(Appunti per il convegno “Privacy e rapporti di lavoro” Università di Roma Tre, 22 novembre 2022)
*Antonio Viscomi
1. Vorrei ringraziare gli organizzatori per l’invito che mi hanno rivolto: essere qui, oggi, dopo sette lunghi anni di impegno svolto altrove, mi rende veramente grato e, devo dire, anche lieto, quasi come chi, dopo un viaggio, ritorna finalmente a casa. E ancora di più lo sono perché il tema trattato oggi in questa aula mi riporta alla precedente attività nella commissione parlamentare per il lavoro e all’impegno ivi assolto come relatore dei pareri sullo schema governativo di decreto attuativo della direttiva 1152 e sulla proposta di direttiva 762 relativa al lavoro mediante piattaforme digitali. Pareri entrambi favorevoli, come normale quando si è in maggioranza, ma formulati l’uno con dieci e l’altro con ben venti osservazioni.
2. Sia pure nella forma rituale ed ovattata dell’invito a meglio “valutare l’opportunità” di alcune scelte, il parere sul “decreto trasparenza” richiamava l’attenzione del Governo su molte delle questioni critiche emerse poi in letteratura e qui oggi approfondite da chi mi ha preceduto e in modo esemplare da Oronzo Mazzotta nella sua relazione, della quale apprezzo e condivido – e lo dico fin da subito – la proposta metodologica. Di quelle questioni ne ricordo qui solo una fra le tante: quella relativa alla previsione di ulteriori obblighi informativi nel caso di utilizzo di sistemi automatizzati con funzione decisionale o di monitoraggio, conseguente all’inserimento nel medesimo decreto di alcune disposizioni contenute nella proposta di direttiva sul lavoro mediante piattaforme. Un inserimento – parziale ed anticipatorio – che avrebbe sicuramente meritato una maggiore ponderazione ed una più fine regolazione, così come la Commissione lavoro auspicava in modo unanime e come pure facilmente conferma oggi una veloce comparazione tra l’art. 6 della “direttiva piattaforme” e l’art. 4, comma 1-b, del “decreto trasparenza” (che introduce l’art. 1-bis della l. 152/1997).
3. Peraltro, una comparazione di tal fatta è utile per rendersi conto degli effetti impropri di una regolamentazione che ha l’ambizione di essere onnicomprensiva, ma che alla fine si rivela soltanto onnivora, vittima di una bulimia regolativa (cui sempre segue un’inflazione del ruolo degli apparati amministrativi) la cui effettiva idoneità a conformare l’attività considerata risulta inversamente proporzionale alla estensione degli obiettivi proclamati. E sono effetti tanto più significativi quanto più quella regolamentazione ha ad oggetto elementi tecnologici ed organizzativi propri della transizione digitale in cui tutti siamo immersi. La conseguente esigenza di regolazione non può però essere facilmente risolta riportando l’ignoto digitale al noto analogico. Qualcuno ha detto che non viviamo un’epoca di cambiamenti ma un cambiamento d’epoca (Papa Francesco) che sollecita un cambio di mindset come ora usa dire, cioè di paradigma cognitivo e quindi regolativo. Ciò è vero, e vale anche per il lavoro e la sua disciplina giuridica che vive una evidente “frattura regolativa” nel senso proprio proposto da Saskia Sassen. A conferma di ciò sottopongo all’attenzione alcuni profili critici.
4. Il primo riguarda proprio il rapporto tra art. 6 della “direttiva piattaforme” e art. 1-bis, comma 1, del “decreto trasparenza”. Per quanto qui interessa, l’art. 6 è strutturato su due livelli. Il comma 1 disegna il perimetro di applicazione nella norma definendo i sistemi automatizzati di monitoraggio (automated monitoring systems) e di decisione (automated decision-making systems) e questo fa non già nella tipica prospettiva definitoria del diritto europeo ma per tentare di rappresentare in modo sintetico e sulla base di un minimo comune denominatore la pluralità dinamica delle tecnologie deputate a svolgere quelle specifiche funzioni. Il comma 2 individua poi le categorie di azioni monitorate e le categorie di decisioni “prese o sostenute” (taken or supported) dai sistemi automatizzati. Conseguentemente, le informazioni da consegnare ai lavoratori hanno ad oggetto tali categorie di attività, in uno, se del caso, con l’indicazione dei “principali parametri” operativi dei sistemi decisionali.
