AI e rapporto di lavoro: prime indicazioni dei decreti attuativi e riflessi in ambito data protection
Con l’approvazione in via preliminare, da parte del Consiglio dei Ministri il 10 giugno 2026, dei primi schemi di decreti legislativi attuativi della legge delega in materia di intelligenza artificiale (legge 23 settembre 2025, n. 132), prende forma un assetto regolatorio destinato a incidere in modo significativo sull’organizzazione del lavoro e sui trattamenti di dati personali in ambito HR.
Il quadro normativo si inserisce in un contesto multilivello, caratterizzato dall’interazione tra disciplina nazionale, AI Act e Regolamento (UE) 2016/679 (“GDPR”), consolidando un modello che pone al centro un utilizzo dell’IA “antropocentrico”, fondato su trasparenza, accountability e tutela dei diritti fondamentali.
Processi decisionali automatizzati e art. 22 GDPR
Particolare rilievo assume la regolazione dei processi decisionali assistiti o automatizzati nel rapporto di lavoro. In continuità con l’art. 22 GDPR, i decreti introducono un espresso divieto di decisioni unicamente automatizzate nei procedimenti che incidono sulla costituzione, gestione e cessazione del rapporto di lavoro, nonché in materia disciplinare.
Tale previsione rafforza l’obbligo di garantire un intervento umano significativo, attribuendo la decisione finale a una persona fisica dotata di effettivo potere autonomo. La violazione di tale principio comporta, tra l’altro, la nullità del licenziamento adottato sulla base di una decisione interamente automatizzata, con rilevanti implicazioni in termini di contenzioso.
Obblighi di trasparenza e informativa rafforzata
In linea con i principi di cui agli artt. 5 e 13‑14 GDPR, la normativa impone al datore di lavoro di assicurare un livello elevato di trasparenza nell’utilizzo dei sistemi di IA. In particolare, è previsto l’obbligo di fornire al lavoratore, prima dell’avvio del trattamento, un’informativa specifica circa l’impiego di sistemi intelligenti nei processi decisionali (anche ai sensi dell’art. 1‑bis d.lgs. 152/1997).
A ciò si aggiunge un diritto di accesso “rafforzato”, che si concretizza nella possibilità, su richiesta dell’interessato, di ottenere una spiegazione comprensibile delle logiche decisionali e dei principali parametri utilizzati dall’algoritmo.
Tali obblighi comportano, sul piano pratico, la necessità di implementare adeguati presidi documentali e tecnici, coerenti con il principio di accountability ex art. 5, par. 2, GDPR.
Non discriminazione, correttezza e minimizzazione
La disciplina valorizza, inoltre, il principio di non discriminazione, richiedendo che i sistemi di IA non producano effetti discriminatori fondati, tra l’altro, su genere, età, origine etnica o condizioni personali.
In ottica data protection, ciò implica per il datore di lavoro:
la verifica preventiva di bias algoritmici;
l’adozione di misure tecniche e organizzative idonee a garantire l’accuratezza dei dati;
il rispetto dei principi di minimizzazione e limitazione della finalità (art. 5 GDPR).
Implicazioni in materia di salute e sicurezza e trattamento dei dati
I decreti intervengono anche sul versante salute e sicurezza sul lavoro, stabilendo che i sistemi di IA che incidono sull’organizzazione del lavoro o sui ritmi produttivi devono essere inclusi nella valutazione dei rischi ai sensi del d.lgs. 81/2008.
In tali contesti, il trattamento dei dati personali – spesso su larga scala e relativi anche a performance e comportamenti – richiede una particolare attenzione ai profili di:
necessità e proporzionalità del trattamento;
eventuale svolgimento di una valutazione d’impatto sulla protezione dei dati (DPIA) ex art. 35 GDPR, in presenza di trattamenti automatizzati sistematici o su larga scala;
corretta individuazione delle basi giuridiche applicabili.
Alla luce del nuovo quadro normativo, emerge la necessità per le aziende di adottare un approccio integrato alla governance dell’IA, che coniughi profili lavoristici, privacy e sicurezza sul lavoro. In particolare, si rendono necessari:
la mappatura dei sistemi di IA utilizzati nei processi HR;
la formalizzazione di presidi di controllo umano effettivo;
l’aggiornamento di informative privacy, policy interne e procedure;
l’integrazione dei sistemi IA nei processi di risk assessment, inclusa la DPIA ove richiesta;
la formazione specifica del personale sui rischi e sui limiti dei sistemi adottati.
In occasione del nostro 50° anniversario, abbiamo scelto di guardare al futuro con la stessa attenzione con cui custodiamo le nostre radici. Radici che affondano in Puglia, terra…
Con il D.Lgs. 7 maggio 2026, n. 96, entrato in vigore il 7 giugno 2026, l'Italia ha recepito la Direttiva (UE) 2023/970 sulla trasparenza retributiva, collocandosi tra i…
Nel 2026 De Luca & Partners festeggia un traguardo straordinario: 50 anni di attività. Mezzo secolo al fianco delle imprese, accompagnandole nell’evoluzione del diritto del lavoro e delle…
Con l’ordinanza n. 13722 dell’11 maggio 2026, la Corte di Cassazione, Sezione Lavoro, ha stabilito che il reiterato ritardo del dipendente, con conseguente mancato rispetto delle scadenze e…
In occasione del nostro webinar “È arrivata la Pay Transparency: la rivoluzione delle retribuzioni tra nuovi obblighi per le aziende e nuovi diritti per i lavoratori”, i relatori…
Con la recente ordinanza n. 13731 dell’11 maggio 2026, la Corte di Cassazione si è pronunciata in merito alla validità ed efficacia di una comunicazione del licenziamento avvenuta…