IA che misura stress ed emozioni dei lavoratori: perché il Garante privacy richiama il limite tra benessere aziendale e controllo vietato

L’intelligenza artificiale applicata al lavoro non solleva problemi giuridici solo quando decide assunzioni, licenziamenti, turni o valutazioni di performance. Può diventare delicata anche quando si presenta con un volto più rassicurante: quello del benessere aziendale, dell’ascolto dei dipendenti, della prevenzione dello stress o del supporto psicologico personalizzato.

È proprio questo il profilo emerso nel provvedimento del Garante per la protezione dei dati personali del 14 maggio 2026, reso noto con comunicato stampa del 28 maggio 2026, relativo a un plug-in sviluppato da una start-up italiana per piattaforme di messaggistica aziendale come Slack e Teams. Il sistema, basato su intelligenza artificiale e analisi semantica, era finalizzato a rilevare linguaggio, emozioni e livello di stress psicologico dei lavoratori che scegliessero volontariamente di utilizzarlo.

Il caso è interessante perché non riguarda un datore di lavoro che legge direttamente le chat dei dipendenti, né un sistema dichiaratamente disciplinare o di controllo della produttività. Secondo quanto riportato dal Garante, la società fornitrice del servizio si qualifica come titolare del trattamento; il datore di lavoro che acquista il servizio non accede ai contenuti delle comunicazioni analizzate né ai risultati individuali elaborati dal sistema. Tuttavia, era prevista la possibilità di mettere a disposizione del datore di lavoro report aggregati sul livello di stress psicologico dei dipendenti.

È qui che il tema diventa giuridicamente decisivo. Il problema non è soltanto chi vede il dato individuale in forma diretta. Il problema è anche se, attraverso aggregazioni, soglie numeriche, contesti aziendali ristretti o combinazioni con altre informazioni disponibili, il datore di lavoro possa arrivare a conoscere, anche indirettamente, aspetti della sfera emotiva o psicologica dei lavoratori.

Il Garante ha adottato un avvertimento ai sensi dell’art. 58, par. 2, lett. a), GDPR, segnalando che i trattamenti previsti possono verosimilmente violare la disciplina in materia di protezione dei dati personali e tutela della dignità della persona che lavora. Non si tratta, dunque, di una sanzione né di un accertamento definitivo di illecito già consumato. È però un atto molto significativo, perché mostra come l’Autorità legga questi strumenti alla luce di un quadro normativo integrato: GDPR, Codice privacy, Statuto dei lavoratori, disciplina sulla salute e sicurezza nei luoghi di lavoro e Regolamento europeo sull’intelligenza artificiale.

Il primo punto da chiarire riguarda la natura dei dati trattati. Un sistema che analizza messaggi, linguaggio, tono, contenuti semantici e possibili indicatori di stress non tratta semplicemente “testo”. Può generare inferenze sulla condizione emotiva, psicologica o sanitaria della persona. Nel GDPR, i dati relativi alla salute sono dati personali attinenti alla salute fisica o mentale di una persona fisica, idonei a rivelare informazioni sul suo stato di salute. Inoltre, l’art. 9 GDPR disciplina le categorie particolari di dati personali, assoggettandole a un regime rafforzato.

Anche quando il dato originario è una frase scritta in una chat, l’elaborazione algoritmica può trasformarlo in un’informazione molto più sensibile: “stress elevato”, “rischio di burnout”, “disagio emotivo”, “instabilità”, “calo del benessere”. [Inferenza] Questa trasformazione è particolarmente delicata nei sistemi basati su modelli linguistici e analisi semantica, perché si fonda su correlazioni statistiche e classificazioni che possono non essere immediatamente verificabili dall’interessato o dal datore di lavoro. Il Garante, nel provvedimento, richiama espressamente il rischio di risultati non sempre trasparenti, spiegabili o verificabili, con possibili effetti distorsivi, discriminatori o lesivi dei diritti dei lavoratori.

