Intelligenza artificiale sul lavoro: come strutturare un’informativa completa?

AI ACT, Legge 132/2025 sull’Intelligenza Artificiale, Decreto Trasparenza, Direttiva sulle piattaforme digitali e GDPR. Queste sono solo alcune delle principali fonti da considerare quando parliamo di algoritmi e mondo del lavoro. In un contesto giuridico sempre più ampio e complesso, soddisfare i requisiti di trasparenza diventa un’operazione delicata: i DPO devono essere in grado di destreggiarsi fra le norme e adeguare, di conseguenza, i controlli di conformità. Quali aspetti vanno esaminati durante la verifica delle informazioni rese al personale?

Una molteplicità di fonti normative

L’impiego di sistemi di Intelligenza Artificiale (AI) nel contesto lavorativo è al centro di un intenso e rapido sforzo legislativo, sia a livello comunitario che nazionale. L’obiettivo è chiaro e condivisibile: promuovere l’innovazione e la competitività dell’economia digitale, garantendo al contempo un elevato livello di tutela per i lavoratori, la fiducia negli strumenti digitali e la piena trasparenza dei processi decisionali. Il proliferare di nuove fonti, tuttavia, rischia di creare interazioni conflittuali, difficoltà applicative e di appesantire l’ecosistema dell’Intelligenza Artificiale in Europa.

Case study

Immaginiamo un DPO chiamato a fornire il proprio parere in merito all’utilizzo di un sistema decisionale automatizzato per la gestione dei turni lavorativi. Per valutare le garanzie di trasparenza il DPO si troverà a dover considerare:

- il GDPR, pilastro fondamentale per principi, obblighi informativi (Artt. 5, 12, 13, 14), diritti e garanzie sulle decisioni automatizzate (Art. 22);

- l’AI Act, che prevede adempimenti specifici anche in capo ai deployer e obblighi di trasparenza per i sistemi ad alto rischio;

- la Legge 132/2025, che fissa le regole di dettaglio per l’uso etico e responsabile dell’AI nei rapporti di lavoro;

- il “Decreto Trasparenza” (D.Lgs. 104/2022), che ha ampliato il D.Lgs. 152/1997 con obblighi informativi specifici e granulari per i sistemi decisionali e di monitoraggio automatizzati;

- le Direttive europee “verticali”, come quella sui platform workers (Direttiva UE 2024/2831), che stabiliscono nuovi benchmark di trasparenza algoritmica;

- e, non da ultimo, la disciplina nazionale sui controlli a distanza, l’Art. 4 dello Statuto dei Lavoratori.

Questo “groviglio” normativo solleva interrogativi cruciali per chi deve implementare la compliance: le fonti si rafforzano a vicenda o rischiano di creare un appesantimento che appanna la trasparenza anziché promuoverla?

Una molteplicità di nuovi strumenti

Negli ultimi anni e, in particolare, a partire dall’avvento dei sistemi di AI generativa, sono stati sviluppati nuovi strumenti digitali che agevolano enormemente l’attività lavorativa ma che, al tempo stesso, possono incidere profondamente sui diritti delle persone e sulla vita lavorativa.

Questi sistemi impattano, potenzialmente, sull’intera carriera dei dipendenti.

Esempi

- Fase di assunzione (recruiting): software per lo screening automatico e il ranking dei curricula (cv-parsing), sistemi di proctoring per test attitudinali, o piattaforme che analizzano il tono della voce e le espressioni durante i video-colloqui registrati.

- Gestione del rapporto di lavoro: strumenti per la valutazione delle prestazioni (performance management) che attribuiscono punteggi; sistemi di “people analytics” che profilano i dipendenti per mapparne le competenze o il potenziale (potential); piattaforme per la gestione e l’assegnazione automatizzata di turni, compiti o carichi di lavoro.

- Monitoraggio e valutazione: software che monitorano la produttività individuale, i tassi di errore, i tempi di connessione o di inattività o che analizzano le comunicazioni aziendali per finalità di sicurezza.

- AI-generativa: i chatbot aziendali, pur essendo strumenti di supporto, possono essere utilizzati analizzare il lavoro svolto, i prompt inseriti o le interazioni per valutare l’efficienza dei lavoratori.

- Fase di cessazione: algoritmi che supportano decisioni relative a promozioni, mancate conferme o che creano classifiche e “bandierine” (flag) in caso di procedure di licenziamento.

È proprio questa capacità di impatto a rendere la trasparenza un obbligo non solo formale, ma sostanziale.

