In sintesi
Il Garante Privacy ha avvertito una start-up che offre un sistema basato sull'Intelligenza Artificiale per analizzare lo stress dei dipendenti tramite i messaggi di lavoro. Sebbene l'azienda abbia messo in atto misure per proteggere la privacy, il Garante ha segnalato che i report aggregati forniti ai datori di lavoro potrebbero comunque rischiare di violare la privacy e la dignità dei lavoratori, permettendo, anche indirettamente, di risalire a informazioni sensibili. Questo significa che le aziende devono essere estremamente prudenti quando usano strumenti AI per monitorare il benessere dei dipendenti, assicurandosi che i datori di lavoro non possano mai accedere a dati personali o inferire informazioni private sui lavoratori, anche da dati riassuntivi.
Cosa fare
- Se usate sistemi per monitorare il benessere dei dipendenti o l'ambiente di lavoro, assicuratevi che i dati siano completamente anonimi e che il datore di lavoro non possa mai, neanche indirettamente, identificare i singoli dipendenti o conoscere il loro stato emotivo.
- Controllate che i sistemi di Intelligenza Artificiale usati per i dipendenti siano progettati fin dall'inizio per proteggere la privacy (Privacy by Design).
- Assicuratevi che ci sia una base legale chiara e valida per ogni tipo di dato che raccogliete sui vostri dipendenti, specialmente per quelli più sensibili.
- Ricordatevi che la legge italiana vieta ai datori di lavoro di raccogliere dati non strettamente necessari per il lavoro.
Cosa evitare
- Non usate strumenti che permettano, anche con dati aggregati, di capire lo stato emotivo o di stress dei singoli dipendenti.
- Non date ai datori di lavoro accesso a dati personali o a report che potrebbero, anche indirettamente, rivelare informazioni private sui lavoratori.
- Non sottovalutare i rischi legati all'Intelligenza Artificiale, specialmente quando si tratta di dati sensibili dei dipendenti.
- Non ignorare le leggi sulla privacy e sulla dignità dei lavoratori quando scegliete nuove tecnologie per il vostro personale.
Contesto
Il Garante ha avviato accertamenti d'ufficio nei confronti di Myndoor S.r.l. in seguito a notizie di stampa riguardanti un plug-in sviluppato dalla società. Questo plug-in utilizza la 'sentiment analysis' per valutare i parametri di stress dei dipendenti dai messaggi scambiati nelle chat di lavoro (Slack e Teams). L'indagine ha chiarito che Myndoor agisce come titolare del trattamento per i dipendenti che scelgono volontariamente di usare il servizio. La società ha dichiarato di aver implementato misure per anonimizzare/pseudonimizzare i dati e che i datori di lavoro non possono accedere ai dati personali dei singoli, ma possono richiedere report aggregati sul livello di stress, a condizione che almeno 10 dipendenti utilizzino il plug-in. Myndoor ha anche affermato che tali report sono stati forniti in un unico caso, senza permettere la re-identificazione.
La decisione
Il Garante, pur prendendo atto delle misure adottate da Myndoor S.r.l. per escludere l'accesso diretto ai dati personali da parte dei datori di lavoro e non avendo comprovato attuali violazioni in concreto, ha emesso un 'Avvertimento' ai sensi dell'art. 58, par. 2, lett. a), del Regolamento e dell'art. 154, comma 1, lett. f), del Codice. Il Garante ha avvertito che la trasmissione del report aggregato da parte di Myndoor agli enti e alle imprese clienti, potrebbe 'verosimilmente' violare il quadro normativo in materia di protezione dei dati personali e tutela della dignità della persona che lavora (citando Art. 5, 6, 9, 24, 25 e 88 GDPR, e Art. 2-ter e 113 Codice Privacy). La decisione sottolinea il rischio di re-identificazione, anche indiretta, dei dipendenti da parte dei datori di lavoro, specialmente in contesti organizzativi specifici, e l'importanza di prevenire qualsiasi messa a disposizione di tali informazioni.
