Il Garante privacy ha di recente emesso un avvertimento nei confronti di una start-up italiana alla luce del plug-in, da lei sviluppato, che utilizza la tecnica della c.d. sentiment analysis, ossia uno strumento di IA in grado di rilevare le emozioni e i livelli di stress degli utilizzatori, e destinato ai dipendenti delle aziende clienti.
Il plug-in viene, quindi, introdotto nelle piattaforme di messaggistica utilizzate dalle aziende e, attraverso l’analisi semantica dei messaggi, rileva i livelli di stress dei lavoratori (c.d. sentiment analysis) che, volontariamente, decidevano di fruirne per ricevere dei suggerimenti personalizzati.
Lo scopo di tale trattamento consiste, quindi, in finalità di medicina preventiva, diagnosi e assistenza.
I dati raccolti in un primo momento potevano includere il nome e cognome, l’email, numero di telefono, luogo e data di nascita, residenza, ossia categorie di dati particolari (art. 9 del Regolamento UE n. 679/2016). Tali dati, si precisa, non venivano memorizzati in quanto cancellati non appena effettuata l’analisi ed elaborata la risposta.
A seguito di un’ottimizzazione del servizio da parte della start-up, l’attivazione del plug-in avviene tramite un codice identificativo univoco, in linea con il principio di minimizzazione.
A seguito delle verifiche condotte dal Garante privacy, è emerso come sia la start-up a trattare i dati, mentre il datore di lavoro che acquista il servizio non può accedere né ai contenuti né ai risultati delle elaborazioni, se non in forma aggregata tramite resoconti.
Il titolare del trattamento, quindi, è solo la start-up che ha sviluppato il software e non il datore di lavoro.
Nonostante ciò, alla luce della particolare delicatezza dei dati trattati, il Garante ha invitato la start-up ad adottare misure tecniche e organizzative idonee a garantire che il trattamento venga effettuato nel rispetto della disciplina in materia di protezione dei dati personali.
Tali misure tecniche e organizzative devono essere adottate già al momento della progettazione del servizio e devono essere in grado di prevenire il rischio della messa a disposizione di dati in favore di terzi non legittimati.
In aggiunta, il Garante privacy ricorda come al datore di lavoro sia preclusa l’acquisizione di informazioni non attinenti all’attività lavorativa e viga il generale divieto di iniziative autonome di accertamento sanitario sui lavoratori.
Inoltre, deve tenersi conto anche del divieto dell’ “immissione sul mercato, la messa in servizio per tale finalità specifica o l’uso di sistemi di IA per inferire le emozioni di una persona fisica nell’ambito del luogo di lavoro […]” di cui all’art. 5, par. 1, lett. f), del Regolamento (UE) 2024/1689 (AI Act).
Tali sistemi non devono quindi mettere a disposizione dei datori di lavoro informazioni in merito al proprio personale, acquisite tramite IA.
Il Garante ha precisato, inoltre, come l’utilizzo di tecnologie basate su modelli linguistici e analisi semantica possa produrre importanti rischi alla luce dei possibili risultati non sempre spiegabili e trasparenti, nonché discriminatori o comunque lesivi dei diritti dei lavoratori.
Per tale motivo evidenzia come risulti essenziale un approccio consapevole e prudente, nel rispetto del principio di trasparenza previsto per i sistemi ad alto rischio di cui all’AI Act.