5. Il comma 1 del nuovo art. 1-bis della l. 152 – che vorrebbe anticipatamente trasporre nel nostro ordinamento l’art. 6 di una direttiva ancora in itinere – propone invece una diversa struttura. Il perimetro di applicazione dell’obbligo informativo del datore è stabilito per via del rinvio a sistemi decisionali o di monitoraggio automatizzati non meglio definiti – o comunque non definiti con il richiamo alla “direttiva piattaforme” – ma semmai teleologicamente caratterizzati dall’essere “deputati a fornire” (così recita testualmente il frammento normativo in esame, suggerendo una intenzionale destinazione sistemica), “indicazioni rilevanti” su assunzione, gestione e cessazione del rapporto di lavoro ovvero “indicazioni incidenti” su sorveglianza, valutazione, prestazione e adempimento delle obbligazioni contrattuali. L’obbligo informativo che ne deriva si sostanzia poi, ai sensi del comma 2, nella consegna delle ulteriori informazioni ivi indicate, che spaziano dai principali parametri per programmare o addestrare i sistemi automatizzati, al relativo livello di accuratezza, robustezza e cybersicurezza, alle metriche utilizzate, ai processi di correzione delle decisioni automatizzate.
6. Come è intuibile, l’attribuzione di un valore significativo alla “rilevanza” ed “incidenza” delle indicazioni fornite dai sistemi tecnologici in questione è tutta da definire in via interpretativa, ma è tema che qui non è possibile analizzare benché ne sia evidente la rilevanza sistematica: infatti, poiché omnis determinatio est negatio ne segue che se le indicazioni fornite dai sistemi tecnologici non sono né rilevanti né incidenti sugli ambiti considerati, allora deve dedursi che quei sistemi sono sottratti ai campo di applicazione della normativa in esame. È invece necessario evidenziare come proprio il carattere generale ma oltremodo vago delle definizioni utilizzate sia all’origine del successivo tentativo ministeriale di contenere per via di circolare i rischi di estensione pervasiva dei vincoli informativi, introducendo, nel mese di settembre (con la circolare n. 19), ciò che pure manca nella legge, cioè la definizione stessa di sistema decisionale automatizzato. Ond’è che, a giudizio del Ministero, “il decreto legislativo richiede che il datore di lavoro proceda all’informativa quando la disciplina della vita lavorativa del dipendente, o suoi particolari aspetti rilevanti, siano interamente rimessi all’attività decisionale di sistemi automatizzati”.
7. E’ però da dire che la circolare, inseguendo l’obiettivo, in sé condivisibile, di precisare e ridurre la portata espansiva del comma 1 dell’art. 1-bis, sembra non considerare in modo adeguato almeno due elementi: per un verso, l’integrazione nei processi automatizzati di “human monitoring”e “human review” prevista dagli artt. 7 e 8 della direttiva e a cui un accenno fugace dedica anche la lett. e) del comma 2 dell’art. 1-bis (altra questione è invece il rapporto con l’art. 22 del GDPR, rispetto al quale il considerando (35) parla di “obblighi distinti” e del quale dirò tra poco); per altro verso, l’esplicita previsione in direttiva che le decisioni aziendali possono essere non soltanto “prese” ma anche soltanto “sostenute” da sistemi automatizzati (“taken or supported by such systems”). Se non si vuole cadere nell’errore di considerare pars pro toto e quindi le più note piattaforme per il delivery e la logistica come l’emblema dell’innovazione digitale nelle aziende, allora è forse preferibile riguardare la transizione digitale nella diversa prospettiva dell’integrazione di “Human + Machine” per citare il titolo di un recente studio di Daugherty e Wilson, che non a caso reca come sottotitolo “Reimagining Work in the age of AI”. Per questo mi permetto di suggerire che l’emblema della transizione digitale più che nelle piattaforme dovrebbe individuarsi nei cobot, cioè nei robot che grazie a sofisticati sistemi di sensori e di deep learning sono in grado di apprendere cooperando con l’essere umano. Insomma, estremizzando non poco il discorso, se il diritto del lavoro era nato (anche) per dividere la mano dalla macchina, per impedire che la pressa potesse schiacciare la mano di chi lavora, ora che mano e macchina dialogano tra di loro e operano insieme c’è bisogno di ripensare alcune consolidate prospettive ordinamentali, anche in tema di tutela dei dati personali. Come è stato efficacemente segnalato: “automation and augmentation reconfigure work practice, rather than replace workers”.
