venerdì, Marzo 29, 2024
Labourdì

“Dicotomie informative”: Big Data analytics e privacy del lavoratore

  • Il fenomeno della Big Data analytics applicato al lavoro

L’avvento delle nuove tecnologie è certamente intriso di pervasività in tutti i settori dell’agire umano. La semplificazione portata dal digitale ha condotto a un irreversibile processo di velocizzazione dei processi, senza contare le implicazioni economiche per tutti i settori dell’industria, dunque non esclusivamente quella delle ICT, bensì anche le attività imprenditoriali “tradizionali”.

In tale ottica, va riservato uno sguardo particolarmente attento all’esplosivo – e non ancora pienamente sfruttato – fenomeno dei Big Data, impennato anche grazie alle tecnologie IoT[1] oramai facenti parte della vita quotidiana dell’individuo e inserite, fra gli altri oggetti, in dispositivi wearable.

Come noto[2], il meccanismo di operatività dei Big Data verte sullo sfruttamento dell’acquisizione massiva di informazioni di ogni specie generata attraverso la loro immissione nella rete da parte degli utenti. Non si tratta di dati “semplici” potenziati, né di database o di dati in formato strutturato, ma di entità informative ontologicamente differenti[3] che derivano da dati con determinate caratteristiche[4], raccolti continuativamente e sinergicamente, per mezzo di un flusso definito da diversi software e algoritmi[5]. Tali informazioni vengono poi processate attraverso l’analisi e l’elaborazione di appositi strumenti, che con un lavoro inferenziale portano a compimento complesse operazioni di “assemblaggio” dei dati mediante tecniche di deep e predictive learning, machine reasoning, sentiment analysis e altre applicazioni di artificial intelligence e generando dei veri e propri profili quasi individuali, corrispondenti in misura altamente probabile a un “soggetto-tipo” riconducibile a un preciso sottoinsieme di persone fisiche.

È fondamentale rammentare che i dati utilizzati per questa attività prettamente algoritmica e demandata alle macchine sono sia di carattere personale, sia non[6]. Tramite la correlazione tra informazioni prelevate da uno o più data set, infatti, può ben tracciarsi il profilo di una comunità sociale di qualunque dimensione (a seconda dell’obiettivo da raggiungere). Proprio in questo consistono le “dicotomie informative”, ossia nella parità di utilizzo fra dati personali e non personali o anonimizzati, grazie all’assemblaggio che se ne fa, per il raggiungimento di una finalità informativa del titolare del trattamento effettuato sulla base del sistema di Big Data analytics. Sempre più pregnante può considerarsi la tendenza degli imprenditori, in questo contesto, di investire sull’analisi automatizzata dei dati orientata alla gestione del personale. Premessa fondamentale: l’ombrello normativo europeo sotto cui ricade la tutela dei dati personali del dipendente, considerato meritevole di tutele maggiori in quanto soggetto vulnerabile, è quello dell’articolo 88 del GDPR[7]. Tale norma affida a regole più specifiche (di carattere nazionale) la protezione delle libertà e dei diritti spettanti al prestatore di lavoro subordinato nella loro veste di interessati. Ne conseguono diverse considerazioni, soprattutto alla luce delle altre disposizioni del Regolamento (UE) 2016/679.

Occorre preliminarmente rilevare che i fenomeni di Big Data analytics, sempre più spesso da parte dei datori di lavoro, comportano la raccolta e il trattamento di dati relativi a condizioni personali e professionali di lavoratori, inferiti da dispositivi aziendali o ibridi (si pensi alle scelte BYOD[8]), in formato sintetico e secondo indici ben precisi (professionalità, abitudini di consumo, reputazione, affidabilità creditizia, ecc.). Talvolta le previsioni effettuate dagli algoritmi, senza alcuna evidenza statistica, hanno potuto comportare risultati affidabili. Tuttavia è errato pensare di poter parificare, negli esiti, un sistema basato su previsioni e correlazioni alla certezza statistica di verificazione di un dato evento o effettuazione di una determinata scelta[9]. In questo contesto, la raccolta di informazioni provenienti dalla navigazione del dipendente ha l’esito di inserirlo, sulla base dei predetti criteri, fra una cerchia di persone alla luce del risultato inferenziale calcolato da una macchina, di fatto senza che egli ne sia minimamente a conoscenza o abbia una partecipazione diretta alla sua “classificazione”. Le conseguenze di questo operare sono pericolose: può aversi il rischio di intaccamento di alcuni aspetti del lavoratore-persona (che hanno a che vedere con il diritto all’identità personale), in passato solitamente in discussione su aspetti differenti[10]. In particolare, le tecniche avanzate di trattamento mettono in pericolo l’auto-determinazione informativa, non rendendo note le finalità del processamento e le procedure informatiche con cui i dati e meta-dati sono portati a interazione. L’immagine del lavoratore che ne risulta, non affidabile e strettamente dipendente dalla qualità dei dati e delle procedure utilizzate, ben può produrre l’effetto di una violazione della dignità e dell’identità personale, con il risultato di condizionare il diritto al lavoro dello stesso.

