Skip to main content

Tecnologia IA e lavoro. Sintesi del contesto e mappa di orientamento

Avv. Francesco Pedroni
18 Dicembre 2025

Riporto di seguito alcune considerazioni e indicazioni di contesto legale generale da tenere presenti nell’adozione e sviluppo di strumenti tecnologici (hardware e software) in azienda alla luce delle recenti novità normative in tema di IA.

LA NORMATIVA DI RIFERIMENTO

  • AI Act (Reg. UE 2024/1689) – Pubblicato in G.U.U.E. il 12 luglio 2024, in vigore dal 1° agosto 2024 che prevede divieti di utilizzo di determinate tecnologie e obblighi in caso di introduzione di sistemi ad alto rischio (tra cui rientrano quelli di impiego e gestione del personale)
  • GDPR con particolare riferimento agli obblighi in tema di trasparenza e diritto di accesso (artt. 12 e 15); decisioni unicamente automatizzate (art. 22); valutazione di impatto (art. 35) e misure di sicurezza (art. 32)
  • Legge n. 132/2025 (“Disposizioni in materia di intelligenza artificiale”) – Pubblicata in G.U. 8 ottobre 2025 ed entrata in vigore il 10 ottobre 2025 che delega il Governo a disciplinare i requisiti e criteri di garanzia dell’uso dell’IA in ambito lavorativo 
  • Statuto dei Lavoratori (Legge 300/1970) con particolare riferimento alla disciplina sui controlli a distanza (art. 4); divieto di indagini sulle opinioni e sulle informazioni non inerenti la prestazione lavorativa (art. 8) e al divieto di discriminazione (art. 15)
  • Normativa sulla parità di trattamento e di opportunità (D.lgs. 215/2003 – origine razziale/etnica; 216/2003 – religione, convinzioni, handicap, età, orientamento sessuale, 198/2006 pari opportunità; tutela del lavoratori disabili 68/1999
  • Testo Unico in materia di salute e sicurezza sul lavoro (D.Lgs. 81/2008): valutazione dei rischi (art. 28) e criteri di ergonomia del software (All. XXXIV)
  • Decreto Trasparenza (D.lgs. 104/2022) che ha previsto obblighi informativi specifici in relazione a sistemi decisionali o di monitoraggio automatizzati che incidono su assunzione, gestione, cessazione, assegnazione dei compiti, sorveglianza e valutazione dei lavoratori. 

L’analisi di ammissibilità, dei requisiti e delle condizioni di adozione di un sistema tecnologico che comporti trattamenti di dati relativi ai lavoratori e alle loro prestazioni lavorative passa dalle seguenti fasi di valutazione.

1. Pratiche vietate (contesto UE)

Verifica che i sistemi con tecnologia di IA non comportino i seguenti trattamenti sul lavoro che sono vietati ai sensi del AI Act (art. 5):

  • social scoring: proibizione dell’uso di IA per classificare i lavoratori in base a comportamenti sociali, personali o professionali, qualora ciò comporti trattamenti ingiustificati o discriminatori;
  • scraping massivo di immagini facciali: proibizione della raccolta indiscriminata e senza consenso di dati biometrici (ad esempio, attraverso il prelievo di immagini da pc, smartphone, internet o CCTV) per la creazione di database di riconoscimento facciale dei lavoratori;
  • riconoscimento delle emozioni: divieto di utilizzare IA per inferire le emozioni di individui in contesti lavorativi, salvo specifiche deroghe per motivi di sicurezza o sanitari;
  • categorizzazione biometrica per dati sensibili: divieto di impiegare IA per dedurre caratteristiche sensibili, come razza, religione, opinioni politiche, orientamento sessuale o appartenenza sindacale;
  • identificazione biometrica remota in tempo reale: proibizione dell’uso di sistemi di riconoscimento biometrico remoto negli spazi pubblici.

2. Requisiti di sistemi ad alto rischio (contesto UE)

L’AI Act ricomprende tra i sistemi ad Alto Rischio quelli utilizzati per l’employee life cycle e, in particolare, 

  • per l’assunzione o la selezione di persone fisiche, in particolare per pubblicare annunci di lavoro mirati, analizzare o filtrare le candidature e valutare i candidati;
  • per adottare decisioni riguardanti le condizioni dei rapporti di lavoro, la promozione o cessazione dei rapporti contrattuali di lavoro,
  • per assegnare compiti sulla base del comportamento individuale o dei tratti e delle caratteristiche personali o
  • per monitorare e valutare le prestazioni e il comportamento delle persone nell’ambito di tali rapporti di lavoro.

