L’AI Act, anche noto come Regolamento (UE) 2024/2689, è una tappa fondamentale per quanto riguarda la regolamentazione dell’Intelligenza Artificiale in Europa. Tale regolamento non è rivolto direttamente all’uso dell’AI nell’ambito lavorativo, ma la sua portata è rilevante da definire obblighi per i datori di lavoro, soprattutto per quel che concerne le risorse umane. L’AI Act va quindi ad imporre nuovi vincoli di compliance che vanno al di là dell’utilizzo classico della tecnologia, stabilendo un quadro normativo che mira ad assicurare un posto di lavoro trasparente, sicuro e rispettoso dei principali diritti dei lavoratori.
Cos’è l’AI Act?
Lo scorso marzo il Parlamento europeo ha ufficialmente approvato il testo dell’AI Act ed è stato un passo importante per la politica del nostro continente in quanto si tratta della prima normativa che va ad uniformare questo genere di tecnologia, escludendo l’Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence siglato da Biden ad ottobre.
Il 12 luglio c’è stata la pubblicazione nella Gazzetta Ufficiale UE, mentre la gran parte delle varie disposizioni diventerà efficace soltanto dopo 24 mesi. La Commissione ha quindi definito un periodo abbastanza lungo per permettere alle aziende di adattarsi agli obblighi. In ogni caso, la piena applicazione avverrà a partire dal 2 agosto 2026.
L’AI Act ha utilizzato una soluzione simile al GDPR e ad altre normative in ambito digitale. Infatti, il regolamento si applica non soltanto ai fornitori di software di Intelligenza Artificiale che vendono tali sistemi sul territorio europeo, ma anche a quelli fuori da questo ambito, se i risultati prodotti sono impiegati in Europa. In aggiunta, l’AI Act viene applicato anche a chi usufruisce dei sistemi AI, sia che si tratti di enti pubblici o privati e ai distributori e importatori coinvolti in tali software.
È bene dire che la normativa riguarda un’ampia selezione di sistemi di AI, da quelli più sofisticati a quelli più semplici e viene usato un approccio fondato sul rischio per stabilire i vari usi dell’AI in categorie che vanno dal minimo rischio al rischio inaccettabile (articolo 6).
In campo lavorativo l’Allegato III sancisce le applicazioni dell’AI legate al reclutamento, valutazione delle performance, gestione dei lavoratori e modifica delle condizioni di lavoro. Queste sono ritenute ad alto rischio e sono dunque soggette a requisiti stringenti poiché il loro impiego può avere conseguenze sui diritti dei lavoratori e sulla loro dignità.
Gli obblighi per i datori di lavoro
Le disposizioni incluse dell’AI Act a carico dei datori di lavoro hanno lo scopo di assicurare che l’AI sia usata in maniera conforme alle specifiche e agli obiettivi definiti dal fornitore. Queste norme vanno a consolidare la capacità di identificare rischi non visibili nelle fasi iniziali di sviluppo, evitando che l’impiego dell’AI possa essere celato ai soggetti coinvolti.
Uno degli elementi più innovativi compresi nell’AI Act è il “deployer” (utilizzatore), termine che si riferisce ai datori che usano, inserendoli nei propri processi aziendali, software AI sotto la propria autorità.
Tale status obbliga il datore di lavoro a garantire che i sistemi AI siano usati in conformità alle finalità e modalità sancite dal fornitore del sistema, una responsabilità che necessita non solo di un controllo in fase iniziale, ma anche un monitoraggio costante del funzionamento per rimediare ad eventuali malfunzionamenti (articolo 26 e articolo 72-29).
La sorveglianza umana
Un aspetto fondamentale disciplinato dall’AI Act è la sorveglianza umana. Il regolamento stabilisce che il datore di lavoro debba assicurarsi che l’impiego dei sistemi di AI sia continuamente supervisionato da personale aziendale qualificato, fornito di competenze tecniche specifiche per controllare e interpretare in maniera corretta gli output del software ed essere in grado di intervenire in caso di errori o malfunzionamenti (articolo 14).
Dunque, si riconosce il pericolo che le persone possano fare troppo affidamento sulle scelte automatiche generate dall’AI e i supervisori devono avere il potere di annullare o ignorare le decisioni dell’Intelligenza Artificiale, soprattutto nell’eventualità di risultati inattesi o errori. Insomma, in casi urgenti devono essere capaci di arrestare subito il sistema, garantendo il monitoraggio umano costante e tempestivo.
Conservazione dei log e valutazione d’impatto
Altro elemento da non sottovalutare nell’applicazione dell’AI Act è che qualunque uso dell’AI che coinvolga dati personali deve comprendere una valutazione d’impatto secondo le disposizioni del GDPR che includa l’analisi dei processi nei quali è coinvolta l’AI, il tempo di utilizzo e le persone che sono coinvolte con il funzionamento del software, prestando attenzione ad errori e distorsioni che possono influire negativamente sui diritti fondamentali dei dipendenti e la parità di trattamento.
Infine, il regolamento sancisce la conservazione dei log prodotti automaticamente dai sistemi AI. Questi registri devono essere conservati per non meno di 6 mesi, escluse differenti disposizioni previste dalla normativa nazionale o europea (articolo 26). Tale requisito serve a far si che i datori di lavoro possano dare prove documentali nell’eventualità di indagini legali o controlli delle autorità competenti.