PHOTO
Quanto proposto, col “Digital Omnibus”, dalla Commissione europea su digitale, intelligenza artificiale e trattamento dei dati personali, è un arretramento pericoloso per la tutela dei lavoratori e dei cittadini europei. Si giustificano gli alleggerimenti della regolazione con una esigenza del sistema produttivo ed economico europeo, ma i dati reali che emergono, risparmi, prospettive di sviluppo economico e tecnologico, non giustificano un arretramento dal punto di vista delle tutele così rilevante e pervasivo.
Certamente il testo, molto complesso, necessita di tempo per approfondire tutti gli aspetti ed effetti, perché bisogna analizzare l’insieme del quadro regolatorio in essere e quello in fase di attuazione (il Regolamento europeo: “AI Act” ha un’applicazione differita a seconda delle fattispecie regolate e la rischiosità), ma già è palese che dietro questa revisione normativa ci sia una scelta strategica della Commissione europea, sulla quale, da parte nostra, si può già esprimere una ferma contrarietà.
Quali sono le ragioni di questo cambiamento? Da un’attenta regolazione (General Data Protection Regulation, Digital Service Act, Digital Markets Act, AI Act), funzionale a tutelare cittadini e anche sistema d’impresa, si è improvvisamente passati ad una sostanziale apertura a “modelli di IA” e “mercato globale del dato” che non rispettano le linee regolatorie tracciate in Ue negli ultimi 20 anni.
Quello che contestiamo è che, più che una facilitazione ai sistemi d’impresa europei, si sia approntata una deregolazione conseguente agli accordi commerciali e politici siglati dalla Commissione europea con Trump su alcune materie: rapporti commerciali, dazi, sistema produttivo. Un’“apertura” del mercato europeo alle imprese Usa e soprattutto alle richieste pressanti degli ultimi anni da parte delle Big Tech. I risparmi per le imprese italiane ed europee saranno irrisori, mentre i rischi per lavoratori, cittadini e il sistema d’impresa italiano saranno elevati.
Leggi anche
IL TRATTAMENTO DEI DATI
Alcuni elementi di modifica sono profondissimi. Per primo quello sulla definizione di dato personale, termine su cui gira tutto il Regolamento per il trattamento dei dati, che in vigore dal 2016 ha consentito standard di protezione dei cittadini e lavoratori europei molto elevati.
Lo si ridefinisce con l’introduzione di un approccio soggettivo: se un’azienda (o chi tratta il dato) non è in grado di identificare una persona fisica con i mezzi “ragionevolmente a sua disposizione”, quei dati non sono da considerarsi personali. Con uno spostamento dalla tutela diretta della persona e del dato sensibile, alla verifica – da parte di chi e come? – della “capacità tecnica” di chi tratta il dato.
Con questa logica i pseudonimi e identificatori indiretti (esempio ID utente, cookie) potrebbero non rientrare più nel Gdpr, riducendo l’ambito di applicazione della normativa. L’uso di dati personali per addestrare modelli di AI potrà avvenire sulla base del legittimo interesse, purché siano adottate misure di sicurezza e mitigazione dei rischi (es. pseudonimizzazione, minimizzazione). Possiamo asserire che l’insieme di queste modifiche aprono ad un uso spregiudicato dei dati delle persone, anzi, ad essere precisi, “condonano” l’uso spregiuicato che alcune multinazionali USA già fanno oggi dei dati dei cittadini europei.
I TEMPI
C’è poi il tema del rinvio attuativo dell’AI Act. La conformità degli strumenti ad alto rischio viene spostata dal agosto 2016 a dicembre 2017 (con la posticipazione di possibili sanzioni alle imprese per mancato adeguamento addirittura ad agosto 2018), con l’aggiunta di uno spostamento per la sandbox europea a giugno 2028, per testare sistemi AI ad alto rischio prima della piena conformità. Su queste date pende la postilla di una ulteriore posticipazione fino a pubblicazione degli standard Cen-Cenelec e delle linee guida Ue.
