IA e lavoro: cosa dice il Garante Privacy sui sistemi che leggono emozioni e stress

Jun 1 / omnIA academy



L’IA usata per dedurre emozioni o stress dei lavoratori è vietata nei luoghi di lavoro, salvo eccezioni molto limitate legate a motivi medici o di sicurezza. Il caso esaminato dal Garante Privacy mostra che anche report aggregati possono essere rischiosi se permettono al datore di lavoro di conoscere, direttamente o indirettamente, informazioni sulla sfera emotiva dei dipendenti. Per le imprese, la lezione è chiara: prima di adottare strumenti IA bisogna fare una valutazione legale, di privacy ed etica.

Cosa dice il Garante Privacy e come le imprese devono governare l’AI

L’intelligenza artificiale non è più solo uno strumento per scrivere testi, creare immagini o automatizzare attività ripetitive. Sta entrando nei luoghi di lavoro, nei sistemi di comunicazione interna, nelle piattaforme aziendali e persino nei processi che riguardano il benessere dei dipendenti.


Il caso esaminato dal Garante Privacy italiano lo dimostra chiaramente: una società, Myndoor S.r.l., ha sviluppato un plug-in per Slack e Teams capace di analizzare semanticamente i messaggi dei lavoratori per rilevare il livello di stress psicologico. Il Garante ha inviato un avvertimento formale perché, pur prendendo atto di alcune misure adottate dalla società, ha rilevato il rischio che report aggregati possano mettere il datore di lavoro, anche indirettamente, nella condizione di conoscere informazioni sulla sfera emotiva dei dipendenti.

La questione è semplice, ma molto importante: l’IA può aiutare le persone, ma non può diventare uno strumento di sorveglianza psicologica sul lavoro.

Cosa è successo: il caso del plug-in per Slack e Teams

Il provvedimento del Garante, datato 14 maggio 2026, riguarda il sistema Myndoor, un plug-in progettato per funzionare all’interno di piattaforme di messaggistica aziendale come Slack e Teams. Lo strumento analizza il linguaggio usato nei messaggi dei lavoratori e prova a dedurre parametri collegati allo stress psicologico.

Secondo quanto emerso nell’istruttoria, il servizio poteva essere acquistato da enti e imprese per essere messo a disposizione dei dipendenti. I lavoratori potevano scegliere se usarlo o meno, e la società ha dichiarato che il datore di lavoro non aveva accesso ai contenuti delle comunicazioni né ai risultati individuali. Tuttavia, in alcuni casi era prevista la possibilità di fornire all’azienda un report aggregato sui livelli di stress dei dipendenti, generato solo sopra una certa soglia numerica di utenti attivi.

Ed è proprio qui che nasce il problema.

Anche quando i dati sono presentati come aggregati, il rischio non scompare automaticamente. In una piccola azienda, in un reparto ristretto o in un contesto organizzativo molto riconoscibile, un’informazione apparentemente anonima può diventare indirettamente riconducibile a persone reali. Il Garante ha infatti evidenziato il rischio che i datori di lavoro possano arrivare, anche solo per inferenza, a conoscere dati relativi alla sfera emotiva dei propri dipendenti.

Non stiamo parlando di un dettaglio tecnico. Stiamo parlando di dati che toccano la persona, la sua salute, la sua fragilità, la sua condizione psicologica e il rapporto di fiducia con il datore di lavoro.

Cosa dice la legge: AI Act, GDPR e tutela dei lavoratori

Il caso è importante perché mette insieme tre piani normativi: AI Act, GDPR e disciplina italiana sul lavoro.

Il primo riferimento è l’AI Act. L’articolo 5 vieta l’immissione sul mercato, la messa in servizio o l’uso di sistemi di IA destinati a inferire le emozioni di una persona fisica nei luoghi di lavoro e nelle istituzioni educative, salvo specifiche ragioni mediche o di sicurezza.

Questo significa che l’Europa ha tracciato una linea molto chiara: il lavoro non può diventare un laboratorio permanente di lettura emotiva dei dipendenti.

Il secondo riferimento è il GDPR. L’articolo 9 vieta, come regola generale, il trattamento di categorie particolari di dati personali, tra cui i dati relativi alla salute, salvo specifiche eccezioni e garanzie. Nel caso di strumenti che cercano di rilevare stress psicologico, benessere mentale o condizioni emotive, il rischio di entrare nell’area dei dati particolari è molto alto.