Secondo quanto previsto dal IA Act, i sistemi ad Alto Rischio devono rispondere a requisiti di sorveglianza umana e di cybersicurezza secondo i seguenti criteri:

  • devono essere progettati e sviluppati, anche con strumenti di interfaccia uomo-macchina adeguati, in modo tale da poter essere efficacemente supervisionati da persone fisiche, così da prevenire o ridurre al minimo i rischi per la salute, la sicurezza o i diritti fondamentali.
  • le misure di sorveglianza devono essere commisurate ai rischi, al livello di autonomia e al contesto di utilizzo del sistema di IA ad alto rischio. 
  • devono essere progettati e sviluppati in modo tale da conseguire un adeguato livello di accuratezza, robustezza e cibersicurezza e da operare in modo coerente con tali aspetti durante tutto il loro ciclo di vita

Suggerimento di compliance/accountability: ottenere dai produttori o dagli sviluppatori idonee dichiarazioni sulle garanzie tecniche che quanto sopra sia rispettato in relazione agli strumenti (applicativi, agenti, etc.) che si basino su tecnologie di IA. 

3. GDPR (contesto UE e italiano)

L’adozione di strumenti (applicativi, agenti, etc.) che si basino su tecnologie di IA, non sfuggono ai requisiti e agli adempimenti in tema di protezione dei dati sulla base dei principi di seguito riassunti:

  • trasparenza e diritto di accesso dei lavoratori al trattamento dei propri dati tramite gli strumenti in questione (artt. 12 e 15)
  • limiti alla possibilità di sottoporre i lavoratori a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che li riguardano (art. 22);
  • necessità di una valutazione di impatto laddove il trattamento, in considerazione delle tecnologie in questione, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio
    elevato per i diritti e le libertà dei lavoratori (art. 35)
  • adozione di misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio (art. 32)

Sarà quindi necessario assicurarsi che gli strumenti in questione rispondano ai predetti requisiti e che ciò sia dimostrabile secondo una logica di accountability. 

4. Legge IA (Legge 132/2025) – contesto italiano
Sulla base della delega di cui alla Legge IA al Governo, quest’ultimo dovrà disciplinare i requisiti e criteri in base ai quali garantire che l’uso dell’IA in ambito lavorativo (i.e. nell’organizzazione e nella gestione del rapporto di lavoro):

  • debba perseguire finalità atte a migliorare le condizioni di lavoro, tutelare l’integrità psico-fisica dei lavoratori, aumentare la produttività e la qualità delle prestazioni;
  • debba essere sicuro, affidabile, trasparente e non possa svolgersi in contrasto con la dignità umana né violare la riservatezza dei dati personali;
  • debba garantire l’osservanza dei diritti inviolabili del lavoratore senza discriminazioni in funzione del sesso, dell’età, delle origini etniche, del credo religioso, dell’orientamento sessuale, delle opinioni politiche e delle condizioni personali, sociali ed economiche, in conformità con il diritto dell’Unione europea.

A tale ultimo riguardo, non si deve dimenticare che la normativa derivante dal contesto europeo sintetizzata nei precedenti punti, necessita in ogni caso di completamento con le previsioni inderogabili previste dal contesto italiano e che, spesso, non sono considerate dai produttori e dagli sviluppatori che appartengono a geografie in cui tali aspetti non sono ugualmente rilevanti o sono assorbiti dalle sole valutazione sulla protezione dei dati.

5. Statuto dei Lavoratori (Legge 300/1970) – contesto italiano

Il trattamento dei dati dei lavoratori (comprensivo della raccolta, conservazione e utilizzo) tramite gli strumenti tecnologici in genere – compresi quindi quelli con tecnologie di IA – in Italia deve necessariamente considerare i seguenti divieti e limiti:

  • non possono essere raccolti, trattati e utilizzati da parte dei datori di lavoro, ai fini dell’assunzione, come nel corso dello svolgimento del rapporto di lavoro, dati relativi alle opinioni politiche, religiose o sindacali del lavoratore, nonché ai fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore (art. 8);
  • sono vietati gli atti (tra cui si possono ricomprendere la profilazione e l’elaborazione dei dati disponibili nei sistemi aziendali) diretti a produrre discriminazione sindacale, politica, religiosa, razziale, di lingua o di sesso, di handicap, di età, di nazionalità o basata sull’orientamento sessuale o sulle convinzioni personali dei lavoratori (art. 15, otre alla normativa specifica sulla parità di trattamento e di opportunità: D.lgs. 215/2003 – origine razziale/etnica; 216/2003 – religione, convinzioni, handicap, età, orientamento sessuale, 198/2006 pari opportunità; tutela del lavoratori disabili 68/1999);
  • è vietata l’adozione di sistemi finalizzati al controllo della prestazione lavorativa da remoto (intesa nel tempo e/o nello spazio anche tramite la ricostruzione dei comportamenti dei lavoratori) – art. 4;
  • possono essere adottati strumenti tecnologici per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale, ma se possono produrre – anche via meramente potenziale a prescindere dalla volontà del datore di lavoro – il controllo a distanza dell’attività lavorativa necessitano di (i) preventivo accordo sindacale o autorizzazione dell’ITL; e (ii) adeguata informazione ai lavoratori delle modalità d’uso degli strumenti e di effettuazione dei controlli, nel rispetto di quanto disposto dalla normativa sulla Data Privacy.

