delle risorse umane;
- monitoraggio delle tendenze dei componenti e dei materiali e delle performance dei fornitori;
- previsione del fatturato e delle transazioni;
- ottimizzazione dei livelli di personale del call center e del deposito;
- visualizzazioni interaziendali;
- rilevamento di nuovi modelli e nuove opportunità di guadagno;
- business partner screening.
Vale la pena ora soffermarsi su un nuovo concetto, che trae le basi dalla BI e la integra con la intelligenza artificiale (AI): si tratta della continuous intelligence (CI), un nuovo modo di intendere gli analytics, in cui l’osservazione dei dati in tempo reale si integra con i processi di business in modo diretto, con la conseguente possibilità di supportare le decisioni, o addirittura automatizzarle, al verificarsi di eventi rilevanti. È un approccio innovativo e guidato dall’intelligenza artificiale e dal machine learning, che permette di raccogliere grandi volumi di dati e di accelerare l’analisi, indipendentemente dal numero e tipo delle fonti e dai loro formati. Si tratta di una metodologia che va oltre l’analisi descrittiva, diagnostica e predittiva, ossia quella che risponde alle classiche questioni “cosa è accaduto” e “cosa accadrà”. È piuttosto un approccio che fornisce indicazioni prescrittive, suggerendo la migliore azione da intraprendere nel contesto dato (“cosa devo fare adesso”). Per questo si applica a situazioni in cui i dati in tempo reale possono migliorare le decisioni aziendali in misura significativa: è il concetto di time sensitive data. La CI accresce la consapevolezza della situazione in cui il business si sta muovendo (situation awareness) e fornisce una visione integrata tra le funzioni aziendali. Non da sottovalutare è la capacità di innescare risposte automatiche, inviando input alle macchine o avviando processi aziendali laddove le decisioni possono essere automatizzate. La continuous intelligence si basa sull’intelligenza artificiale e usa il machine learning per processare e interpretare un flusso continuo di dati disgregati, scoprire modelli complessi ed estrarre conoscenze preziose che possono essere immediatamente e automaticamente tradotte in azioni. In termini pratici, la continuous intelligence porta la consapevolezza della situazione in tempo reale e guida le azioni in modo che le persone, i processi e le macchine rispondano più efficacemente agli eventi aziendali importanti nell’esatto momento in cui accadono.
Anche con riferimento alla gestione del rapporto di lavoro, il crescente impatto della digitalizzazione e la pervasività delle tecnologie richiedono un’attenzione particolare nel trattamento dei dati personali del lavoratore. Nonostante, da un lato, vi sia la previsione di modelli organizzativi sempre più flessibili, che cercano di favorire un equilibrio ottimale tra produttività e conciliazione vita-lavoro, rendendo quindi i lavoratori sempre più autonomi, dall’altro lato permane la necessità del controllo e della verifica del corretto adempimento delle mansioni. Le nuove possibilità di controllo a distanza richiedono un costante bilanciamento tra l’interesse alla massimizzazione delle potenzialità tecnologiche e la tutela della riservatezza del lavoratore. In particolare, il regolamento europeo per la protezione dei dati personali n. 2016/679 (in seguito GDPR) enuncia, nell’articolo 5, i principi che devono essere rispettati affinché il trattamento dei dati del lavoratore, raccolti mediante strumenti di controllo tecnologici, possa dirsi avvenuto in maniera lecita. Ai sensi dell’articolo 5 GDPR, infatti, i dati personali del lavoratore devono essere raccolti e trattati nel rispetto dei principi di liceità, trasparenza, limitazione delle finalità e minimizzazione. Pertanto, i dati devono essere trattati limitatamente a quanto necessario e pertinente rispetto alle finalità per le quali sono stati raccolti: i dati non possono essere trattati per finalità diverse rispetto a quelle che, a monte, ne hanno giustificato e reso lecita l’acquisizione. In questa prospettiva di minimizzazione e pertinenza del dato, dev’essere rispettata anche una logica di prevenzione. Questo significa che la raccolta dati deve sempre avvenire utilizzando i metodi meno invasivi possibili. Inoltre, fondamentale è il principio di informazione e trasparenza nei confronti del soggetto interessato dal trattamento dei dati (lavoratore). Un ulteriore profilo che emerge, con riferimento al crescente utilizzo di algoritmi nell’ambiente di lavoro, è quello relativo al diritto anti-discriminatorio. Si è soliti pensare che l’utilizzo di una c.d. “macchina intelligente”, proprio perché non dotata di “creatività” (caratteristica tipicamente umana), garantisca una operatività esente da qualsivoglia discriminazione. Il problema si pone, tuttavia, nel momento in cui la macchina intelligente dà esecuzione ad un algoritmo che contiene già al suo interno forme di discriminazione: queste saranno infatti destinate ad essere riprodotte in modo esponenziale dalla macchina stessa. Leading case in questo ambito è il caso Deliveroo, deciso con ordinanza del Tribunale di Bologna del 31 dicembre 2020. Nella fattispecie, la distribuzione del lavoro tra i vari rider avveniva attraverso una piattaforma digitale e le sessioni di lavoro erano distribuite tenendo conto, tra l’altro, della disponibilità per fasce orarie data dal rider, oltre che dei punteggi assegnati in base ai feedback della clientela. Oggetto del contezioso era la liceità dell’algoritmo utilizzato dalla società, denominato “algoritmo Frank”. Il Tribunale di Bologna ha rilevato che “l’algoritmo, imponendo il rispetto della sessione di lavoro prenotata e la connessione entro 15 minuti dall’inizio della sessione nella zona di lavoro, di fatto penalizza l’adesione del rider a forme di autotutela collettiva (diritto allo sciopero) e, in particolare, ad astensioni totali dal lavoro coincidenti con la sessione prenotata” ed ha altresì affermato che la società “nel sanzionare con perdita di punteggio i riders che non rispettavano le sessioni di lavoro, penalizzava, quindi, tutte le forme lecite di astensione dal lavoro in quanto determinava la retrocessione nella fascia di prenotazione limitando le future occasioni di lavoro”. Nella sostanza, secondo la ricostruzione del Tribunale di Bologna, l’algoritmo utilizzato non permetteva di valorizzare, in particolare, l’assenza o il ritardo del rider dovuti all’esercizio del diritto di sciopero, con conseguente possibile effetto discriminatorio. Resta comunque il fatto che i bias, cioè i pregiudizi eventualmente contenuti in un sistema algoritmico, possono essere preesistenti e derivare da prassi comuni o abitudini sociali, ma possono anche rappresentare imperfezioni tecniche generate dal sistema, tanto più che i software basati su tecnologie di intelligenza artificiale sono in continua evoluzione e in costante miglioramento.
