Sempre più spesso il nostro team Data Protection & AI è chiamato a valutare l’adozione da parte dei clienti di Studio di sistemi che, a vario modo, permettono loro l’efficientamento delle risorse: in tal senso, la valutazione circa l’adozione di sistemi di intelligenza artificiale per la trascrizione ed il reporting di riunioni e di videocall/call, sia interne che con soggetti esterni all’azienda, è sempre più frequente.

Ad ogni modo, ogni novità tecnologica porta con sé la necessità di analizzare le relative implicazioni legali. Nel corso di un meeting, infatti, potrebbero essere divulgate informazioni confidenziali, segreti industriali ma anche informazioni relative a persone fisiche identificate o identificabili e, in alcuni ambiti, anche dati personali appartenenti alle c.d. categorie particolari di dati personali (si pensi, ad esempio, a riunioni cui partecipano ricercatori in ambito scientifico, riunioni di associazioni di categoria, ecc.).

La valutazione circa l’applicazione della normativa in materia di protezione dei dati personali è certamente una delle prime da compiersi; ma non ci si deve limitare a tale ambito, rendendosi al contrario necessario valutare altresì le implicazioni giuslavoristiche, considerato il contesto lavorativo in cui le aziende intendono utilizzare tali strumenti, nonché quelle sulla riservatezza delle informazioni confidenziali. Un altro aspetto da tenere in considerazione nel corso di tali valutazioni, poi, è il rispetto della nuova normativa europea in tema di intelligenza artificiale.

A fronte di indiscussi vantaggi derivanti dall’uso di tali strumenti (si è ormai in grado di generare trascrizioni accurate delle conversazioni, permettendo una agevole reportistica e, al contempo, riducendo i costi e migliorando la produttività aziendale), occorre, quindi, innanzitutto, domandarsi se e in che misura vengono protetti i dati personali degli interessati che partecipano al meeting, così come i dati personali dei soggetti cui si fa riferimento e le informazioni confidenziali eventualmente condivise nel contesto della riunione.

Quali analisi compiere per la tutela dei dati personali e il rispetto della normativa in tema di AI?

Come anticipato, tenuto conto che l’uso di sistemi di AI per la registrazione delle chiamate comporta il trattamento di “dati personali” (come definiti dall’art. 4 del Regolamento UE 2016/679 (“GDPR”)), occorre innanzitutto effettuare alcune preliminari analisi data protection, così da rispettare le norme di cui al GDPR, così come quelle del D.Lgs. 196/2003 s.m.i. (“Codice Privacy”).

Una prima analisi dovrebbe riguardare il rispetto dei principi applicabili al trattamento di dati personali di cui all’art. 5 GDPR. Per registrare qualsivoglia conversazione è necessario innanzitutto identificare una base giuridica adeguata e predisporre una informativa privacy, per far in modo che il trattamento svolto sia lecito e trasparente nei confronti dell’interessato. Ove poi, oltre alla registrazione, seguissero altri trattamenti (come, ad esempio, la comunicazione del report con terzi non partecipanti alla riunione), ovviamente le valutazioni andranno fatte anche su queste distinte operazioni di trattamento.

Circa la base giuridica del trattamento – tema molto complesso per l’uso di strumenti siffatti – il titolare potrà valutare varie opzioni tra quelle previste dall’art. 6 GDPR, primo fra tutti il consenso dell’interessato. Gli interlocutori – che devono essere informati chiaramente delle finalità della registrazione – potrebbero prestare il loro consenso libero e facoltativo per l’utilizzo di tale strumento che trascriverà anche quanto da loro affermato. Tale base giuridica, tuttavia, è difficilmente applicabile nel contesto lavorativo, tenuto conto che i consensi resi dai dipendenti potrebbero mancare del requisito della libertà per via dello squilibrio di potere connaturato al rapporto tra datore di lavoro e dipendente. Potrebbe quindi in alternativa valutarsi la base giuridica del legittimo interesse, previo bilanciamento dell’interesse del titolare con i diritti e le libertà degli individui coinvolti (da effettuare nel contesto della cd. LIA – Legitimate Interest Assessment), così come indagare circa la possibilità di adottare la base giuridica dell’adempimento di obblighi contrattuali, ove ne sussistano le condizioni.

Il sistema adoperato poi dovrà rispettare gli ulteriori principi di cui all’art. 5 GDPR. In particolare, in ossequio al principio di minimizzazione, devono essere trattati solamente i dati personali “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”: il sistema di AI dovrà quindi essere utilizzato al fine di trattare unicamente i dati strettamente necessari per le finalità dichiarate agli interessati. In altre parole, se non occorre registrare l’intera conversazione, lo strumento dovrebbe essere azionato solo nel momento in cui è utile, ciò al fine di non trascrivere informazioni eccessive rispetto alle finalità dichiarate (si pensi ai saluti iniziali, in cui i partecipanti potrebbero, in ipotesi, non far riferimento all’oggetto della riunione, bensì a vicende personali o, comunque, estranee all’ambito lavorativo). Ancora, in virtù del principio di limitazione della conservazione, l’output prodotto dal sistema di AI in uso, se contiene dati personali (nominativi dei relatori, ruolo ricoperto in azienda, ecc.), dovrà essere conservato per un arco di tempo non superiore al conseguimento delle finalità per le quali è stato utilizzato lo strumento.

