Utilizziamo cookie tecnici per personalizzare il sito web e offrire all’utente un servizio di maggior valore. Chiudendo il banner e continuando con la navigazione verranno installati nel Suo dispositivo i cookie tecnici necessari ai fini della navigazione nel Sito. L’installazione dei cookie tecnici non richiede alcun consenso da parte Sua. Ulteriori informazioni sono contenute nella nostra Cookie Policy.



Policy Aziendale a tutela dai rischi connessi all’utilizzo dell’Intelligenza Artificiale

PrintMailRate-it

​​​​​​​​​​​​​​​​​​​​​​​Ultimo aggiornamento del 14.10.2024 | Tempo di lettura ca. 10 minuti


Introduzione »

Protezione dei Dati Personali, Proprietà Intellettuale e Know-How Aziendale »

Affidabilità e Qualità degli output generati »

Tutela dei Lavoratori »

Cyber Security & Data Breach »

Formazione e Aggiornamento continuo​ »

Conclusioni​​ »​​


In un panorama in continua evoluzione, caratterizzato da innovazione e progresso tecnologico, le imprese di ogni settore si trovano di fronte a una sfida cruciale: come sfruttare al massimo il potenziale dell’Intelligenza Artificiale (AI – Artificial Intelligence) senza compromettere la sicurezza, l’etica e soprattutto il rispetto delle normative vigenti? La risposta è semplice: attraverso l’adozione di policy aziendali sul corretto utilizzo degli strumenti di AI.

Introduzione

Il 12 luglio 2024 è stato pubblicato in Gazzetta Ufficiale dell’Unione Europea, il Regolamento UE n. 2024/1689, meglio conosciuto come “AI Act” (Artificial Intelligence Act), che rappresenta la prima normativa sull’intelligenza artificiale a livello mondiale e che potrebbe, pertanto, divenire lo standard globale per la disciplina dell’IA anche in altre giurisdizioni, analogamente a quanto avvenuto con il Regolamento UE n. 2016/679 (il c.d. “GDPR”) in materia di protezione dei dati personali.

Anche se l'Unione Europea non è in prima linea nello sviluppo di sistemi basati sull’AI, lo scopo primario di tale regolamento è quello di definire regole chiare e precise volte a garantire lo sviluppo e utilizzo sicuro ed etico tanto dei sistemi, quanto dei modelli di intelligenza artificiale immessi nel mercato europeo. L’intento, in altre parole, è quello di bilanciare innovazione tecnologica e tutela dei valori e dei principi fondamentali dell’Unione Europea. 

Studi recenti hanno rivelato che i settori con una maggiore compenetrazione dell’AI stanno registrando una crescita della produttività quasi cinque volte superiore rispetto a quelli in cui gli strumenti di AI non vengono utilizzati: questo incremento esponenziale, se, da un lato, evidenzia l’impatto positivo dell’AI nel mondo del lavoro, dall’altro non può che sottolinearne le criticità di un utilizzo non responsabile. 

Dal momento che i sistemi di AI sono sempre più ampiamente utilizzati a livello globale, proibirne l’utilizzo non solo sarebbe inefficace ma anche del tutto controproducente alla luce dei molteplici benefici che possono comportare, tra cui la possibilità di automatizzare determinati processi, aumentando così l’efficienza del lavoro e la produttività aziendale. 

Occorre pertanto sviluppare una ‘cultura’ rivolta a promuovere un uso consapevole e responsabile di queste tecnologie, così da ridurre i rischi a cui un’azienda potrebbe essere esposta, tra cui, ad esempio, la divulgazione involontaria di dati e informazioni riservate o comunque sensibili.

Definire una policy aziendale sul corretto impiego dell’AI è quindi essenziale non solo per informare i dipendenti circa l’utilizzo da parte del datore di lavoro di questa tecnologia, in conformità a quanto delineato dal c.d. Decreto Trasparenza (D. Lgs. n. 104/2022), ma anche per sensibilizzarli circa i limiti da rispettare per un corretto e responsabile utilizzo di questa tecnologia. 

