A seguito dell’introduzione di strumenti tecnologici come potenziale di controllo e la progressiva diffusione dell’IA, i confini tra la direzione del lavoro e il controllo dei lavoratori sono sempre più sottili. Contemporaneamente, il controllo del datore di lavoro sui lavoratori si rivolge non al corretto adempimento degli obblighi contrattuali ma al “risultato” della prestazione e della “prestazione” del lavoratore.
L’evoluzione della disciplina sul controllo dell’attività dei lavoratori
L’art. 4 della L.n. 300/1970 e i suoi “spiazzamenti tecnologici”
Prima dell’intervento sulla produzione e sull’organizzazione della tecnologia digitale e dell’IA, i poteri datoriali ubbidivano a un chiaro principio che li rendeva al centro e alla base del potere direttivo ovvero il potere di controllare l’esecuzione della prestazione lavorativa e quello di punire le violazioni contrattuali dei dipendenti.
Quanto al potere di controllo, fin dall’inizio, non era chiaro se dovesse riguardare solo l’adempimento diligente della prestazione, ovvero potesse estendersi anche, per un verso, alle c.d. “licenze comportamentali”, e per l’altro, addirittura a condotte extra lavorative e private, in quanto rilevanti ai fini della valutazione della prestazione di lavoro.
L’art. 4, L. n. 300/1970, interviene al fine di limitare il potere di controllo del datore di lavoro rendendolo compatibile con la dignità e la riservatezza del lavoratore facendo riferimento ai controlli a distanza sull’“attività dei lavoratori”: ed erano limitati dalle norme statutarie che vietavano i controlli tecnologici a distanza (art. 4), e quelli umani irrispettosi della riservatezza od occulti (artt. 2 e 3 Stat. lav.).
L’art. 4 Stat. lav., era però, il prodotto normativo tipico di un contesto basato:
- sul diritto alla riservatezza del lavoratore;
- garantito da strumenti quali la norma inderogabile e del divieto;
- filtro sindacale garante dei soli controlli c.d. “preterintenzionali”.
In sostanza, fermo il divieto incondizionato dei controlli sul lavoro diretti e “intenzionali”, si ammetteva l’installazione di impianti e apparecchiature dalle quali derivasse anche la mera possibilità di controllo a distanza dell’attività dei lavoratori, previo accordo sindacale aziendale o, in mancanza di accordo, di autorizzazione dell’ispettorato del lavoro.
Negli anni ’80 del secolo con il sopraggiungere delle tecnologie informatiche, si verifica il primo “spiazzamento tecnologico” dell’art. 4: poiché strumenti e apparecchiature, anche di lavoro, non concepite per controllare i dipendenti, possono rendere possibile tale controllo, rischiando di cadere nella categoria dei controlli a distanza “preterintenzionali”.
Da qui la scelta di restringere l’interpretazione del campo di applicazione dell’art.4 attraverso la valorizzazione della teoria dei controlli difensivi.
Ovvero lo sbarramento all’operatività della procedura autorizzatoria di cui al comma 1 dell’art. 4, nei casi in cui il controllo sia posto in essere per la necessità di impedire la commissione di illeciti lesivi del patrimonio aziendale.
La teoria dei controlli difensivi e la privacy
Senonché, la teoria dei controlli difensivi, nel momento in cui viene a contatto con la disciplina della privacy, deve tener conto degli effetti tipici di quest’ultima, quali la necessità di adottare misure “graduali” che legittimano “controlli non invasivi”, solo in caso di rilevazione di “specifiche anomalie”.
La proposta di un approccio casistico giurisprudenziale, e fondamentalmente a-sistematico, a una materia, quale quella dei controlli datoriali sull’attività dei lavoratori, è destinata, grazie all’avvento dell’IA, a complicarsi, esaurirsi e sfrangiarsi sul piano normativo.
Il jobs act , i suoi limiti e l’Irrompere della IA e della privacy
La risposta del Jobs Act al problema dell’espansione incontrollata degli strumenti senza finalità ma con potenzialità di controllo, è stata ragionevole e in linea con alcune indicazioni dottrinali: il rigore della parte giuslavoristica della norma è stato temperato eliminando dal novero degli strumenti di controllo preterintenzionale, gli strumenti di lavoro.
In cambio, penetra nel corpo normativo la protezione della privacy, sub specie sia di specifica previsione di un obbligo di trasparenza (nuovo comma 3 dell’art. 4), sia di rinvio all’intero corpus normativo sulla protezione dei dati personali: corpus che intanto era cresciuto a dismisura, in qualità e in quantità, grazie all’art. 8 della Carta di Nizza, alla Dir. 95/46/CE, e al codice privacy (D.Lgs. n. 196/2003).
Con l’insorgere, all’avvento dell’“intelligenza artificiale” nei domini della produzione e del lavoro, come già detto in precedenza è evidente la quasi impossibilità di non controllare, cui fa da contraltare una limitazione normativa, se non impossibile, certo indotta a esplicarsi per vie diverse da quelle giuslavoristiche.
L’I.A.:
- Rende sempre più difficile distinguere il dispositivo accessorio da quello indispensabile allo svolgimento di un’attività che è parte integrante di un sistema digitale automatizzato.
- Trasforma i controlli preterintenzionale, da eccezione, a regola.
Il diffondersi del paradigma della trasparenza e dell’informazione
Se l’ I.A. scardina gli art. 1 e 2 dell’art. 4 Stat.Lav. non altrettanto può dirsi, però, del comma terzo, per il quale “Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196”, ovvero la parte riguardante l’obbligo di informazione e trasparenza, ispirata ai principi del diritto della privacy, assume rilievo centrale e assorbente.
