AI nel mondo del lavoro: regole GDPR e AI Act

L’intelligenza artificiale è ormai parte integrante dei processi aziendali e incide in modo crescente anche sulla gestione delle risorse umane. Dopo una prima fase di digitalizzazione orientata all’automazione dei flussi e alla riduzione delle attività manuali, l’adozione di sistemi di AI generativa, predittiva e prescrittiva nel mondo del lavoro sta modificando il modo in cui le aziende assumono, valutano, organizzano e gestiscono le persone.

Oggi l’AI non si limita a supportare l’operatività, ma interviene direttamente nel processo decisionale: selezione dei candidati, assegnazione dei compiti, valutazione delle performance, pianificazione dei percorsi di carriera. Questo salto di livello comporta benefici evidenti in termini di efficienza e capacità di analisi, ma introduce anche nuove responsabilità per il datore di lavoro.

Quando l’intelligenza artificiale viene applicata all’interno di una relazione strutturalmente asimmetrica, come quella tra azienda e lavoratore, il tema non è solo tecnologico. È un tema di governance, di tutela dei diritti e di sostenibilità organizzativa.

L’uso dell’AI in ambito HR: una sintesi per le aziende

L’uso dell’AI in ambito HR è consentito, ma solo a precise condizioni.

Non esiste un diritto “automatico” all’innovazione tecnologica quando questa incide sui diritti dei lavoratori.

In particolare:

l’AI deve essere necessaria rispetto alla finalità perseguita;
l’impatto sui lavoratori deve essere proporzionato;
il trattamento deve essere governato e documentabile.

Il consenso del lavoratore, nella maggior parte dei casi, non è una base giuridica idonea. Le decisioni esclusivamente automatizzate che producono effetti significativi richiedono garanzie rafforzate. In presenza di monitoraggi sistematici o di trattamenti complessi, la valutazione d’impatto (DPIA) diventa uno strumento centrale di prevenzione del rischio.

Le applicazioni dell’AI in azienda: vantaggi e criticità

Le applicazioni di intelligenza artificiale più diffuse nel ciclo di vita del personale riguardano:

reclutamento e preselezione dei candidati;
analisi delle competenze e pianificazione formativa;
organizzazione del lavoro e allocazione delle risorse;
valutazione delle performance individuali e di team;
strumenti di people analytics a supporto delle decisioni HR.

Il valore per l’azienda è evidente: maggiore coerenza nelle decisioni, riduzione dei tempi di processo, capacità di analizzare grandi volumi di dati e individuare pattern utili alla pianificazione strategica.

Tuttavia, proprio questa capacità di analisi estesa rappresenta anche il principale fattore di rischio.

Algoritmi addestrati su dati incompleti o distorti possono produrre valutazioni errate, opache o discriminatorie. Inoltre, l’uso non controllato di sistemi predittivi può trasformare strumenti di supporto decisionale in meccanismi di controllo invasivo.

Il punto centrale non è se utilizzare l’AI, ma come e con quali limiti.

AI Act e GDPR: Il quadro normativo

Dal 2026, l’uso dell’intelligenza artificiale in azienda deve confrontarsi anche con il Regolamento europeo sull’IA (AI Act). Il legislatore ha adottato un approccio basato sul rischio, classificando come ad alto rischio la maggior parte dei sistemi AI utilizzati in ambito HR.

Rientrano in questa categoria i sistemi impiegati per:

selezione e valutazione dei candidati;
monitoraggio delle prestazioni;
assegnazione di compiti e responsabilità;
valutazione del comportamento dei lavoratori.

La qualificazione come “ad alto rischio” non comporta un divieto, ma l’obbligo di rispettare requisiti stringenti:

qualità dei dati,
documentazione tecnica,
tracciabilità delle decisioni,
robustezza del sistema
supervisione umana continua.

Per le aziende, questo significa che l’adozione di soluzioni AI non può essere gestita come un semplice acquisto tecnologico, ma richiede un processo di integrazione consapevole e multidisciplinare.

Intelligenza artificiale e HR: i limiti del consenso

Uno degli errori più comuni nell’introduzione di sistemi di intelligenza artificiale in ambito HR è fare affidamento sul consenso del lavoratore come base giuridica del trattamento. Nel rapporto di lavoro, tuttavia, il consenso difficilmente può considerarsi libero, a causa dello squilibrio economico e organizzativo che caratterizza la relazione tra datore di lavoro e dipendente.

Per questo motivo, il consenso non rappresenta, nella maggior parte dei casi, una base giuridica idonea a legittimare trattamenti complessi o potenzialmente invasivi basati su AI. Le aziende devono invece fondare tali trattamenti su basi giuridiche più solide e coerenti con il contesto lavorativo.

Le principali alternative sono:

l’adempimento di obblighi di legge;
l’esecuzione del contratto di lavoro, nei limiti della stretta necessità;
il legittimo interesse del datore di lavoro, previa valutazione di bilanciamento.

