di Michele Tamburrelli*
Recentemente, il Garante per la protezione dei dati personali ha imposto una multa di 80.000 euro a un’azienda che, violando le norme sulla privacy, aveva mantenuto attivi gli account di posta elettronica aziendale di ex dipendenti. Questo accesso prolungato alle email ha permesso all’azienda di visionare corrispondenze private senza alcuna adeguata informativa o garanzia di tutela della privacy. Un caso che mette in evidenza i rischi legati alla gestione dei dati personali dei lavoratori, specialmente in un contesto dove tecnologie come l’Intelligenza Artificiale stanno rapidamente evolvendo.
Il Regolamento Generale sulla Protezione dei Dati (GDPR) stabilisce regole rigorose per il trattamento dei dati, basate su principi di liceità, correttezza, trasparenza, minimizzazione dei dati, limitazione delle finalità e conservazione. In altre parole, le aziende devono raccogliere dati solo per scopi chiari, espliciti e legittimi, evitando di conservarli oltre il necessario. Tuttavia, come dimostra il caso sanzionato dal Garante, molti datori di lavoro sembrano non avere piena consapevolezza delle implicazioni legali legate all’uso dei dati dei dipendenti.
A questo si aggiunge l’articolo 4 dello Statuto dei Lavoratori, modificato dal Jobs Act, che disciplina l’uso di strumenti di controllo a distanza sui lavoratori. La normativa consente al datore di lavoro di adottare software e hardware per esigenze organizzative, produttive o di sicurezza senza l’obbligo di accordo sindacale, a condizione che tali strumenti non siano finalizzati a un controllo diretto dell’attività lavorativa. Quando, invece, l’uso di questi strumenti comporta un controllo, anche indiretto, dei dipendenti, è necessario un accordo preventivo con le rappresentanze sindacali aziendali (o in ultima istanza con l’ispettorato del lavoro). Questo equilibrio mira a garantire che la tecnologia venga usata in modo etico, rispettando la dignità e la riservatezza dei lavoratori.
Ma quando un sistema può definirsi di lavoro e quando di controllo? Questo è uno dei temi di dibattito su alcuni software e/o dispositivi (per esempio quelli per la geolocalizzazione dei veicoli, alcuni software di monitoraggio delle attività al computer, i dispositivi biometrici per il controllo degli accessi), sempre più raffinati, che danno la possibilità di conservare e trattare un elevato numero di dati.
L’arrivo dell’Intelligenza Artificiale nei luoghi di lavoro amplifica questi rischi e rende la questione ancora più complessa. L’IA permette di raccogliere e analizzare dati con una precisione e una velocità senza precedenti, ma ciò rappresenta un’arma a doppio taglio. Da una parte, l’IA ottimizza i processi produttivi, dall’altra rischia di portare i datori di lavoro a superare, anche inconsapevolmente, i limiti stabiliti dal GDPR. L’IA può diventare una “macchina sportiva dal motore elaborato” nelle mani del datore di lavoro, in grado di sfrecciare oltre i confini della privacy senza un controllo adeguato.
Il principio di trasparenza, insieme a quello di minimizzazione dei dati, è particolarmente vulnerabile nell’era dell’IA. Gli algoritmi utilizzati dai sistemi di IA possono analizzare comportamenti, preferenze e abitudini dei dipendenti, creando profili dettagliati e raccogliendo informazioni ben oltre quanto necessario. In assenza di normative chiare e di un controllo rigoroso, si rischia di violare il diritto alla riservatezza dei lavoratori, trattando i dati in maniera sproporzionata rispetto alle finalità originali.
Per scelta, l’Unione Europea ha emanato una nuova normativa, Il Regolamento (UE) 2024/1689 denominato anche AI Act, pienamente applicabile nel nostro Paese dall’agosto 2026 (ma con alcune specifiche in vigore già dal 2025) che mira a stabilire regole chiare sull’uso dell’intelligenza artificiale anche in ambito lavorativo. Questa normativa introduce linee guida specifiche per mitigare i rischi e tutelare i diritti dei dipendenti, integrandosi con il GDPR per fornire un quadro di protezione completo.
Alla luce di queste sfide, è fondamentale che chi sviluppa e propone tecnologie di IA assuma una responsabilità etica. Non si può mettere nelle mani del datore di lavoro una “macchina pompata e sportiva” senza le giuste istruzioni e senza un sistema di controllo. I fornitori di queste tecnologie dovrebbero offrire supporto e formazione su come utilizzare l’IA in conformità con le normative, evitando che questa tecnologia diventi uno strumento di sorveglianza invasivo.
La responsabilità finale del trattamento dei dati, tuttavia, rimane in capo al datore di lavoro. Potrebbe essere ragionevole estendere a tutti i datori di lavoro l’obbligo di effettuare una Valutazione d’Impatto sulla Protezione dei Dati, sul modello della valutazione del rischio già obbligatoria in ambito salute e sicurezza. Questa valutazione, già prevista per i trattamenti di dati ad alto rischio secondo il GDPR, permetterebbe di aumentare la consapevolezza, standardizzare le pratiche e ridurre il rischio di sanzioni.
Infine, la formazione gioca un ruolo cruciale. È essenziale che i datori di lavoro comprendano pienamente i limiti e le responsabilità legate al trattamento dei dati personali e che i dipendenti siano consapevoli dei propri diritti. Solo con una gestione consapevole e responsabile dell’IA sarà possibile evitare che questa tecnologia “sbandi pericolosamente”, preservando un ambiente di lavoro sicuro, rispettoso della privacy e dei diritti dei lavoratori.
*Laureato in Diritto del Lavoro e Relazioni Industriali presso la Facoltà di Scienze Politiche di Milano, ha iniziato la sua carriera nel sindacato, sviluppando una solida esperienza in diritto del lavoro, formazione, salute e sicurezza, oltre ad ambiti complementari, con un focus particolare sui settori del terziario, turismo e servizi. Ha diretto un ente accreditato per la formazione e lo sviluppo delle risorse umane.
Articolo Precedente
Il sindacato dell’esercito contrario allo smart working: “Il telelavoro rischia di compromettere l’immagine del servizio militare”