Suggerimento operativo: predisporre una mappatura dei sistemi IT (piattaforme, applicativi, agenti, database) individuandone: la categoria di utilizzo (esigenze organizzative e/o produttive, e/o di salute e di sicurezza del lavoro, e/o di tutela del patrimonio aziendale), la tipologia dei dati trattati e le funzioni aziendali cui hanno accesso.

6. Salute e sicurezza sul lavoro – contesto italiano

L’art. 28 del TU prevede che  la valutazione dei rischi debba riguardare tutti i rischi per la sicurezza e la salute dei lavoratori, ivi compresi quelli riguardanti gruppi di lavoratori esposti a rischi particolari, tra cui anche quelli collegati allo stress lavoro-correlato in cui rientrano i rischi psicosociali e il tecnostress come da metodologia per la valutazione e gestione del rischio stress lavoro-correlato pubblicata dall’INAIL nell’aprile 2025.

Inoltre, l’Allegato XXXIV del TUS, nel definire i principi ergonomici validi per le prestazioni di lavoro di coloro che utilizzano strumenti informatici, prevede determinate caratteristiche dell’Interfaccia elaboratore/uomo, prescrivendo che all’atto dell’elaborazione, della scelta, dell’acquisto del software, o allorché questo venga modificato, come anche nel definire le mansioni che implicano l’utilizzazione di unità videoterminali, il datore di lavoro terrà conto dei seguenti fattori:

a) il software deve essere adeguato alla mansione da svolgere;
b) il software deve essere di facile uso adeguato al livello di conoscenza e di esperienza dell’utilizzatore. Inoltre nessun dispositivo di controllo quantitativo o qualitativo può essere utilizzato all’insaputa dei lavoratori;
c) il software deve essere strutturato in modo tale da fornire ai lavoratori indicazioni comprensibili sul corretto svolgimento dell’attività;
d) i sistemi devono fornire l’informazione di un formato e ad un ritmo adeguato agli operatori;
e) i principi dell’ergonomia devono essere applicati in particolare all’elaborazione dell’informazione da parte dell’uomo.

Suggerimento di compliance/accountability: valutare se l’introduzione di strumenti tecnologici avanzati possa comportare l’insorgenza o l’aumento di alcuni rischi alla salute e, nel caso, di aggiornare il DVR, nonchè acquisire documentazione utile a dimostrare la conformità dei sistemi ai predetti principi ergonomici.

Si ricorda inoltre che il trattamento dei dati relativi alla sorveglianza sanitaria dei lavoratori (es. in esito alle visite obbligatorie previste dalla legge o, comunque, alle iniziative concordate con il medico competente) è estremamente limitato per il datore di lavoro che non può accedere ai dati sanitari contenuti nelle cartelle sanitarie di rischio gestite dal medico competente aziendale. Tale aspetto deve essere tenuto maggiormente in considerazione, laddove l’introduzione di piattaforme, di applicativi o di agenti, anche basati su tecnologie di IA, comporti trattamenti di dati per finalità di benessere dei dipendenti anche solo quali suggerimenti ergonomici o di migliore gestione dell’attività lavorativa per finalità di miglioramento della salute dei lavoratori stessi.

7. Decreto Trasparenza (D.lgs. 104/2022) – contesto italiano

La Legge IA prevede specifici obblighi di informazione, richiamando a tal proposito anche il Decreto Trasparenza (che ha introdotto l’art. 1-bis del D.Lgs. 152/1997), secondo i quali il datore di lavoro o il committente è tenuto a informare il lavoratore o il collaboratore dell’utilizzo dell’intelligenza artificiale nei casi e con le modalità di cui all’articolo 1-bis del D.Lgs. 152/1997. Tale norma, modificata dal Decreto Trasparenza (D.Lgs. 104/2022) prevede, tra l’altro, obblighi informativi per il datore di lavoro in relazione all’utilizzo di sistemi decisionali o di monitoraggio, integralmente automatizzati, che siano in grado di fornire indicazioni in materia di: assunzione, conferimento dell’incarico, gestione e cessazione del rapporto di lavoro, assegnazione di compiti o mansioni, sorveglianza, valutazione, adempimento degli obblighi contrattuali da parte dei lavoratori. Secondo la previsione normativa in questione, tale informazione deve essere fornita “in modo trasparente, in formato strutturato, di uso comune e leggibile da dispositivo automatico”.

