Una tesi semplice da enunciare, ma difficile da governare in pratica: nei contesti di lavoro digitalizzati, la ‘sorveglianza del sistema' è condizione tecnica della sicurezza, mentre la ‘sorveglianza della persona' (quello che Giugni definiva "controllo sulle modalità di lavoro") deve restare eccezione regolata. L'AI Act, la NIS2, il regolamento DORA, il Regolamento (UE) 2023/1230 (Macchine), il d.lgs. 81/2008 e l'art. 2087 c.c. tra le altre e per citarne solo alcune, impongono – direttamente o indirettamente – capacità di monitoraggio e logging, auditing e controllo degli accessi. Il GDPR, le Linee guida EDPB e la giurisprudenza CEDU (e quella nazionale in coda) esigono che tali trattamenti siano necessari, proporzionati, trasparenti e limitati nel tempo. Ma non si riscontra nel sistema UE, né nazionale né comunitario (e sin dalle opinion 8/2001 e 2/2002 del DPWP), un apparato normativo (ed interpretativo) restrittivo come l'art. 4 dello Statuto (non è qui un giudizio di valore, ma una constatazione di profilo comparatistico degli obblighi di compliance dell'impresa che opera in Italia). Il diritto comparato (Francia, Germania, Spagna, Paesi Bassi, Irlanda) converge su obblighi di trasparenza e, in taluni ordinamenti, su forme di codeterminazione (es. DE, NL); la giurisprudenza italiana sui ‘controlli difensivi' -che aveva trovato un suo equilibrio ragionevole sotto la vigenza del testo originario - è oggi confusa sul piano tecnico (inteso come tech e non giuridico: si guardi il panorama delle decisioni dal 2022 ad oggi) separa (giustamente) i controlli mirati alla tutela contro l'illecito, ex post (con qualche non condivisibilità del concetto) e su indizi concreti (mutuato da CEDU Barbulescu, ma senza alcuna considerazione invece dei principi espressi dalla stessa Corte nel caso KU vs Finlandia, assai più adeguato in molti casi di azione a tutela dei diritti aziendali o di terzi), dalle forme di monitoraggio generalizzato (cd. controlli flat).
Se tutto ciò andava bene negli anni ’80, ’90 e certamente per i primi 15 anni del nuovo millennio, quando dal 2016 circa la maggior parte delle piattaforme tecnologiche è andata in cloud, l'esperienza concreta raccontava una storia di difficoltà applicativa. Difficoltà applicative concrete nelle aziende (PMI e multinazionali in testa) che finivano per tradursi in scetticismo applicativo, con profili di danno e rischio sia per i lavoratori, sia per l'impresa (chi volesse fare un sondaggio sindacale si renderebbe conto rapidamente che i casi di accordi sul 4SL erano in realtà pochissimi rispetto alla ubiqua pervasività della tecnica).
Si è passati dai servers in azienda, al server in outsourcing (asset societari/collocazione e costi gestione al provider) gestiti con regole del fornitore del servizio in outsorcing, al cloud (spazio, prodotti, programma del fornitore e regole gestionali del fornitore, dati ubicati sostanzialmente ovunque). Da qui l'esigenza di una contrattualistica riequilibrata anche alla conformità Statutaria e non solo alle altre normative EU.
Nell'accedere a dati e programmi aziendali, si usano sempre più spesso prodotti informatici degli utenti (si pensi alle ammiccanti tecniche BYOD, molto usate in ambito multinazionale: smartphone, personal computer, tablet) non rendendosi conto che così sorge il problema di armonizzare lo schema di tutele utili all'impresa per regolamentare l'accesso e l'uso (il domicilio informatico con le sue regole penalistiche docet), trascinando nel perimetro digitale aziendale dati e informazioni non controllabili (o non controllabili con le stesse coperture legali) e soggetti terzi ai flussi aziendali. È quindi indispensabile anteporre al regime regolatorio ex art. 4SL anche una efficace normazione, tramite regolamenti disciplinari interni o altre modalità, dell'uso degli strumenti informatici.
Rimane poi aperto il tema degli strumenti potenzialmente di controllo in azienda, ma utilizzati da fornitori terzi. Oggi le telecamere installate e utilizzate da fornitori insourced, domani con l'IA il tema delle macchine autonome in linee di produzione o (più odierno) la funzione IA agganciata via API al flusso procedurale dell'azienda (che rappresenta una backdoor potenziale -anche occultamente- per l'analisi di dati fuori da eventuali accordi SL, specie in ambiti imprenditoriali multilocalizzati tra giurisdizioni differentemente attente alle garanzie).
Oggi certamente il quadro si è infinitamente complicato per la natura esponenziale dell'evoluzione delle tecnologie a base AI. Sul piano economico‑sociale, la concentrazione del mercato dell'AI (in mano a pochi o pochissimi) e della capacità di calcolo (compute) accresce le asimmetrie tra provider globali e imprese utenti, che si ritrovano spesso nella posizione scomoda di deployer o (laddove producano un po' di AI) provider (con cumulo dei relativi obblighi), rischiando di amplificare il digital divide europeo e, soprattutto, intraeuropeo. Il nostro mercato, fatto in prevalenza di efficienti piccole imprese, si trova a dover competere con costi diversi e, per le "sorelle" italiane di multinazionali, a dover spiegare assetti burocratici di compliance diversi anche sulla base di problemi invece ormai comuni (anche normativamente). Senza tenere conto della evoluzione costante in aggiornamento dei sistemi, specie di quelli di cybersicurezza. Aggiornamento che oggi a tenor di norma richiederebbe nuovi passaggi sindacali/autorizzativi ai sensi del 4SL.
Il tema sarebbe molto complesso da approfondire in tutti i suoi rivoli, ma lo scopo che qui si persegue è di ragionare sulla necessità di modificare la norma Statutaria.
Ne discende l'ipotesi di una proposta di riforma ‘tech‑neutral' e ‘risk‑based' dell'art. 4 Statuto dei lavoratori, allegata in Appendice, che preserva il perimetro del comma 1 e rende espliciti gli spazi di sorveglianza del sistema richiesti dalla compliance senza scivolare nella sorveglianza della persona.
Insomma (in scia alle tendenze social della generazione Z), la comunità di imprese, organizzazioni sindacali (dell'una e dell'altra parte) e professionisti forse può (e deve?) segnalare oggi - mediante la democrazia digitale - la strada che vorrebbe si seguisse, senza se e senza ma (con un po' di ironia e giusto per non fare citazioni).
Cit. “Il Sole 24 Ore”
