Dal 2024 l’ utilizzo dell’ intelligenza artificiale nell’Unione Europea è sottoposto ad una serie di prescrizioni raccolte nel Regolamento UE 2024/1689. Si tratta del cd. IA Act, il primo corpus di norme a livello mondiale che stabilisce una serie di regole armonizzate per lo sviluppo, l'introduzione nel mercato dell'Unione europea e l'utilizzo di prodotti e servizi di intelligenza artificiale (AI), con particolare attenzione alla gestione dei rischi per salute, sicurezza e diritti fondamentali, attraverso un approccio basato sul rischio. Il Risk Based Approach è un metodo proattivo che richiede alle aziende azioni e misure proporzionate al livello di rischio.
Guardando alle applicazioni dei sistemi di intelligenza artificiale nel campo delle risorse umane, dalla selezione del personale alla gestione del rapporto di lavoro, l’ IA Act individua diverse restrizioni e obblighi per l’utilizzo di algoritmi in ambito HR che, senza le dovute cautele, espongono le aziende a multe salate.
Tra le restrizioni e gli obblighi, l’ IA Act individua :
- Divieti assoluti per quelle applicazioni che pongono un rischio inaccettabile. Nel contesto lavorativo ne sono un esempio i sistemi di rilevazione delle emozioni sul luogo di lavoro e quelli di “social scoring” applicati a candidati o dipendenti.
- Applicazioni HR ad alto rischio : Le applicazioni della IA nel campo delle risorse umane sono di base lecite, benchè classificate ad alto rischio e il loro utilizzo è sottoposto ad una serie di rigidi obblighi. Ne sono un esempio gli strumenti di reclutamento automatizzato, come gli ATS (Applicant Tracking Systems) basati su IA per filtrare CV, effettuare screening dei candidati o valutarne il profilo.
- Obblighi per sistemi HR ad alto rischio: Se un’azienda vuole utilizzare un’IA alto rischio per il recruiting, deve assicurarsi che il sistema rispetti tutti i requisiti imposti dall’AI Act. Il Regolamento prevede infatti che i fornitori di tali sistemi ottengano la marcatura CE e soddisfino requisiti di qualità dei dati, trasparenza, sicurezza e supervisione umana. Anche l’utilizzatore (deployer), cioè il datore di lavoro che adopera l’IA, ha obblighi specifici: ad esempio deve garantire che l’IA sia sorvegliata da persone competenti (c.d. human oversight) durante il suo impiego, e che vi siano misure tecniche e organizzative adeguate per il rispetto delle istruzioni d’uso
Nonostante i divieti e le restrizioni indicate, ci sono eccezioni e delimitazioni importanti:
- Esclusioni per funzioni a basso rischio : Se un sistema di IA non comporta un rischio significativo per la sicurezza o i diritti delle persone e non incide in modo determinante sull’esito delle decisioni, esso non viene classificato come alto rischio ;
- Utilizzo lecito : Al di fuori dei casi esplicitamente proibiti (emozioni e social scoring) e delle applicazioni ad alto rischio, è consentito usare IA nel processo di selezione purché lo si faccia in modo trasparente e con supervisione. L’AI Act incoraggia un approccio in cui l’intelligenza artificiale assiste l’uomo ma non prende decisioni finali in autonomia su assunzioni/promozioni. Ad esempio, sistemi di matching che consigliano candidati idonei possono essere utilizzati, se supportano il recruiter senza sostituirne il giudizio finale.
- Interazioni con il GDPR: L’AI Act si affianca ad altre leggi già vigenti che tutelano candidati e lavoratori. Ad esempio, il GDPR (Reg. UE 2016/679) già oggi limita l’utilizzo di sistemi decisionali automatizzati ( quest’ultimi si differenziano dai sistemi IA per il grado di autonomia nella generazione di risultati rispetto al coinvolgimento umano ) , che incidono sulla posizione dei lavoratori senza il loro consenso e l’ intervento umano.
