DPO, il ruolo nella gestione delle risorse umane con i sistemi di intelligenza artificiale

La gestione delle risorse umane rientra indubbiamente tra le funzioni di un’impresa a maggiore impatto sotto il profilo della tutela dei dati personali. Oltre alle attività ordinarie - quali, a titolo esemplificativo, l’elaborazione delle buste paga, la gestione delle richieste di permessi e malattie e la gestione dei procedimenti disciplinari – se ne aggiungono ogni giorno di nuove anche per via del ricorso, sempre più dilagante, ai sistemi di Intelligenza Artificiale (“AI”) nei processi aziendali.

In questo contesto, il Responsabile della Protezione dei Dati (Data Protection Officer) assume un ruolo cruciale, chiamato a verificare la conformità al GDPR e alle normative vigenti di ogni trattamento dei dati personali effettuato, mantenendo impregiudicata la tutela dei diritti dei lavoratori.

I compiti del DPO nella Gestione del Personale - Nell'ambito delle attività aziendali di gestione del personale, le funzioni che il DPO è chiamato a svolgere sono principalmente le seguenti:

• formazione e sensibilizzazione del personale sui principi del GDPR e sulle best practice relative al trattamento dei dati personali;
• consulenza e supporto al titolare del trattamento in merito alle attività di gestione del personale che implicano il trattamento di dati personali;
• pareri sulla valutazione d'impatto;
• controllo e monitoraggio delle attività di trattamento dei dati personali svolte nell'ambito della gestione del personale e verifica della conformità aziendale (es. attraverso audit periodici finalizzati al monitoraggio dei trattamenti e delle misure di sicurezza adottate a tutela degli stessi).

Fondamentale per la corretta esecuzione dei compiti del Data Protection Officer è il c.d. “risk-based approach” o “approccio basato sul rischio”. In tal senso, l’art. 39, par. 2, impone al DPO di considerare «debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo".

Un ordine di priorità nelle attività

Il Data Protection Officer è tenuto a impostare l’esecuzione del proprio incarico definendo un ordine di priorità nelle attività da compiere, dedicando primaria attenzione alle circostanze che presentino rischi più elevati nell’ambito della protezione dei dati personali, senza tuttavia trascurare gli ulteriori trattamenti caratterizzati da rischi inferiori.

Adottando tale approccio, il DPO è quindi in grado di ottenere un quadro completo delle attività da compiere per ogni trattamento, di definire le risorse necessarie, nonché di focalizzarsi sui settori maggiormente a rischio organizzando specifici interventi quali audit esterni o interni e giornate di formazione a vantaggio del personale coinvolto.

Il rapporto tra DPO e intelligenza artificiale alla luce dell’“AI Act” - Al giorno d’oggi, tra le principali sfide da affrontare per il DPO c’è la diffusione sempre maggiore del ricorso all’intelligenza artificiale nei processi aziendali, molti dei quali legati alla gestione del personale quali, ad esempio, la fase di selezione del personale o di valutazione delle prestazioni dei dipendenti.

Il delicato rapporto tra l’AI e il trattamento dei dati personali effettuati nell’ambito delle attività di gestione del personale è stato evidenziato, da ultimo, dal Regolamento Europeo sull’Intelligenza Artificiale approvato il 13 marzo 2024 dal Parlamento Europeo, c.d. “AI Act” e pubblicato in Gazzetta Ufficiale dell'Unione Europea del 12 luglio 2024.

L'AI Act ha introdotto una serie di considerevoli obblighi che coinvolgono direttamente fornitori, deployer, importatori e distributori di sistemi di intelligenza artificiale c.d. “ad alto rischio”, vale a dire:

• quelli destinati a essere utilizzati come componente di sicurezza di un prodotto, oppure
• quelli elencati nell’Allegato III del Regolamento.

Ebbene, nell’Allegato III, tra i sistemi ad alto rischio, sono elencati quelli relativi al settore dell’«Occupazione, gestione dei lavoratori e accesso al lavoro autonomo», che comprendono i sistemi di AI destinati a essere utilizzati per: 

• assunzione o selezione di personale, in particolare, quelli utilizzati per divulgare nuove posizioni lavorative aperte, vagliare o filtrare le candidature, valutare i candidati nel corso di colloqui o prove;
•  adozione di decisioni in materia di promozione e cessazione dei rapporti contrattuali di lavoro;
•  assegnazione dei compiti;
• monitoraggio e valutazione delle prestazioni e del comportamento dei dipendenti nell'ambito di tali rapporti di lavoro.

Un ruolo primario nei processi aziendali

In tale nuovo scenario così delineato, è indubbio il ruolo di primaria importanza rivestito dal DPO nei processi aziendali, finalizzato a garantire il corretto bilanciamento tra l'utilizzo dell'AI nelle attività di gestione del personale e i principi del GDPR.

In particolare, il DPO dovrà essere coinvolto nella valutazione preliminare in merito alla necessità di implementare sistemi di AI e nella valutazione dei rischi derivanti dall'utilizzo di tali sistemi; accertarsi che i lavoratori siano informati in modo chiaro e trasparente sulle modalità di trattamento dei loro dati personali per il tramite dei sistemi di AI.

Una delle sfide più impegnative e avvincenti che vedrà coinvolto il DPO nei prossimi anni, infine, sarà quella di assicurare, promuovendone un uso responsabile, la correttezza e l’equità degli algoritmi dei sistemi di AI utilizzati nei processi aziendali di gestione del personale affinché siano scongiurate possibili discriminazioni o distorsioni a danno dei lavoratori.

Articolo di Antonio Valentini, Avvocato, co-fondatore Opera Professioni, Membro del Gruppo di Lavoro per la tutela della privacy nella gestione del personale.