L’applicazione dell’intelligenza artificiale nel settore delle risorse umane rappresenta una vera e propria leva strategica per l’ottimizzazione dei processi e delle decisioni. Tuttavia, il trattamento dei dati personali derivante dall’utilizzo di sistemi di AI impone necessariamente un attento bilanciamento tra efficienza, trasparenza e conformità al Regolamento UE 2016/679 (GDPR).
L’AI sta rapidamente trasformando il modo con cui le società gestiscono il loro “capitale umano”, offrendo soluzioni sempre più sofisticate al settore delle risorse umane (di seguito “HR”) per l’automatizzazione di una serie di processi, tra cui:
- il recruiting, ove gli algoritmi raccolgono e analizzano elevate moli di dati, anche di natura personale, per scremare le candidature e migliorare così l’efficienza e la qualità della selezione;
- l’onboarding, ove gli algoritmi offrono esperienze di apprendimento personalizzate e creano contenuti su misura per i nuovi lavoratori assunti, così da facilitarne l’integrazione;
- il performance management, ove gli algoritmi valutano continuamente vari indicatori, così da favorire un progressivo e costante miglioramento dei lavoratori.
I sistemi di AI consentono, quindi, contemporaneamente di analizzare velocemente grandi quantità di informazioni e, in base all’output fornito, di facilitare e orientare le successive decisioni.
Se, però, da un lato è evidente l’impatto positivo dell’AI sul settore HR, dall’altro sono numerosi i rischi che si celano e che non possono di certo essere trascurati. Infatti, dietro l’apparente neutralità algoritmica dei sistemi di AI si nascondono profilazione non trasparente, decisioni automatizzate e trattamenti di dati personali eccedenti e non pertinenti.
Pertanto, è fondamentale che i sistemi di AI vengano progettati e utilizzati non solo nel rispetto delle disposizioni normative sancite dal Regolamento UE 2024/1689 (cd. AI Act), ma anche del GDPR e da, ultimo, della Legge 132/2025, così da poter guidare l’innovazione in modo etico, conforme e responsabile.
L’AI Act classifica i sistemi di AI in quattro categorie di rischio: inaccettabile per cui i sistemi sono considerati vietati, alto, limitato e minimo rischio.
Fermo restando che l’AI Act vieta espressamente l’emotion recognition nei luoghi di lavoro, il social scoring, lo sfruttamento di vulnerabilità di una persona fisica o di un gruppo di persone dovute, ad esempio, all’età, alla disabilità o ad una specifica condizione fisica, i sistemi di identificazione biometrica remota in tempo reale in spazi pubblici (salve stringenti eccezioni) il riconoscimento biometrico per tratti sensibili e l’untargeted scraping di immagini facciali per creare database, la maggior parte dei sistemi di AI utilizzati nel settore HR rientra tra quelli ad “alto rischio”.
Ciò, in quanto tali sistemi possono causare un impatto significativo sui diritti fondamentali, sulla salute e sulla sicurezza delle persone fisiche, inteso anche come un’influenza materiale sul risultato del processo decisionale. Al fine, quindi, di poterli utilizzare è necessario che vengano sottoposti ad un’attenta valutazione. Nello specifico, le società (cd. deployers) avranno l’obbligo di:
- impiegarli in modo conforme alle istruzioni previste, che dovranno contenere informazioni concise, complete, corrette, chiare, pertinenti, accessibili e, soprattutto, comprensibili. All’interno delle istruzioni dovranno essere previste, tra le altre l’identità e i dati di contatto del fornitore, la finalità, il livello di accuratezza che ci si può attendere, le specifiche per i dati di input ed eventuali informazioni per interpretare l’output;
- garantire lo human oversight, il logging, l’accuratezza, la robustezza, la cybersicurezza e la qualità dei dati;
- effettuare una valutazione di impatto sui diritti fondamentali (cd. FRAI – Fundamental Right Impact Assessment), quando richiesta.
Indice degli argomenti:
Le novità introdotte dalla Legge 132/2025
Accanto alle disposizioni normative contenute nell’AI Act, due sono gli articoli che Legge 132/2025 dedica al settore HR (11 e 12) che, in quanto tali, non possono quindi essere trascurati dalle società che abbiano intenzione di utilizzare tali sistemi.
Articolo 11
Precisamente, all’art. 11 è definito il principio generale secondo cui i sistemi di AI debbano essere impiegati per migliorare le condizioni di lavoro, tutelare l’integrità psicofisica dei lavoratori, accrescere la qualità delle prestazioni lavorative e la produttività delle persone in conformità al diritto dell’UE.