La scelta del “rinvio”, di fatto, permette a sistemi che non rispettano le norme europee di penetrare il mercato, creare standard di utilizzo per minimo tre anni (visto che ci troviamo già in una fase di introduzione e uso di questi strumenti nelle imprese), per poi a posteriori voler recuperare una regolazione nei fatti non più attuabile.
Si deve partire dal presupposto che ci sono condizioni non reversibili. Una volta che i dati personali (e sensibili) sono raccolti e, sono raccolti in un sistema di interoperabilità semplificato (ceduti a terzi) e utilizzati per addestramento di sistemi di IA, si costituirà un modello economico e produttivo globale irreversibile.
Leggi anche
EFFETTI SUL LAVORO
C’è poi una semplificazione degli standard informativi, sia per il lavoratore che conseguentemente per le organizzazioni sindacali. Ora sul tema la situazione è più complessa ovviamente, perché al di là delle norme europee sulle cui il pacchetto omnibus interviene, c’è un’articolata e specifica normativa italiana sul lavoro. Quindi l’iniziativa sindacale per ora salvo interventi sulla normativa nazionale, mantiene alcune importanti prerogative (l’efficacia dell’articolo 4 della legge 300/70, piuttosto che la normativa su salute e sicurezza nei luoghi di lavoro, o l’informativa stabilita dal decreto trasparenza).
Questo non toglie che si riducono standard di trasparenza ed elementi che aiutavano, o avrebbero aiutato nel confronto sull’introduzione di sistemi di IA nelle aziende e nelle trattative conseguenti su organizzazione del lavoro, orari, occupazione, formazione, redistribuzione della ricchezza.
Il pacchetto Omnibus, se approvato dal Parlamento europeo e dagli Stati membri, posticiperà la valutazione rischi del datore di lavoro sull’uso di sistemi di IA in azienda, con un effetto diretto sulla qualità dell’informativa a lavoratori e sindacato, con una messa in discussione della qualità delle relazioni sindacali e della tutela dei lavoratori.
Questo processo impatta anche sui sistemi di IA vietati (riconoscimento delle emozioni, social scoring, classificazione degli individui sulla base di dati biometrici per inferire caratteristiche sensibili - come razza, opinioni politiche, affiliazione sindacale, ecc.), che potrebbero essere utilizzati nelle imprese già oggi e che dovrebbero essere invece esclusi dal 2 febbraio 2025.
Si immaginano infine, per “aiutare” le Pmi (fino a 750 dipendenti), minori oneri amministrativi, con un effetto diretto sui diritti dei lavoratori, tra grandi imprese e Pmi. Come se la tutela dei dati sensibili dei lavoratori e l’uso di stemmi di I possano variare a seconda delle dimensioni d’impresa. Come se poi quegli stessi lavoratori non subiranno una pluralità di trattamenti nel corso della loro vita lavorativa, anche da soggetti terzi che collaborano con la propria impresa, piccola o grande.
Non è misurabile poi cosa accadrebbe sulla produzione di contenuti e diritto d’autore, anche visto il rinvio chiesto sulla identificazione di prodotti generati dall’IA, con il rischio di pregiudicare un settore strategico per il nostro Paese. Inoltre, difficile prevedere un effetto positivo reale per l’insieme delle imprese italiane, che si troveranno a dover subire standard produttivi di oltreoceano, con una competizione, sul piano delle tutele, al ribasso e con il mercato saturato da sistemi di IA marchiati USA.
In conclusione se il Digital Omnibus sarà approvato, mancando l’identificazione di standard di conformità, l’obbligo della valutazione dei rischi da parte del datore di lavoro (con il posticipo delle sanzioni), la costituzione di un’autorità che già abbia efficacia nella propria attività, l’obbligo alla piena trasparenza nella contrattazione collettiva, si renderà molto più complessa la tutela dei lavoratori.
Tutela che come già detto agiremo a prescindere, utilizzando tutti gli strumenti a nostra disposizione; ma se il Parlamento europeo approverà questa deregolazione, segnerà una riduzione di tutele per i cittadini e per i lavoratori europei, a favore di un mercato globale che finirà per occupare spazi vitali anche per le imprese europee.
Alessio De Luca - Responsabile Ufficio progetto lavoro 4.0 della Cgil Nazionale