La domanda che sorge spontanea è quindi la seguente: quali sono gli elementi che dovrebbe contenere una policy aziendale sull’utilizzo degli strumenti di AI? 

Sicuramente detta policy dovrà contenere previsioni personalizzate al settore industriale e alla realtà aziendale specifica, ma occorrerà implementare altresì alcuni elementi indispensabili alla luce dei principi sanciti dal citato Regolamento UE n. 2024/1689 nonché dalla vigente normativa Italiana, in materia di diritto del lavoro e data protection.

Protezione dei Dati Personali, Proprietà Intellettuale e Know-How Aziendale​​

Gli algoritmi dei sistemi di AI lavorano sulla base di dati e, laddove questi siano di carattere personale, in un’ottica europea e nazionale trovano applicazione a ciascun progetto tecnologico basato su tali tecnologie le regole previste dal GDPR, dall’AI Act, in aggiunta a quelle contenute nel Codice Privacy Italiano.

In linea generale, è quindi imprescindibile per gli operatori dei sistemi di AI – dai fornitori agli utilizzatori – tenere conto delle intersezioni tra AI Act e GDPR e adottare tutti i presidi necessari affinché l’uso di tali tecnologie risulti lecito e sicuro.

Un dipendente potrebbe fornire accidentalmente, durante l’utilizzo di sistemi di AI, dati personali relativi a clienti, fornitori o colleghi e tali dati potrebbero essere, poi, elaborati dai vari algoritmi in modo non conforme alle regole dettate in materia di protezione dei dati personali, esponendo così l’azienda all’elevato rischio di sanzioni. Ancora, informazioni di natura riservata – quali quelle inerenti ai dati finanziari o alle strategie aziendali – pur non essendo dati personali, se divulgate senza la relativa autorizzazione potrebbero danneggiare gravemente l’azienda non solo in termini di competitività sul mercato ma anche a livello reputazionale. 

Alcune regole di condotta finalizzate ad evitare tali rischi devono essere, pertanto, necessariamente previste all’interno della policy aziendale sull’utilizzo degli strumenti di AI.

Sotto il profilo data protection, si potrebbe, ad esempio, vietare integralmente la condivisione di dati e informazioni che non siano già di dominio pubblico oppure imporre l’obbligo di anonimizzare taluni input / prompt da inserire nei sistemi di intelligenza artificiale. Una policy strutturata in questo modo permetterebbe, infatti, di minimizzare i menzionati rischi, in modo tale che i dipendenti siano consapevoli delle informazioni che possono condividere (o meno) nei sistemi di AI.

Anche con riferimento ai diritti di proprietà intellettuale, è parimenti essenziale che le aziende adottino regole e misure per proteggere i loro segreti commerciali e le informazioni confidenziali. Ciò può includere la firma di accordi di non divulgazione con dipendenti, fornitori e partner commerciali, nonché l'implementazione di misure tecniche per prevenire la divulgazione non autorizzata di informazioni riservate.
Inoltre, occorre ricordare che le aziende devono altresì rispettare i diritti di proprietà intellettuale dei terzi e garantire che l'utilizzo dei dati e l’addestramento dei modelli di intelligenza artificiale non violi brevetti, marchi o diritti d'autore di altre parti.

Sul punto, occorre ricordare che tutte queste regole e misure non possono che essere integrate all'interno di un approccio olistico alla sicurezza dei dati e della privacy, in conformità con le normative applicabili come il GDPR nell'Unione Europea e altre leggi sulla protezione dei dati a livello globale.

Affidabilità e Qualità degli output generati ​

Quando un sistema o un algoritmo di intelligenza artificiale riceve un input / prompt, ovvero un insieme di dati o una richiesta da parte dell’utente, elabora tali informazioni per generare un output, ossia una risposta o un risultato. 