Quindi, in tutti i casi in cui gli strumenti di IA vengano introdotti per la gestione dei processi aziendali di assunzione, gestione o cessazione del rapporto, sull’assegnazione dei compiti o sulla valutazione delle prestazioni, l’azienda ha l’obbligo fornire ai lavoratori un’informativa scritta, preventiva e completa, che descriva

  • gli aspetti del rapporto di lavoro su cui interviene l’algoritmo,
  • la logica e le finalità del trattamento,
  • le categorie di dati e le metriche di produttività utilizzate,
  • le misure di controllo umano e i soggetti responsabili della qualità dei sistemi,
  • il livello di accuratezza e i potenziali rischi discriminatori.

Ogni modifica significativa deve essere comunicata almeno 24 ore prima, e le informazioni devono essere trasmesse anche alle organizzazioni sindacali (rappresentanze sindacali aziendali o territoriali) e qualora il lavoratore chieda chiarimenti aggiuntivi, gli stessi devono essere forniti per iscritto nel termine di 30 giorni.

Suggerimento operativo: coordinare tale valutazione con quella di cui al precedente paragrafo 5 in relazione ai controlli a distanza dei lavoratori; l’accordo sindacale o l’autorizzazione amministrativa prevede in ogni caso la redazinoe e pubblicazione di una informativa.

Linee guida per l’implementazione dell’intelligenza artificiale nel mondo del lavoro

Il Ministero del Lavoro, con decreto ministeriale 180/2025 del 17 dicembre 2025 ha approvato le Linee guida per l’implementazione dell’intelligenza artificiale nel mondo del lavoro finalizzate a promuovere l’adozione consapevole dell’IA nei contesti lavorativi, tutelando i diritti dei lavoratori, favorendo l’innovazione sostenibile e garantendo la conformità alle normative vigenti. Le Linee Guida, soggette ad aggiornamento a cura dell’Osservatorio sull’adozione di sistemi di intelligenza artificiale nel mondo del lavoro di cui all’art. 12 della legge 132/2025, si prefiggono di fornire alle imprese uno strumento pratico e aggiornato sull’adozione dell’IA, aiutandole a comprendere i benefici della tecnologia, gestire i rischi e
rimanere competitive nel mercato globale e non hanno carattere prescrittivo. Il documento contiene, tra l’altro, indicazioni circa

  • Linee guida operative per le aziende e le PMI
  • Linee guida operative per i lavoratori autonomi
  • Formazione e sviluppo delle competenze IA
  • Finanziamenti e incentivi per l’adozione dell’IA
  • Principi guida per un uso responsabile e sicuro dell’IA nel lavoro
  • Identificazione e gestire i rischi dell’IA

Considerazioni finali

In considerazione di tutti i profili che l’introduzione di strumenti, anche basati su tecnologia di IA coinvolge e delle relative conseguenze in caso di inadempimento dal punto di vista civile, amministrativo e penale, si suggerisce un approccio sistemico di compliance che conduca ad una analisi generale del contesto complessivo alla luce dell’organizzazione e dei processi aziendali interessati dall’introduzione dei sistemi stessi in modo tale da predisporre le misure idonee, identificate per area, in ottica di accountability. 

Riassumendo il contesto sopra esposto, la sequenza delle verifiche e delle valutazioni che consiglio di effettuare ai fini dell’introduzione o sviluppo di tecnologie in genere e, in particolare, di tecnologia con componenti di IA, sono le seguenti

  1. Mappatura dei sistemi in uso e di prossima adozione e dei relativi dati trattati dai sistemi stessi con particolare riferimento a quelli relativi ai processi HR
  2. Analisi di ammissibilità per escludere pratiche vietate
  3. Valutazione di impatto privacy
  4. Valutazione sulle condizioni e sui requisiti di adozione in merito al controllo a distanza dell’attività lavorativa
  5. Valutazione sull’aggiornamento dei regolamenti e delle policy di uso delle dotazioni e dei sistemi IT aziendali
  6. Valutazione di aggiornamento MOG 231
  7. Valutazione di aggiornamento DVR 
  8. Informativa ai lavoratori in merito al funzionamento dei sistemi e alle modalità d’uso degli strumenti e di effettuazione dei controlli

Latest Articles