Le linee-guida del WP29 in materia di DPIA[11], sul punto, sono intervenute a precisazione della disciplina del GDPR introducendo ulteriori nove criteri per applicare l’assessment in relazione a trattamenti che “possono presentare un rischio elevato” per i diritti e le libertà degli interessati. Il riferimento va al criterio n. 8, che anche in lettura del considerando 91 del Regolamento, prende in considerazione l’uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative, essendo possibile comprendere nella sua formulazione l’esposta tecnologia della Big Data analtytics. L’enunciato, d’altronde, è volutamente ampio nella portata interpretativa, raccordandosi con quanto previsto dall’art. 35 del GDPR e specificandolo.

  1. Il caso della piattaforma “Mevaluate”

Il 24 novembre 2016 – in un periodo anteriore all’applicabilità del GDPR – il Garante per la protezione dei dati personali si è pronunciato per la prima volta[12] su un sistema tecnologico sottoposto alla sua attenzione (c.d. Mevaluate), finalizzato a fornire agli imprenditori, attraverso il sistema di analisi dei dati, una “profilazione reputazionale” di utenti tramite un meccanismo di punteggio. La nuova tecnologia da implementare sarebbe partita dall’analisi delle informazioni dei lavoratori, per poi essere destinata a diventare uno strumento di rating relativo a tutti i rapporti socio-economici, per qualunque tipo di utente. La piattaforma, in particolare, avrebbe elaborato un rating complessivo per ogni fruitore sulla base di elementi informativi prelevati da diversi settori (tra cui lavoro e impegno civile, studi e formazione) generando basi di conoscenza, «rilevanti anche sotto il profilo etico», utili per la selezione e il controllo delle controparti negoziali tra cui vengono espressamente menzionati «appaltatori e subappaltatori, […] aspiranti dipendenti, dipendenti in forza»[13]. Fra le sfaccettature della piattaforma c’era quella della raccolta di informazioni attinenti non solo alla sfera lavorativa del lavoratore, ma anche a quella morale, come indice di valutabilità della reputazione sotto ogni punto di vista, inclusa l’etica. Controllo, di fatto, ad oggi ormai semplificato mediante i dati spontaneamente fatti circolare attraverso gli strumenti lavorativi, come da nuova formulazione dell’art. 4, comma 3 dello Statuto dei lavoratori (su cui si tornerà brevemente), ma del tutto contrario alla ratio dell’art. 8 del medesimo testo legislativo[14]. Ciò su cui il Garante ha posto l’accento è la assoluta parzialità e relatività delle informazioni raccolte dal datore di lavoro mediante le tecniche di Big Data analytics, che forniscono elementi valoriali caratterizzanti un gruppo di individui quasi “in un sistema isolato”, senza contestualizzazione e senza tener conto delle contingenze storiche, fattuali, lavorative e sociali del momento in cui le informazioni vengono raccolte, oltre che delle altre (almeno) decine di sfaccettature possibili. La declinazione fornita è imprecisa e imparziale[15]. Oltretutto, sempre all’interno linee-guida del WP29 in materia di DPIA, la presenza di un rating dei possibili interessati è oggi considerato un ulteriore elemento sul quale innestare una particolare cautela da parte del futuro titolare del trattamento dati, che di certo, congiunto ad almeno un altro dei nove criteri integrativi, potrebbe comportare la preventiva valutazione d’impatto. Nello specifico caso di Mevaluate, il Garante, in via preventiva, ritenendo del tutto compressa la sfera dell’identità personale del lavoratore, si è pronunciato nel senso di ritenere non conforme al Codice privacy il trattamento dei dati che la piattaforma avrebbe potuto effettuare nei confronti degli utenti, perché avrebbe potuto dare avvio a “indagini” datoriali del tutto avulse dalla sfera del rapporto lavorativo. In senso conforme, peraltro, si è mossa una sentenza della Cassazione del 2016[16] relativamente a uno strumento software di controllo utilizzato da un datore di lavoro, spingendosi addirittura oltre la dimensione del trattamento. Viene in essa stabilito che “acquisire e conservare dati che contengono (o possono contenere) simili informazioni importa già l’integrazione della condotta vietata, perché si risolve in una indagine non consentita sulle opinioni e condotte del lavoratore, anche se i dati non sono successivamente utilizzati. Non è necessario sottoporre i dati raccolti ad alcun particolare trattamento per incorrere nell’illecito, poiché la mera acquisizione e conservazione della disponibilità di essi comporta la violazione della prescrizione legislativa”.

