La tematica della Diversity and Inclusion (D&I) è ormai al centro del dibattito della società odierna e permea da diversi anni anche gli obiettivi delle aziende e delle organizzazioni, in particolare con l’ottica di adottare un impegno concreto verso la valorizzazione delle diversità e la promozione di un ambiente lavorativo inclusivo.
È importante chiarire che con il termine “diversity” ci si riferisce a una varietà di dimensioni della diversità, quali etnia, genere, orientamento sessuale, disabilità, età e altre caratteristiche individuali. Questi aspetti stanno acquisendo un’importanza crescente per le aziende, che negli ultimi anni si dimostrano sempre più interessate ad intraprendere iniziative di diversity management. Tali iniziative mirano ad implementare misure e politiche volte a valorizzare e tutelare la diversity all’interno della propria organizzazione aziendale. Diventa, quindi, essenziale approfondire se e con quali modalità il datore di lavoro possa legittimamente raccogliere dati legati a questi delicati aspetti della vita dei propri dipendenti e collaboratori, al fine di promuovere tali iniziative in conformità con la normativa sulla protezione dei dati personali.
- D&I: l’attuale quadro europeo
I primi segnali relativi alla centralità di questa tematica sono arrivati da parte delle istituzioni europee stesse, che, a partire dal giugno 2000 con la c.d. Race Equality Directive [1], hanno dato avvio ad una stagione di provvedimenti e strategie volti all’eliminazione di ogni tipologia di discriminazione all’interno dell’Unione Europea, anche con riferimento al settore dell’occupazione. Con specifico riferimento al contesto lavorativo, infatti, è stata subito emanata la c.d. Employment Equality Directive [2] che mira a rendere effettivo il principio della parità di trattamento sancito dall’art. 6 del Trattato sull’Unione Europea. La direttiva, infatti, intende stabilire “un quadro generale per la lotta alle discriminazioni fondate sulla religione o le convinzioni personali, gli handicap, l’età o le tendenze sessuali, per quanto concerne l’occupazione e le condizioni di lavoro”. E ancora, è del 2020 la strategia [3] pubblicata dalla Commissione Europea con l’obiettivo di combattere le discriminazioni e costruire, anche in ambito occupazionale, una società più inclusiva nei confronti delle persone LGBTIQ; mentre è datata 2022 la c.d. Direttiva Women on Boards [4], che impone alle società quotate la presenza di un numero minimo di amministratori di genere femminile all’interno dei propri board.
Considerata la crescente attenzione del legislatore europeo al tema dell’uguaglianza, alimentata altresì dalla rilevanza mediatica che tali tematiche hanno acquisito, l’adozione di misure volte a garantire una maggiore inclusione e a valorizzare la diversità negli ambienti di lavoro ha assunto un ruolo centrale nella strategia e nella gestione aziendale.
Se i benefici della tutela e della promozione della diversity con riferimento all’ambiente lavorativo possono essere ormai piuttosto noti, alcuni studi ne evidenziano altresì l’impatto positivo sulla performance aziendale. Piuttosto indicativo, infatti, è il dato secondo cui
un’azienda che si distingue per una spiccata gender diversity ha circa il 40% delle probabilità di superare i propri concorrenti (nel 2015 tale probabilità era pari al 15%) [5]. Sono piuttosto evidenti, quindi, le motivazioni per cui la tendenza riguardante l’adozione di misure di diversity management sia in costante crescita, soprattutto tra le imprese di grandi dimensioni.
Per questo motivo, le aziende avvertono sempre più forte l’esigenza di raccogliere informazioni relative alla diversity della propria popolazione aziendale, con l’obiettivo di intraprendere iniziative volte a migliorare l’ambiente di lavoro e garantire maggiore inclusione. Tuttavia, tale attività si scontra con una sfida significativa: il trattamento di una categoria di dati personali particolarmente “sensibile” (cd. “categorie particolari di dati personali”, come di seguito approfondito). L’utilizzo di questi dati richiede un’attenta considerazione di due aspetti fondamentali: la tutela della riservatezza dei dipendenti e il rispetto dei loro diritti.
