La direttiva Due Diligence e il regolamento sull'Intelligenza Artificiale delineano nuove responsabilità aziendali nella gestione dei rischi sui diritti umani.
Sommario: lo scritto discute il problema di quali regole e strumenti siano necessari per regolare e controllare la Intelligenza Artificiale nel suo impatto sui rapporti di lavoro. Analizza le procedure dei rischi previsti dalla direttiva Due Diligence, i criteri per la sua implementazione e i rapporti con la legge 231/2001; la possibile efficacia di queste procedure per rafforzare la effettività dei diritti. Raffronta i compiti del provider nella valutazione dei rischi secondo il regolamento sulla IA con le competenze sul tema che invece la direttiva Due Diligence attribuisce al datore di lavoro. Parole chiave: intelligenza Artificiale, Due Diligence, valutazione dei rischi per i diritti umani, procedure ex lege 231/2001; competenze del provider e del datore di lavoro.
1. L’intelligenza artificiale richiede regole e controlli diversi dalle altre tecnologie?
Gli sviluppi vertiginosi e imprevedibili della intelligenza artificiale stanno mettendo a dura prova gli strumenti di analisi e di comprensione delle nostre discipline, oltre che le nostre stesse capacità di lettura del mondo.
Gli economisti stanno sperimentando le difficoltà e le incertezze delle loro previsioni sulle tendenze della occupazione, già per il fatto che la velocità dei cambiamenti rende sfuggente l’ oggetto delle osservazioni *1.
I giuristi si domandano come regolare i vari utilizzi di questa rete di tecnologie e della enorme quantità di dati che è in grado di processare per evitare che vengano pregiudicati i fondamentali diritti della persona e gli interessi generali delle comunità *2.
Ci si chiede se per garantire il controllo umano sulle tecnologie digitali e sulla intelligenza artificiale che ne orienta l’ uso sia sufficiente adeguare gli strumenti regolatori tradizionali come si è fatto per altre precedenti tecnologie o se invece la loro novità renda impraticabile questa strada e richieda un “fundamental rethinking of key elements“ del sistema regolativo .
Tale questione è altrettanto se non più pressante di quella su cui sono impegnati economisti e policy makers alla ricerca di come evitare che la IA sostituisca quantità crescenti di lavoro umano portando a una disoccupazione di massa.
Questo perché, quale che sia l’impatto futuro delle tecnologie digitali animate dalla IA sulla occupazione, queste stanno già cambiando la qualità e le competenze del lavoro attuale, nonché le modalità di gestione sul suo svolgimento.
La diffusione della IA nelle aziende, in particolare quelle italiane, è ancora allo stadio iniziale, ma già si avverte che le manifestazioni su vari aspetti della gestione dei rapporti di lavoro, pur ancora non del tutte definite, non sembrano riconducibili a una variante delle tante modifiche finora sperimentate, come indicano le etichette ad esse talora attribuite di Digital Taylorism.
La grande disponibilità di dati e capacità di utilizzarli permette a queste tecnologie intelligenti di ridurre molte delle asimmetrie informative che ostacolano il funzionamento del mercato del lavoro e i costi di transazione per la gestione dei rapporti , che era un limite al sistema tayloristico.
Le applicazioni della IA nelle piattaforme digitali si sono rivolte non solo alla organizzazione dei lavoretti della gig economy, ma ad aspetti sempre più ampi della gestione del personale: dai processi di reclutamento di cui hanno rivoluzionato i metodi e ampliato le aree di ricerca, alla valutazione e al controllo delle prestazioni, così integrando o sostituendo le funzioni dei responsabili delle risorse umane.
Segnalo subito le reazioni dell’ ordinamento europeo e di molti sistemi nazionali, fra cui il nostro, all’ impatto delle tecnologie digitali e della IA sulle imprese e sul mondo del lavoro
si ispirano all’orientamento generale evocato da tutti i documenti internazionali, secondo cui la conformazione e applicazione di queste tecnologie devono essere guidate da un approccio umano-centrico, che permetta alle persone umane di mantenere il controllo sulle macchine intelligenti.
*1 Vedi al riguardo le osservazioni nell’Editoriale di S. Scarpetta in Employment Outlook 2023, Artificial Intelligence and the labor market, 2023, p. 5.
*2 J. Adams, Prassl what if your boss was an Algorithm? The rise of artificial intelligence at work, Compar. Labour Law and Policy Journal, 2019, 41, p. 3 ss.
2. La direttiva Due diligence e le procedure di valutazione dei rischi per i diritti umani e per l’ambiente
Questa necessità è stata avvertita dal legislatore europeo, che in anni recenti ha manifestato un insolito attivismo su questi temi, ampiamente commentato da tutti gli esperti e osservatori.
