Bollettino Legale n. 77 – Novembre 2024. 

L'intelligenza artificiale come strumento di lavoro: quale quadro di riferimento è necessario?

L'utilizzo dell'intelligenza artificiale sul posto di lavoro è in forte espansione, spesso senza una pianificazione preventiva e senza che il datore di lavoro sappia esattamente come i propri dipendenti stiano utilizzando i nuovi strumenti a loro disposizione.

Che si tratti di modelli linguistici ormai classici come ChatGPT, o di strumenti che consentono di creare un progetto grafico (Canva), estrarre dati dal web (Browse AI) o prendere appunti automaticamente durante una riunione (Fireflies), le possibilità sono infinite.

Secondo uno studio IFOP per Learnthings del dicembre 2023, quasi un dipendente su quattro ha già utilizzato uno strumento di intelligenza artificiale in ambito professionale e, tra questi, più della metà (55 %) lo ha fatto senza informare il proprio responsabile.

Tuttavia, comprendere come questi strumenti vengono utilizzati internamente è essenziale per garantire la conformità al quadro giuridico applicabile, e in particolare al regolamento europeo sull'IA e al GDPR.

Diverse autorità, tra cui ANSSI e CNIL, hanno pubblicato raccomandazioni volte a sensibilizzare gli utenti professionali. Ecco i punti principali:

Implementazione di una carta sull'IA all'interno dell'azienda al fine di

• Elenca gli strumenti consentiti;
• Mappare questi strumenti in base ai rischi, nel rispetto della normativa sull'IA;
• Regolamentazione dei sistemi ad alto rischio (ad esempio, formazione professionale e reclutamento del personale, dove l'uso dell'IA rischia di generare "l'automazione della discriminazione").

Organizzare un dialogo socialeconsultare il CSE e modificare le norme interne di lavoro al fine di renderle applicabili internamente.

Garantire la sicurezza dei dati Fornire dati personali a un sistema di intelligenza artificiale (ad esempio, dati di clienti o dipendenti), o documentazione sensibile o strategica, può avere conseguenze significative in termini di riservatezza.

Inoltre, l'utilizzo di un sistema di questo tipo può compromettere l'integrità del sistema informativo a cui è collegato.

La CNIL raccomanda di dare priorità all'implementazione di soluzioni "in loco" che limitino i rischi di estrazione dei dati da terzi.

Sebbene l'utilizzo di un sistema basato su cloud possa risultare più economico, sarà necessario stipulare un accordo di subappalto che specifichi le diverse responsabilità e l'accesso autorizzato ai dati elaborati. 

In questo caso, si raccomanda di limitare la fornitura di dati personali al sistema di intelligenza artificiale.

Formare e sensibilizzare Gli utenti finali dovrebbero seguire queste buone pratiche:

• Fornisci solo i dati che sei autorizzato a condividere, escludendo in linea di principio qualsiasi dato riservato;
• Verificare l'accuratezza e la qualità dei dati generati dal sistema, l'assenza di plagio e il rischio di discriminazione;
• Non riprodurre esattamente gli output del sistema per mantenere una prospettiva critica.

Garantire la trasparenza nel processo, in particolare quelli che generano decisioni automatizzate riguardanti i dipendenti e terze parti esterne all'azienda.

Stabilire la governance : designare il DPO, un comitato o un referente (coinvolgendo anche il CISO) al fine di offrire agli utenti finali un punto di contatto per sollevare questioni o difficoltà di natura etica e verificare la conformità alle norme.

Oltre alle sanzioni previste dal GDPR e dal regolamento sull'IA, l'adozione di un quadro normativo chiaro rappresenta anche una questione sociale ed etica, nell'interesse sia delle persone esterne che di quelle interne all'azienda.

 

        

La CNIL pubblica un piano d'azione a sostegno degli operatori della Silver Economy, un settore dedicato ad attività a beneficio degli anziani.

Sottolinea che entro il 2060 gli anziani rappresenteranno circa 24 milioni di persone in Francia e che "la natura dei dati trattati e la profilazione basata sull'età sollevano questioni significative in materia di protezione dei dati".

L'azienda intende aggiornare il proprio pacchetto di conformità (schede informative, raccomandazioni, ecc.) e propone una nuova "sandbox" per supportare tre progetti innovativi in questo settore.

Il 18 novembre, la CNIL e la DGCCRF hanno annunciato la firma di un nuovo protocollo di cooperazione che aggiorna l'accordo del 2011.

Le due autorità stanno rafforzando la loro collaborazione e sviluppando nuove modalità di condivisione delle informazioni per adattarsi ai cambiamenti legislativi e alle sfide economiche dell'era digitale.