Gli obblighi di trasparenza, fra GDPR e AI ACT

Il fondamento di ogni obbligo informativo risiede nel GDPR. Oltre al principio generale di trasparenza (Art. 5) e al contenuto minimo dell’informativa (Artt. 13-14), è l’Articolo 22 ad imporre la trasparenza algoritmica, richiedendo “informazioni significative sulla logica utilizzata” in caso di decisioni basate unicamente sul trattamento automatizzato.

Ai requisiti del GDPR si aggiungono quelli dell’AI Act (Reg. UE 2024/1689). Ricordiamo che l’Allegato III, in particolare, classifica come “ad alto rischio”:

a) i sistemi di IA destinati a essere utilizzati per l’assunzione o la selezione di persone fisiche, in particolare per pubblicare annunci di lavoro mirati, analizzare o filtrare le candidature e valutare i candidati;

b) i sistemi di IA destinati a essere utilizzati per adottare decisioni riguardanti le condizioni dei rapporti di lavoro, la promozione o cessazione dei rapporti contrattuali di lavoro, per assegnare compiti sulla base del comportamento individuale o dei tratti e delle caratteristiche personali o per monitorare e valutare le prestazioni e il comportamento delle persone nell’ambito di tali rapporti di lavoro.

Tale classificazione implica obblighi specifici per i datori di lavoro che agiscono come deployer. L’Articolo 26 stabilisce, al paragrafo 7, che gli utilizzatori di un sistema di AI ad alto rischio destinato al luogo di lavoro “informano i rappresentanti dei lavoratori e i lavoratori interessati che saranno soggetti all’uso del sistema”.

L’AI Act introduce, quindi, un obbligo di trasparenza aggiuntivo sull’esistenza e l’uso dello strumento, che si affianca e rafforza l’informativa sul trattamento dati già richiesta dal GDPR.

La normativa italiana sull’AI: L. 132/2025

Sul piano nazionale, la Legge 132/2025 (“Disposizioni in materia di intelligenza artificiale”) prevede regole di dettaglio volte a definire il contenuto delle informazioni da fornire al personale. Il riferimento principale in materia di giuslavoro è l’articolo 11, intitolato “Disposizioni sull’uso dell’intelligenza artificiale in materia di lavoro”.

Il primo comma definisce l’ambito di utilizzo consentito degli strumenti di AI sul posto di lavoro: migliorare le condizioni di lavoro, tutelare l’integrità psicofisica dei lavoratori, accrescere la qualità delle prestazioni lavorative e la produttività delle persone. Il comma 2 stabilisce i principi da seguire per raggiungere gli scopi di cui al comma 1 e crea un collegamento normativo fondamentale per quanto attiene agli obblighi di trasparenza: “Il datore di lavoro o il committente è tenuto a informare il lavoratore dell’utilizzo dell’intelligenza artificiale nei casi e con le modalità di cui all’articolo 1-bis del decreto legislativo 26 maggio 1997, n. 152”.

Il Decreto Trasparenza e l’Art. 1-bis

La legge italiana sull’AI, quindi, non crea un set autonomo e parallelo di obblighi informativi, ma rinvia direttamente alla disciplina già in vigore: il D.lgs. 152/1997. L’Articolo 1-bis, introdotto con il D.lgs. 104/2022 (il c.d. “Decreto Trasparenza”, a cui abbiamo già dedicato un approfondimento), elenca nel dettaglio gli specifici ed ulteriori obblighi informativi nel caso di utilizzo di sistemi decisionali o di monitoraggio automatizzati.

Il cuore dell’articolo è rappresentato dal secondo comma, il quale richiede ai datori di lavoro di fornire ai lavoratori, prima dell’inizio dell’attività lavorativa, informazioni in merito a:

gli aspetti del rapporto di lavoro su cui incide il sistema;
gli scopi e le finalità;
la logica ed il funzionamento;
le categorie di dati e i parametri principali utilizzati per programmare o addestrare il sistema, inclusi i meccanismi di valutazione delle prestazioni;
le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità;
il livello di accuratezza, robustezza e cybersicurezza e le metriche utilizzate, nonché gli impatti potenzialmente discriminatori delle metriche stesse.

Su questi elementi contenutistici dovranno orientarsi i controlli svolti dai DPO, avendo cura di non trascurare le nuove norme che diverranno applicabili nei prossimi anni e le modalità di erogazione delle informazioni al personale.