Qui voglio sottolineare, perchè interessa da vicino la nostra materia, una novità di tali interventi, cioè il fatto che molti di questi hanno riguardato un’ area (fino a ieri) poco esplorata come le strategie e la governance delle imprese.
Le direttive e i regolamenti recenti, hanno fatto carico alle imprese di una serie di responsabilità e obblighi non solo orientati agli obiettivi di sostenibilità, ma anche attinenti alla regolazione delle tecnologie digitali e della IA.
Su questi temi sono intervenute, con osservazioni in parte comuni ma con normative non sempre coordinate, una serie di regole europee: la regolazione generale della protezione dei dati (GDPR), poi la direttiva Reporting (CSDR) e in sequenza la direttiva cd. Due diligence, il regolamento sulla IA e da ultimo, in via di perfezionamento, la direttiva sulle condizioni di lavoro dei lavoratori su piattaforma.
Si tratta di regole di diversa natura e contenuto, che richiederanno una complessa attività di
coordinamento e specificazione, in cui ha promesso di intervenire la Commissione e che
impegneranno i legislatori nazionali nella fase di recepimento.
Qui intendo svolgere qualche considerazione generale sulla direttiva Due diligence su un aspetto particolare, ma non irrilevante, riguardante lo strumento della valutazione del rischio che alcune di queste regole adottano per prevenire e mitigare gli impatti negativi, attuali e potenziali, delle attività aziendali sui diritti dei lavoratori e sull’ambiente.
Le procedure di prevenzione della direttiva Due diligence indicati nello specifico allegato ESRS riguardano i principali diritti umani e sociali sanciti dai documenti internazionale ed europei (convenzioni OIL, principi e regole dell’ acquis comunitario).
Si tratta di una base di diritti da tempo riconosciuti nei paesi membri compresa l’Italia, che sono stati recepiti e in varia misura integrati nei nostri ordinamenti.
Sappiamo che il tasso di effettività delle normative di tutela non è sempre garantito specie per certi settori deboli e per tipi di lavoro non standard, nonché su alcuni aspetti trasversali, come il divieto di disparità di trattamento in materia di lavoro e di retribuzioni (allegato alla direttiva, parte I, n.14) anche nei paesi come i nostri che tali norme hanno formalmente acquisito da tempo.
La regolazione europea fornisce al riguardo indicazioni potenzialmente rilevanti per rafforzare la effettiva osservanza dei diritti dei lavoratori.
Infatti dopo aver stabilito che il dovere di diligenza va integrato in tutte le politiche delle imprese, e si deve ritenere che quelle del personale siano chiamate direttamente in causa, la normativa impegna le imprese a valutare i possibili impatti negativi di tali attività sui diritti umani e di conseguenza a mettere in atto misure correttive adeguate.
Queste comprendono anzitutto iniziative per prevenire gli impatti potenziali sui diritti e ove non possibile ad attutirli sufficientemente, anche con un piano specifico di prevenzione (art. 8); quindi iniziative per arrestare o minimizzare gli effetti negativi accertati o che avrebbero dovuto accertarsi, ivi compreso il risarcimento alle persone e alle comunità colpite.
La traduzione di queste indicazioni in specifici obblighi delle imprese è affidata, secondo la modalità propria delle direttive, alle iniziative di legge e amministrative degli stati membri.
Le direttive impegnano le imprese, oltre che ad adempiere agli obblighi di legge sul lavoro, ad agire con gli strumenti loro propri per assicurarne la effettività; una indicazione che è in linea con l’ impostazione delle recenti normative europee di chiamare le imprese a svolgere ruoli di interesse pubblico, ad integrazione delle azioni statali *3.
Le modalità di questa azione dovranno essere definite con il contributo di tutti gli stakeholder, a cominciare dai sindacati dei lavoratori che la direttiva chiede di coinvolgere nelle procedure di individuazione, valutazione e mitigazione dei rischi (art. 7).
Al riguardo il considerando 41 della stessa direttiva fornisce alcune indicazioni di metodo che dovrebbero esser integrate da linee guida già annunciate da parte della Commissione europea.
Per ora si limita a precisare che le procedure di individuazione e valutazione dei rischi dovrebbero basarsi su informazioni, quantitative e qualitative, compresi i pertinenti dati aggregati che possono esser ragionevolmente ottenuti dalla società“.
A questo proposito un aiuto può provenire dalla applicazione della direttiva Corporate Sustainability Reporting (CSRD 2022/2464), che fa carico alle imprese di fornire informazioni dettagliate su tutti gli aspetti della sostenibilità sociale e ambientale; per il primo aspetto sui principali istituti di diritto del lavoro e della previdenza sociale.