In una pubblicazione del 19 novembre, la CNIL ribadisce inoltre i principi di protezione dei dati applicabili all'uso di telecamere di sorveglianza avanzate nell'abitacolo dei veicoli per il trasporto merci, e insiste sul fatto che il datore di lavoro debba adottare tutte le misure necessarie per garantire la conformità di tali telecamere prima della loro installazione.

Il 25 novembre, la CNIL ha pubblicato una serie di consigli per proteggere i propri dati quando si interagisce con un assistente vocale.

Un dipendente che esegue ordini che violano il GDPR si espone a responsabilità penale, anche se agisce su istruzioni del datore di lavoro.

Presso il tribunale penale di Nantes, il pubblico ministero ha appena richiesto una multa di 6.000 euro, di cui 3.000 con la condizionale, nei confronti di un dipendente di una società di subappalto informatico, per aver installato un dispositivo di spionaggio presso le sedi dei suoi clienti su ordine del suo superiore.

Il pubblico ministero chiede una pena detentiva di 9 mesi con sospensione condizionale della pena e una multa di 30.000 euro per il titolare dell'azienda.

Con una sentenza emessa il 21 novembre 2024, la Corte d'Appello di Parigi ha confermato la sentenza pronunciata il 23 luglio 2021 dal Tribunale del Lavoro di Meaux: una conversazione privata su Messenger, inizialmente non destinata a essere resa pubblica, non può essere considerata una violazione degli obblighi contrattuali del dipendente e un licenziamento disciplinare basato su tale motivo non può essere legittimamente giustificato.

La Corte si basa su una sentenza della Corte di Cassazione del 22 dicembre 2023 sullo stesso argomento.

Questo ragionamento si applica anche se, come nel caso presente, il datore di lavoro non avesse cercato di accedere a queste informazioni: durante l'assenza di una dipendente, le aveva chiesto di trasmettere i suoi dati identificativi per consentire ai colleghi di accedere ai suoi documenti professionali, e i messaggi erano apparsi quando la conversazione si apriva automaticamente sullo schermo.

 

istituzioni e organismi europei

Il Comitato europeo per la protezione dei dati (EDPB) ha avviato una consultazione pubblica sulle proprie linee guida relative all'articolo 48 del GDPR.

Le linee guida si riferiscono alle richieste di cooperazione diretta tra un'autorità pubblica di un paese terzo (come le autorità di vigilanza bancaria, le autorità fiscali, le forze dell'ordine o la sicurezza nazionale) e un'entità privata dell'Unione europea (UE).

È possibile inviare commenti fino al 27 gennaio 2025.

Il Comitato europeo per la protezione dei dati (EDPB) ha inoltre adottato, all'inizio di dicembre, una dichiarazione relativa alla seconda relazione della Commissione europea sull'applicazione del GDPR, nella quale sottolinea l'importanza della coerenza tra la legislazione digitale e il GDPR.

Il Comitato europeo per la protezione dei dati (EDPB) intensificherà la produzione di contenuti per i non esperti, comprese le piccole e medie imprese, e sottolinea la necessità di ulteriori risorse finanziarie e umane per aiutare le autorità di protezione dei dati (DPA) ad affrontare sfide sempre più complesse e ad acquisire nuove competenze, anche nel campo dell'intelligenza artificiale.

La vittoria del candidato dell'opposizione anti-UE al primo turno delle elezioni presidenziali rumene del 24 novembre ha ripercussioni a livello europeo.

Mentre la Corte costituzionale del Paese ha appena annullato questo primo turno a seguito della declassificazione di documenti dell'intelligence nazionale che rivelano un'operazione su larga scala su TikTok a favore di questo candidato, la Commissione europea ha avviato il 29 novembre una richiesta ufficiale di informazioni alla società ai sensi del Digital Services Act (DSA).

Il 28 novembre, il Comitato per l'IA del Consiglio d'Europa ha adottato una metodologia (HUDERIA) per valutare i rischi e gli impatti dei sistemi di IA dal punto di vista dei diritti umani, della democrazia e dello stato di diritto.

Questa metodologia può essere utilizzata da soggetti pubblici e privati per contribuire a identificare e affrontare questi rischi e impatti durante l'intero ciclo di vita dei sistemi di intelligenza artificiale.

A metà novembre, il Digital Freedom Fund ha pubblicato, nell'ambito del progetto digiRISE, un database completo sul ricorso collettivo in Europa, concepito per promuovere l'azione collettiva a difesa dei diritti digitali ai sensi della Carta dei diritti fondamentali dell'UE.

Il documento include risorse su come dieci Stati membri dell'UE hanno implementato meccanismi di ricorso collettivo: sono disponibili rapporti nazionali, un rapporto comparativo e uno strumento comparativo per individuare convergenze e differenze tra le giurisdizioni studiate.