2. Data Protection: il limite al trattamento di categorie particolari di dati
Facendo un breve riferimento alla normativa in materia di protezione dei dati personali, è importante richiamare il Regolamento UE 2016/679 in tema di tutela dei dati personali (di seguito, il “GDPR” o il “Regolamento”) che definisce questi ultimi all’articolo 4, paragrafo 1, n.1), come “qualsiasi informazione riguardante una persona fisica identificata o identificabile”, individuando poi all’articolo 9 le cc.dd. categorie particolari di dati personali, ossia tutti quei dati in grado di rivelare “l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché […] dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”. Un utile stratagemma per memorizzare questa definizione consiste nel considerare che le categorie di dati personali a cui il GDPR ha voluto garantire una tutela rafforzata sono quelle che, se trattate in modo inappropriato, potrebbero arrecare danni significativi agli interessati, fino a comportare possibili discriminazioni. Questo aspetto è particolarmente rilevante, ad esempio, proprio nel contesto lavorativo.
I dati che l’azienda dovrebbe raccogliere al fine di estrapolare le informazioni relative alla diversity, quindi, si qualificano come categorie particolari di dati. L’articolo 9, par. 1, GDPR pone un divieto generale al trattamento di tali informazioni, fatte salve alcune eccezioni tra le quali figurano: l’ipotesi in cui il trattamento di dati sia basato sul consenso dell’interessato (articolo 9, paragrafo 2, lettera a)); e l’ipotesi in cui il trattamento di dati sia necessario per assolvere ad obblighi normativi e/o per esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro (articolo 9, paragrafo 2, lettera b)).
Seppur in un primo momento si potrebbe valutare l’applicabilità dell’eccezione di cui all’articolo 9, paragrafo 2, lettera b), diviene subito piuttosto evidente che, nel caso di specie, la raccolta dei dati è di fatto finalizzata all’elaborazione di statistiche e/o all’organizzazione di iniziative aziendali, non certo all’adempimento di obblighi giuridici o all’esercizio di un diritto. Anche l’eccezione basata sul consenso dell’interessato (articolo 9, paragrafo 2, lettera a)), non risulta effettivamente praticabile. Lo squilibrio di potere intrinseco nel rapporto fra datore di lavoro e lavoratore dipendente, infatti, determina il venir meno di uno dei requisiti essenziali ai fini della valida prestazione del consenso da parte dell’interessato, ossia la libertà (articolo 4, par.1, n.11), GDPR).
3. Statuto dei lavoratori: quali possibilità per il datore di lavoro?
Sotto il profilo giuslavoristico, poi, si può individuare un ulteriore limite all’attività di raccolta e trattamento dei dati in esame, questa volta imposto dalla normativa nazionale.
L’articolo 8 della legge n.300/1970 (i.e. lo Statuto dei Lavoratori) vieta al datore di lavoro – sia durante il processo di assunzione che nel corso del rapporto lavorativo – di effettuare indagini sulle opinioni politiche, religiose o sindacali del lavoratore, nonché, più in generale, su fatti non rilevanti ai fini della valutazione dell’attitudine professionale.
In altre parole, quindi, al datore di lavoro sembra essere concesso di trattare i dati di cui sopra solo qualora ciò sia finalizzato alla valutazione dell’interessato dal punto di vista professionale, oppure qualora sia necessario per adempiere a degli obblighi normativi. Come si può facilmente dedurre, il divieto previsto all’articolo 8 dello Statuto dei Lavoratori deve essere interpretato come applicabile non solo alle categorie di dati esplicitamente elencate nella norma, ma anche ad altre tipologie di dati sensibili, come quelli relativi all’orientamento sessuale, se non rilevanti ai fini della valutazione dell’attitudine professionale. Inoltre, qualora delle categorie particolari di dati – nello specifico quelli legati a tematiche di D&I – siano incluse nel processo di valutazione professionale di un individuo, è necessario effettuare ulteriori e approfondite valutazioni in merito alla legittimità di tale utilizzo.
