Attenzione alle derive tecnologiche con l’abuso dell’IA per la sorveglianza nei luoghi di lavoro

La crescente adozione di tecnologie di intelligenza artificiale ha trasformato rapidamente il mondo del lavoro, introducendo strumenti sempre più sofisticati per il monitoraggio delle attività dei dipendenti. Ma fino a che punto è lecito ed accettabile sorvegliare i lavoratori?

Una sanzione recentemente comminata dall’autorità per la protezione dei dati francese (CNIL) a una società immobiliare per "sorveglianza eccessiva" offre uno spunto importante per riflettere sui limiti giuridici, etici e pratici dei controlli sul lavoro.

Il 19 dicembre 2024, la CNIL ha infatti multato per 40.000 euro una società immobiliare che aveva adottato pratiche di sorveglianza estremamente invasive attraverso:

• Installazione di telecamere con registrazione continua di audio e video anche in spazi ricreativi del luogo di lavoro
• Adozione di un software che monitorava ogni pausa in cui i dipendenti si allontanavano dal computer per una durata tra i 3 e i 15 minuti, collegando la prolungata “assenza” a eventuali penalizzazioni salariali
• Memorizzazione sistematica degli screenshot dello schermo del pc dei lavoratori
• Utilizzo di un account amministratore condiviso, con accesso ai dati sensibili dei dipendenti, privo di tracciabilità dei soggetti che accedevano al software per effettuare i controlli.

Nel corso della propria istruttoria, la CNIL ha rilevato molteplici violazioni della privacy dei lavoratori, tra cui il mancato rispetto del principio di minimizzazione (art. 5) prescritto dal GDPR, l’assenza di una base giuridica per il trattamento (art. 6), la mancanza di trasparenza (artt. 12 e 13), carenze nella sicurezza (art. 32) e l’omessa valutazione d’impatto ai sensi dell'art. 35 del Regolamento europeo sulla protezione dei dati personali.

Occorre ovviamente ricordare che il GDPR non vieta in assoluto la sorveglianza in ambito di lavoro, tuttavia la sottopone a limiti stringenti per le aziende, tra cui:

• deve esserci una base giuridica chiara e legittima;
• il trattamento deve essere proporzionato, minimizzato, e non eccessivo rispetto agli scopi;
• i lavoratori devono essere sempre informati in modo trasparente;
• devono essere garantite la sicurezza dei dati e la tracciabilità degli accessi;
• in caso di trattamenti ad alto rischio (come la sorveglianza sistematica), è obbligatoria una valutazione d’impatto (DPIA), ed eventualmente la consultazione preventiva con l’autorità;
• quando gli impianti di sorveglianza possono anche solo potenzialmente comportare un controllo sull’attività dei lavoratori, nei casi previsti dall’art.4 dello Statuto dei Lavoratori (Legge 300/1970) provvedere a stipulare un accordo sindacale o richiedere l’autorizzazione dell’Ispettorato del Lavoro;
• nel caso in cui gli impianti di sorveglianza utilizzino sistemi di intelligenza artificiale, considerare non solo la compliance al GDPR, ma anche gli impatti dell’Artificial Intelligence Act nel contesto lavorativo.

Al riguardo, un ulteriore elemento di complessità nei sistemi di sorveglianza aziendale è l’integrazione di tecnologie basate sull’intelligenza artificiale. Sempre più software di “employee monitoring” non si limitano infatti a raccogliere dati, ma li analizzano attraverso algoritmi per produrre valutazioni delle performance, generare alert, adottare decisioni automatizzate, o addirittura influenzare condizionare le scelte del datore di lavoro in ambito retributivo e disciplinare.

Il diritto dei lavoratori

Quando questi sistemi producono effetti significativi ed invasivi sulla vita lavorativa dei dipendenti — ad esempio tramite penalizzazioni automatiche legate a presunti periodi di inattività — attraverso decisioni automatizzate con effetti giuridici o analogamente significativi, regolati dall’art. 22 del GDPR. In questi casi, i lavoratori hanno diritto non solo a essere informati della logica sottesa al trattamento, ma anche a intervenire, ottenere chiarimenti e contestare la decisione.

Il Webinar 'Videosorveglianza e attività di controllo nei contesti lavorativi'

Con l’entrata in vigore dell’Artificial Intelligence Act, tali strumenti potrebbero rientrare nella categoria dei sistemi ad alto rischio, in quanto utilizzati in un contesto lavorativo con impatto sui diritti fondamentali, se non sconfinare addirittura nel rischio considerato “inaccettabile”, come potrebbe avvenire in casi di controlli indiscriminati di massa, identificazioni biometriche remote e sistemi di punteggio sociale.

Integrare tecnologie di AI nella sorveglianza nei luoghi di lavoro senza una robusta cornice di governance significa per le imprese aumentare esponenzialmente i rischi di lesione dei diritti dei lavoratori, oltre ad esporsi a rischi di pesanti sanzioni. È quindi fondamentale che i datori di lavoro adottino un approccio responsabile, che tenga conto non solo della legittimità, ma anche dell’impatto umano delle tecnologie impiegate, evitando di abusare con superficialità dei sistemi di intelligenza artificiale, come se questi portassero soluzioni ad ogni problema, senza tenere di conto che essi comportano immancabilmente anche notevoli criticità.

Anche laddove tecnicamente legittima, la sorveglianza può risultare eticamente problematica, perché sorvegliare i lavoratori come se fossero potenziali trasgressori può generare un ambiente tossico che può compromettere la fiducia, il benessere psicologico e la produttività.

Una compliance autentica non si limita quindi solo ad evitare sanzioni, ma promuove un modello di gestione rispettoso, equo e sostenibile che rispetti la dignità della persona, anche sul lavoro, è a maggior ragione con la diffusione dell’intelligenza artificiale, tali valori non possono essere subordinato all’efficienza a ogni costo, perché come nel lontano 2003 affermò Stefano Rodotà in modo assai lungimirante, “non tutto ciò che è tecnologicamente possibile è anche socialmente desiderabile, eticamente accettabile, giuridicamente legittimo”, mettendo in guardia dalle “derive tecnologiche possono produrre gravi effetti distorsivi. Distorsioni nell’uso delle risorse quando, ad esempio, queste vengono investite in impianti di videosorveglianza privi di vera utilità per la sicurezza”.

Articolo di Nicola Bernardi, Presidente di Federprivacy