Ora, occorre considerare che l’output fornito dall’AI generativa potrebbe non essere completamente accurato ed esaustivo o addirittura potenzialmente discriminatorio (o persino contrario al Codice Etico adottato dalla società). Proprio per tale ragione, è fondamentale stabilire un processo di controllo rigoroso, di regola a posteriori, per valutare la qualità e l’affidabilità dei risultati generati. 

I dipendenti devono essere, inoltre, resi edotti circa i rischi e i limiti invalicabili degli output che potrebbero essere generati dai sistemi di AI, così da adottare un approccio critico verso i risultati ottenuti. In quest’ottica, sarà essenziale prevedere, all’interno della policy aziendale, un obbligo di valutare il risultato fornito per verificare la presenza di eventuali contenuti errati, imprecisi o addirittura discriminatori ed eventualmente inserire specifiche indicazioni sulle più idonee modalità per formulare correttamente gli input / prompt allo scopo di ridurre gli anzidetti rischi.

Tutela dei Lavoratori​

L’utilizzo di sistemi di AI nei contesti lavorativi solleva altresì questioni estremamente delicate anche con riferimento alla gestione del personale e ai diritti dei lavoratori coinvolti. 

Oltre ai sistemi di AI generativa (ovvero quella branca dell’intelligenza artificiale che si concentra sulla creazione di nuovi contenuti come testi, immagini, video o musica, i.e.  ChatGPT, Dall-E, Copilot, Gemini etc.), che possono essere utilizzati dai dipendenti per svolgere attività lavorativa, vi sono poi i sistemi utilizzati dal datore di lavoro nella gestione del proprio personale. 

Sul punto, secondo il Considerando 57 dell’AI Act, i sistemi di intelligenza artificiale potrebbero infatti essere impiegati nella gestione dei rapporti di lavoro: nello specifico, il datore di lavoro potrebbe utilizzare tali sistemi per la selezione e la gestione del personale, per la gestione del processo di assunzione, di cessazione oppure ancora per il monitoraggio delle prestazioni (performance assessment) nel contesto lavorativo.

Senonché, lo stesso AI Act impone alle aziende, che li impiegano, di porre in essere determinati adempimenti poiché tali sistemi vengono considerati a c.d. “alto rischio”. Ciò implica infatti una serie di obblighi specifici come, ad esempio, la necessità di informare i dipendenti circa l’utilizzo di tali strumenti, anche ai sensi del già menzionato Decreto Trasparenza. Diventa fondamentale, quindi, assolvere tale obbligo non solo tramite l’adozione di una specifica informativa privacy ai sensi dell’articolo 13 del GDPR, ma anche attraverso l’adozione di una policy aziendale che fornisca, ex multis, indicazioni chiare e strutturate su quali siano i sistemi AI utilizzati nella gestione del rapporto di lavoro, quali siano i dati raccolti e trattati, quali siano le relative finalità nonché la durata della conservazione dei relativi dati, sempre secondo il principio di minimizzazione.

Inoltre, l’utilizzo di strumenti di AI per monitorare la performance dei dipendenti o per garantire la sicurezza sul posto di lavoro deve avvenire nel rispetto delle normative giuslavoristiche, primo fra tutti l’art. 4 dello Statuto dei Lavoratori. 

Invero, sebbene, infatti, l’AI offra strumenti avanzati per migliorare la produttività e la sicurezza delle realtà aziendali, da tale utilizzo può derivare un controllo continuo, anche a distanza, e potenzialmente invasivo del dipendente e la compliance con la normativa in materia sarà assolutamente imprescindibile. 

Cyber Security & Data Breach

L’utilizzo dei sistemi di AI generativa spesso richiede che l’utente crei un proprio account personale sulla relativa piattaforma. 

Per minimizzare i rischi di sicurezza informatica, la policy aziendale dovrebbe prevedere alcune regole di condotta volte a garantire la sicurezza di tali account, come l’autenticazione a più fattori, la protezione delle password e un rigoroso controllo dei permessi richiesti dal sistema di AI. Ma non solo.