Ma non solo. Il legislatore ritiene, inoltre, che l’utilizzo dei sistemi di AI in ambito lavorativo debba:
- essere sicuro, affidabile e trasparente e non possa svolgersi in contrasto con la dignità umana, né violare la riservatezza dei dati personali;
- garantire l’osservanza dei diritti inviolabili del lavoratore senza discriminazioni in funzione del sesso, dell’età, delle origini etniche, del credo religioso, dell’orientamento sessuale, delle opinioni politiche e delle condizioni personali, sociali ed economiche.
Ancora una volta appare, quindi, chiaro che prima di poter utilizzare i sistemi di AI le società abbiano l’onere di attuare un’attenta valutazione e un bilanciamento tra i benefici derivanti da un lato (tra cui vi sono tempo e qualità del lavoro) e gli aspetti etici dall’altro.
Articolo 12
L’art. 12, invece, è più tecnico e prevede l’istituzione presso il Ministero del lavoro e delle politiche sociali dell’Osservatorio sull’adozione di sistemi di AI nel mondo del lavoro con l’obiettivo di definire una strategia sull’utilizzo dell’AI in ambito lavorativo, monitorare l’impatto sul mercato del lavoro e identificare i settori lavorativi maggiormente interessati dall’avvento dell’AI.
L’Osservatorio fungerà, inoltre, da soggetto promotore della formazione dei lavoratori e dei datori di lavoro in materia di AI, aspetto molto rilevante per il corretto e, soprattutto, consapevole uso di questa tecnologia.
Le cautele da adottare nel trattamento dei dati personali
Dal lato privacy, invece, quali sono le cautele da tenere in considerazione?
Come anticipato, l’utilizzo dei sistemi di AI nel settore HR e non solo implica la configurazione di una serie di trattamenti di dati personali e particolari che, in quanto tali, devono essere attuati con le dovute attenzioni e nel rispetto, anzitutto, di quanto previsto dal GDPR.
È, quindi, necessario che:
- gli interessati (candidati o dipendenti) siano informati in modo chiaro e trasparente sull’utilizzo dei sistemi di AI, sul funzionamento dei loro algoritmi e sull’impatto che questi hanno sulle decisioni;
- il trattamento dei dati personali sia fondato su una solida base giuridica;
- vengano garantiti il principio di minimizzazione e il principio di limitazione della conservazione. I dati personali raccolti dai sistemi di AI devono, infatti, essere pertinenti, necessari e non eccedenti rispetto alla finalità per cui sono stati raccolti e non possono essere conservati più a lungo di quanto effettivamente necessario.
Inoltre, non si deve dimenticare che l’art. 22 del GDPR riconosce all’interessato “il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”, ad eccezione del caso in cui la decisione:
i) sia necessaria alla conclusione o all’esecuzione di un contratto,
ii) sia espressamente autorizzata da una norma di legge,
iii) si basi sul consenso esplicito dell’interessato. In tali ipotesi, però, devono essere garantite adeguate tutele, quali l’intervento umano, la possibilità di esprimere opinioni e di contestare le decisioni.
Analoghe cautele sono state previste anche dal nostro legislatore con la L. 132/2025. Il legislatore, infatti, ritiene che lo sviluppo e l’applicazione dei sistemi di AI debba avvenire nel rispetto dell’autonomia e del potere decisionale dell’uomo, della conoscibilità, della trasparenza e della protezione dei dati personali.
Su questo ultimo aspetto, l’art. 4 è chiaro nel prevedere che il trattamento dei dati personali debba avvenire in modo lecito, corretto e trasparente, nonché debba essere compatibile con le finalità perseguite. E, ancora, le informazioni relative al trattamento dei dati personali connessi all’utilizzo di sistemi di AI devono essere rese con un linguaggio semplice e chiaro, in modo da consentire all’interessato di comprendere i relativi rischi e di esercitare il diritto di opporsi al trattamento.
Conclusioni
È chiaro, quindi, che l’utilizzo dei sistemi di AI comporta per le società (quali deployers e titolari del trattamento dei dati personali) lo svolgimento di tutta una serie di adempimenti sotto più fronti. Tali adempimenti, oltre a dover essere affrontati con la massima serietà, non possono essere evitati essendo fondamentali per garantire un’innovazione responsabile e per tutelare la dignità dei lavoratori.