In ambito lavorativo, poi, il consenso del dipendente non va mai letto come se si trattasse di un rapporto tra soggetti perfettamente paritari. Anche quando l’uso dello strumento è presentato come volontario, il contesto conta. Il lavoratore può percepire una pressione implicita ad aderire, può temere di apparire poco collaborativo, può non comprendere fino in fondo le conseguenze dell’analisi dei propri messaggi. Il GDPR richiede che ogni trattamento abbia una base giuridica idonea, sia corretto, trasparente, proporzionato e limitato a quanto necessario rispetto alle finalità dichiarate. Nel rapporto di lavoro, l’art. 88 GDPR consente agli Stati membri di prevedere norme più specifiche a protezione dei dipendenti, con particolare attenzione alla dignità umana, alla trasparenza e ai sistemi di monitoraggio sul posto di lavoro.

Nel diritto italiano, questo quadro si intreccia con lo Statuto dei lavoratori. L’art. 5 della legge 20 maggio 1970, n. 300 limita gli accertamenti sanitari da parte del datore di lavoro, mentre l’art. 8 vieta indagini sulle opinioni del lavoratore e su fatti non rilevanti ai fini della valutazione dell’attitudine professionale. Il Garante richiama inoltre l’art. 113 del Codice privacy, che rinvia proprio alla disciplina lavoristica. Il messaggio di sistema è chiaro: il datore di lavoro non può costruire, direttamente o indirettamente, un canale parallelo per conoscere condizioni personali, psicologiche o sanitarie del dipendente al di fuori delle garanzie previste dall’ordinamento.

Questo punto è ancora più evidente se si considera il ruolo del medico competente nella disciplina della salute e sicurezza sul lavoro. Il d.lgs. 9 aprile 2008, n. 81 attribuisce al medico competente funzioni specifiche nella sorveglianza sanitaria, nella valutazione dell’idoneità alla mansione e nella gestione delle informazioni sanitarie dei lavoratori. Il datore di lavoro deve organizzare la sicurezza e valutare i rischi, ma non può trasformarsi in destinatario generalizzato di informazioni sullo stato psicologico dei dipendenti. La separazione tra datore di lavoro e medico competente è una garanzia sostanziale, non una formalità.

Il profilo più nuovo, però, è il richiamo all’AI Act. L’art. 5, par. 1, lett. f), del Regolamento UE 2024/1689 vieta l’immissione sul mercato, la messa in servizio per tale finalità specifica o l’uso di sistemi di IA per inferire le emozioni di una persona fisica nell’ambito del luogo di lavoro e degli istituti di istruzione, salvo che il sistema sia destinato a essere messo in funzione o immesso sul mercato per motivi medici o di sicurezza. È una disposizione di forte impatto, perché qualifica certe pratiche non solo come rischiose, ma come vietate.

La norma europea deve essere letta con prudenza. Non ogni strumento di welfare digitale, supporto psicologico o prevenzione del disagio è automaticamente vietato. La stessa disposizione prevede eccezioni per motivi medici o di sicurezza. Tuttavia, queste eccezioni non possono essere usate come formula generica per giustificare qualunque analisi emotiva dei lavoratori. Se lo strumento produce informazioni che arrivano al datore di lavoro, anche in forma indiretta o aggregata ma concretamente riconducibile, il rischio di incompatibilità con il quadro normativo diventa molto serio.

Il provvedimento del Garante mostra proprio questa linea. L’Autorità prende favorevolmente atto dell’impostazione dichiarata dalla società, secondo cui gli enti e le imprese clienti non trattano i dati individuali dei lavoratori. Rileva però che la possibilità di trasmettere report aggregati può comunque generare un rischio. In aziende piccole, team ristretti, reparti con poche persone o gruppi caratterizzati da informazioni già note al datore di lavoro, l’aggregazione può non essere sufficiente. Un report su “più di dieci” dipendenti, ad esempio, può apparire anonimo in astratto ma rivelarsi fragile in concreto, se il datore di lavoro conosce assenze, ruoli, turni, eventi personali o dinamiche interne.

