L’utilizzo dell’Intelligenza Artificiale nei prodotti per la sicurezza sul lavoro: gli aspetti privacy da valutare

Sempre più soluzioni disponibili sul mercato per la sicurezza sul lavoro vengono pubblicizzate come “supportate dall’intelligenza artificiale” (di seguito anche “IA”). Ma se da un lato la loro implementazione potrebbe portare a dei vantaggi nella riduzione dei rischi per la salute psicofisica del lavoratore, dall’altro non significa che tale implementazione non comporti tutta un’altra serie di rischi. Infatti, l’applicazione di tali tecnologie richiede un approccio proattivo nell’assicurarsi che, nonostante le buone intenzioni dell’impresa, un diritto fondamentale come la Privacy non venga violato.

L’utilizzo dell’IA nei prodotti per la sicurezza sul lavoro:Aspetti Privacy da valutare per evitare il rischio di sprecare tempo e denaro

Innanzitutto, bisogna verificare dove si trovi il “cervello” del prodotto supportato dall’IA. Con questo si intende che, se il prodotto per funzionare richiedesse, ad esempio, di essere connesso ad internet, dove finiscono i dati che raccolti dallo stesso? Bisogna infatti considerare che, se le attività svolte da questo prodotto per la sicurezza sul lavoro comportano un trasferimento di dati personali (del lavoratore) a società terze, come ad esempio quella che fornisce il prodotto o il software in questione, sarà necessario procedere con la regolamentazione del flusso di dati personali attraverso una nomina a responsabile del trattamento ex art. 28 del Regolamento Generale sulla Protezione dei Dati (di seguito anche “RGPD”), verificando anche che tale società terza abbia posto in essere tutte le misure tecniche ed organizzative adeguate al rischio di questo trattamento ex art. 32 del RGPD. Inoltre, se questo flusso di dati comporta un trasferimento al di fuori dei territori dell’Unione Europea e dello Spazio Economico Europeo, bisognerà anche verificare su quale base avvenga questo trasferimento e, quindi, se tramite decisione di adeguatezza ex art. 45 del RGPD, garanzie adeguate ex artt. 46 e 47 del RGPD o se in base alle deroghe di cui all’art. 49 del RGPD.

Queste sono le prime attività da porre in essere perché in assenza di esse, l’impresa corre il rischio, affrettandosi nell’acquistare un prodotto per la sicurezza sul lavoro supportato dall’IA, non solo di violare la normativa sulla Privacy esponendosi a potenziali sanzioni pecuniare e non, incluso il danno reputazionale di vedere pubblicate il provvedimento sul sito del Garante per la Protezione dei Dati Personali, ma anche di non potere poi concretamente utilizzare tale prodotto.

Se ci si affretta a comprare quello che si crede essere solamente un prodotto, ma che, dopo una verifica approfondita, si scopre essere in una realtà un servizio che comporta un trasferimento di dati personali verso un’azienda che si rifiuta di collaborare sugli aspetti Privacy del proprio servizio, e la quale magari non ha neanche, nel realizzare tale prodotto e successivo servizio, rispettato del principio della Privacy by Design ex art. 25 del RGPD, ci troviamo davanti ad risultato che, almeno nell’Unione Europea, genera per l’impresa più rischi e costi che benefici.

Matteo Alessandro Pagani, speaker al Privacy Day Forum 2024

(Nella foto: l’Avv. Matteo Alessandro Pagani, sarà speaker al Privacy Day Forum 2024)

Inoltre, bisogna anche chiedersi se i trattamenti di dati personali che derivano da questo prodotto rispettino il principio di minimizzazione dei dati ex art. 5 par. 1 lett. c del RGPD. Infatti, bisogna domandarsi se questa modalità di trattamento dei dati sia l’unica possibile per raggiungere quello specifico fine di tutelare il lavoratore e la sua sicurezza. Se infatti lo stesso obbiettivo può essere raggiunto senza l’implementazione dell’IA, o comunque trattando meno dati personali o in modo siano che presenti meno rischi per il lavoratore quale interessato, allora quella sarà la soluzione più adeguata anche a livello di normativa Privacy.

Una volta che si è comunque deciso di implementare il prodotto per la sicurezza sul lavoro, sarà quasi sicuramente necessario procedere con una Valutazione d’Impatto ex art. 35 del RGPD. Inoltre, bisognerà verificare se da questa attività derivi la possibilità di un controllo a distanza del lavoratore e, in caso positivo, bisognerà procedere così come previsto dall’art. 4 della Legge 300/1970 (lo Statuto dei Lavoratori), che si trova a stretto contatto con la normativa Privacy.

Oltre a quanto sopra detto, ci sono molte altre attività di adeguamento Privacy per un’impresa che intende adottare l’IA nell’ambito della sicurezza sul lavoro (come, ad esempio, l’informativa per i lavoratori coinvolti). Tuttavia, non bisogna lasciarsi scoraggiare e, se si è fermi nelle proprie intenzioni, conviene affidarsi a consulenti esperti che abbiano conoscenze sia nell’ambito della normativa sulla Privacy che in quella sul diritto del lavoro e, nello specifico, anche della sicurezza sul lavoro.

a cura di Matteo Alessandro Pagani e Alessandro Burro
Federprivacy