Cominciamo facendo il punto sul GDPR approvato nel 2016. E’ ancora necessario parlare e fare formazione sulle modalità per adeguarsi alla normativa sulla protezione dei dati personali?
Il GDPR è stato approvato nel 2016 ed è entrato pienamente in vigore nel 2018. Sei anni durante i quali tutti i soggetti pubblici e privati ai quali è diretto avrebbero dovuto ampiamente conformarsi alla normativa e trovarsi, oggi, a dover procedere soltanto con periodici audit e aggiornamento del proprio impianto di protezione dei dati personali. Ma così non è stato in molti casi. E non soltanto per l’eventuale negligenza di chi ha ignorato la necessità di compliance. Anche i soggetti più “ligi” alle regole, infatti, si trovano costantemente alle prese con una declinazione operativa dei principi ispiratori del GDPR che richiede costantemente nuove riflessioni e nuove scelte. Una manutenzione continua, insomma, soprattutto alla luce degli impatti che l’IA generativa sta avendo nei nostri sistemi. In quest’ottica consiglio di porre costante attenzione al sito web del Garante per la protezione dei dati personali, dove vengono forniti dall’Autorità continui aggiornamenti e indicazioni operative per evitare di incorrere in sanzioni.
Puoi segnalarci qualcuna di queste indicazioni operative fornire dal Garante ai datori di lavoro?
Certamente, con la segnalazione che talvolta il Garante fornisce proprio Linee guida, mentre altre volte le indicazioni si rilevano dalle sanzioni che commina. È il caso, ad esempio, del divieto di utilizzare rilevatori biometrici basati sul riconoscimento facciale per l’accesso e l’accertamento della presenza dei dipendenti sul luogo di lavoro. Nonostante il datore di lavoro – di recente – sanzionato abbia provato a giustificare il suo operato con la necessità di contrastare il fenomeno dell’assenteismo e delle timbrature fraudolente, il Garante ha ritenuto queste difese poco rilevanti e ha ulteriormente sancito che l’utilizzo del dato biometrico nel contesto dell’ordinaria gestione del rapporto di lavoro non è conforme ai principi di minimizzazione e proporzionalità del trattamento. Ed è importante sapere che neppure l’eventuale consenso del lavoratore vale ad evitare l’illecito, perché si parte dal presupposto che il dipendente è un soggetto più debole del datore di lavoro e quindi non potrebbe realisticamente opporsi alla richiesta.
E’ un’informazione utile, questa, per i datori di lavoro che, magari in buona fede, utilizzano sistemi di rilevazione biometrici che vengono proposti come compliance al GDPR senza sapere che così si espongono a sanzioni. Ci fai un esempio anche dell’altro caso che citavi, quello in cui il Garante ha espressamente previsto delle Linee Guida nell’ambito del mondo del lavoro?
Recentemente il Garante Privacy ha approvato il Codice di condotta per le Agenzie per il Lavoro che introduce alcune significative previsioni a tutela dei candidati a posizioni lavorative, anche al fine di non consentire possibili discriminazioni nell’accesso al mercato del lavoro. In particolare, le Agenzie che aderiscono al Codice si impegnano a trattare solo dati strettamente necessari all’istaurazione del rapporto di lavoro, non devono pertanto svolgere indagini sulle opinioni politiche, religiose o sindacali dei lavoratori o effettuare preselezioni sulla base di informazioni che riguardano stato matrimoniale, gravidanza, handicap, neanche con il consenso dei candidati. Nella fase che precede l’assunzione, le Agenzie possono reperire informazioni on line solo se rese disponibili su canali social che abbiano natura professionale, e limitatamente alle sole informazioni connesse alla competenza richiesta. Non potranno, inoltre, acquisire referenze professionali del candidato presso precedenti datori di lavoro e comunicarle ai propri clienti, per conto dei quali è effettuata la ricerca di personale, senza una “previa autorizzazione esplicita del candidato”. E non potranno trattare, anche con il consenso del candidato, informazioni relative a illeciti disciplinari o procedimenti giudiziari che lo abbiano coinvolto.
Un’ultima domanda…E’ timore diffuso che l’Intelligenza artificiale possa “rubarci” il lavoro… sostituirà anche le professioni HR?
L’uso che si fa degli strumenti di Intelligenza artificiale può essere emblematico del “posizionamento” che scelgono di darsi le aziende e le organizzazioni. Questi strumenti “ragionano” per probabilità e statistica, quindi il prodotto che ci consegnano non è necessariamente il migliore o più adatto al contesto o più innovativo bensì quello più ricorrente… A lungo andare, quindi, potrebbero portare verso una sorta di mediocrazia…Paradossalmente rischia di fare meno innovazione proprio chi utilizza uno strumento innovativo. Ovviamente mi riferisco a chi fa ne fa un uso sostitutivo degli esseri umani e non complementare… L’intuizione, la curiosità, l’empatia, la visione strategica, per ora, non sono automatizzabili.