IA e monitoraggio delle emozioni dei dipendenti: l'allerta del Garante Privacy

Il fatto

Il Garante Privacy è tornato a occuparsi dell'intelligenza artificiale nei luoghi di lavoro. L'attenzione si concentra su una categoria specifica di software: i sistemi che pretendono di rilevare emozioni, livelli di stress o stati d'animo dei lavoratori, spesso attraverso l'analisi di voce, espressioni facciali, comportamenti o dati biometrici.

Si tratta di strumenti presentati come supporto al benessere organizzativo o alla prevenzione dei rischi. L'Autorità segnala però che, dietro la finalità dichiarata, si nasconde un trattamento di dati personali particolarmente invasivo, che incide sulla dignità e sulla libertà del lavoratore.

Inquadramento normativo

Il punto di partenza resta il Regolamento UE 2016/679 (GDPR). I dati relativi a emozioni e stati psicofisici, quando consentono di dedurre informazioni sulla salute, ricadono tra le categorie particolari di dati dell'art. 9 GDPR, il cui trattamento è in linea di principio vietato salvo specifiche condizioni di liceità.

Nel rapporto di lavoro vale inoltre l'art. 88 GDPR, che rimette agli Stati membri norme più specifiche, e si applica l'art. 4 dello Statuto dei lavoratori (legge 300/1970). Quest'ultimo subordina i controlli a distanza degli strumenti di lavoro ad accordo sindacale o autorizzazione dell'Ispettorato, e comunque a esigenze organizzative, produttive, di sicurezza o di tutela del patrimonio.

Si aggiunge il Regolamento UE 2024/1689 (AI Act), che qualifica i sistemi di riconoscimento delle emozioni nei contesti lavorativi come pratiche vietate, salvo limitate eccezioni di sicurezza o salute. La direzione del legislatore europeo è quindi netta.

Un ulteriore vincolo deriva dal principio di minimizzazione (art. 5 GDPR): anche dove un trattamento fosse astrattamente lecito, non possono essere raccolti dati eccedenti rispetto alla finalità perseguita.

Implicazioni pratiche

Per il datore di lavoro l'avvertimento del Garante significa che l'adozione di soluzioni di "emotion recognition" non è una scelta tecnologica neutra. È una decisione che espone a profili di illegittimità sotto più norme contemporaneamente.

Il consenso del lavoratore non basta a legittimare questi trattamenti: nel rapporto di lavoro il consenso è considerato in genere non libero, per via dello squilibrio di potere tra le parti. Occorre quindi una diversa base giuridica e, soprattutto, una valutazione di proporzionalità che difficilmente regge per strumenti così intrusivi.

Le conseguenze in caso di violazione non sono solo le sanzioni amministrative del Garante, che possono arrivare a percentuali rilevanti del fatturato. Vi è anche il rischio di inutilizzabilità dei dati raccolti, di contenzioso individuale e di responsabilità per violazione dell'art. 4 dello Statuto.

Per il lavoratore, l'effetto è il rafforzamento di tutele già esistenti: il diritto di essere informato sui trattamenti, di opporsi e di segnalare condotte non conformi.

Cosa fare in concreto

1. Mappate gli strumenti già in uso. Verificate se software di gestione HR, piattaforme di well-being o sistemi di videosorveglianza includano funzioni di analisi emotiva o comportamentale, anche secondarie.

1. Sospendete l'adozione di sistemi di emotion recognition finché non sia accertata la conformità all'AI Act e al GDPR. Considerata la qualificazione come pratica tendenzialmente vietata, valutate alternative meno invasive.

1. Effettuate una valutazione d'impatto (DPIA) prima di qualsiasi nuovo trattamento basato su IA che incida sui dipendenti, come richiesto dall'art. 35 GDPR per i trattamenti ad alto rischio.

1. Aggiornate informative e accordi. Verificate la presenza dell'accordo sindacale o dell'autorizzazione dell'Ispettorato ex art. 4 Statuto, e rendete trasparenti finalità e logiche dei sistemi adottati.

1. Coinvolgete il DPO e le funzioni legali prima della firma di contratti con fornitori, chiedendo garanzie documentali sulla conformità delle soluzioni proposte.

L'orientamento delle Autorità è destinato a consolidarsi. Affrontare ora la questione, prima dell'introduzione di nuovi strumenti, riduce in modo significativo l'esposizione al rischio sanzionatorio e reputazionale.

Disclaimer

Contributo informativo a cura di Tamburro & Partners Avvocati. Non costituisce parere legale.