Il legittimo interesse non costituisce una scorciatoia, ma può rappresentare una base giuridica valida solo se il trattamento è necessario, proporzionato e accompagnato da adeguate garanzie.

Approfondimento – Esempi di legittimo interesse nell’uso dell’AI

Preselezione dei candidati e ottimizzazione dei processi di recruiting
Un primo esempio ricorrente riguarda l’utilizzo di sistemi di AI per la preselezione dei curricula, finalizzata alla gestione efficiente di un elevato numero di candidature.
Il legittimo interesse del datore di lavoro risiede nell’esigenza organizzativa di rendere il processo di selezione più rapido, strutturato e coerente, evitando trattamenti manuali sproporzionati.
Affinché il trattamento sia sostenibile:

• l’AI non deve assumere decisioni finali automatizzate;
• i criteri di selezione devono essere verificabili e non discriminatori;
• l’intervento umano deve restare determinante nella decisione conclusiva;
• i candidati devono essere informati in modo chiaro dell’uso di strumenti algoritmici.
In assenza di tali presidi, il bilanciamento tra interesse aziendale e diritti dell’interessato risulta compromesso.

Analisi aggregata delle performance per finalità organizzative
Un secondo esempio riguarda l’uso dell’AI per l’analisi aggregata delle performance e dei carichi di lavoro, con finalità di miglioramento dell’organizzazione aziendale e dell’efficienza dei processi. In questo caso, il legittimo interesse può consistere:

• nell’ottimizzazione delle risorse;
• nell’individuazione di inefficienze organizzative;
• nel supporto alle decisioni di pianificazione strategica.

Il trattamento può considerarsi proporzionato se:

• l’analisi avviene prevalentemente su dati aggregati o pseudonimizzati;
• non viene attuato un monitoraggio continuo e individuale del singolo lavoratore;
• i risultati non sono utilizzati automaticamente per finalità disciplinari o penalizzanti;
• sono adottate misure tecniche e organizzative a tutela dei diritti dei lavoratori.
Quando l’AI è utilizzata per finalità organizzative e non di controllo individuale, il legittimo interesse risulta più facilmente sostenibile.

Un principio da ricordare
Il legittimo interesse richiede sempre una valutazione di bilanciamento documentata (LIA – Legitimate Interest Assessment), che dimostri:

• la reale necessità del trattamento;
• l’assenza di alternative meno invasive;
• l’adozione di misure adeguate di tutela e trasparenza.

Senza questo percorso, il legittimo interesse non è idoneo a sostenere l’uso dell’AI nel rapporto datore–lavoratore.

Monitoraggio e controllo dei lavoratori: art.4 dello Statuto

L’utilizzo dell’intelligenza artificiale per il monitoraggio dell’attività lavorativa rappresenta uno dei profili più delicati nell’applicazione delle tecnologie digitali al rapporto di lavoro. Le soluzioni oggi disponibili consentono analisi che vanno ben oltre la tradizionale videosorveglianza: tempi di risposta alle comunicazioni, utilizzo degli strumenti digitali, pattern comportamentali, produttività individuale, modalità di svolgimento del lavoro da remoto.

In Italia, tali trattamenti devono essere valutati alla luce dell’art. 4 dello Statuto dei Lavoratori, che disciplina l’uso di strumenti dai quali possa derivare un controllo a distanza dell’attività dei lavoratori.

Il comma 2 dell’art. 4 introduce una precisazione rilevante, stabilendo che:

“La disposizione di cui al comma 1 non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze.”

Questa previsione non introduce un’esenzione generalizzata dal rispetto delle tutele, ma individua una categoria di strumenti che, per loro natura, non richiedono accordo sindacale o autorizzazione amministrativa per essere adottati, in quanto necessari allo svolgimento della prestazione.

Rientrano in questa categoria, ad esempio:

computer, laptop e dispositivi mobili aziendali;
software gestionali, applicativi HR, piattaforme operative;
strumenti di registrazione degli accessi e delle presenze.

L’elemento determinante non è la tecnologia utilizzata, ma la finalità primaria dello strumento, che deve essere direttamente funzionale all’esecuzione dell’attività lavorativa.

Il limite interpretativo del comma 2

Il fatto che uno strumento rientri tra quelli utilizzati per rendere la prestazione non legittima automaticamente qualsiasi forma di monitoraggio.

Il comma 2 non elimina l’applicazione del GDPR né consente un controllo indiscriminato del lavoratore.

Il discrimine resta l’uso concreto dello strumento. Quando uno strumento di lavoro viene:

configurato per un monitoraggio sistematico e continuativo;
utilizzato per ricostruire in modo dettagliato il comportamento individuale;
integrato con sistemi di scoring, profiling o valutazione automatizzata,

si supera la funzione meramente strumentale alla prestazione e si entra nell’ambito del controllo a distanza, con conseguente applicazione delle garanzie previste dal comma 1 dell’art. 4.

In altre parole, uno strumento “di lavoro” può diventare, nei fatti, uno strumento di controllo, se utilizzato in modo eccedente rispetto alla sua funzione originaria.