Anche nell'ambito del ricorso collettivo, l'ONG NOyB comunica di essere stata approvata come "ente qualificato" per avviare azioni di ricorso collettivo dinanzi ai tribunali dell'UE.

Tale azione ai sensi della direttiva (UE) 2020/1828 può consistere in un'ingiunzione o in una misura correttiva.

Queste leggi consentono a migliaia di utenti di essere rappresentati e di richiedere, ad esempio, un risarcimento per danni non patrimoniali quando i loro dati personali sono stati trattati illecitamente.

A differenza delle azioni collettive americane, la legislazione europea richiede che tali azioni siano intentate senza scopo di lucro.

Meta sta rivedendo ancora una volta i suoi piani per la distribuzione di annunci personalizzati nell'Unione Europea.

Questo cambiamento deriva dalla posizione delle autorità di regolamentazione dell'UE, le quali hanno ritenuto che il sistema pubblicitario "consenso o pagamento" offerto agli utenti europei di Facebook e Instagram violasse il GDPR e il Regolamento sui mercati digitali (DMA).

La nuova offerta include un abbonamento senza pubblicità a un costo ridotto e introduce anche un modello gratuito caratterizzato dalla visualizzazione di "annunci meno personalizzati" previo consenso.

Max Schrems, che ha avviato diverse azioni legali contro Meta, ha dichiarato che "nel complesso, questo sembra un altro tentativo di ignorare la legislazione europea (...) gli utenti devono avere una reale possibilità di scelta tra le pubblicità che utilizzano i loro dati personali e quelle che non lo fanno".

 

Notizie dai paesi membri dell'Unione europea.

In Germania, la Corte federale di giustizia (Bundesgerichtshof, BGH) ha parzialmente ribaltato una decisione del Tribunale regionale superiore di Colonia, che aveva ritenuto insufficientemente motivata una richiesta di risarcimento per danni morali.

Il caso riguardava una violazione dei dati: nell'aprile del 2021, i dati di circa 533 milioni di utenti di Facebook sono stati resi pubblici su Internet.

La BGH ha sottolineato che, secondo la giurisprudenza della Corte di giustizia dell'UE, anche una singola e temporanea perdita di controllo sui dati può costituire un danno non patrimoniale ai sensi dell'articolo 82, paragrafo 1, del GDPR.

L'interessato non deve dimostrare un uso improprio concreto dei propri dati personali.

Un tribunale austriaco ha stabilito che un avvocato divorzista può giustificare l'invio, tramite e-mail, di materiale video che mostri la relazione extraconiugale del cliente all'avvocato della controparte, sulla base del legittimo interesse ai sensi dell'articolo 6, paragrafo 1, lettera f), e dell'articolo 9, paragrafo 2, lettera f), del GDPR.

Un altro tribunale, tuttavia, ha ritenuto che l'interesse di un coniuge a non essere registrato durante le dispute coniugali nella propria abitazione prevalesse sull'interesse dell'altro coniuge a utilizzare tali registrazioni nel procedimento di divorzio.

In Belgio, il 28 novembre l'Autorità garante della protezione dei dati personali (APD) ha autorizzato l'utilizzo delle carte d'identità come carte fedeltà: ha infatti riscontrato che la società Freedelity, specializzata nella raccolta di dati tramite carte d'identità elettroniche (eID), aveva violato diversi articoli del GDPR relativi alla validità del consenso, alla minimizzazione della raccolta e alla durata della conservazione dei dati.

Freedelity raccoglie dati di identità elettronica, in particolare tramite terminali installati nei negozi partner.

Questi dati vengono quindi condivisi e sincronizzati con i negozi che utilizzano i suoi servizi in caso di aggiornamento.

In Spagna, The Phone House SL è stata multata di 6.500.000 euro dall'APD per aver adottato misure di sicurezza inadeguate che hanno permesso un attacco ransomware.

L'attacco ha colpito circa 13 milioni di clienti, esponendo indirizzi, numeri di telefono, documenti d'identità e dati bancari.

Il 13 novembre, Posti, il servizio postale finlandese, è stato multato di 2.400.000 euro per aver assegnato account di posta elettronica ai propri clienti senza il loro esplicito consenso.

Ai clienti che richiedevano servizi come l'inoltro della posta veniva automaticamente assegnato un account e-mail, senza possibilità di revocare il consenso.

Il 27 novembre l'Autorità Garante per la protezione dei dati personali (APD) ha adottato una decisione relativa a un accordo di licenza tra OpenAI e la casa editrice GEDI.

L'APD si oppone all'utilizzo del legittimo interesse come base giuridica per il trattamento dei dati personali a fini di addestramento dell'intelligenza artificiale, indipendentemente dal fatto che il trattamento riguardi o meno dati sensibili.