  1. Raccordo tra privacy by design, privacy by default e profilazione delle caratteristiche professionali

Le maggiori tutele applicate al trattamento dei dati personali di soggetti “vulnerabili”, come a tutti gli effetti lo è il lavoratore e sulla scorta del rinvio operato dall’articolo 88 del GDPR, sono offerte dallo Statuto dei lavoratori così come modificato dal jobs act. L’articolo 4 dello Statuto più volte menzionato, al suo terzo comma, consente deroghe semplificative al trattamento effettuato esclusivamente per finalità relative al rapporto di lavoro, senza tuttavia considerare gli aspetti relativi alla profilazione del lavoratore e ogni processo decisionale automatizzato. Tali aspetti sono invece il fulcro di due diverse disposizioni del Regolamento, ovverosia l’art. 4, paragrafo 4 e l’articolo 22. L’apparente deroga dettata dal secondo paragrafo dell’ultima norma menzionata con riferimento al diritto a non essere profilati, prevista fra l’altro proprio per l’esecuzione di contratti aventi come parte l’interessato e dunque anche per quelli lavorativi, viene smorzata dal necessario processo di partecipazione previsto in tema di informativa privacy ai sensi dell’articolo 13, lettera f) del GDPR.

Siamo davvero sicuri che basti una passiva partecipazione cognitiva del lavoratore a far sì da scongiurare gli eventuali successivi abusi datoriali?

Qualcuno consiglia processi di anonimizzazione irreversibile per impedire la compiuta identificazione del prestatore, qualcun altro postula un’educazione preventiva sul metodo di utilizzo degli strumenti lavorativi e altri ancora educano all’uso del BYOD, pur nella sua necessarietà in alcuni contesti lavorativi. Si è recentemente assistito a vivaci proteste (sindacali e non) nei confronti del foraggiamento di policy aziendali “automizzanti” sui metodi di lavoro dei prestatori umani da parte di qualche over the top[17] come Amazon. Rimangono tuttavia delle questioni di fondo piuttosto delicate:

  • I dati anonimizzati (e comunque i dati non personali) non rientrano nel campo di applicazione del GDPR, dunque le protezioni del Regolamento non possono essere applicate sugli usi che gli analisti di Big Data possono farne;
  • I profili generati attraverso gli strumenti di people analytics quasi sempre non corrispondono a un individuo identificato o identificabile, ma a gruppi cui l’interessato appartiene, rendendo pertanto inapplicabili le predette tutele;
  • Un’anonimizzazione protettiva dei dati personali del lavoratore e della preservazione della sua identità personale, realmente irreversibile e in ogni fase del trattamento, non è semplice tecnicamente e può comportare l’identificazione del singolo lavoratore attraverso meta-dati e successive correlazioni, difficili da contestare dal punto di vista probatorio in un processo.

La soluzione giusta, operabile sempre all’interno del necessario connubio tecnico-legislativo offerto dal GDPR, potrebbe essere quella di una irrinunciabile DPIA altamente ricca e predittiva, mediante schemi tassativi di causa-effetto su tutte le categorie di dati all’interno del data set aggregato che il datore di lavoro vorrà formare, in particolare:

  • con la precisa finalità di ricondurre il procedimento analitico solo allo scopo di miglioramento e virtuosità della macchina lavorativa in senso ampio;
  • con le dovute precauzioni in ordine ai rischi connessi all’identificazione del singolo lavoratore, che potrà (e dovrà) attivare le tutele del GDPR ogni volta che ritenga leso il diritto all’identità personale o la propria dignità a seguito di illegittime compromissioni della propria sfera intima dovute a ingerenze datoriali e alla conseguente impossibilità di controllare adeguatamente trattamenti eccedenti, non pertinenti, difettosi di trasparenza e liceità dal datore di lavoro, effettuati con qualunque forma di profilazione, o dopo decisioni dell’imprenditore (a partire da quelle disciplinari) orientate da procedimenti automatizzati.

[1] Internet of Things.

[2] Per un maggior approfondimento generale della materia, v. L. Berto, “I Big data e la rivoluzione digitale del diritto”, in IusInItinere (https://www.iusinitinere.it/big-data-la-rivoluzione-digitale-del-diritto-7624).

