Recenti modifiche alle leggi e ai regolamenti sul monitoraggio dei dipendenti

Si è assistito a un rapido sviluppo globale verso il rafforzamento delle leggi sulla privacy degli utenti. Gran parte di questo fenomeno può essere attribuito alle tecnologie che superano i quadri giuridici. L'avvento e la portata dell'IA generativa (o IA gen) ne sono un esempio.

McKinsey, nel 2023, ha riferito che il potenziale economico delle applicazioni di IA di tipo Gen è compreso tra 2,6 trilioni di dollari e 4,4 trilioni di dollari annualmente. Ma allo stesso tempo, la comprensione, il controllo e la garanzia della sicurezza dell'intelligenza artificiale rappresentano una sfida significativa per le funzioni di rischio e conformità. Perché? Perché mancano la trasparenza funzionale e i dati utilizzati per l'addestramento, il potenziale di violazione della proprietà intellettuale e una serie di problemi di violazione della privacy degli utenti, il tutto a una scala e a una velocità senza precedenti.

La situazione non è così chiara nel campo del monitoraggio dei dipendenti, ma la facilità di accesso e di utilizzo dei dati dei dipendenti - grazie a potenti analisi, all'uso dell'IA e all'unificazione dei dati - mette in discussione la fattibilità di norme e regolamenti progettati per un'epoca a minore intensità di dati.

Secondo un sondaggio di Top10VPN, la domanda di soluzioni di monitoraggio dei dipendenti è aumentata dopo la pandemia, fino al 75% nel marzo 2020, al 75% nel gennaio 2022 e al 73% nel primo trimestre 2022. Molte aziende, grandi e piccole, in tutto il mondo si affidano a queste soluzioni per garantire che il lavoro sia in regola, che le persone siano responsabili e che non ci siano furti di tempo che potrebbero danneggiare sia la privacy dei dipendenti che i profitti dell'azienda. Ma ci sono due facce della medaglia.

Gli strumenti di monitoraggio dei dipendenti sono sempre più potenti. Sono in grado di tracciare qualsiasi cosa, dalla tradizionale pressione dei tasti alla navigazione web più avanzata e persino le espressioni facciali. I vantaggi, a pensarci bene, sono molteplici. Le aziende possono amplificare la produttività, identificare potenziali falle nella sicurezza e minacce interne, scoprire aree di miglioramento e definire politiche a favore dei dipendenti, fino a comprendere in modo granulare cosa funziona bene per il benessere dei dipendenti.

Ma allo stesso tempo c'è un notevole potenziale di abuso. Le aziende possono trovarsi a essere troppo invadenti, al punto da creare un ambiente di lavoro tossico e da diventare un terreno fertile per la sfiducia. In effetti, l'accesso granulare ai dati sulle attività può aprire la strada a discriminazioni e trattamenti iniqui. I metodi di lavoro dei dipendenti possono essere fraintesi e interpretati come se fossero dei lavativi. Ed è per questo che spesso si dice che i dipendenti non sono contenti di essere messi sotto osservazione. Circa 39% dei dipendenti riferiscono che il monitoraggio ha un impatto negativo sul loro rapporto con il datore di lavoro. Il 43% conferma che tale pratica influisce sul morale dell'azienda.

Abbiamo spesso discusso del Regolamenti esistenti, come il Regolamento generale sulla protezione dei dati (GDPR), l'Electronic Communications Privacy Act (ECPA), ecc. Queste normative, in particolare il GDPR, hanno stabilito standard elevati per la protezione dei dati e della privacy degli utenti. Ciò include un'attenzione ben definita anche per i dati dei dipendenti.

Tuttavia, la portata e l'ampiezza della raccolta dei dati possibili superano le capacità delle normative previste solo pochi anni fa. In parole povere, il divario tra ciò che è tecnologicamente possibile e ciò che è legalmente consentito si sta allargando. Il risultato? Un vuoto normativo che lascia spazio a un uso involontario e persino intenzionale della tecnologia per la sorveglianza. Pertanto, le riforme normative e il dialogo continuo per mantenere in vigore i quadri normativi esistenti sono un appello valido.

Aggiornamenti e modifiche alle leggi sul monitoraggio dei dipendenti

Alla luce di queste preoccupazioni, le giurisdizioni di tutto il mondo si stanno rendendo conto dell'urgenza di implementare leggi che promettano di regolamentare i sistemi alimentati dall'IA e di proteggere i diritti e i dati dei dipendenti.

Per facilitare la comprensione dell'impatto, elenchiamo quattro di questi aggiornamenti principali e le aree geografiche che ne saranno influenzate.

L'Information Commissioner's Office (ICO) ha recentemente intensificato la regolamentazione delle attività di intrusione dei dati da parte delle aziende. Il caso di Serco Leisure Operating Limited, del febbraio 2024, ha fatto sì che la Avviso di esecuzione L'ICO ne è un buon esempio. L'autorità di regolamentazione ha ordinato all'azienda di interrompere il trattamento dei dati biometrici. L'istruzione era sostenuta dagli articoli 5, 6 e 9, che prevedono un trattamento equo e legittimo, una base legittima per il trattamento e altro ancora.

Tutto ciò, sullo sfondo delle linee guida aggiornate dell'ICO per il monitoraggio lecito nel Regno Unito, suggerisce che l'autorità di regolamentazione sta tenendo il passo con i progressi tecnologici nel settore della sorveglianza. L'idea è quella di garantire una maggiore certezza normativa, proteggere i diritti dei dipendenti in materia di protezione dei dati e costruire un ecosistema aziendale che favorisca la fiducia di dipendenti e clienti.