8. La necessità di un approccio più consapevole alle dinamiche della transizione digitale appare evidente proprio in tema di tutela dei dati personali, in particolare nei considerando da (29) a (36) della “direttiva piattaforme”. Qui, infatti, pur mantenendo ferme (qualunque cosa ciò possa significare) le previsioni del GDPR, si afferma con chiarezza l’esigenza di “stabilire norme che contemplino le problematiche specifiche del trattamento dei dati” in contesti digitali (29). In questa prospettiva, la direttiva 762 non si limita a porre degli obblighi di informazione individuale e degli indirizzi di condivisione collettiva (per la verità poco pregnanti ma sui quali non mi soffermo), ma impone esplicitamente alle “piattaforme”, in via generale, di “non trattare” (“shall not process”) dati personali che non siano “intrinsecamente connessi e strettamente necessari all’esecuzione del contratto” tra il lavoratore e la piattaforma (l’esecuzione del contratto così legittima, limitandolo, il trattamento dei dati personali), e vieta, in particolare, di trattare dati personali relativi a stati emotivi e psicologici del lavoratore, alla sua salute (tranne nei casi di rilievo sanitario di cui all’art. 9 lett. da b) a j) del GDPR) ed alle conversazioni private, inclusi gli scambi con rappresentanti dei lavoratori. Ma ancora più importante è il divieto di raccogliere dati personali quando il lavoratore non stia svolgendo un lavoro o non si stia offrendo per svolgerlo. Al riguardo, non serve pensare ai trojan della polizia giudiziaria ma è sufficiente riferirsi ai coockies e alle tecniche di profilazione commerciale per rendersi conto di come l’integrazione tra sistemi informativi operanti su uno stesso device possa determinare falle anche gravi nella protezione dei dati. È del tutto evidente che le informazioni che provengono dall’universo digitale, una volta acquisite, possono essere utilizzate in contesti diversificati, possono essere conservate in modo permanente, possono essere ricombinate e analizzate sulla base di nuove tecniche e usate nei processi di sviluppo di nuovi tools. E anche quando una particolare informazione non sia direttamente registrata dal sistema essa può, nonostante tutto, essere derivate da altri proxies. Chiamato ad operare in questo contesto, il “decreto trasparenza” sembra focalizzare invece la propria attenzione su una diversa strategia regolativa, privilegiando l’aggiornamento del registro dei trattamenti e l’analisi dei rischi e la valutazione di impatto al fine di verificare la sussistenza delle condizioni previste dall’art. 36 del GDPR per la consultazione preventiva del Garante.
9. In verità, l’ordinamento europeo conosce già e in qualche misura disciplina pure ipotesi di “processo decisionale automatizzato relativo alle persone fisiche”. È proprio l’art. 22 del GDPR che in tal caso prevede che “l’interessato (abbia) il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”. Previsione questa che però non trova applicazione nel caso in cui la decisione basata unicamente sul trattamento automatizzato sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e il titolare del trattamento (lett. a) ovvero sia accompagnata dal consenso esplicito dell’interessato (lett. c), fermo restando che in tal caso il titolare del trattamento è tenuto ad attuare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, e fra queste misure almeno il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione. È evidente che l’art. 22, pensato originariamente a tutela del consumatore, non è sufficiente a tutelare chi lavora in ambienti digitali, anzi potrebbe rivelarsi un boomerang per via della eventuale straordinaria valorizzazione del consenso individuale, quand’anche informato, nonché della connessione oggettiva con l’esecuzione del contratto. E tuttavia, quell’articolo segnala ancora con evidenza che nell’universo digitale il rischio reale deriva dalla integrazione informativa dei vari tools e dalla ampiezza della conseguente profilazione, che può darsi indirettamente anche sulla base di sistemi automatizzati che non siano specificamente deputati a fornire indicazioni rilevanti o soltanto incidenti sulla gestione del personale ma che a tal fine possono ovviamente essere utilizzati. A conferma di ciò è sufficiente ricordare l’articolo 26 del recente Regolamento (UE) 2022/2065 noto come Digital Services Act che richiama appunto l’art. 22 vietando espressamente ai fornitori di piattaforme online di utilizzare sistemi automatizzati di raccomandazione (reccomender systems) al fine di presentare pubblicità basate sulla profilazione utilizzando categorie particolari di dati personali.