Le nuove norme: la Direttiva “Platform Workers”

A completamento del quadro normativo, è fondamentale citare la Direttiva (UE) 2024/2831 (“Platform Workers”), che diverrà pienamente applicabile a partire dal 2 dicembre 2026. La Direttiva, all’articolo 9, impone alle piattaforme digitali di fornire specifiche informazioni alle persone che svolgono un lavoro mediante piattaforme digitali, ai rappresentanti dei lavoratori, nonché alle persone che partecipano a una procedura di assunzione o di selezione tramite la piattaforma.

Tali informazioni si differenziano in base alla tipologia di strumento, ovvero che si tratti di sistemi di monitoraggio automatizzati o di sistemi decisionali automatizzati.

Esempio

Nel caso di sistemi decisionali automatizzati la norma prevede di fornire informazioni in merito a:

- il fatto che tali sistemi siano in uso o siano in fase di introduzione;

- le categorie di decisioni che sono prese o sostenute da tali sistemi;

- le categorie di dati e i principali parametri di cui tali sistemi tengono conto e l’importanza relativa di tali principali parametri nel processo decisionale automatizzato, compreso il modo in cui i dati personali o il comportamento della persona che svolge un lavoro mediante piattaforme digitali incidono sulle decisioni;

- i motivi alla base delle decisioni di limitare, sospendere o chiudere l’account della persona che svolge un lavoro mediante piattaforme digitali o di non retribuire il lavoro svolto dalla stessa, nonché delle decisioni in merito alla sua situazione contrattuale o di qualsiasi decisione con effetto equivalente o pregiudizievole.

L’Italia, con la Legge di delegazione europea n. 91 del 13 giugno 2025 si avvia a recepire i principi della Direttiva. Per i DPO di qualsiasi settore, l’Art. 9 della Direttiva “Platform Workers” è un segnale forte del livello di trasparenza sostanziale che l’Unione Europea considera il nuovo standard per il lavoro gestito tramite algoritmi.

La sfida concreta: informare e non “subissare” di informazioni

L’analisi delle fonti evidenzia un elenco di requisiti informativi estremamente articolato, con diversi attori coinvolti. Qui si annida la sfida più complessa per la compliance: il rischio concreto è che si generino informative lunghe decine di pagine ed incomprensibili per i lavoratori, di fatto “subissati” dalle eccessive informazioni.

La soluzione che i DPO saranno chiamati, sempre più spesso, a supervisionare è quella dell’informativa “stratificata” (layered approach):

Un primo livello (Layer 1), da fornire immediatamente, che sia sintetico, visivamente chiaro e focalizzato sugli impatti concreti: Quale sistema viene usato? A cosa serve (es. “gestire i tuoi turni”)? Quali sono i parametri principali (es. “anzianità, richieste, performance”)? Come puoi chiedere una revisione umana?
Un secondo livello (Layer 2), accessibile tramite link o su richiesta, dove si approfondiscono i dettagli tecnici (logica di funzionamento, parametri di addestramento, metriche utilizzate, etc.).

Il ruolo del DPO, quindi, sarà quello di garantire una trasparenza effettiva e non solo formale e di verificare che l’informativa non sia scritta contro il lavoratore (come mero obbligo e forma di tutela legale per l’organizzazione), ma per il lavoratore.

Il dibattito su tecnologie e compliance è in sempre in costante evoluzione. Per restare aggiornato e confrontarti con altri professionisti del settore, ti invitiamo a iscriverti alla nostra newsletter e a scoprire i vantaggi dell'adesione all’Associazione.

Altre news

Governare gli incidenti senza inquinare le prove: i 5 pilastri della digital forensics

Premessa: perché il DPO deve conoscere la Digital Forensics?La risposta a questa domanda trascende la sola privacy e abbraccia la corretta gestione degli [...]

AI compliance: guida operativa alle raccomandazioni dell’EDPS per il risk management

Applicare la ISO 31000 al contesto dell’AI Il documento “Guidance for Risk Management of Artificial Intelligence systems”, del Garante [...]

AI Act e GDPR: quali interazioni impattano sull’attività dei DPO? Analisi pratica su DPIA, FRIA, legittimo interesse e obblighi

Scopo dello studio: le tre domande di ricercaLo studio, condotto dal Dipartimento per la trasformazione, l’innovazione e la salute, mira ad esaminare la [...]

Procedimento disciplinare e privacy: il Tribunale di Brescia annulla la sanzione di 20.000 inflitta al Comune di Lonato

Descrizione dei fattiLa sanzione trae origine da un procedimento disciplinare avviato dal Comune di Lonato del Garda nei confronti di un proprio dipendente. Il [...]