Premessa

La gestione delle risorse umane è tra le funzioni di maggiore rilevanza sotto il profilo della tutela dei dati personali per un’azienda.

Oltre alle attività ordinarie se ne aggiungono ogni giorno di nuove anche per via del ricorso, sempre più dilagante, ai sistemi di Intelligenza Artificiale (“AI”) nei processi aziendali.

In questo contesto, il Responsabile della Protezione dei Dati (RPD), che dovrebbe essere presente in tutte le PMI, assume un ruolo cruciale, chiamato a verificare la conformità al GDPR e alle normative vigenti di ogni trattamento dei dati personali effettuato, mantenendo impregiudicata la tutela dei diritti dei lavoratori.

I compiti del Responsabile Protezione Dati nella Gestione del Personale

Nell’ambito delle attività aziendali di gestione del personale, le funzioni che il RPD Responsabile Protezione Dati è chiamato a svolgere sono principalmente le seguenti:

  • formazione e sensibilizzazione del personale sui principi del GDPR e sulle best practice relative al trattamento dei dati personali;
  • consulenza e supporto al titolare del trattamento in merito alle attività di gestione del personale che implicano il trattamento di dati personali;
  • pareri sulla valutazione d’impatto;
  • controllo e monitoraggio delle attività di trattamento dei dati personali svolte nell’ambito della gestione del personale e verifica della conformità aziendale (es. attraverso audit periodici finalizzati al monitoraggio dei trattamenti e delle misure di sicurezza adottate a tutela degli stessi).

Fondamentale per la corretta esecuzione dei compiti del RPD è il c.d. “risk-based approach” o “approccio basato sul rischio”. In tal senso, l’art. 39 del GDPR impone al RPD di considerare «debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo».

Di fatto, il Responsabile Protezione Dati è tenuto a impostare l’esecuzione del proprio incarico definendo un ordine di priorità nelle attività da compiere, dedicando primaria attenzione alle circostanze che presentino rischi più elevati nell’ambito della protezione dei dati personali, senza tuttavia trascurare gli ulteriori trattamenti caratterizzati da rischi inferiori.

Adottando tale approccio, il RPD è quindi in grado di ottenere un quadro completo delle attività da compiere per ogni trattamento, di definire le risorse necessarie, nonché di focalizzarsi sui settori maggiormente a rischio organizzando specifici interventi quali audit esterni o interni e giornate di formazione a vantaggio del personale coinvolto.

Il rapporto tra Responsabile Protezione Dati e intelligenza artificiale alla luce dell’“AI Act”

Tra le principali sfide da affrontare per il Responsabile Protezione Dati c’è la diffusione sempre maggiore del ricorso all’intelligenza artificiale nei processi aziendali, molti dei quali legati alla gestione del personale quali, ad esempio, la fase di selezione del personale o di valutazione delle prestazioni dei dipendenti.

Il delicato rapporto tra l’AI e il trattamento dei dati personali effettuati nell’ambito delle attività di gestione del personale è stato evidenziato, da ultimo, dal Regolamento Europeo sull’Intelligenza Artificiale approvato il 13 marzo 2024 dal Parlamento Europeo, c.d.AI Act”.

L’AI Act ha introdotto una serie di considerevoli obblighi che coinvolgono direttamente fornitori, deployer, importatori e distributori di sistemi di intelligenza artificiale c.d. “ad alto rischio”, vale a dire:

  • quelli destinati a essere utilizzati come componente di sicurezza di un prodotto, oppure
  • quelli elencati nell’Allegato III del Regolamento.

Ebbene, nell’Allegato III, tra i sistemi ad alto rischio, sono elencati quelli relativi al settore dell’«Occupazione, gestione dei lavoratori e accesso al lavoro autonomo», che comprendono i sistemi di AI destinati a essere utilizzati per:

  • assunzione o selezione di personale, in particolare, quelli utilizzati per divulgare nuove posizioni lavorative aperte, vagliare o filtrare le candidature, valutare i candidati nel corso di colloqui o prove;
  • adozione di decisioni in materia di promozione e cessazione dei rapporti contrattuali di lavoro;
  • assegnazione dei compiti;
  • monitoraggio e valutazione delle prestazioni e del comportamento dei dipendenti nell’ambito di tali rapporti di lavoro.

In tale nuovo scenario così delineato, è indubbio il ruolo di primaria importanza rivestito dal Responsabile Protezione Dati nei processi aziendali, finalizzato a garantire il corretto bilanciamento tra l’utilizzo dell’AI nelle attività di gestione del personale e i principi del GDPR.

In particolare, il RPD dovrà:

  • essere coinvolto nella valutazione preliminare in merito alla necessità di implementare sistemi di AI e nella valutazione dei rischi derivanti dall’utilizzo di tali sistemi,
  • accertarsi che i lavoratori siano informati in modo chiaro e trasparente sulle modalità di trattamento dei loro dati personali per il tramite dei sistemi di AI.

Una delle sfide più impegnative e avvincenti che vedrà coinvolto il Responsabile Protezione Dati (come anche il DPO) nei prossimi anni, infine, sarà quella di assicurare, promuovendone un uso responsabile, la correttezza e l’equità degli algoritmi dei sistemi di AI utilizzati nei processi aziendali di gestione del personale affinché siano scongiurate possibili discriminazioni o distorsioni a danno dei lavoratori.