Il terzo riferimento è la normativa italiana a tutela della dignità dei lavoratori. Nel provvedimento, il Garante richiama il fatto che il datore di lavoro non può legittimamente acquisire o trattare informazioni sulla sfera emotiva del personale sulla base della normativa privacy, dello Statuto dei lavoratori e del Regolamento europeo sull’intelligenza artificiale.

Qui il punto non è solo “posso installare questo software?”. La domanda corretta è molto più profonda: questo strumento consente, direttamente o indirettamente, di osservare, classificare o dedurre aspetti intimi della persona che lavora?

Se la risposta è sì, l’impresa deve fermarsi prima dell’acquisto, non dopo il danno.

Box normativo essenziale

Perché l’IA che deduce emozioni sul lavoro è un rischio legale

Il caso esaminato dal Garante Privacy mostra che le imprese non possono adottare sistemi di intelligenza artificiale capaci di analizzare, dedurre o rendere disponibili informazioni sulla sfera emotiva dei lavoratori senza una valutazione rigorosa dei rischi.

AI Act · Articolo 5

Vietata l’immissione sul mercato, la messa in servizio o l’uso di sistemi di IA destinati a inferire emozioni nei luoghi di lavoro, salvo eccezioni limitate legate a motivi medici o di sicurezza.

GDPR · Articolo 9

I dati relativi alla salute, al benessere psicologico o alla condizione emotiva rientrano tra le categorie particolari di dati personali e richiedono tutele rafforzate.

GDPR · Articoli 24 e 25

L’impresa deve dimostrare responsabilità, protezione dei dati fin dalla progettazione e impostazioni predefinite orientate alla tutela della persona.

Lavoro e privacy

Il datore di lavoro non può trasformare strumenti digitali o sistemi di IA in forme di controllo indiretto sulla sfera emotiva, psicologica o personale dei dipendenti.

In pratica: prima di acquistare o usare un sistema IA in azienda, non basta chiedersi se funziona. Bisogna chiedersi se è lecito, proporzionato, trasparente e rispettoso della dignità dei lavoratori.

Perché è un problema etico, non solo legale

La tecnologia può essere presentata con un linguaggio rassicurante: benessere, prevenzione dello stress, supporto ai dipendenti, clima aziendale. Ma una tecnologia che analizza le emozioni dei lavoratori tocca un confine delicatissimo.

Il primo rischio è la violazione della dignità. Una persona non è solo produttività, performance, disponibilità e tono dei messaggi. Il modo in cui scrive in una chat aziendale può dipendere da mille fattori: stanchezza, contesto, urgenza, personalità, cultura, neurodivergenza, situazione familiare, salute, carico mentale. Ridurre tutto questo a un indicatore algoritmico di stress può essere pericoloso.

Il secondo rischio è la sorveglianza psicologica nascosta. Anche quando il lavoratore viene informato, il rapporto di forza tra dipendente e datore di lavoro non è mai neutro. In teoria l’adesione può essere volontaria; nella pratica, molte persone potrebbero sentirsi spinte ad accettare per non apparire poco collaborative.

Il terzo rischio è la discriminazione. Se un sistema segnala un gruppo come “stressato”, “fragile”, “negativo” o “a rischio”, quell’informazione potrebbe influenzare decisioni organizzative, promozioni, assegnazione di compiti, valutazioni o clima interno. Il Garante ha richiamato proprio i rischi legati a modelli linguistici e analisi semantica: opacità, scarsa verificabilità degli output, possibili effetti discriminatori e lesivi dei diritti dei lavoratori.

Il quarto rischio è la perdita di fiducia. Un’impresa che usa l’IA per “leggere” i dipendenti comunica, anche senza volerlo, un messaggio: non mi basta il tuo lavoro, voglio interpretare anche il tuo stato interiore.

Ed è qui che l’adozione dell’IA può fallire. Non perché la tecnologia sia inutile, ma perché viene introdotta senza cultura, senza regole e senza rispetto del confine umano.

Cosa devono fare le imprese prima di acquistare strumenti IA

Il caso Myndoor è un avvertimento per tutte le imprese, non solo per chi usa Slack o Teams. Oggi molti strumenti digitali promettono di migliorare produttività, clima aziendale, selezione del personale, customer care, formazione e gestione interna. Ma non tutti gli strumenti che “si possono comprare” si possono usare in modo lecito.

La prima regola è non valutare l’IA solo dal punto di vista tecnico. Una demo ben fatta, una promessa commerciale convincente o un’interfaccia semplice non bastano. Prima di adottare un sistema di IA, l’impresa deve chiedersi quali dati tratta, quali inferenze produce, chi vede i risultati, per quali finalità, con quale base giuridica e con quali rischi per le persone.