[3] V. Zeno-Zencovich, G. Giannone Codiglione, Ten legal perspectives on the big data revolution, in Concorrenza e Mercato, 2016, vol. 23, 57.

[4] Grande velocità, varietà, volume, veridicità e/o valore, come riportato dalla definizione più ricorrente del Gartner Dictionary, riconducibile a D. Laney, 3D Data Management: Controlling Data Volume, Velocity, and Variety, Meta Group, 2001.

[5] Quanto appena detto è riportato in maniera molto chiara da A. Donini, Tecniche avanzate di analisi dei dati e protezione dei lavoratori, in Diritto delle Relazioni Industriali, fasc.1, 1 marzo 2018, 222 ss.

[6] A tal proposito può risultare utile consultare l’intervista pubblicata su Ius in itinere da S. Cedrola, “Una cronologia dettata dalla tecnologia”: intervista a Luciano Floridi, prof. di Filosofia ed Etica dell’Informazione – Università di Oxford (https://www.iusinitinere.it/una-cronologia-dettata-dalla-tecnologia-intervista-a-luciano-floridi-11296).

[7] Regolamento (UE) 2016/679.

[8] Bring Your Own Device, politiche basate sull’utilizzo di uno strumento di lavoro ibridamente, ovvero sia per uso personale che lavorativo. I casi di lavoro da remoto ne sono un esempio.

[9] Interessante è il contributo di D. Bollier, The Promise and Perils of Big Data, Aspen Institute, 2010, 6 ), in particolare ove viene riportato che “[…] no computer system is like to simulating the level of subtlety and personalization that real human beings show in dynamic social contexts, at least in the near future. Running the numbers and finding the correlations will never be enough”.

[10] V. anche A. Donini, Tecniche avanzate di analisi dei dati e protezione dei lavoratori, 222 ss., cit., che riporta anche diverse pronunce giurisprudenziali (sia di merito che di legittimità) in ordine alla tutela dell’identità personale del lavoratore.

[11] Ci si riferisce alle linee-guida del Working Party Art. 29 in materia di data protection impact assessment, reperibili su .

[12] Piattaforma web per l’elaborazione di profili reputazionali, 24 novembre 2016, [doc. web n. 5796783].

[13] I virgolettati si riferiscono a parti del provvedimento del Garante.

[14] L’articolo, rubricato “divieto di indagini sulle opinioni”, recita che “è fatto divieto al datore di lavoro, ai fini dell’assunzione, come nel corso dello svolgimento del rapporto di lavoro, di effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore”.

[15] Quanto appena detto relativamente al caso esaminato dal Garante viene più ampiamente descritto da A. Donini, Profilazione reputazionale e tutela del lavoratore: la parola al Garante della Privacy, Labour&Law Issues, vol. 3, 1, 2017 (https://labourlaw.unibo.it/article/download/6863/6632). In calce al contributo, l’autrice allega il provvedimento del Garante di cui si discute.

[16] Cass. civ., sez. I, 19 settembre 2016, n. 18302.

[17] Fra i molti articoli, v. G. Mosca, “Amazon brevetta un braccialetto per controllare ordini e lavoratori” (https://www.wired.it/economia/lavoro/2018/02/01/amazon-bracciale/).

Edoardo Palazzolo

Laureato a pieni voti presso l'Università di Pisa, è abilitato alla professione di Avvocato. Consegue nel gennaio 2018 il Master Universitario di 2° livello (CMU2) in Internet Ecosystem: Governance e Diritti presso l'Università di Pisa in collaborazione con il CNR-IIT, nell'ambito del quale svolge un tirocinio formativo presso il Servizio Affari Legali e Istituzionali della Scuola Normale Superiore, occupandosi di data protection e, in particolare, dell'applicazione del GDPR nel settore pubblico. Discute una tesi relativa all'applicazione del GDPR nelle Università statali e i conflitti con la trasparenza amministrativa dopo il decreto FOIA (d.lgs. 97/2016). Ha collaborato con diversi studi legali nel ramo del diritto civile e commerciale, da ultimo specializzandosi nel contenzioso bancario e nelle soluzioni innovative per la previsione della crisi aziendale. Ad oggi è funzionario presso l'Istituto Nazionale Previdenza Sociale, sede provinciale di Venezia, occupandosi di vigilanza documentale e integrazioni salariali. All'interno dell'Istituto collabora altresì con la Direzione Centrale Audit e Monitoraggio Contenzioso, svolgendo attività di internal auditing. e-mail di contatto: edoardo.palazzolo@iusinitinere.it

Lascia un commento