Occorre poi redigere con un linguaggio semplice e chiaro e fornire agli interessati, in forma concisa, trasparente, intelligibile e facilmente accessibile, un’informativa privacy, che espliciti l’utilizzo del sistema di AI prescelto, nonché le finalità per cui la trascrizione è effettuata, la tipologia di dati raccolti e le tempistiche di conservazione, gli eventuali trasferimenti al di fuori dell’Unione europea, nonché i diritti degli interessati.

A ben vedere, un obbligo di trasparenza rispetto all’utilizzo di tali sistemi non è previsto unicamente dalla normativa data protection, ma anche dal nuovo Regolamento EU n.1689/2024 in tema di Intelligenza Artificiale (anche noto come “AI Act”). L’art. 50 dell’AI Act, infatti, impone che i sistemi di AI destinati ad interagire direttamente con le persone fisiche, come quelli della tipologia in questione, siano progettati e sviluppati in maniera tale che queste ultime siano informate del fatto di star interagendo con un sistema di AI. In particolare, tale informazione deve essere fornita “in maniera chiara e distinguibile al più tardi al momento della prima interazione o esposizione”.

In questo caso, quindi, il requisito della trasparenza deve essere presente ancor prima dell’effettiva operatività del sistema prescelto, in particolare dal momento della progettazione e dello sviluppo di quest’ultimo. Anche per questa ragione, nella scelta del sistema di AI di cui avvalersi, è fondamentale effettuare un’attenta valutazione del fornitore selezionato.

Nella individuazione del fornitore che supporterà l’azienda nell’effettuazione del trattamento sicuramente merita attenzione, oltre che l’analisi delle condizioni di fornitura (tendenzialmente proposte o, in alcuni casi, “imposte” dal fornitore), anche l’analisi delle modalità di conservazione dei dati personali trattati dal fornitore (tramite quale server, in che Paese e, se Paese terzo, con quali meccanismi il fornitore procede al trasferimento al di fuori dell’Unione Europea, ecc.) nonché delle misure di sicurezza approntate da quest’ultimo al fine di evitare o, comunque, minimizzare, il rischio di verificazione di un data breach.

Le misure di sicurezza – che potrebbero, ad esempio, includere la crittografia delle trascrizioni, la limitazione degli accessi alla trascrizione prodotta, ecc. – sono fondamentali per mitigare gli eventuali rischi sugli interessati derivanti dal trattamento e mappati all’interno della Valutazione di impatto sulla protezione dei dati, da svolgersi nei casi previsti dall’art. 35 GDPR.

Tra le accortezze da adottare, infine, non si deve dimenticare una corretta regolamentazione interna dello strumento in esame: regole precise destinate a dipendenti e collaboratori in merito al suo utilizzo – siano esse veicolate tramite una formazione dedicata o inserendole in un disciplinare interno – contribuiranno a diminuire il rischio di errore umano rispetto all’utilizzo di queste tecnologie.

Considerazioni conclusive

Il rispetto delle anzidette norme è senz’altro necessario, ma non sufficiente: tenuto conto del contesto lavorativo in cui tali strumenti di trascrizione delle riunioni verranno utilizzati, infatti, chi intende utilizzare queste modalità innovative di trascrizione delle riunioni, dovrà domandarsi se essi rientrino, o meno, nel divieto di cui all’art. 4 L. 300/1970 (“Statuto dei lavoratori”). È importante, infatti, ricordare che tale norma – richiamata dall’art. 114 del Codice Privacy – pone un divieto di utilizzo di sistemi che potrebbero comportare controllo a distanza dell’attività dei lavoratori.

Le valutazioni giuslavoristiche sono, invero, fondamentali: ove venissero, infatti, rilevati profili di illiceità rispetto alla tematica del divieto di controllo dei lavoratori ex art. 4 dello Statuto dei Lavoratori, questi farebbero infatti venire meno, a monte, la liceità del trattamento effettuato mediante i tool di AI in questione.

Inoltre, non si può non considerare che, nel corso delle riunioni, possono essere citate, analizzate e commentate anche informazioni confidenziali – sia di titolarità dell’azienda che usa tale strumento, sia di soggetti terzi, come partner o clienti dell’azienda – destinate a rimanere riservate: si pensi a piani commerciali, ai segreti industriali, ad informazioni relative a ricerca e sviluppo e molte altre ancora. Fondamentale è, dunque, tenere conto degli obblighi di confidenzialità imposti all’azienda, ad esempio a seguito della sottoscrizione di accordi di non disclosure volti appunto alla tutela delle anzidette informazioni.

In conclusione, quindi, possiamo senz’altro affermare che l’uso di tali tool può rendere, certamente, più agevole lo svolgimento di attività di reporting e che nel mercato sono già un prezioso supporto nell’attività lavorativa. Tuttavia, si tratta di tecnologie che, se non previamente analizzate dal punto di vista legale e correttamente regolamentate dalle aziende, espongono quest’ultime ad importanti rischi, sia in materia data protection, sia rispetto la normativa giuslavoristica a tutela dei lavoratori che per quanto concerne la protezione delle informazioni confidenziali.