Con l’approvazione in via preliminare, da parte del Consiglio dei Ministri il 10 giugno 2026, dei primi schemi di decreti legislativi attuativi della legge delega in materia di intelligenza artificiale (legge 23 settembre 2025, n. 132), prende forma un assetto regolatorio destinato a incidere in modo significativo sull’organizzazione del lavoro e sui trattamenti di dati personali in ambito HR.
Il quadro normativo si inserisce in un contesto multilivello, caratterizzato dall’interazione tra disciplina nazionale, AI Act e Regolamento (UE) 2016/679 (“GDPR”), consolidando un modello che pone al centro un utilizzo dell’IA “antropocentrico”, fondato su trasparenza, accountability e tutela dei diritti fondamentali.
Processi decisionali automatizzati e art. 22 GDPR
Particolare rilievo assume la regolazione dei processi decisionali assistiti o automatizzati nel rapporto di lavoro. In continuità con l’art. 22 GDPR, i decreti introducono un espresso divieto di decisioni unicamente automatizzate nei procedimenti che incidono sulla costituzione, gestione e cessazione del rapporto di lavoro, nonché in materia disciplinare.
Tale previsione rafforza l’obbligo di garantire un intervento umano significativo, attribuendo la decisione finale a una persona fisica dotata di effettivo potere autonomo. La violazione di tale principio comporta, tra l’altro, la nullità del licenziamento adottato sulla base di una decisione interamente automatizzata, con rilevanti implicazioni in termini di contenzioso.
Obblighi di trasparenza e informativa rafforzata
In linea con i principi di cui agli artt. 5 e 13‑14 GDPR, la normativa impone al datore di lavoro di assicurare un livello elevato di trasparenza nell’utilizzo dei sistemi di IA. In particolare, è previsto l’obbligo di fornire al lavoratore, prima dell’avvio del trattamento, un’informativa specifica circa l’impiego di sistemi intelligenti nei processi decisionali (anche ai sensi dell’art. 1‑bis d.lgs. 152/1997).
A ciò si aggiunge un diritto di accesso “rafforzato”, che si concretizza nella possibilità, su richiesta dell’interessato, di ottenere una spiegazione comprensibile delle logiche decisionali e dei principali parametri utilizzati dall’algoritmo.
Tali obblighi comportano, sul piano pratico, la necessità di implementare adeguati presidi documentali e tecnici, coerenti con il principio di accountability ex art. 5, par. 2, GDPR.
Non discriminazione, correttezza e minimizzazione
La disciplina valorizza, inoltre, il principio di non discriminazione, richiedendo che i sistemi di IA non producano effetti discriminatori fondati, tra l’altro, su genere, età, origine etnica o condizioni personali.
In ottica data protection, ciò implica per il datore di lavoro:
- la verifica preventiva di bias algoritmici;
- l’adozione di misure tecniche e organizzative idonee a garantire l’accuratezza dei dati;
- il rispetto dei principi di minimizzazione e limitazione della finalità (art. 5 GDPR).
Implicazioni in materia di salute e sicurezza e trattamento dei dati
I decreti intervengono anche sul versante salute e sicurezza sul lavoro, stabilendo che i sistemi di IA che incidono sull’organizzazione del lavoro o sui ritmi produttivi devono essere inclusi nella valutazione dei rischi ai sensi del d.lgs. 81/2008.
In tali contesti, il trattamento dei dati personali – spesso su larga scala e relativi anche a performance e comportamenti – richiede una particolare attenzione ai profili di:
- necessità e proporzionalità del trattamento;
- eventuale svolgimento di una valutazione d’impatto sulla protezione dei dati (DPIA) ex art. 35 GDPR, in presenza di trattamenti automatizzati sistematici o su larga scala;
- corretta individuazione delle basi giuridiche applicabili.
Alla luce del nuovo quadro normativo, emerge la necessità per le aziende di adottare un approccio integrato alla governance dell’IA, che coniughi profili lavoristici, privacy e sicurezza sul lavoro. In particolare, si rendono necessari:
- la mappatura dei sistemi di IA utilizzati nei processi HR;
- la formalizzazione di presidi di controllo umano effettivo;
- l’aggiornamento di informative privacy, policy interne e procedure;
- l’integrazione dei sistemi IA nei processi di risk assessment, inclusa la DPIA ove richiesta;
- la formazione specifica del personale sui rischi e sui limiti dei sistemi adottati.