Questo è un passaggio centrale per imprese e fornitori tecnologici: l’anonimizzazione non si valuta in laboratorio, ma nel contesto reale. Un dato è davvero anonimo solo se l’interessato non è identificabile, nemmeno indirettamente, con mezzi ragionevolmente utilizzabili. Se invece il dato resta collegabile a persone fisiche, anche attraverso combinazioni e inferenze, si resta nel campo di applicazione della normativa privacy. Il Garante, coerentemente, chiede misure e accorgimenti idonei a evitare qualsiasi forma di messa a disposizione, anche indiretta, delle informazioni trattate mediante il sistema in favore dei datori di lavoro.

Sul piano operativo, la lezione è ampia. Prima di adottare strumenti di IA per analizzare clima aziendale, stress, burnout, sentiment o comunicazioni interne, l’impresa deve chiedersi almeno cinque cose. Primo: quale dato viene davvero trattato, non solo in ingresso ma anche in uscita? Secondo: il sistema genera inferenze sulla salute, sulla sfera emotiva o su aspetti personali non pertinenti alla prestazione lavorativa? Terzo: chi riceve i risultati, con quale livello di dettaglio e con quali possibilità di re-identificazione? Quarto: esiste una base giuridica adeguata e compatibile con il rapporto di lavoro? Quinto: il trattamento rispetta privacy by design, minimizzazione, trasparenza, limitazione della finalità e controllo umano effettivo?

Per i fornitori HR tech, il punto non è meno rilevante. Un prodotto destinato al mercato del lavoro non può essere progettato pensando solo alla funzionalità promessa. Deve incorporare vincoli giuridici fin dall’architettura: soglie robuste, esclusione di report troppo granulari, impossibilità tecnica di accesso da parte del datore di lavoro a dati individuali o indirettamente identificativi, documentazione chiara, valutazioni di impatto, spiegabilità dei risultati, controlli sulle finalità e sulle categorie di dati trattati. In assenza di queste cautele, il rischio non riguarda solo il cliente datore di lavoro, ma anche il provider che immette o mette in servizio il sistema.

C’è poi un tema culturale. Negli ultimi anni molte tecnologie aziendali sono state presentate come strumenti di benessere: piattaforme per misurare engagement, analizzare umore dei team, prevenire burnout, migliorare la comunicazione interna. Ma il benessere aziendale non può diventare una forma di sorveglianza emotiva. La tutela della salute psicologica dei lavoratori richiede strumenti seri, proporzionati e rispettosi dei ruoli. Non può tradursi nella creazione di un flusso informativo che consenta all’impresa di conoscere chi è stressato, chi è fragile, chi manifesta disagio o chi comunica in modo emotivamente “anomalo”.

La conclusione più prudente è dunque questa: quando un sistema di IA entra nelle comunicazioni aziendali e produce inferenze su stress o emozioni, il livello di attenzione deve essere massimo. Non basta dichiarare che il lavoratore aderisce volontariamente. Non basta dire che il report è aggregato. Non basta invocare finalità di benessere. Occorre verificare se il trattamento sia necessario, proporzionato, giuridicamente fondato, tecnicamente controllato e compatibile con la dignità della persona che lavora.

Il provvedimento del Garante non chiude il dibattito, ma offre una bussola molto chiara. L’IA nel lavoro può essere utile solo se resta entro confini rigorosi: trasparenza effettiva, minimizzazione dei dati, separazione dei ruoli, protezione della salute e divieto di inferenze emotive indebite. La tecnologia può aiutare l’organizzazione a comprendere meglio i rischi, ma non può trasformare il lavoratore in un insieme di segnali psicologici da misurare, classificare e restituire all’azienda. Nel diritto del lavoro, prima ancora che nel diritto dell’intelligenza artificiale, la persona non è un dato aziendale.