Intelligenza artificiale, Garante Privacy: stop al monitoraggio di stress ed emozioni sui lavoratori

Tag:

intelligenza artificiale garante privacy

PHOTO

Con l’emanazione del provvedimento n. 342 del 14 maggio 2026, il Garante per la protezione dei dati personali frena il monitoraggio dello stress e delle emozioni nei luoghi di lavoro.

Si tratta di una presa di posizione importante da parte del GPDP, che avviene in un momento storico in cui la forte spinta verso la virtualizzazione degli spazi lavorativi e professionali, con un massiccio e crescente utilizzo della tecnologia, rischia di esporre le lavoratrici e i lavoratori a forme di monitoraggio algoritmico sempre più sofisticate e potenzialmente invasive, in nome di una maggiore efficienza organizzativa e lavorativa.

È proprio in questo solco che si muove il dispositivo sopra citato, tracciando una linea di confine netta tra l'ottimizzazione dei processi aziendali e l'inviolabilità della sfera emotiva della persona umana.

La vicenda specifica trae origine da una serie di notizie apparse sui mezzi di informazione, a seguito delle quali l'Autorità Garante ha ritenuto necessario avviare d'ufficio specifici accertamenti ispettivi nei confronti di una start-up italiana, la Myndoor S.r.l.

L’applicativo da questa realizzato, attraverso un sistema di plug-in, nasceva per essere integrato all'interno delle piattaforme di messaggistica aziendali Slack e Microsoft Teams.

In questa maniera, consentiva la cosiddetta sentiment analysis, ovvero all'analisi e l'elaborazione automatizzata del linguaggio utilizzato nei messaggi testuali scambiati dalle lavoratrici e dai lavoratori durante la prestazione della loro attività lavorativa, le emozioni e i livelli di stress psicologico, al fine dichiarato di “valutarne i parametri di stress psicologico e le fluttuazioni emotive”.

La prima verifica del GPDP si è concentrata sulla potenziale diffusione dello strumento, accertando che le informazioni riguardanti una presunta capillare adozione da parte di svariati enti della pubblica amministrazione non corrispondevano al vero: la commercializzazione si era limitata a una sola azienda cliente.

Questo ha fatto si che l'intervento regolatorio del Garante assumesse una connotazione preventivo generale, focalizzandosi sulle caratteristiche del modello tecnologico proposto e sui trattamenti che, teoricamente, avrebbero potuto attuare i datori di lavoro acquirenti del servizio in relazione alla sfera dei propri dipendenti.

Quello che evidenzia con nettezza il GPDP è infatti il fatto che, sotto la superficie di finalità apparentemente nobili e orientate al supporto dei lavoratori (prevenzione del "burn-out" o misurazione del benessere organizzativo), si nascondono criticità giuridiche di particolare gravità relative alla protezione dei dati personali e alla salvaguardia dei diritti costituzionali delle lavoratrici e dei lavoratori.

Secondo quanto dichiarato dalla startup, il software utilizzava un modello di intelligenza artificiale che esaminava i testi in background e, dopo aver elaborato la risposta e i parametri di stress, procedeva alla cancellazione dei dati di elaborazione, conservando esclusivamente dati anonimi riguardanti l'utilizzo e le valutazioni complessive.

L’utilizzo di dati aggregati avrebbe dovuto garantire l’anonimato delle lavoratrici e dei lavoratori che venivano monitorati.

Il punto rilevante però non riguardava “semplicemente” gli aspetti legati alla privacy.

Quello che ha messo in evidenza il provvedimento è infatti l’obbligo di rispettare i principi fondamentali del diritto dell'Unione Europea (l'AI Act, che contiene il divieto assoluto di utilizzare sistemi di inferenza delle emozioni sul posto di lavoro) e quelli dell'ordinamento nazionale (Statuto dei Lavoratori, d. lgs. n. 81/2008, ecc), offrendo un quadro interpretativo sistemico che delinea rigorosamente i confini dello sfruttamento della tecnologia nei contesti di subordinazione lavorativa.

