L’impatto della digitalizzazione nel mondo del lavoro non cessa di dar vita a nuove sfide, nuove discussioni e nuove battaglie, e il 2021 si è aperto con un significativo intervento della giustizia in tema di diritti dei lavoratori.
Pochi giorni fa, infatti, la Sezione Lavoro del Tribunale di Bologna si è espressa sull’algoritmo “Frank” di Deliveroo, riconosciuto dai giudici come “discriminatorio” nei confronti dei rider della nota azienda britannica di food delivery.
Suona curioso, oggi, che il nome scelto dall’azienda per la sua intelligenza artificiale fosse tratto dal personaggio di “C’è sempre il sole a Philadelfia” interpretato da Danny DeVito: un uomo d’affari caratterizzato da una grottesca passione per l’illegalità e una spiccata tendenza a prendere decisioni orribili, che sostiene di avere a cuore gli interessi dei suoi figli, ma che finisce con lo sfruttarli in ogni modo.
Il Frank di Deliveroo, infatti, era un sistema basato sull’apprendimento automatico, utilizzato per valutare le prestazioni dei lavoratori e classificarli in base ad affidabilità e partecipazione, quindi dare la precedenza sugli ordini ai migliori in classifica. Niente di strano, si potrebbe pensare, per un’azienda che vuole ottimizzare il proprio servizio e renderlo sempre più efficiente.
Nel suo processo di elaborazione dati, tuttavia, Frank non indagava, non riconosceva, e non faceva distinzioni tra le assenze giustificate (per malattia o nell’esercizio del diritto di sciopero) e quelle legate a futili motivi, giungendo di fatto a emarginare ed estromettere dal ciclo produttivo, in modo generalizzato, i rider che non potevano prendere in carico gli ordini di consegna e coloro che non si adattavano alla logica dello strumento. Insomma, le assenze erano considerate tutte uguali.
Quando parliamo di algoritmi e di intelligenza artificiale, siamo abituati a pensare o a dare per scontato che i risultati delle loro decisioni siano più affidabili. Dimentichiamo, in sostanza, che gli stessi pregiudizi ed errori di valutazione a cui è esposto l’uomo possono riflettersi o riprodursi nelle strutture logiche della tecnologia prodotta, appunto, dall’intelligenza e dall’operato dell’uomo.
È innegabile che le potenzialità della tecnologia e dello più moderne soluzioni informatiche possano offrire ampi margini di miglioramento alla stragrande maggioranza dei nostri settori. Ma per raggiungere l’obiettivo, lo sviluppo e la produzione di questi strumenti deve essere sempre guidato da una profonda riflessione e da un rigoroso e costante processo di analisi e verifica.
Chi si occupa di privacy sa che l’uso di nuove tecnologie (e le soluzioni basate su intelligenza artificiali, come gli algoritmi ad apprendimento automatico, per quanto sempre più diffuse, ricadono certamente nella categoria!) deve portare automaticamente a considerare di svolgere una valutazione d’impatto sulla protezione dei dati (o “DPIA”, ex. Art. 35 GDPR).
Ciò che invece si tende facilmente a trascurare, è la reale portata di questa necessaria attenzione.
La sentenza sul caso Deliveroo appare pertanto l’occasione giusta per sottolineare un importante concetto, ben espresso dalle parole dell’European Data Protection Board nelle Linee Guida WP 248 rev.01, che, commentando l’articolo 35 GDPR, sottolineano che:
[…] il riferimento a “diritti e libertà” degli interessati riguarda principalmente i diritti alla protezione dei dati e alla vita privata, ma include anche altri diritti fondamentali quali la libertà di parola, la libertà di pensiero, la libertà di circolazione, il divieto di discriminazione, il diritto alla libertà di coscienza e di religione.
Quindi, come avrebbe potuto Deliveroo prevenire i problemi collegati alle funzionalità di Frank? Attenendoci a una riflessione sulla normativa privacy, senza entrare nel merito degli aspetti giuslavoristici specifici, torna utile esaminare alcuni passaggi fondamentali per una corretta gestione di qualsiasi nuovo progetto.
L’essenziale premessa riguarda la consapevolezza di dover svolgere una DPIA. Ma come avere la certezza di non trascurare gli adempimenti in tema GDPR? Formazione agli incaricati e adozione di procedure organizzative che garantiscano il rispetto della privacy-by-design e privacy-by-default. Nella pratica: assicurarsi che l’Ufficio Privacy (o le aree dell’organizzazione deputate alla compliance GDPR) vengano coinvolte in occasione di ogni progetto che preveda il trattamento di dati personali. Sono loro, infatti, i più adatti a individuare criteri di rischio, quali, nel caso dell’iniziativa di Deliveroo:
1. assegnazione di un punteggio su aspetti del rendimento professionale;
2. utilizzo di un processo decisionale automatizzato;
3. monitoraggio sistematico degli interessati;
4. applicazione di nuove soluzioni tecnologiche od organizzative;
5. presenza di impedimenti per gli interessati nell’esercizio dei diritti.
Una volta riconosciuta l’obbligatorietà della DPIA e stabilita una metodologia, per la redazione è opportuno consultarsi con vari esperti (sulla base dell’ambito di applicazione del progetto). Raccogliendo il parere di sviluppatori informatici, avvocati giuslavoristi ed esperti di etica indipendenti, ad esempio, Deliveroo avrebbe potuto valutare con maggiore perizia la mancanza di proporzionalità del trattamento.
Come ulteriore passaggio chiave, infine, la raccolta delle opinioni delle parti interessate al trattamento: oltre alla consultazione e all’approvazione del DPO, quindi, risulta evidente che un coinvolgimento anticipato dei rappresentanti sindacali dei lavoratori avrebbe potuto evitare il confronto davanti ai giudici.