La seconda regola è distinguere tra supporto e controllo. Uno strumento che aiuta volontariamente il lavoratore a prendersi cura del proprio benessere può avere una logica diversa da uno strumento che fornisce report, punteggi o indicatori al datore di lavoro. Il confine non è solo tecnico: è organizzativo, giuridico ed etico.

La terza regola è applicare la protezione dei dati fin dalla progettazione. Il Garante ha richiamato espressamente la necessità di prevenire alla radice il rischio che dati o inferenze sulla sfera emotiva dei lavoratori arrivino a soggetti non legittimati, incluso il datore di lavoro.

La quarta regola è costruire una governance interna dell’IA. Governance non significa burocrazia. Significa sapere quali strumenti IA sono usati in azienda, chi li autorizza, quali dati entrano nel sistema, quali output escono, chi li controlla e quali usi sono vietati.

La quinta regola è formare le persone. L’AI Act non riguarda solo i tecnici o i legali. Riguarda HR, manager, amministratori, consulenti, responsabili privacy, responsabili IT e tutti coloro che prendono decisioni sull’adozione di strumenti digitali

La vera lezione per le imprese: non basta “usare l’IA”, bisogna governarla

Il caso esaminato dal Garante non deve essere letto come un attacco all’intelligenza artificiale. Sarebbe una lettura superficiale.

La vera lezione è un’altra: l’IA può essere utile solo se viene progettata, scelta e usata dentro regole chiare. Un’impresa che adotta strumenti intelligenti senza comprenderne i rischi non sta innovando: sta esponendo sé stessa, i lavoratori e la fiducia interna a un problema molto serio.

Non serve demonizzare l’IA. Serve imparare a distinguerne gli usi corretti da quelli pericolosi.

L’intelligenza artificiale può aiutare le aziende a lavorare meglio, ridurre attività ripetitive, migliorare processi, supportare decisioni e creare nuovo valore. Ma non deve trasformare il luogo di lavoro in uno spazio di osservazione permanente della persona.

Per omnIA Academy, questo è il punto centrale: l’IA deve essere utile, etica, governata e umana. Non basta introdurre strumenti. Bisogna costruire cultura, responsabilità e metodo.

Vuoi capire come usare l’IA in azienda senza violare privacy, diritti dei lavoratori o obblighi dell’AI Act?
Scopri il corso AI Act Literacy per Imprese e Professionisti di omnIA Academy: un percorso pratico per imparare a riconoscere i rischi, adottare strumenti in modo corretto e costruire una governance dell’IA davvero sostenibile.

Domande frequenti

L’azienda può usare l’IA per misurare lo stress dei dipendenti?

In generale no, se il sistema serve a dedurre emozioni, stress o stati psicologici dei lavoratori nei luoghi di lavoro. L’AI Act vieta l’uso di sistemi di intelligenza artificiale destinati a inferire emozioni in ambito lavorativo, salvo eccezioni molto limitate legate a motivi medici o di sicurezza.

L’analisi emotiva è vietata anche se i dati sono aggregati?

Può essere comunque rischiosa. Anche un dato aggregato può diventare problematico se riguarda gruppi piccoli, reparti riconoscibili o contesti aziendali in cui sia possibile risalire indirettamente alle persone. Per questo le imprese devono valutare non solo il dato individuale, ma anche il rischio di identificazione indiretta

Il consenso del lavoratore basta?

Nel rapporto di lavoro il consenso è molto delicato, perché il lavoratore non si trova sempre in una posizione realmente libera rispetto al datore di lavoro. Per questo non basta dire che il dipendente ha accettato: bisogna verificare base giuridica, finalità, proporzionalità, trasparenza e rispetto della normativa privacy e lavoro

Cosa deve fare un’impresa prima di acquistare un software IA per HR o produttività?

Deve verificare quali dati vengono trattati, quali risultati produce il sistema, chi può accedervi, se vengono dedotte emozioni o condizioni psicologiche, se sono coinvolti dati particolari, se è necessaria una valutazione d’impatto privacy e se il sistema è conforme all’AI Act.

Perché questo caso è importante per le PMI?

Perché molte PMI acquistano strumenti digitali senza sapere che alcune funzioni di intelligenza artificiale possono violare privacy, diritti dei lavoratori e obblighi previsti dall’AI Act. Il problema non è usare l’IA, ma usarla senza una valutazione preventiva dei rischi.
Copyright © 2026
Creato con