IA e lavoro – Provvedimento del Garante Privacy.

Informiamo le aziende associate del recente provvedimento del Garante per la protezione dei dati personali del 14 maggio 2026, relativo all’utilizzo di sistemi di intelligenza artificiale nel contesto lavorativo, con particolare riguardo agli strumenti che analizzano aspetti emotivi o psicologici dei lavoratori.

Il provvedimento, pur non accertando violazioni nel caso concreto, introduce indicazioni di particolare rilevanza pratica per tutte le imprese che adottano o intendono adottare soluzioni di IA in ambito HR o organizzativo.

Il Garante ha esaminato un sistema di IA in grado di:

• analizzare i messaggi aziendali (es. Teams, Slack);

• elaborare indicatori relativi a stress e stato emotivo dei lavoratori;

• generare: risultati individuali per l’utente e report aggregati destinati al datore di lavoro.

Il provvedimento afferma un principio chiave:

Il datore di lavoro non deve venire a conoscenza – neppure indirettamente – di informazioni sulla sfera emotiva o psicologica dei lavoratori.

In particolare:

• i dati su stress e benessere psicologico rientrano nella sfera personale più tutelata;

• la loro acquisizione è non pertinente rispetto al rapporto di lavoro e quindi vietata.

  
  

Alla luce del quadro normativo (GDPR, Codice privacy, Statuto dei lavoratori), il datore di lavoro:

•  non può trattare dati sulla sfera emotiva o sanitaria dei dipendenti;

•  non può effettuare valutazioni o inferenze psicologiche, anche tramite IA;

•  non può accedere a dati individuali o risultati algoritmici riferibili ai lavoratori.

Tali limiti valgono anche quando:

• i dati sono elaborati da sistemi automatizzati;

• le informazioni sono inferite e non direttamente dichiarate.

  
  

Particolare attenzione è richiesta per i report aggregati.

Il Garante evidenzia che:

• anche dati apparentemente anonimi possono consentire la re-identificazione indiretta;

• il rischio aumenta in presenza di:

organizzazioni di piccole dimensioni e gruppi di lavoro ristretti o omogenei.

Pertanto, anche la condivisione di soli dati aggregati può integrare una forma di ingerenza non lecita.

Il provvedimento richiama il Regolamento europeo sull’intelligenza artificiale (AI Act), che:

• vieta l’uso di sistemi di IA per inferire emozioni nel contesto lavorativo (salvo eccezioni limitate).

  
  

Il Garante sottolinea l’esigenza di un approccio basato su:

a) Privacy by design

prevenire fin dalla progettazione qualsiasi accesso del datore ai dati;

disattivare funzionalità non compatibili con la normativa.

b) Responsabilizzazione (accountability)

1. valutare i rischi legati a:

   • inferenze automatizzate;

   • bias algoritmici;

   • scarsa trasparenza;

2. adottare misure tecniche e organizzative adeguate.

   c) Controllo umano

   evitare automatismi decisionali;

   garantire supervisione effettiva sui sistemi IA.

   
   

Alla luce del provvedimento, si raccomanda di:

 Verificare

• il ruolo dei soggetti coinvolti (titolare/responsabile);

• che il datore di lavoro non acceda ai dati individuali;

• che gli output siano destinati esclusivamente al lavoratore.

 Valutare con estrema cautela

• l’uso di report aggregati;

• strumenti che analizzano comunicazioni interne;

• sistemi che producono inferenze su stress, motivazione o comportamento.

Evitare

• qualsiasi utilizzo di IA per:

  • profilazione psicologica;

  • monitoraggio emotivo;

  • valutazioni indirette delle performance basate su tali dati.

    
    

Il provvedimento conferma che l’impiego di IA nel lavoro:

• rientra tra i trattamenti ad alto rischio per i diritti dei lavoratori;

• impone una rigorosa separazione tra:

strumenti di supporto individuale al benessere e sfera informativa accessibile al datore di lavoro.

Anche forme di conoscenza indiretta o statistica possono configurare violazioni.