Ecco i principali aggiornamenti delle linee guida dell'ICO sulle pratiche di lavoro e sulla protezione dei dati che hanno rilevanza per l'uso del software di monitoraggio dei dipendenti:

• Monitorare i lavoratori in modo lecito: L'ICO impone alle aziende di considerare le sei basi legali e di sceglierne una per monitorare i lavoratori in modo lecito. Queste basi comprendono il consenso, il contratto, l'obbligo legale, gli interessi vitali, il compito pubblico e gli interessi legittimi. Ciascuna base racchiude le procedure che portano a un monitoraggio lecito e tengono tutto sotto controllo.

• Informare sul processo decisionale automatizzato: L'ICO definisce il piano d'azione per le aziende che utilizzano un software di monitoraggio dei dipendenti che contribuisce a un processo decisionale automatizzato legittimo. In tal caso, le aziende devono informare i dipendenti delle informazioni trattate e della logica sottostante a tale trattamento. I dipendenti devono inoltre avere la possibilità di richiedere l'intervento umano.

• Liste di controllo: Per facilitare la mappatura dei requisiti normativi con le pratiche aziendali, ICO offre liste di controllo che le aziende possono utilizzare per le considerazioni sulla protezione dei dati.

La Commissione nazionale per l'informatica e la libertà (CNIL) francese ha un approccio simile a quello dell'ICO nel garantire che le aziende siano ritenute responsabili per l'uso improprio dei dati dei dipendenti - proprio quello che il loro recente Multa di 32 milioni di euro su Amazon France Logistique ci dice.

L'Autorità francese per la protezione dei dati ha stabilito che Amazon ha istituito un sistema di monitoraggio illegale in cui l'azienda misurava le interruzioni di lavoro granulari per il micromanagement dei dipendenti. La risposta generale dell'autorità nei confronti di Amazon è stata una sanzione per diverse violazioni del GDPR, tra cui quelle relative al monitoraggio dei dipendenti tramite scanner, alla mancata garanzia di un trattamento legittimo ai sensi dell'articolo 6 del GDPR e altro ancora.

Detto questo, ecco i recenti aggiornamenti della risposta della CNIL al monitoraggio dei dipendenti che le aziende interessate devono tenere sotto controllo:

• L'aggregazione e il tempo di permanenza dei dati: Un'informazione fondamentale che emerge dalla recente sentenza della CNIL è che la CNIL si concentra sulla durata della conservazione dei dati dei dipendenti da parte delle aziende e sul fatto che tale periodo sia giustificabile. Per riprendere l'esempio di Amazon, la CNIL ha osservato che i dati dello scanner di magazzino raccolti nell'arco di un mese sono stati utilizzati per analisi statistiche. Il regolatore ha invece stabilito che una settimana è sufficiente per valutare le prestazioni e identificare le esigenze di formazione.

• Trasparenza delle informazioni: Anche se non è un aspetto nuovo, la decisione della CNIL ha sollevato il problema di come le aziende evitino di informare i dipendenti (compresi i lavoratori temporanei) sulla pratica e sull'entità del monitoraggio, cosa che non sarà presa in considerazione dalle autorità di regolamentazione.

La legge sulla protezione dei dati personali digitali del 2023 è in attesa di legislazione e consultazione pubblica, ma si prevede che porterà una serie di cambiamenti significativi nel panorama indiano del monitoraggio dei dipendenti.

La legge propone un approccio equilibrato al consenso per l'utilizzo dei dati dei dipendenti. Secondo la legge, i datori di lavoro devono ottenere il consenso dei dipendenti per il trattamento dei dati. Questo limiterà l'uso non consensuale dei dati da parte delle risorse umane delle aziende. Tuttavia, la legge riserva ai datori di lavoro il diritto di superare il consenso in caso di "determinati usi legittimi". Questi includono situazioni legate a perdite o responsabilità.

L'Unione Europea sta aggiornando anche le politiche GDPR, altrimenti ben consolidate, che controllano il monitoraggio dei dipendenti in tutta l'UE e sono, di fatto, un insieme di regole fondamentali per la regolamentazione della sorveglianza in tutto il mondo. Alcuni cambiamenti chiave riguardano:

• Promuovere un migliore funzionamento dei casi transfrontalieri, con una migliore ammissibilità dei reclami e una semplificazione della risoluzione delle controversie.
• Offrire un palcoscenico migliore alle parti indagate, in modo che la loro voce sia ascoltata e che vengano offerte risoluzioni rapide.

Si tratta di aggiornamenti più qualitativi per affinare il panorama normativo, ma il loro impatto potrebbe essere significativo quando si tratta di coerenza nell'applicazione e nell'attuazione dei principi del GDPR in tutta l'UE.

• Le autorità di regolamentazione di tutto il mondo stanno rispondendo all'uso di una migliore tecnologia per monitorare i dipendenti e garantire che ciò avvenga in modo legale.
• I diritti dei dipendenti sono al centro di questi nuovi aggiornamenti
• Qualsiasi uso improprio delle tecnologie di monitoraggio e dei dati dei dipendenti comporterebbe un maggiore controllo e responsabilità.

Leggi anche: Come monitorare i dipendenti in modo legale ed efficace