Articoli GDPR violati
| Articolo | Descrizione | Rilevanza |
|---|---|---|
|
5 GDPR |
Principi di liceità, correttezza e trasparenza; limitazione della finalità; minimizzazione dei dati; esattezza; limitazione della conservazione; integrità e riservatezza; responsabilizzazione. | il rischio che i report aggregati possano permettere ai datori di lavoro di inferire dati sensibili sui dipendenti minaccia i principi di liceità, minimizzazione e integrità/riservatezza. |
|
6 GDPR |
Definisce le condizioni per la liceità del trattamento (es. consenso, interesse legittimo, obbligo legale). | mancanza di una base giuridica idonea per il datore di lavoro per accedere o inferire dati relativi allo stato emotivo/stress dei dipendenti, in particolare, in contrasto con le norme nazionali che tutelano la dignità e la non pertinenza dei dati lavorativi. |
|
9 GDPR |
Vieta il trattamento di categorie particolari di dati personali (es. dati sulla salute), salvo specifiche eccezioni. | i dati sullo stato di benessere o stress psicologico rientrano nelle categorie particolari di dati (salute), il cui trattamento è soggetto a condizioni più stringenti e non può essere effettuato dal datore di lavoro per le finalità inferite. |
|
24 GDPR |
Il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate per garantire e dimostrare che il trattamento è conforme al Regolamento. | myndoor, in quanto titolare, deve assicurare che la progettazione e l'erogazione del servizio, inclusa la generazione di report, prevenga qualsiasi violazione delle norme sul trattamento dei dati, in particolare la messa a disposizione di dati non autorizzati ai datori di lavoro. |
|
25 GDPR |
Il titolare deve implementare misure tecniche e organizzative adeguate, sia al momento della progettazione dei mezzi del trattamento sia al momento del trattamento stesso, per attuare i principi di protezione dei dati. | la progettazione del sistema plug-in e la fornitura dei report aggregati devono garantire, fin dall'inizio e per impostazione predefinita, che i dati sensibili dei dipendenti non siano accessibili o inferibili dal datore di lavoro. |
|
88 GDPR |
Permette agli Stati membri di prevedere norme più specifiche per il trattamento dei dati personali dei lavoratori, a condizione che siano previste garanzie appropriate per i diritti e le libertà fondamentali degli interessati. | l'articolo richiama la necessità di rispettare le norme nazionali (come l'art. 113 del codice privacy e le leggi sul lavoro) che tutelano la dignità e i diritti dei lavoratori, le quali vengono richiamate come violate in caso di accesso ai dati sulla salute/emozioni. |
|
2-ter Codice Privacy |
Fornisce basi giuridiche aggiuntive per il trattamento di categorie particolari di dati o dati relativi a condanne penali da parte di soggetti pubblici e privati, in conformità con l'Art. 9 e 10 del GDPR. | rischio di violazione delle condizioni nazionali per il trattamento di categorie particolari di dati nel contesto lavorativo, non essendovi una base giuridica appropriata per l'employer. |
|
113 Codice Privacy |
Rinvia alle disposizioni nazionali di settore che tutelano la dignità delle persone sul luogo di lavoro e vietano al datore di lavoro di raccogliere dati non pertinenti rispetto all’attività lavorativa (es. Art. 8 L. 300/1970). | le informazioni sulla sfera emotiva e lo stress dei dipendenti sono considerate non pertinenti all'attività lavorativa per il datore di lavoro, e la loro conoscibilità è preclusa, in violazione diretta di questo articolo. |
Misure imposte
Assicurare l'adozione di misure e accorgimenti per prevenire la messa a disposizione dei dati (anche tramite report aggregati) agli enti e alle imprese datori di lavoro; Evitare la conoscenza indiretta di informazioni trattate tramite il sistema da parte dei datori di lavoro.