Le sanzioni - Le sanzioni previste per le aziende che violano le disposizioni dell’AI Act sono molto elevate, in linea con quelle del GDPR. L’ impianto sanzionatorio è così strutturato:
- 35 milioni di euro o 7% del fatturato annuo mondiale (qualunque sia maggiore) per le violazioni più gravi – ad esempio l’uso di pratiche di IA vietate in assoluto (come i sistemi di emotion recognition o social scoring) o la mancata conformità ai requisiti sui dati dei sistemi ad alto rischio
- 15 milioni di euro o 3% del fatturato annuo mondiale per la violazione di altri obblighi dell’AI Act – ad esempio, se un’azienda utilizza un sistema ad alto rischio senza effettuare la valutazione di conformità, senza notificare l’uso alle autorità quando richiesto, o senza implementare le misure di trasparenza e supervisione previste
- 7,5 milioni di euro o 1,5% del fatturato annuo per chi fornisce informazioni false o omissive agli organismi notificati e alle autorità di controllo (ad esempio durante audit o richieste di informazioni)
Oltre alle sanzioni pecuniarie, è previsto che le autorità di vigilanza possano adottare misure correttive aggiuntive. Ad esempio, in caso di violazioni gravi può essere disposto il ritiro dal mercato o il divieto d’uso di un sistema IA non conforme fino a quando non venga regolarizzato. In casi estremi (uso di sistemi espressamente proibiti), l’azienda potrebbe essere costretta a cessarne immediatamente l’utilizzo.
Linee guida per la conformità – Le aziende che si avvalgono di algoritmi di intelligenza artificiale sono chiamate ad accertarsi che l’utilizzo dei sistemi impiegati sia conforme alla nuova normativa europea. Per tutti quei processi integrati dall’intelligenza artificiale, può risultare opportuna una revisione che implica :
- Mappatura dei sistemi di IA in uso: Come primo passo, è opportuno identificare tutti gli strumenti di IA. In ambito risorse umane può trattarsi di applicazioni per lo screening dei CV o software di video-colloqui con analisi automatica che procedono con la profilazione dei candidati o, altrimenti applicazioni specifiche per la valutazione delle performance. Per ciascuno di questi sistemi, va valutato se rientra tra le applicazioni ad alto rischio elencate dall’AI Act e se svolge funzioni critiche nel processo decisionale.
- Valutazione del rischio e documentazione: Con l’ AI risk assessment vanno eseguite valutazioni formali del rischio in sinergia con il GDPR se il sistema IA realizza un trattamento dei dati personali. Anche quando il rischio accertato non risulta di livello alto, perché marginale, va opportunatamente documentato secondo i criteri dell’ art. 6 (3) dell’ IA Act.
- La conformità passa attraverso la scelta dei fornitori: Prima di procedere con l’acquisto di software, è opportuno verificare la conformità del prodotto. Le applicazioni certificate rispetto l’ AI Act mettono solitamene al riparo l’utente da possibili violazioni. A tal fine sono da prediligere quei produttori che forniscono informazioni chiare sul funzionamento dell’ algoritmo e riconoscono la possibilità di audit esterni.
- Trasparenza verso i candidati e dipendenti: Implementare procedure che utilizzano strumenti di intelligenza artificiale significa prima di tutto informare gli interessati del concreto utilizzo che se ne fa. Ad esempio, nel modulo di candidatura o nell’informativa privacy spiegate se i CV saranno pre-analizzati da un algoritmo, o se colloqui video saranno valutati anche da un sistema automatizzato. Anche per quanto riguarda la gestione del personale, è necessario tenere informati i dipendenti e le loro rappresentanze sull’adozione e le modalità di impiego di sistemi di AI sul lavoro. Anche per quanto riguarda la professione legale, si va verso una completa trasparenza nei confronti dei clienti che devono essere informati in merito all’utilizzo di sistemi IA.
- Supervisione umana e formazione: L’ utilizzo legittimo dell’intelligenza artificiale richiede sempre l’intervento umano. Per questo è necessaria una formazione ad hoc per avere persone con le giuste competenze utili alla sorveglianza sull’utilizzo di tali strumenti.
- Monitoraggio continuo e aggiornamenti: In ultima istanza vale la pena ricordare che neanche la certificazione esime l’utilizzatore dal monitorare il funzionamento dell’applicativo. La conformità deve essere sottoposta ad un processo di monitoraggio continuo. Per fare un esempio, nell’ambito della selezione del personale, potrebbe essere necessario tracciare gli esiti delle selezioni e verificare se emergono discriminazioni per genere ; etnia ; età ecc. ecc. ed eventualmente correggere i parametri del sistema.
WST Law & Tax