…”il perseguimento della dichiarata finalità “di medicina preventiva, diagnosi e assistenza” (v. informativa resa agli interessati) deve ritenersi radicalmente precluso al datore di lavoro, non solo in ragione delle richiamate disposizioni che vietano l’acquisizione di informazioni non pertinenti rispetto all’attività lavorativa e del tradizionale divieto incombente sul datori di lavoro di assumere in via autonoma iniziative di accertamento sanitario sui dipendenti (v. art. 5 della l. 20 maggio 1970, n. 300), ma anche tenuto conto della stessa circostanza che la predetta finalità è caratterizzata da una dimensione di natura pubblicistica che, nel quadro della disciplina sulla tutela della salute e della sicurezza sul luogo di lavoro, costituisce nel contesto lavorativo espressione di una competenza propria del solo medico competente (v. d. lgs. n. 81/2008; v. anche, più in generale, art. 5 della l. 20 maggio 1970, n. 300). Tanto, anche nel rispetto di quel tradizionale riparto di competenze e separazione di ruoli tra il medico competente e il datore di lavoro, in cui risiede il principale elemento di garanzia delle norme che, nel disciplinarne compiti e funzioni, prevedono limiti, condizioni e presupposti per il trattamento dei dati nell’ambito di tale specifico contesto (cfr., per analoghe considerazioni, Documento di indirizzo del 14 maggio 2021 recante “Il ruolo del “medico competente” in materia di sicurezza sul luogo di lavoro, anche con riferimento al contesto emergenziale”, doc. web n. 958536). Ciò anche tenuto conto, sotto altro ma connesso profilo, dell’esigenza di assicurare la conformità del prodotto commercializzato anche al separato quadro normativo in materia di intelligenza artificiale e, in particolare, al divieto previsto dall’art. 5, par. 1, lett. f), del Regolamento (UE) 2024/1689 del 13 giugno 2024, cd. “Regolamento sull’intelligenza artificiale” (che vieta espressamente “l’immissione sul mercato, la messa in servizio per tale finalità specifica o l'uso di sistemi di IA per inferire le emozioni di una persona fisica nell'ambito del luogo di lavoro […]”). In tale quadro, anche alla luce dei principi di protezione dei dati e delle disposizioni nazionali più specifiche e di maggior tutela della dignità delle persone nel proprio contesto lavorativo e professionale (artt. 88 del Regolamento e 113 del Codice), tale principio impone e conferma che l’impiego di siffatti sistemi non deve comportare la messa a disposizione dei datori di lavoro di informazioni, inferite tramite sistemi di intelligenza artificiale, riguardanti il proprio personale. Ne consegue che, anche in applicazione dei principi di protezione dei dati “fin dalla progettazione” e “per impostazione predefinita” (art. 25 del Regolamento), dovranno svolgersi valutazioni circa la disattivazione di funzioni che non hanno una base giuridica, non sono compatibili con le finalità del trattamento ovvero, come nel caso di specie, potrebbero porsi verosimilmente in contrasto con specifiche norme di settore previste dall’ordinamento nazionale e sovranazionale.

Inoltre, riguardo alle rassicurazioni date dall’azienda produttrice relative alla modalità con cui si procedeva alla pseudonimizzazione degli utenti, adottando identificativi univoci svincolati dai nominativi reali e fissando un numero minimo di 10 utenti monitorabili, il Garante ha rilevato come tale sbarramento quantitativo non valga a escludere in modo assoluto e impersonale il rischio di single-out, ovvero l'isolamento e la re-identificazione indiretta dei lavoratori.

In questo caso il richiamo specifico è quello all'articolo 113 del Codice in materia di protezione dei dati personali, il quale vieta espressamente al datore di lavoro di effettuare indagini o raccogliere dati che non siano strettamente pertinenti all'attitudine professionale o allo svolgimento dell'attività lavorativa.

Per tutte queste ragioni, nel caso specifico il Garante ha optato per l'esercizio del potere di avvertimento formale nei confronti della startup.

La vicenda deve tuttavia fare alzare il livello di attenzione nei confronti dell’adozione di software e strumenti informatici sui luoghi di lavoro.

Il rischio di un affidamento incondizionato e acritico sugli output algoritmici, generati attraverso pattern statistici e modelli predittivi (peraltro non esenti da bias cognitivi o errori strutturali) è sempre più concreto.

Per questa ragione dobbiamo continuare a svolgere un’azione di monitoraggio costante, per scongiurare e contrastare possibili utilizzi di simili strumenti tecnologici all’interno dei luoghi di lavoro.

L'intelligenza artificiale e la tecnologia in generale devono rimanere al servizio del benessere reale dell'essere umano. Diversamente, i rischi di produrre effetti distorsivi imprevedibili e irreparabili sulla vita delle lavoratrici e dei lavoratori sono davvero enormi.

Intelligenza Artificiale e lavoro, il Garante traccia il limite: vietata l’analisi delle emozioni dei dipendenti

In evidenza

Dl lavoro: Landini, confermiamo giudizio fortemente negativo

Sostieni

Campagna di Tesseramento CGIL 2026

Sicurezza: non servono norme manifesto, ma investimenti

LEI Rooms, a Maranello il bene confiscato alla mafia che ridà futuro alle donne

De Palma: “L’Italia rischia di perdere la sovranità industriale”

Pensioni, accordi TIM e FiberCop: informazioni e istruzioni per l’accesso volontario ai percorsi di uscita anticipata

Agevolazioni fiscali per incrementi contrattuali e maggiorazioni per turni, notturni e festivi, Nota e chiarimenti Cgil su circolare dell'Agenzia delle Entrate

Bonus Mamme 2026, scopri se ne hai diritto e come funziona il sostegno economico per le lavoratrici madri

Non autosufficienza: prime osservazioni di Cgil e Spi su piano 2025-2027

TFR e Fondo Tesoreria INPS: cosa cambia dal 2026 con la nuova legge di Bilancio