Si segnala alle aziende associate il recente provvedimento del Garante per la protezione dei dati personali del 14 maggio 2026, relativo all’utilizzo di sistemi di intelligenza artificiale nel contesto lavorativo, con particolare riguardo agli strumenti che analizzano aspetti emotivi o psicologici dei lavoratori.
Il provvedimento, pur non accertando violazioni nel caso concreto, introduce indicazioni di particolare rilevanza pratica per tutte le imprese che adottano o intendono adottare soluzioni di IA in ambito HR o organizzativo.
Ambito del provvedimento
Il Garante ha esaminato un sistema di IA in grado di:
analizzare i messaggi aziendali (es. Teams, Slack);
elaborare indicatori relativi a stress e stato emotivo dei lavoratori;
generare: risultati individuali per l’utente e report aggregati destinati al datore di lavoro.
Principio fondamentale: limite all’ingerenza datoriale
Il provvedimento afferma un principio chiave:
Il datore di lavoro non deve venire a conoscenza – neppure indirettamente – di informazioni sulla sfera emotiva o psicologica dei lavoratori.
In particolare:
- i dati su stress e benessere psicologico rientrano nella sfera personale più tutelata;
- la loro acquisizione è non pertinente rispetto al rapporto di lavoro e quindi vietata.
Divieti e limiti per le imprese
Alla luce del quadro normativo (GDPR, Codice privacy, Statuto dei lavoratori), il datore di lavoro:
- non può trattare dati sulla sfera emotiva o sanitaria dei dipendenti;
- non può effettuare valutazioni o inferenze psicologiche, anche tramite IA;
- non può accedere a dati individuali o risultati algoritmici riferibili ai lavoratori.
Tali limiti valgono anche quando:
i dati sono elaborati da sistemi automatizzati;
le informazioni sono inferite e non direttamente dichiarate.
Criticità dei report aggregati
Particolare attenzione è richiesta per i report aggregati.
Il Garante evidenzia che:
- anche dati apparentemente anonimi possono consentire la re-identificazione indiretta;
- il rischio aumenta in presenza di:
organizzazioni di piccole dimensioni e gruppi di lavoro ristretti o omogenei.
Pertanto, anche la condivisione di soli dati aggregati può integrare una forma di ingerenza non lecita.
Rilevanza del Regolamento europeo sull’IA
Il provvedimento richiama il Regolamento europeo sull’intelligenza artificiale (AI Act), che:
- vieta l’uso di sistemi di IA per inferire emozioni nel contesto lavorativo (salvo eccezioni limitate).
Approccio richiesto alle imprese
Il Garante sottolinea l’esigenza di un approccio basato su:
- a) Privacy by design
- prevenire fin dalla progettazione qualsiasi accesso del datore ai dati;
- disattivare funzionalità non compatibili con la normativa. ]
- b) Responsabilizzazione (accountability)
- valutare i rischi legati a:
- inferenze automatizzate;
- bias algoritmici;
- scarsa trasparenza;
- adottare misure tecniche e organizzative adeguate.
- c) Controllo umano
- evitare automatismi decisionali;
- garantire supervisione effettiva sui sistemi IA.
Indicazioni operative per le aziende associate
Alla luce del provvedimento, si raccomanda di:
Verificare
- il ruolo dei soggetti coinvolti (titolare/responsabile);
- che il datore di lavoro non acceda ai dati individuali;
- che gli output siano destinati esclusivamente al lavoratore.
Valutare con estrema cautela
- l’uso di report aggregati;
- strumenti che analizzano comunicazioni interne;
- sistemi che producono inferenze su stress, motivazione o comportamento.
Evitare
- qualsiasi utilizzo di IA per:
- profilazione psicologica;
- monitoraggio emotivo;
- valutazioni indirette delle performance basate su tali dati.
Conclusioni
Il provvedimento conferma che l’impiego di IA nel lavoro:
- rientra tra i trattamenti ad alto rischio per i diritti dei lavoratori;
- impone una rigorosa separazione tra:
strumenti di supporto individuale al benessere e sfera informativa accessibile al datore di lavoro.
Anche forme di conoscenza indiretta o statistica possono configurare violazioni.
Per eventuali approfondimenti o supporto operativo, contattare i funzionari di riferimento di Confindustria Toscana Centro e Costa :
Per Firenze: e.masi@confindustriatoscanacentroecosta.it
Per Livorno: l.lorenzini@confndustriatoscanacentroecosta.it
Per Massa Carrara: a.biso@confindustriatoscanacentroecosta.it