*3 Vedi T. Treu, Impresa sostenibile: implicazioni per il diritto del lavoro, in T. Treu, Le trasformazioni del lavoro: discontinuità e interdipendenze, Giappichelli, 2024, p. 225.
3. Criteri applicativi e rapporti con la legge 231/2001
Inoltre alcuni criteri utili e una ampia base di esperienza cui fare riferimento per la individuazione dei rischi si possono trovare nelle prassi applicative e nelle procedure della legge 232/2001 relativa all’accertamento e prevenzione di una serie di reati-presupposto individuati dalla normativa.
La rilevanza di queste procedure per la prevenzione dei reati, consiste nel finalizzare a questo obiettivo un insieme coerente di attività e di strumenti previsti, oltre che in generale nel codice etico, in un modello organizzativo aziendale periodicamente aggiornato: dalla individuazione delle aree più sensibili ai rischi di violazione, alla indicazione dei responsabili delle stesse, distinti per i ruoli decisionali e per quelli di controllo, sia preventivi sia ex post, alla previsione di flussi informativi periodici e sistematici sulle situazioni di criticità nei confronti degli organi di amministrazione e di controllo della società, integrata se necessario da interviste e indagini specifiche sui soggetti coinvolti, alla presenza di un organismo di vigilanza composto da responsabili aziendali e con la presenza di soggetti indipendenti.
L’ applicazione di una simile procedura al fine di prevenire non i reati presupposto della legge 231, ma la violazione dei fondamentali diritti umani e sociali, richiede adattamenti di vari aspetti del sistema: delle modalità procedurali, delle aree aziendali e dei soggetti coinvolti, delle pratiche da controllare, delle informazioni necessarie da comunicare e infine della composizione degli organismi di vigilanza in cui dovranno avere un ruolo centrale i responsabili del personale ei rappresentanti dei lavoratori.
In ogni caso la indicazione della direttiva Due diligence sollecita utilmente a sperimentare procedure previsionali in aggiunta, non in sostituzione, alla previsione di regole sostantive tipiche della normativa lavoristica.
4. Rafforzare la effettività dei diritti. Riserve e condizioni
La novità di questo approccio non garantisce che esso possa vincere la scommessa di rafforzare la effettività delle norme in questione. L’esito dipenderà dalla qualità delle persone coinvolte in queste procedure e dal rispetto non formalistico delle regole, oltre che dalle condizioni del contesto aziendale e delle relazioni di lavoro.
Ma il sistema predisposto permette un impegno inedito, potenzialmente più rilevante di altri, per impegnare le imprese nella difficile azione di prevenzione e superamento delle violazioni dei diritti fondamentali dei lavoratori.
Nei confronti di un simile approccio non sono mancate le riserve, in primis quella secondo cui esso attribuirebbe alle imprese un carico eccessivo di responsabilità, se non un ruolo improprio *4.
La riserva si ridimensiona se si considera che le procedure di prevenzione del rischio in questione non sostituiscono ma integrano le tutele dei diritti dei lavoratori e gli strumenti di enforcement previsti dall’ ordinamento.
Occorre piuttosto evitare che strumenti e decisioni simili siano affidati esclusivamente alla autovalutazione delle parti, senza alcuna condizione e garanzia pubblica fra queste si potrà includere in primis la presenza di soggetti terzi imparziali e rappresentativi dei lavoratori, se non pubblici, negli organismi di vigilanza.
Inoltre Il coinvolgimento dei rappresentanti dei lavoratori e degli altri stakeholder sarà necessario per impostare e implementare queste procedure in coerenza con gli obiettivi stabiliti dalle regole europee e nazionali.
Questa indicazione è tanto più rilevante, perché Il ricorso a simili procedure di individuazione e valutazione del rischio risponde a una tendenza comune alle altre normative europee, sopra ricordate: alla direttiva sulla protezione dei dati (GDPR), e al regolamento sulla intelligenza artificiale.
Le regole di quest’ultimo risentono di una impostazione generale costruita sul modello della disciplina sulla sicurezza dei prodotti, per cui sono dirette a garantire il corretto funzionamento della IA intesa come un prodotto.
*4 S. Villani, Luci e ombre degli strumenti di tutela dei diritti nell’architettura dell’AI Act basato sul rischio, in I nuovi confini del lavoro. La trasformazione digitale, Italian Labour Law E- Studies, 2024, p. 150.