10. Alla luce di queste brevissime considerazioni, e della frastagliata disciplina in materia di protezione dei dati, appare evidente che la relativa tutela in ambienti professionali ad elevata digitalizzazione non può essere immediatamente affidata ad una estensione di norme pensate per altri contesti; tanto meno a norme la cui matrice presenta una impronta individualistica e volontaristica tanto da non riuscire neppure a temperare la solitudine di chi lavora di fronte all’apparato tecnico e tecnologico in cui è immerso, e questo prima ancora di qualunque concreta implementazione professionale del metaverso. Per questo credo sia necessario prendere rinnovato abbrivio dalle conclusioni del saggio di Frank Hendrickx, pubblicato nel volume curato da Pisani, Proia e Topo. Consapevole che “monitoring is evolving to intelligence about workers” Hendricks suggerisce un utile – a mio avviso – approccio metodologico: “the privacy concept is flexible and dynamic; it thus allow to follow up on new technologies and its challenges, based on a case by case approach. Not closing too quickly on a limited set of principles may thus be a smart legal strategy from a systemic point of view”. È difficile non condividere questo assunto: la natura stessa del controllo algoritmico, la sua estensione e la sua intensità, sono costantemente soggetti ad evoluzione e cambiamenti, sia per quanto riguarda le tecniche di machine learning, sia per l’intersecarsi delle innovazioni tech-driven con modelli di business, e quindi di organizzazione del lavoro, tra loro estremamente differenti. Questo crea una inevitabile tensione – che è logica e cronologica ad un tempo – tra un approccio regolativo a carattere generale e i contesti specifici dei mondi professionali.
11. Ciò che è messo in evidenza dalla transizione digitale è proprio il fatto che la regolazione impatta in un ambiente complesso, intrinsecamente caratterizzato da incertezza e cambiamenti costanti. Questa circostanza rende evidenti le ragioni di una significativa attenzione – in molti paesi ed anche a livello europeo – verso l’esplorazione di modelli regolativi innovation-friendly caratterizzati dall’adozione di una logica che potremmo definire sperimentale per via della creazione di ambienti reali in cui sperimentare le possibili soluzioni mediante una stretta cooperazione tra attori pubblici e privati. Per usare le parole del Consiglio di Stato francese si tratta di “une méthode consistant à mettre temporairement ev oeuvre un dispositif afin, par una évaluation rigoureuse, d’en mesurer les effets au regard des objeectifs poursuivis, pour éclarer la décision publique”. Ed è lo stesso Consiglio dell’Unione nelle sue “conclusioni sugli spazi di sperimentazione normativa e le clausole di sperimentazione come strumenti per un quadro normativo favorevole all’innovazione, adeguato alle esigenze future e resiliente che sia in grado di affrontare le sfide epocali nell’era digitale” (2020/C 447/01) ad aver evidenziato che “gli spazi di sperimentazione normativa possono offrire l’opportunità di far progredire la regolamentazione attraverso l’apprendimento proattivo della stessa, consentendo alle autorità di regolamentazione di acquisire migliori conoscenze normative e di trovare i mezzi migliori per regolamentare le innovazioni sulla base di dati concreti, soprattutto in una fase molto precoce, il che può essere particolarmente importante nei contesti di forte incertezza e di fronte a sfide epocali, nonché nell’elaborazione di nuove politiche”.
12. Fra gli spazi di controllata sperimentazione normativa forse lo strumento più importante è dato oggi dalle “regulatory sandboxes” la cui prima espressione risale al 2014 nel contesto delle policies britanniche sul FinTech, poi diffuse anche in altre paesi, tra cui il nostro. Il modello sandbox non risponde – sia chiaro – alla logica regola-eccezione, non è pensato per derogare o addirittura per deregolare una determinata materia, ma configura soltanto uno spazio controllato e limitato, nel tempo e nello spazio, dove poter sperimentare quale possa essere la migliore soluzione regolativa in un contesto di innovazione digitale. Mi chiedo se non sia finalmente il momento di sperimentare il sistema della sandbox come strumento per governare quella frattura regolativa che la transizione digitale provoca su regole del lavoro pensate per contesti del tutto differenti e ora chiamate invece a disciplinare gli impatti di una tecnologia così pervasiva da aver trasformato non solo le relazioni di lavoro, ma ancor più la stessa visione del nostro modo di essere e di vivere a livello individuale e collettivo. Riuscire ad elaborare parole nuove per questa fase è forse la sfida più difficile per il giurista, che spesso cerca nelle regole del passato le certezze che la complessità del presente e le incertezze del futuro chiedono invece di superare. Perciò mi sento di concludere facendo mie le parole della MIT Task Force on the Work of the Future: “The central challenge ahead – indeed, the work of the future – is to advance labor market opportunity to meet, complement, and shape thecnological innovation. This drive will require innovating in our labor market institutions by modernizing the laws, policies, norms, organizations, and enterprises that set the rules of the games”.
*Ordinario di diritto del Lavoro all’Università Magna Graecia CZ; Comitato scientifico Il Foro Vibonese
Tag: Antonio Viscomi, dati biometrici, direttiva, lavoratori, privacy