Il coordinamento con il comma 3 e il GDPR

Anche quando ricorre l’ipotesi del comma 2, resta fermo quanto previsto dal comma 3 dell’art. 4, secondo cui le informazioni raccolte possono essere utilizzate a fini connessi al rapporto di lavoro solo se:

il lavoratore è adeguatamente informato sulle modalità d’uso degli strumenti e sui controlli effettuati;
il trattamento avviene nel rispetto della normativa in materia di protezione dei dati personali.

Ciò implica obblighi stringenti di trasparenza, minimizzazione, limitazione delle finalità e sicurezza dei dati, che diventano ancora più rilevanti quando gli strumenti di lavoro integrano moduli di intelligenza artificiale.

Il ruolo dell’AI: perché il confine è più sottile

Nel caso di sistemi di AI, il confine tracciato dal comma 2 diventa particolarmente delicato. Un software utilizzato legittimamente per svolgere l’attività lavorativa può trasformarsi in uno strumento di controllo quando:

analizza in modo predittivo i comportamenti individuali;
produce alert automatici su produttività, attenzione o affidabilità;
alimenta decisioni che incidono in modo significativo sul lavoratore.

In questi casi, non è sufficiente qualificare il sistema come “strumento di lavoro”. È necessario valutare le modalità di utilizzo, le finalità effettive e gli effetti concreti del trattamento, anche attraverso una valutazione d’impatto sulla protezione dei dati (DPIA).

Sintesi operativa

Il comma 2 dell’art. 4 esonera dall’accordo sindacale solo l’adozione degli strumenti necessari alla prestazione.
Non esonera dal rispetto del GDPR né legittima controlli generalizzati.
Conta sempre l’uso concreto dello strumento, non la sua etichetta formale.

Art. 22 GDPR e AI: limitazioni e tutele nell’ambito lavorativo

La qualificazione di un sistema come “strumento utilizzato per rendere la prestazione lavorativa” ai sensi dell’art. 4, comma 2, dello Statuto dei Lavoratori non esaurisce la valutazione di liceità del trattamento.

Anche quando la raccolta dei dati avviene legittimamente tramite strumenti di lavoro, l’utilizzo successivo di tali dati per finalità decisionali deve essere valutato alla luce dell’art. 22 del GDPR.

In particolare, l’impiego di algoritmi o sistemi di intelligenza artificiale che elaborano i dati raccolti per produrre valutazioni, scoring o raccomandazioni che incidono in modo significativo sul lavoratore non può mai essere considerato automaticamente lecito solo perché i dati provengono da strumenti di lavoro.

Il rispetto dell’art. 4 dello Statuto dei Lavoratori riguarda il come i dati vengono raccolti; il rispetto dell’art. 22 GDPR riguarda come quei dati vengono utilizzati per assumere decisioni che producono effetti giuridici o analogamente significativi.

Il GDPR tutela il diritto del lavoratore a non essere sottoposto a decisioni basate esclusivamente su trattamenti automatizzati che producano effetti significativi. In ambito HR, quasi ogni decisione ha un impatto rilevante sulla persona.

La supervisione umana deve essere reale:

chi decide deve comprendere le logiche del sistema;
deve poter contestare e modificare l’esito;
deve assumersi la responsabilità finale della decisione.

Un intervento umano meramente formale non è sufficiente.

DPIA: uno strumento di gestione, non un adempimento

Per i sistemi di AI applicati alle risorse umane, la valutazione d’impatto sulla protezione dei dati rappresenta uno strumento di governo del rischio.

La DPIA consente di mappare i flussi di dati, individuare i rischi specifici per i lavoratori, definire misure di mitigazione e dimostrare l’accountability aziendale.

Se correttamente utilizzata, diventa un supporto alle decisioni manageriali.

La trasparenza non è solo un obbligo normativo, ma un fattore di fiducia. I lavoratori devono sapere se e come l’AI viene utilizzata nei processi che li riguardano.

Le organizzazioni più mature investono in:

informative chiare e comprensibili;
policy interne sull’uso dell’AI;
formazione dei manager e delle funzioni HR.

L’intelligenza artificiale non riduce le responsabilità del datore di lavoro: le rende più complesse. Nel rapporto datore–lavoratore, la tecnologia deve restare uno strumento al servizio dell’organizzazione e delle persone, non un decisore autonomo.

Solo le aziende che sapranno costruire una governance solida, trasparente e conforme al quadro normativo potranno beneficiare dell’efficienza dell’AI senza esporsi a rischi legali, reputazionali e organizzativi.

Quanto sei in regola con la normativa sulla privacy?

Fai il test gratuito

AI e Lavoro: opportunità, normative e rischi

Ti potrebbe interessare

Trend ristorazione 2026: l’evoluzione del food tra cucina e digitale

AI e ERP: l’impatto dell’Intelligenza Artificiale nei gestionali

L’hotel digitale: quando la tecnologia crea valore