Rappresentante dei lavoratori per la privacy: un ruolo di tutela dei dati dall’IA #adessonews

Il ruolo dell’IA nei processi di lavoro e sui lavoratori

Riflessioni dettate dalla constatazione del fatto che il mondo del lavoro è percorso da dinamiche evolutive continue sotto la spinta dell’innovazione tecnologica e, da ultimo e prepotentemente, dell’intelligenza artificiale (IA).

Se solo qualche anno fa si riteneva che molti dei lavori esistenti si sarebbero estinti nei successivi decenni ma che altri ne sarebbero nel contempo emersi, oggi si teme che l’IA ne spazzerà via molti prima che un adeguato turn-over riesca a creare nuove occasioni di lavoro, rendendo incerto il futuro soprattutto delle giovani generazioni.

Nel contesto emergente, le nuove tecnologie dell’IA possono avere refluenze tali non solo sui processi di lavoro ma anche sui lavoratori, anche sotto gli aspetti della privacy e della salute e sicurezza sul lavoro: in termini di opportunità per migliorare gli aspetti della sicurezza e in termini di rischi per l’impatto sulle condizioni di lavoro (cfr ad es. il recente documento “Strategie per la sicurezza e la salute” dell’Agenzia Europea per la salute e sicurezza sul lavoro – EU-OHSA).

Ciò rende ancor più articolata pure la gestione della privacy all’interno delle organizzazioni; a livello UE si è fra l’altro intervenuti con la Direttiva 2019/1152 relativa a condizioni di lavoro trasparenti e prevedibili, recepita in Italia con il D.lgs. 2022/104 che prevede specifici oneri informativi verso i lavoratori e le OO.SS. circa l’utilizzo di sistemi decisionali o di monitoraggio automatizzati afferenti a diversi aspetti della prestazione (con aspetti che implicano il trattamento di dati personali).

Il legislatore europeo, va aggiunto, già con la Direttiva UE 2002/14 (recepita con D.lgs. 2007/25) ha istituito un quadro generale relativo all’informazione e alla consultazione dei lavoratori, che prevede un quadro informativo sull’assetto delle imprese nei confronti delle OO.SS. e, nel caso di informazioni riservate ovvero non divulgabili ai lavoratori, cita anche gli “ esperti che eventualmente assistono” i rappresentanti dei lavoratori.

Una proposta di aggiornamento di GDPR e Codice privacy

Senza fare qui una elencazione delle diverse numerose norme riferibili ai diversi aspetti del mondo del lavoro, il richiamo alle predette norme intende essere spunto per una proposta di aggiornamento del GDPR o anche solo del Codice privacy, secondo cui le informazioni (anche dei lavoratori) devono essere raccolte e gestite in modo legale, trasparente e sicuro.

La norma che si propone alla riflessione è rivolta a dare una più sostanziale risposta alle esigenze dei lavoratori di tutela della loro privacy nell’ambito delle organizzazioni – pubbliche o private che siano – in cui operano, materia che, va da sé, teoricamente rientra nel cono d’attenzione anche delle OO.SS.

Per articolare convenientemente tale proposta è utile richiamare il D.lgs. 81/2008 sulla tutela della salute e della sicurezza nei luoghi di lavoro, l’art. 2087 del codice civile “tutela delle condizioni di lavoro”, la legge 4/2021 di ratifica ed esecuzione della Convenzione OIL sull’eliminazione della violenza e delle molestie sul luogo di lavoro che fra l’altro impegna gli Stati che la ratificano ad “adottare leggi e regolamenti che definiscano e proibiscano la violenza e le molestie nel mondo del lavoro, inclusi violenza e molestie di genere” e il D.lgs. 24/2023 sul whistleblowing.

I dati personali dei dipendenti comprendono non solo informazioni afferenti alle competenze professionali e alle expertise maturate sul lavoro, alle dinamiche individuali degli aspetti retributivi e previdenziali, a informazioni diverse relative alla sfera del lavoratore come quelle inerenti allo stato anagrafico, ai familiari, alla salute (per la parte sostanziale trattate in esclusiva dal medico competente), alla iscrizione a sindacati.

Il ruolo del rappresentante dei lavoratori per la privacy

La tutela della privacy, così come quella della salute e sicurezza sul lavoro, è essenziale per un ambiente di lavoro dove le persone si possano sentire tutelate nei loro interessi e rispettate nella loro diversità. E come il D.lgs. 81/2008, prevede il rappresentante dei lavoratori per la sicurezza assegnandogli molteplici attribuzioni (art. 50), parallelamente in tema di tutela dei dati personali un Rappresentante dei lavoratori per la privacy potrebbe innalzare la complessiva tutela della privacy dei dipendenti.

Tale figura, che ha trovato spazio anche nella dottrina troverebbe fondamento nella congiunta considerazione:

1. della rilevanza pervasiva e crescente della materia in un contesto, quello del lavoro, che vede crescere le soluzioni di intelligenza artificiale adottate nei processi;
2. dello stretto legame fra privacy e ambiente di lavoro inclusivo e aperto alla valorizzazione delle diversità;
3. dell’art. 4 dello Statuto dei lavoratori che riguardo forme di controllo a distanza prevede, in alcuni casi, uno specifico iter (accordo con le OO.SS. o autorizzazione INL).

