Gli impatti in materia di privacy su controlli a distanza e controlli difensivi con i sistemi di Intelligenza Artificiale
Sempre più spesso le organizzazioni utilizzano soluzioni tecnologiche basate su algoritmi di intelligenza artificiale (IA) al fine aumentare la sicurezza dei propri sistemi informativi.
Le tre principali categorie di controlli consistono in:
- Rilevamento delle intrusioni, dove l’intelligenza artificiale si avvale di algoritmi di apprendimento automatico e analisi dei dati per individuare anomalie che potrebbero indicare unna violazione della sicurezza;
- Rilevamento delle anomalie: In questa tipologia di controlli generalmente gli algoritmi di apprendimento automatico analizzano i dati provenienti da varie fonti, come il traffico di rete o i log di sistema per identificare attività insolite che potrebbero indicare una violazione della sicurezza.
- Analisi del comportamento: Qui l’IA viene utilizzata per analizzare il comportamento degli utenti (lavoratori) e identificare attività sospette. Gli algoritmi di apprendimento automatico sono in grado di analizzare i dati sull’attività degli utenti e di identificare comportamenti anomali come l’accesso ai dati fuori dal normale orario di lavoro.
Questi sistemi che generalmente vengono implementati al fine di prevenire eventuali violazioni di sicurezza, sono utilizzati anche a seguito di sospetti comportamenti illeciti dei lavoratori idonei a ledere il patrimonio aziendale.
Si possono utilizzare tali sistemi di controllo a livello preventivo e generalizzato? Possono essere utilizzati per scoprire eventuali illeciti commessi dai propri dipendenti e quindi in ambito controlli difensivi?
È evidente che le tre tipologie di controlli presentano un diverso grado di invasività sulla privacy e sui diritti e libertà dei lavoratori. (Vedi articolo 88 Regolamento UE 2016/679, art.114 D.Lgs 196/2003 smi, art. 4 L. n.300/1970).
A queste domande ha fornito recentemente risposta la Cassazione civile, Sez. lavoro, 22/09/2021, n. 25732 che è tornata sul tema dei c.d. controlli difensivi e del rapporto con la disciplina statutaria di cui all’articolo 4 dello Statuto dei Lavoratori. Nella vicenda sottoposta all’attenzione dei giudici una lavoratrice aveva impugnato il proprio licenziamento in quanto l’amministratore di sistema dell’azienda nell’accertare l’origine di un virus che aveva attaccato seriamente i dati aziendali, accedeva al computer della lavoratrice scoprendo oltre al file incriminato l’accesso a tanti siti web per finalità private.
L’ammissibilità dei controlli difensivi era già stata affermata da parte della giurisprudenza di merito e in questo senso il Tribunale di Roma con la sentenza 24 marzo 2017 statuì come “legittimo il controllo c.d. difensivo del datore di lavoro sulle strutture informatiche aziendali in uso al lavoratore, a condizione che esso sia occasionato dalla necessità indifferibile di accertare lo stato dei fatti a fronte del sospetto di un comportamento illecito e che detto controllo prescinda dalla pura e semplice sorveglianza sull'esecuzione della prestazione lavorativa essendo, invece, diretto ad accertare la perpetrazione di eventuali comportamenti illeciti”.
La Corte di Cassazione nella sentenza suindicata avalla questo orientamento statuendo il principio per cui: Sono consentiti i controlli anche tecnologici posti in essere dal datore di lavoro finalizzati alla tutela di beni estranei al rapporto di lavoro o ad evitare comportamenti illeciti, in presenza di un fondato sospetto circa la commissione di un illecito, purché sia assicurato un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, sempre che il controllo riguardi dati acquisiti successivamente all'insorgere del sospetto.
Non ricorrendo le condizioni suddette la verifica della utilizzabilità a fini disciplinari dei dati raccolti dal datore di lavoro andrà condotta alla stregua della Legge n.300 del 1970, art.4, in particolare dei suoi commi 2 e 3. Come si evince dalla lettura della sentenza, quest’ultima conferma l’orientamento per cui i controlli difensivi sono consentiti a precise condizioni anche sulla strumentazione tecnologica aziendale e che gli stessi non ricadono sotto l’articolo 4 dello Statuto dei Lavoratori. In particolare, i giudici di Piazza Cavour fanno una distinzione tra i controlli in senso lato che riguardano tutti o un insieme generalizzato di lavoratori che nello svolgimento delle proprie mansioni viene a contatto con il patrimonio aziendale, e quelli in senso stretto che riguardano l’accertamento di sospette condotte illecite dei singoli dipendenti.
Nel primo caso si applica l’art. 4, comma 1, e quindi serve accordo sindacale o autorizzazione dell’ispettorato, mentre nel secondo no. Ovviamente, è opportuno precisare, che il regolamento aziendale sull’uso degli strumenti informatici dovrà sempre e in ogni caso indicare in che misura e con quali modalità, anche all’esito di eventi imprevisti o eccezionali, vengano effettuati controlli.