Implicazioni pratiche
Questo provvedimento del Garante Privacy è un campanello d'allarme importante per tutte le aziende che utilizzano o intendono utilizzare strumenti basati sull'Intelligenza Artificiale (AI) per il monitoraggio o il benessere dei propri dipendenti. L'Autorità, pur non riscontrando una violazione effettiva nel caso specifico di Myndoor S.r.l. (almeno al momento dell'indagine), ha emesso un avvertimento per il rischio elevato che la fornitura di report aggregati sullo stato emotivo/stress dei lavoratori possa violare gravemente i principi del GDPR e le norme nazionali a tutela della dignità del lavoro. In particolare, viene ribadito il divieto per i datori di lavoro di raccogliere dati non pertinenti all'attività lavorativa, inclusi quelli sulla sfera emotiva, e si fa riferimento al nuovo Regolamento AI che vieta l'inferenza delle emozioni nel luogo di lavoro. Le aziende devono assicurarsi che qualsiasi sistema di AI, soprattutto se coinvolge dati sensibili dei dipendenti, sia progettato fin dall'origine ("privacy by design") per prevenire qualsiasi possibilità di re-identificazione o accesso indiretto a informazioni private da parte del datore di lavoro. Anche i dati aggregati, se non gestiti con estrema cautela e con adeguate soglie di anonimizzazione, possono presentare rischi significativi.
Azioni da fare
- Valutare attentamente la conformità GDPR e Codice Privacy prima di implementare strumenti di AI per HR o benessere dei dipendenti
- Implementare rigorose misure tecniche e organizzative per garantire la completa anonimizzazione dei dati, anche aggregati, forniti ai datori di lavoro
- Assicurare che i datori di lavoro non possano in alcun modo, anche indirettamente, accedere o inferire dati sensibili sui dipendenti (es. stato emotivo, stress)
- Verificare la base giuridica per ogni trattamento di dati dei dipendenti, specialmente per dati sensibili
- Formare il personale e i responsabili IT/HR sui rischi legati all'AI e al monitoraggio dei dipendenti
- Rispettare le norme nazionali sulla dignità dei lavoratori e la non pertinenza dei dati raccolti dal datore di lavoro
- Considerare le implicazioni del Regolamento (UE) 2024/1689 sull'intelligenza artificiale per l'uso di sistemi AI nel contesto lavorativo.
Errori da evitare
- Acquistare o sviluppare strumenti di AI che permettano ai datori di lavoro di monitorare direttamente o indirettamente lo stato emotivo o psicologico dei dipendenti
- Fornire report aggregati ai datori di lavoro senza soglie di anonimizzazione sufficientemente elevate o senza meccanismi che impediscano qualsiasi re-identificazione
- Non considerare la natura sensibile dei dati relativi a benessere e stress psicologico dei dipendenti
- Ignorare le specifiche normative nazionali e sovranazionali (GDPR, Codice Privacy, AI Act) che tutelano la dignità e la privacy dei lavoratori
- Affidarsi ciecamente agli output algoritmici senza un adeguato controllo umano e comprensione della loro 'spiegabilità'.
Domande di self-assessment
- Abbiamo una base giuridica valida per tutti i trattamenti di dati dei dipendenti, in particolare per i dati sensibili?
- Il nostro sistema AI è progettato secondo i principi di 'privacy by design' e 'privacy by default'?
- Esiste il rischio che i report o i dati aggregati forniti ai datori di lavoro possano consentire la re-identificazione, anche indiretta, dei dipendenti?
- Il nostro utilizzo dell'AI nel contesto lavorativo rispetta la dignità dei lavoratori e il divieto di inferire emozioni (AI Act)?
- Abbiamo implementato adeguate misure tecniche e organizzative per prevenire accessi non autorizzati o inferenze illecite da parte dei datori di lavoro?
- Il trattamento dei dati relativi al benessere o stress dei dipendenti è gestito esclusivamente da figure professionali competenti (es. medico del lavoro) e non dal datore di lavoro?
Riferimenti
Normativa nazionale: D.Lgs. 196/2003 · Art. 8 L. 20 maggio 1970, n. 300 · Art. 10 D.Lgs. n. 297/2003 · Art. 5 L. 20 maggio 1970, n. 300 · D.Lgs. n. 81/2008
Note
Il provvedimento fa riferimento a un nuovo regolamento europeo sull'intelligenza artificiale (Regolamento (UE) 2024/1689 del 13 giugno 2024) che vieta espressamente l'inferenza delle emozioni nel luogo di lavoro, fornendo un quadro normativo emergente e molto rilevante per questo tipo di tecnologia.