Una riflessione aggiuntiva rispetto a quanto sinora esposto merita poi di essere svolta con riferimento al dato riguardante il genere dell’interessato. Tale informazione, infatti, non rientra formalmente nella definizione di cui all’articolo 9 GDPR; pertanto, il suo trattamento potrebbe “sfuggire” alle limitazioni di cui a tale norma, nonché al divieto di cui all’articolo 8 dello Statuto dei Lavoratori. Ricordiamo, ad esempio, infatti che – ai sensi della c.d. Direttiva Women on boards – alcune società sono tenute a rispettare l’obbligo di fornire informazioni sulla rappresentanza di genere all’interno dei propri organi amministrativi. Di conseguenza, è indispensabile che tali società trattino i dati personali relativi al genere dei propri amministratori.
È importante sottolineare che il dato relativo al genere può esprimere informazioni più complesse e personali, come l’identità di genere. Tale aspetto diventa particolarmente rilevante, ad esempio, quando l’informazione viene richiesta attraverso iniziative o questionari che offrono opzioni oltre il tradizionale binomio femmina/maschio, includendo categorie quali transgender, agender, intersex, non-binary, genderfluid. In tali casi, i dati raccolti potrebbero qualificarsi come categorie particolari di dati ai sensi dell’articolo 9 del GDPR.
Pertanto, è essenziale prestare particolare attenzione al “perché” e alle modalità con cui viene chiesto agli interessat* di dichiarare il proprio genere. Una gestione inadeguata di tale processo potrebbe risultare non solo invasiva, ma anche offensiva per le persone appartenenti a identità di genere diverse da quelle tradizionalmente riconosciute. Per evitare discriminazioni e garantire il rispetto della dignità e della riservatezza degli interessat*, è necessario adottare approcci sensibili e inclusivi, che minimizzino il rischio di un trattamento inappropriato dei dati e assicurino la piena conformità alla normativa sulla protezione dei dati personali.
Alla luce dell’analisi effettuata, risulta evidente che, allo stato attuale e in considerazione della struttura normativa vigente in materia di protezione dei dati personali, le iniziative aziendali che prevedono la raccolta e il trattamento di dati relativi alla diversity risultano difficilmente attuabili, quantomeno con iniziative tradizionali ed interne all’organizzazione.
4. AI Act: una nuova prospettiva per il trattamento dei dati D&I
A fronte però delle sopracitate analisi e riflessioni, il nuovo regolamento europeo in tema di intelligenza artificiale (anche noto come “AI Act”) [6], tuttavia, introduce un interessante elemento di novità al quadro sinora prospettato.
L’AI Act è volto a garantire un quadro giuridico uniforme relativamente alla messa in commercio, nonché alla messa in servizio, di sistemi di intelligenza artificiale, oltre che a garantire la tutela dei diritti umani in questo ambito.
Com’è forse noto, uno dei principali rischi connessi all’utilizzo di tali tecnologie risiede nella possibilità che il sistema di IA fornisca output e risultati discriminatori, riproducendo bias presenti all’interno del proprio dataset di allenamento. Una delle misure previste dal legislatore europeo per la mitigazione di tale rischio – o, eventualmente, per la correzione dell’errore verificatosi – consiste in un’eccezione al divieto di trattamento di categorie particolari di dati imposto dall’articolo 9 GDPR.
In particolare, come stabilito all’articolo 10, paragrafo 5, l’AI Act [7] prevede che i fornitori di sistemi di IA ad alto rischio possano trattare categorie particolari di dati, nella misura in cui ciò sia finalizzato a garantire il rilevamento e la correzione delle distorsioni presenti in tali sistemi ed evitare così risultati discriminatori. Tale attività di trattamento sarebbe infatti legittima in quanto rappresenta una questione di interesse pubblico rilevante ai sensi dell’articolo 9, paragrafo 2, lettera g), GDPR.
Tali trattamenti, naturalmente, dovranno essere realizzati nel rispetto del GDPR, adottando le massime cautele possibili (es. utilizzando la pseudonimizzazione).
In tale contesto, allontanandosi momentaneamente dall’analisi fin qui condotta, si ritiene plausibile prevedere un crescente ricorso ai cosiddetti dati sintetici, dati generati artificialmente mediante algoritmi che replicano le caratteristiche statistiche dei dati reali, ma senza corrispondere a informazioni riconducibili a persone fisiche specifiche.