5. Compiti del provider nel regolamento europeo sulla IA: criticità
Qui interessa rilevare una conseguenza di tale impostazione relativa alla distribuzione degli obblighi fra provider e deployer, cioè il fatto che la maggior parte degli adempimenti previsti dal regolamento relativi alla messa in opera e all’utilizzo dei sistemi di IA fa capo al provider.
A questo soggetto spetta anzitutto la individuazione della classe di rischio dei sistemi di IA applicati alla gestione del risorse umane sulla base della presunzione semplice stabilita dal regolamento.
Di conseguenza compete allo stesso provider di fornire al deployer le informazioni tecniche necessarie ad applicare correttamente il sistema nei diversi possibili usi per la gestione dei rapporti di lavoro (la lista contenuta nell’allegato III non è esaustiva), di adottare un sistema di gestione dei rischi fin dalla progettazione del sistema, pianificato ed eseguito nell’ intero ciclo di vita del sistema (art. 9), oltre che un sistema di gestione e governance dei dati art. 10, nonché di gestione della qualità che garantisca la conformità al regolamento e la complessiva compliance del sistema *5.
Il fatto che Il sistema di individuazione dei rischi, centrale nell’approccio del regolamento, dipenda dalle decisioni del produttore, corrisponde alla impostazione sopra accennata e alla esigenza di rispettare standard omogenei che devono essere certificati. Ma solleva non pochi problemi di adeguatezza e di funzionamento, perché può andare a scapito dalla capacità del sistema di cogliere le specificità dei rischi propri dei diversi contesti lavorativi *6.
Un accenno al problema si coglie nel considerando 64 del Regolamento in cui si afferma che il provider deve configurare il risk management tenendo conto degli obiettivi e del contesto in cui i sistemi ad alto rischio sono destinati a operare; che la scelta in capo al provider possa creare problemi si può riscontrare anche nella previsione (art. 26.5), secondo cui il deployer, ove nelle azioni di monitoraggio che gli competono avverta che l’ uso del sistema secondo le istruzioni del provider, può presentare un rischio (art. 79.1) per i diritti e la salute, deve informare il provider e sospendere l’utilizzo del sistema.
Va inoltre considerato che solo tenendo conto delle specificità del contesto lavorativo di cui è a conoscenza il deployer, si potranno prendere le misure opportune di gestione e mitigazione di tali rischi richieste dal regolamento.
Inoltre per quanto riguarda le misure di salute e sicurezza, il solo responsabile per la valutazione e gestione del rischio e per le conseguenti misure è il datore di lavoro secondo la normativa comune degli Stati membri, cui la normativa europea non prevede deroghe. Come si vede le aporie regolative di questa impostazione non mancano.
Una ulteriore conferma proviene dalle indicazione della direttiva Due diligence, secondo le quali il dovere di fare la valutazione del rischio delle attività dell’ impresa per prevenire e mitigare lesioni ai diritti fondamentali dei lavoratori spetta al datore di lavoro.
Si deve ritenere che tale disposizione ha carattere di specialità rispetto alla normativa generale sulla IA, e quindi va in ogni caso applicata.
Semmai si tratterà di verificare se le istruzioni del provider sulla base dei risultati della propria valutazione del rischio contengono elementi ulteriori o diversi rispetto a quelli emergenti dalla valutazione del datore di lavoro svolte in adempimenti della direttiva Due diligence.
Non è facile individuare criteri sicuri per risolvere un simile eventuale contrasto; per cui sarebbe opportuno che se ne occupasse il legislatore in sede di recepimento della direttiva Due diligence.
Questa sarebbe la sede adatta, dato il carattere di specialità della direttiva rispetto al
regolamento sulla IA. Il decreto del governo relativo a questo regolamento non dà indicazioni
utili, anche perché è del tutto schematico; sarebbe opportuno che fosse integrato in sede di conversione.
In ogni caso, sulla base delle considerazioni qui svolte, le imprese italiane dovranno approntare le procedure di identificazione e valutazione del rischio secondo le regole europee. Si tratta di un’attività inedita e complessa per cui può essere opportuno sperimentare qualche prima applicazione in attesa del recepimento della direttiva nel nostro ordinamento, facendo riferimento a pratiche aziendali già esistenti.
*5 Cfr. ampiamente S. Ciucciovino, Risorse umane e intelligenza artificiale alla luce del Regolamento UE 2024/1685 tra norme legali, etica e codice dei contratti, in corso di pubblicazione su DRI, 2024.
*6 Cfr. così M. Peruzzi, Intelligenza artificiale e lavoro. Uno studio su poteri datoriali e tecniche digitali, Giappichelli, 2023, p. 177.
Compila il seguente form. Ti risponderemo il prima possibile!