L’ambivalenza della tecnologia è riscontrabile anche nel contesto della tutela della salute e sicurezza del lavoratore. L’impiego dell’intelligenza artificiale nell’attività lavorativa, se da un lato può aiutare a eliminare o ridurre al minimo alcuni rischi presenti nell’ambiente di lavoro (si pensi all’utilizzo di droni per lo svolgimento di attività in ambienti di lavoro pericolosi), dall’altro può costituire una fonte di nuovi rischi, spesso inediti, per la salute e la sicurezza del lavoratore, tali da incidere non soltanto sulla sfera fisica, ma spesso e volentieri anche sulla salute psico-sociale dell’individuo, provocando un senso di disumanizzazione del lavoro o addirittura di alienazione. Se si pensa, per ipotesi, all’utilizzo della modalità smart-working per lo svolgimento della prestazione lavorativa, essa può senz’altro permettere di ridurre le conflittualità interpersonali e di favorire la produttività, ma può anche portare ad un senso di isolamento, soprattutto quando si tratta di lavoratori con mansioni già fortemente individualizzate. Sono tutti fattori di rischio che devono essere correttamente valutati ai sensi dell’art. 28 D.Lgs. n. 81/2008, per adempiere all’obbligazione di sicurezza ex art. 2087 cod. civ. Anche il documento di valutazione dei rischi dev’essere di conseguenza aggiornato e deve tenere conto della ormai indispensabile presenza degli strumenti di intelligenza artificiale sui luoghi di lavoro. L’obbligo di tutela della sicurezza e salute dei lavoratori, che incombe sui datori di lavoro, deve quindi essere integrato costantemente alla luce delle nuove tecnologie adottate sul posto di lavoro, prevedendo a tal fine anche un’adeguata formazione dei lavoratori.
Ulteriori applicazioni di tecnologie di intelligenza artificiale si rinvengono nell’utilizzo di processi decisionali automatizzati (come la profilazione), che introducono limiti specifici al trattamento dei dati. In questo caso, la disposizione di riferimento è l’art. 22 del GDPR, che vieta il trattamento automatizzato di dati, salvo l’ipotesi in cui sia necessario per la conclusione o esecuzione di un contratto tra l’interessato e il titolare del trattamento. Potremmo chiederci, ad esempio, se, nel caso in cui, a seguito della pubblicazione di un’offerta di lavoro, al datore di lavoro giungesse un numero elevatissimo di candidature, possa considerarsi necessario il ricorso a processi automatizzati per la elaborazione dell’ingente quantità di dati pervenuta, perlomeno per effettuare una prima scrematura, laddove sia oggettivamente irrealizzabile in tempi brevi con l’impiego di risorse umane. Se così fosse, tale ipotesi rientrerebbe nella deroga al divieto di utilizzo di processi decisionali automatizzati ex art. 22 GDPR. Anche il caso dell’algoritmo Frank, di cui si è scritto sopra, rappresenta un caso guida nell’ambito della disciplina del trattamento dei dati con riferimento alle implicazioni connesse all’utilizzo di strumenti decisionali automatizzati. Infatti, sempre con riferimento al caso Deliveroo, il 22 luglio 2021 il Garante per la Protezione dei Dati Personali ha reso una ordinanza di ingiunzione nei confronti della società, riscontrando in capo alla stessa la violazione della normativa sulla protezione dei dati personali – in particolare l’art. 22 GDPR – in quanto non sarebbero state adottate misure appropriate per garantire i diritti dell’interessato. Nella fattispecie, le misure appropriate sono state individuate dal Garante nelle misure tecnico-organizzative volte a verificare la correttezza e accuratezza dei risultati e, nello specifico, a ridurre quanto più possibile il rischio di effetti distortivi e discriminatori. Come anche nel caso Deliveroo, qualora vengano adoperati algoritmi che comportano il trattamento automatizzato di dati, deve sempre essere previsto un sistema di monitoraggio. Risulta pertanto indispensabile fare riferimento alla normativa sul trattamento dei dati per individuare i limiti all’utilizzo di decisioni algoritmiche, in quanto la disciplina richiede misure appropriate per evitare potenziali disparità di trattamento ingiustificate.
Le nuove tecnologie costituiscono indubbiamente una ricchezza ma, allo stesso tempo, impongono a chi ne usufruisce e le utilizza di prestare attenzione alla corretta gestione dei dati personali oggetto di trattamento, tanto più se si tratta di dati sensibili.