Secondo l'APD, gli accordi di licenza relativi ai contenuti editoriali utilizzati per l'addestramento dell'IA dovrebbero garantire, in assenza di consenso, la cancellazione o l'anonimizzazione di tutti i dati personali utilizzati.

Questa decisione giunge poche settimane prima del parere del Comitato europeo per la protezione dei dati (EDPB) su tale questione, previsto per la fine di dicembre.

L'Autorità Garante per la protezione dei dati personali (APD) ha inoltre multato la società di consegna di cibo Foodinho, controllata dal gruppo Glovo, per 5.000.000 di euro a causa di numerose e continue violazioni del GDPR relative al trattamento dei dati dei dipendenti, tra cui il tracciamento continuo della loro geolocalizzazione e l'assegnazione automatizzata dei turni.

L'11 novembre, l'Autorità olandese per la protezione dei dati (DPA) ha pubblicato un rapporto in cui si afferma che un algoritmo utilizzato dall'Agenzia esecutiva per l'istruzione per combattere le frodi era discriminatorio e illegale.

L'agenzia ha utilizzato questo algoritmo per verificare se gli studenti stessero abusando delle borse di studio destinate ai non residenti.

Agli studenti è stato assegnato un "punteggio di rischio" tenendo conto del tipo di istruzione, dell'età e della distanza tra l'indirizzo dello studente e quello dei suoi genitori.

Questi criteri non avevano alcuna giustificazione oggettiva e il Ministro dell'Istruzione, della Cultura e della Scienza responsabile dell'agenzia ha infine ammesso che l'algoritmo era indirettamente discriminatorio nei confronti degli studenti di origine immigrata.

In Polonia, l'Autorità polacca per la protezione dei dati (APD) ha multato un titolare del trattamento dei dati per 353.589 PLN (82.000 euro) per misure di sicurezza insufficienti che hanno consentito un attacco ransomware.

Gli hacker avevano crittografato e reso inaccessibili i dati di circa 200 clienti e dipendenti. Un subappaltatore coinvolto è stato multato di 9.822 PLN (2.200 euro).

 

A fine novembre, il Senato australiano ha approvato un disegno di legge che modifica la legislazione sulla privacy, introducendo diverse importanti novità:

• L'introduzione di un illecito civile per gravi violazioni della privacy.
• L'ampliamento dei poteri di applicazione della legge e di indagine a disposizione dell'APD.
• La possibilità di sviluppare un codice di protezione della privacy online per i bambini.
• Una nuova opportunità per il Governatore Generale di stilare una "lista bianca" di paesi che offrono un'adeguata protezione dei dati.
• L'obbligo per le politiche di protezione dei dati di descrivere in dettaglio i sistemi decisionali automatizzati che possono incidere sui diritti o sugli interessi di un individuo.

Anche in Australia, il 29 novembre il parlamento ha approvato una legge controversa che vieta l'accesso ai social media ai bambini e agli adolescenti di età inferiore ai 16 anni.

La legge non specifica in che modo le piattaforme dovranno verificare l'età dei propri visitatori.

L'Agenzia brasiliana per la protezione dei dati (APD) pubblica un rapporto sull'intelligenza artificiale generativa e la protezione dei dati.

Originariamente sviluppato per il supporto interno dei team dell'APD, il documento affronta i concetti di intelligenza artificiale, il suo rapporto con la protezione dei dati, il contesto brasiliano e le prospettive dell'IA.

Il 3 dicembre, la Federal Trade Commission (FTC) degli Stati Uniti ha annunciato la conclusione di bozze di accordo volte a impedire a due importanti società di intermediazione dati, Mobilewalla e Gravy Analytics, di vendere dati sensibili relativi alla geolocalizzazione, tra cui, ad esempio, le presenze in chiese, basi militari, studi medici o locali LGBTQ.

Questo provvedimento fa seguito alle azioni intraprese all'inizio di quest'anno contro i data broker che si dedicano a pratiche simili.

Dopo la Camera dei Deputati, il Senato messicano ha approvato a fine novembre una bozza di legge costituzionale che prevede l'eliminazione di sette autorità di controllo, tra cui l'autorità per la protezione dei dati e l'accesso ai documenti amministrativi (INAI).

I poteri di queste autorità verrebbero assorbiti da diversi ministeri.

Gli enti provenienti dall'INAI verrebbero rilevati dal Ministero per la lotta alla corruzione e il buon governo.

Secondo gli analisti, la ratifica del disegno di legge da parte della maggioranza delle assemblee legislative degli stati messicani dovrebbe avvenire rapidamente, come già accaduto con altre proposte di riforma negli ultimi mesi.