Due dati normativi di riferimento in tal senso sono:
- Terzo comma dell’art. 4 si applica anche ai controlli difensivi, figura di creazione giurisprudenziale, volta a consentire in un primo tempo i controlli “umani” occulti, e successivamente quelli a distanza senza procedura autorizzatoria.
- C.E.D.U. afferma con forza, fin dal caso Barbulescu, la necessità incondizionata che il lavoratore sia informato “circa la possibilità che il datore adotti misure di monitoraggio”, e che l’informazione sia “chiara circa la natura della sorveglianza e precedente alla sua attuazione”.
In questo quadro normativo e interpretativo, suggellato dal Reg. 2016/679/UE, la trasparenza si afferma così come principio di una nuova strategia regolativa dei diritti del lavoro, in cui confluiscono anche le tecniche di regolazione dell’IA e si afferma contemporaneamente la tendenza alla giustapposizione della tutela della privacy con la tutela lavoristica.
Sull’onda della valenza del principio di informazione e trasparenza che il legislatore del 2015 ha voluto chiarire che i dati acquisiti tramite i controlli indiretti sull’attività dei lavoratori, possono essere utilizzati ai fini lavoristici alle note condizioni introdotte dal Jobs Act, non si tratta di una norma liberalizzatrice, ma di una norma realistica, ossia di una norma che rispetta il principio di realtà, in quanto un conto è l’impiego dell’apparecchiatura di controllo a distanza per il soddisfacimento delle esigenze generali tipizzate dal legislatore (finalità generale del controllo “primario”); altro conto è l’utilizzo delle informazioni raccolte nel corso e in occasione di quell’impiego (finalità lavoristica del controllo preterintenzionale o “secondario”).
La disciplina multilivello del diritto alla privacy dei lavoratori e l’irrompere della giurisprudenza della Corte Europea dei Diritti dell’Uomo
Recentemente il quadro normativo dell’UE oltre al Reg. n. 679/2016 (General Data Protection Regulation – GDPR) si è arricchito di due pilastri cruciali, il regolamento 13 giugno 2024, n. 1689 sull’IA (di seguito: reg. IA) e la direttiva relativa alla tutela dei lavoratori delle piattaforme digitali, già sostanzialmente definitiva, ma ancora in attesa della sanzione formale del Consiglio (di seguito: dir. piattaforme).L’apparato normativo si caratterizza quindi da un impianto multilivello, e offre già alcune tutele, invero abbastanza robuste , laddove una decisione sia basata unicamente su un trattamento automatizzato.
In questo complesso quadro multilivello emerge in positivo il profilarsi di una prospettiva unificante e semplificatrice, guidata dalla giurisprudenza della Corte Europea dei Diritti dell’Uomo avendo come linee guida:
- Il principio alla condotta, quasi scavalcandosi la norma (uni-europea e/o nazionale) di dettaglio;
- l’irrilevanza della distinzione tra inadempimento e illecita lesione del patrimonio aziendale, che può assumere rilievo tutt’al più ai fini del giudizio di proporzionalità filtrato dal principio di minimizzazione del rischio.
L’impatto dell’IA sulle finalità e le modalità dei controlli datoriali
In primo luogo va considerato che l’IA porta al limite la tenuta teorica della contrapposizione tra controllo sull’adempimento e controllo sul risultato. Chiaramente le potenzialità di controllo e monitoraggio insite nei sistemi decisionali automatizzati richiedono stili gestionali basati sulla valutazione dei risultati, se non addirittura sulle caratteristiche personali, dei lavoratori: basti pensare al lavoro da remoto o “agile” e a quello tramite piattaforma digitale.
In secondo luogo vanno esaminati, i nuovi rischi di attentato alla riservatezza dei lavoratori provenienti dalle discriminazioni (indirette) algoritmiche e dalle indagini su fatti non rilevanti ai fini della attitudine professionale (art. 8 Stat. lav.): si pensi ai sistemi di rating dei lavoratori digitali, originati da algoritmi che elaborano le valutazioni effettuate dalla clientela, o ai sistemi reputazionali che, raccogliendo il gradimento degli utenti, effettuano una valutazione della prestazione.
L’approccio che emerge dalle fonti europee è chiaramente antropocentrico: nella gestione dei rapporti di lavoro, è previsto il ricorso a sistemi di IA che non siano lesivi della dignità dei lavoratori.
Le implicazioni per l’uso dell’IA a fini di algorithmic management sono piuttosto significative:
- I sistemi di IA devono essere trasparenti, comprensibili e spiegabili nelle dinamiche con cui assumono o assistono nell’assunzione di decisioni inerenti ai lavoratori.
- Il datore di lavoro deve sempre garantire la sorveglianza umana, anche nella forma dell’intervento umano in grado di “sconfessare” la decisione del sistema di IA (redress-by-design).
- E’ preferibile, una valutazione d’impatto con il coinvolgimento dei rappresentanti dei lavoratori è sempre richiesta; del resto, nel caso delle piattaforme digitali ciò è espressamente stabilito.
- Deve, tener conto della disciplina europea della salute e sicurezza sul lavoro, che impedisce di adottare sistemi di IA che sottopongano i lavoratori a pressioni eccessive e dannose per la loro salute fisica o mentale (Dir. sulle piattaforme digitali e dalla dir. 89/391/CEE)
- Il coinvolgimento dei lavoratori, seppur nelle forme più deboli dell’informazione e consultazione (rectius: diritto di negoziazione), costituisce una presenza costante nel patchwork normativo (vedi direttiva 2002/14/CE ), il confronto preventivo con i rappresentanti dei lavoratori è richiesto ogniqualvolta vi sia una decisione datoriale che impatta in modo notevole sull’organizzazione o sui contratti di lavoro [art. 4, comma 2, lett. c)].