Tale rappresentante sarebbe un presidio di garanzia: un primo interlocutore per l’organizzazione e il responsabile della protezione dei dati (RPD/DPO) ove nominato (in caso contrario emergerebbe ancor più la sua utilità come propositiva controparte del datore di lavoro).

Come già in precedenza sostenuto, analogamente all’ambito salute e sicurezza sul lavoro, dove il rappresentante dei lavoratori può interloquire con le altre figure coinvolte fra cui il responsabile del servizio di prevenzione e protezione (assimilabile al RPD).

Agevolerebbe anche le OO.SS. che pure potrebbero incontrare difficoltà nella disponibilità di idonee expertise in materia (ancorché in generale tenute alla nomina del RPD ma, ove nominato, deputato alla consulenza a supervisione dei trattamenti delle singole OO.SS.).

Ovviamente il rappresentante dei lavoratori per la privacy interverrebbe con riguardo a ciò che concerne i lavoratori: esulando dal loro intervento la privacy afferente i processi di business basati sul trattamento di dati personali diversi da quelli dei lavoratori stessi (così come gli RLS non sono, ad es., competenti sui rischi per la salute e sicurezza sul lavoro connessi agli output erogati da una organizzazione, pubblica o privata che sia).

Le possibili interazioni all’interno dei contesti aziendali

Va da sé che l’interazione del Rappresentante con le OO.SS. potrebbe poi condurre queste ad attivarsi direttamente in tema di privacy ove ritenuto necessario, analogamente a quanto avviene nell’ambito della salute e sicurezza sul lavoro.

A supporto di tale proposta è che le OO.SS. potrebbero, come nel caso della salute e sicurezza sul lavoro, non disporre di professionalità esperte in tema di privacy per vagliare l’impatto sui processi e sulle relazioni di lavoro derivanti da innovazioni tecnologiche e/o organizzative. Per cui degli esperti che assistano le OO.SS. – come pure menzionati nel citato D.lgs. 2007/25 – troverebbero ragion d’essere.

Il Rappresentante dei lavoratori per la privacy non andrebbe visto come sostitutivo del RPD, essendo diverse le finalità, così come il Rappresentante dei lavoratori per la sicurezza svolge, nell’ambito della salute e sicurezza sul lavoro, un ruolo diverso dal Responsabile per il servizio di prevenzione e protezione nominato dal datore di lavoro.

Nel box seguente approfondiamo in maniera più articolata questa proposta.

Un’alternativa al rappresentante dei lavoratori per la privacy

Un’ipotesi alternativa alla creazione di questa nuova figura potrebbe consistere nell’ampliamento delle competenze del RPD ex-GDPR, assegnandogli almeno altre due compiti fra  quelli più articolati previsti per il RPD afferente le Organizzazioni UE ai sensi del Regolamento UE 2018/1725 ovvero:

1. “Garantire che i trattamenti non arrechino pregiudizio ai diritti e alle libertà degli interessati” (art. 45.1 lett h).
2. “Il responsabile della protezione dei dati può, inoltre, di propria iniziativa o a richiesta del titolare del trattamento o del responsabile del trattamento, del comitato del personale interessato o di qualsiasi persona, indagare sulle questioni e sui fatti direttamente collegati con l’esercizio delle sue funzioni di cui viene a conoscenza e riferire in merito alla persona che lo ha incaricato dell’indagine o al titolare o al responsabile del trattamento” (art.45.2).

A supporto (almeno) di questa seconda ipotesi valga la considerazione che: il legislatore è lo stesso, gli interessati sono gli stessi, il diritto è lo stesso, cambia la natura dei titolari (le organizzazioni UE) ma le tutele dovrebbero essere le stesse.

D’altronde, come evidenziato da un esperto della materia, «In Europa le sanzioni per il lavoro irrogate da quando c’è il GDPR sono 59 milioni» e tale questione «diventerà ancora più centrale con l’intelligenza artificiale».

Una delle sanzioni più rilevanti, pari a oltre 35 milioni di euro, comminata in Germania dal Commissario per la protezione dei dati e la libertà d’informazione di Amburgo – venuto a conoscenza della questione da notizie di stampa – riguardava il pluriennale illecito trattamento di dati afferenti alla vita privata dei dipendenti, emerso per un errore di configurazione; come ha riportato l’EDPB “The combination of collecting details about their private lives and the recording of their activities led to a particularly intensive encroachment on employees’ civil rights”.

Che si intenda seguire o meno, a livello normativo, una o entrambe le accennate ipotesi resta comunque necessario che le OO.SS. pongano la dovuta attenzione alle questioni della privacy: in primo luogo a tutela della riservatezza dei lavoratori iscritti ma anche con riguardo alla dialettica sindacale con le organizzazioni – datore di lavoro.

In particolare, in casi di patologia non risolubili al tavolo negoziale, dovrebbero vagliare anche se rivolgersi (in Italia tramite segnalazione ex-art 144 del Codice privacy, non potendo d’iniziativa presentare reclami in base all’articolo 142 del predetto Codice) al Garante privacy per dirimere aspetti lesivi del diritto alla riservatezza dei propri rappresentati, come ad es. avvenuto in Spagna  ove nel  2019 un sindacato si è rivolto all’AEPD, Garante spagnolo, per far cessare una prassi afferente alla richiesta di certificazione su precedenti penali, vicenda che si è conclusa con una sanzione pecuniaria e con la cessazione della citata prassi.