È importante sottolineare che questa eccezione è stata prevista con specifico riferimento ai sistemi di intelligenza artificiale ad alto rischio, ovvero a quei sistemi che possono potenzialmente avere un impatto negativo sui diritti fondamentali degli individui. In questa categoria di sistemi rientrano altresì i sistemi di IA destinati a essere utilizzati per:
(i) l’assunzione o la selezione del personale; oppure
(ii) l’adozione di decisioni riguardanti le condizioni dei rapporti di lavoro e il loro svolgimento (ad esempio decisioni in merito alla cessazione del rapporto o alla promozione), l’assegnazione dei compiti ai dipendenti sulla base del comportamento o delle caratteristiche personali, il monitoraggio e la valutazione delle prestazioni e del comportamento di questi ultimi nell’ambito del rapporto di lavoro.
Dall’interpretazione contestuale della posizione assunta dal legislatore europeo con l’AI Act emerge dunque un’occasione di apertura a nuove possibilità ed elementi di riflessione per le aziende.
Da un lato, infatti, queste ultime si potrebbe trovare ad avere la possibilità di valutare dati legati a D&I dei propri dipendenti e/o collaboratori, o quantomeno in tal senso si potrà permettere ai provider di sistemi di intelligenza artificiale di farlo per loro conto, nell’ambito dei test e di sviluppo dei sistemi di IA, con il solo scopo di evitare bias e discriminazioni.
Tale elemento, offrendo la possibilità di ridurre il rischio di bias nei sistemi di IA e dunque garantire una maggiore equità nei risultati prodotti, può rivelarsi cruciale. La questione sorge tuttavia spontanea: come potrà un’azienda utilizzare questi dati per evitare i bias se la raccolta e l’elaborazione degli stessi è per sua stessa natura limitata o addirittura vietata?
5. Conclusioni
Sembrava che il GDPR e lo Statuto dei Lavoratori avessero posto un veto definitivo al trattamento di categorie particolari di dati da parte del datore di lavoro; tuttavia, l’AI Act sembra aver introdotto una nuova incognita all’interno di questa equazione.
Se – come abbiamo visto – con il GDPR il trattamento di categorie particolari di dati era generalmente vietato al datore di lavoro, l’AI Act sembra aprire nuovi spiragli rispetto a tale limite.
Il limite imposto dall’articolo 9 GDPR al trattamento dei dati c.d. sensibili sembra, quindi, essere arrivato alla “resa dei conti” con l’AI Act: resterà da valutare quale sia il rapporto tra tale “concessione” e la normativa giuslavoristica, nonché in che misura sistemi come quelli menzionati possano essere legittimamente implementati. Inoltre, sarà cruciale capire se le autorità, incluso il Garante privacy, forniranno indicazioni chiare o, nel peggiore dei casi, si limiteranno a intervenire con provvedimenti restrittivi.
[1] Direttiva 2000/43/CE che attua il principio della parità di trattamento fra le persone indipendentemente dalla razza e dell’origine etnica, il cui testo è consultabile al seguente link.
[2] Direttiva 2000/78/CE che stabilisce un quadro generale per la parità di trattamento in materia di occupazione e di condizioni di lavoro, il cui testo è consultabile a questo link.
[3] Il contenuto integrale della suddetta strategia può essere visionato al seguente link: Comunicazione della Commissione al Parlamento Europeo, al Consiglio, al Comitato economico e sociale europeo e al comitato delle regioni: un’Unione dell’uguaglianza: strategia per l’uguaglianza LGBTIQ 2020-2025.
[4] Direttiva UE 20222/2381 riguardante il miglioramento dell’equilibrio di genere fra gli amministratori delle società quotate e relative misure, raggiungibile a seguente link.
[5] McKinsey&Company, “Diversity Matters Even More”, Novembre 2023, consultabile al seguente link.
[6] Regolamento EU 1689/2024 che stabilisce regole armonizzate sull’intelligenza artificiale, consultabile al seguente link.
[7] In proposito si veda anche il Considerando n.70) del suddetto Regolamento UE 1689/2024.