Sarebbe altresì opportuno implementare le seguenti misure di protezione:
  • Limitazione degli accessi: Le aziende dovrebbero implementare controlli di accesso rigorosi per garantire che solo le persone autorizzate possano accedere ai dati sensibili utilizzati nei sistemi di intelligenza artificiale;
  • Crittografia dei dati: La crittografia dei dati sensibili può garantire che, anche se i dati vengono intercettati o compromessi, rimangano inaccessibili e illeggibili per le parti non autorizzate. Le aziende dovrebbero implementare protocolli di crittografia robusti per proteggere i dati sensibili utilizzati nei sistemi di AI sia in transito che a riposo;
  • Monitoraggio delle attività: L'implementazione di sistemi di monitoraggio delle attività può consentire alle aziende di rilevare e rispondere prontamente a comportamenti sospetti o non autorizzati. Questo può includere l'analisi dei log degli accessi, il monitoraggio delle attività dei dipendenti, ovviamente nel rispetto dello Statuto dei Lavoratori, e l'implementazione di sistemi di rilevamento delle minacce informatiche.

Infine, è essenziale definire un piano d’azione per gestire eventuali violazioni di dati personali che potrebbero verificarsi a seguito di incidenti informatici. La policy aziendale dovrebbe così specificare chiaramente le modalità operative, i tempi di intervento e i contatti da attivare in caso di tali eventi. ​​

Formazione e Aggiornamento continuo

L’intelligenza artificiale è in continua evoluzione e, di conseguenza, anche le competenze richieste per un suo corretto ed utile utilizzo.

Educare e sensibilizzare i dipendenti sui rischi legati alla divulgazione non autorizzata di informazioni sensibili è, quindi, fondamentale per prevenire violazioni della sicurezza dei dati: le aziende dovrebbero fornire formazione ad intervalli regolari sui protocolli di sicurezza dei dati, le migliori pratiche di gestione delle informazioni e le conseguenze della violazione delle policy aziendali.

Conclusioni

In conclusione, la definizione ed implementazione di una policy aziendale sull’Intelligenza Artificiale rappresenta oggi una necessità cruciale per le aziende che desiderano sfruttare appieno il potenziale di questi strumenti e migliorare i processi aziendali. È però fondamentale stabilire linee guida chiare che ne regolino l’utilizzo affinché ne sia garantito un impegno etico e sostenibile. Solo in questo modo sarà possibile ridurre il rischio di violazione di normative, proteggendo così l’azienda e tutti i suoi stakeholders. 
Il contenuto della policy dipenderà, com’è ovvio, dalla realtà a cui questa si applica.

Ad esempio, l’impresa potrà scegliere se indicare ai dipendenti di quali sistemi AI possano avvalersi nello svolgimento delle proprie mansioni oppure se attribuire loro completa libertà di scelta in tal senso, limitandosi a dettare le regole da seguire per il loro utilizzo.

Inoltre, la policy dovrà contenere limitazioni rispetto a tentativi di creare, caricare o condividere contenuti abusivi o illegali o riservati o che violino i diritti di terzi, nonché indicazioni sulle modalità di verifica dei risultati generati.

In generale, quindi, spetterà all’impresa definire l’approccio e le regole per l’utilizzo delle tecnologie di intelligenza artificiale, che permettano di sfruttarne adeguatamente il potenziale, anche sulla base delle peculiarità del proprio business e della propria organizzazione, tutelandosi allo stesso tempo dai rischi a ciò associati.

dalla newsletter

Legal Newsletter​​​​​​​​​​​

Autore

Contact Person Picture

Massimo Riva

Avvocato

Associate Partner

+39 02 6328 841

Invia richiesta

Profilo

Contact Person Picture

Carlotta Caminati

Avvocato

Associate

+39 02 6328 841

Invia richiesta

Profilo

Skip Ribbon Commands
Skip to main content
Deutschland Weltweit Search Menu