La recente Legge n. 132/2025 sull'Intelligenza Artificiale, entrata in vigore lo scorso 10 ottobre, ha introdotto specifici obblighi per i datori di lavori, nei confronti di dipendenti e collaboratori, che si intersecano con il rispetto della normativa privacy.
L'inserimento di dati personali dei lavoratori in un sistema di intelligenza artificiale (IA) e l'eventuale trasferimento di tali dati a soggetti terzi sollevano, infatti, significative questioni in materia di protezione dei dati personali, che impongono al datore di lavoro il rispetto di specifiche garanzie.
BASE GIURIDICA: L'articolo 11 della Legge n. 132/2025 sancisce che l'utilizzo dell'IA in ambito lavorativo "non puo' [...] violare la riservatezza dei dati personali" e deve essere "trasparente".
Qualsiasi trattamento di dati personali, anche tramite IA, deve quindi aderire ai principi fondamentali del GDPR (art. 5), tra cui liceità, correttezza, trasparenza, limitazione della finalità, minimizzazione dei dati e responsabilità.
Ciò significa il trattamento dei dati dei lavoratori tramite un sistema di IA deve fondarsi su una base giuridica adeguata ai sensi dell'art. 6 del GDPR, quale l'esecuzione del contratto di lavoro, l’adempimento a un obbligo legale o il perseguimento di un legittimo interesse del datore di lavoro.
DPIA: Dato che l'uso di IA per la gestione dei lavoratori comporta verosimilmente un "trattamento su larga scala di categorie particolari di dati" o una "sorveglianza sistematica su larga scala di una zona accessibile al pubblico", inoltre, è quasi sempre obbligatorio effettuare una Valutazione d'Impatto sulla Protezione dei Dati
OBBLIGHI DI TRASPARENZA E INFORMATIVA:
Oltre all'informativa generale ai sensi degli articoli 13 e 14 del GDPR, la Legge n. 132/2025 impone un obbligo informativo specifico sull'uso dell'IA, richiamando l'articolo 1-bis del D.Lgs. n. 152/1997 [LEGGE 23 settembre 2025, n. 132 / Capo II,Art. 11.]. Questo significa che i lavoratori devono essere informati in modo chiaro e completo su:
* Le finalità e le logiche del sistema di IA.
* I parametri utilizzati per le valutazioni o decisioni.
* Le modalità di funzionamento del sistema.
Se il trattamento avviene per legittimo interesse, trattandosi di trattamento che prevede l’uso di nuove tecnologie e processi automatizzati, deve poi esserne data comunicazione al Garante, come previsto la Legge n. 205/17.
GESTIONE DEL FORNITORE DI IA COME RESPONSABILE DEL TRATTAMENTO:
Nel caso in cui il datore di lavoro si avvalga di un fornitore esterno del sistema di ID occorre formalizzare un accordo di nomina a Responsabile del trattamento, per impedire che il fornitore del sistema di IA utilizzi i dati per finalità proprie o li trasferisca a terzi senza autorizzazione. La possibilità di trasferimento verso soggetti deve essere autorizzata dal Titolare e in caso di Trasferimenti verso Paesi Terzi (fuori dal SEE), ai fini della sua liceità occorre verificare che il paese terzo garantisca un livello di protezione dei dati adeguato ed equivalente a quello UE oppure, in alternativa, che il Titolare o il Responsabile forniscano garanzie contrattuali adeguate conformi per la Commissione Europea, da verificarsi caso per caso con riferimento ala prassi e garanzie legali offerte dal paese terzo.
RAPPORTI DI LAVORO:
Diritti dei Lavoratori
L'articolo 11 della Legge n. 132/2025 stabilisce i principi fondamentali che devono governare l'impiego di sistemi di intelligenza artificiale nel mondo del lavoro. La norma chiarisce che l'IA deve essere utilizzata per finalità positive, quali:
- Migliorare le condizioni di lavoro.
- Tutelare l'integrità psicofisica dei lavoratori.
- Accrescere la qualità delle prestazioni lavorative e la produttività.
Il comma 2 dell'articolo 11 della Legge 132/25 introduce lo specifico obbligo per il datore di lavoro o il committente di informare il lavoratore dell'utilizzo dell'intelligenza artificiale nei casi e con le modalità di cui all' articolo 1-bis del decreto legislativo 26 maggio 1997, n. 152 .
L'utilizzo di tali sistemi deve avvenire in conformità con il diritto dell'Unione Europea e non può violare la riservatezza dei dati personali.
Questo richiamo diretto alla normativa sulla protezione dei dati personali implica che l'implementazione di sistemi di IA deve rispettare tutti i principi del GDPR, creando un obbligo legale specifico e rafforzato in caso di impiego di tecnologie di intelligenza artificiale in ambito lavorativo,
Sanzioni e Tutele
La violazione degli obblighi informativi sull'uso dell'IA può comportare conseguenze significative per il datore di lavoro, che in caso di omessa o incompleta informativa può rischiare di essere sanzionato per condotta antisindacale ai sensi dell'articolo 28 dello Statuto dei Lavoratori (così si era espresso già prima dell’entrata in vigore della Legge in commento il Tribunale di Torino n. 231 del 11 marzo 2024)
Istituzione dell'Osservatorio sull'Intelligenza Artificiale
Infine, la Legge n. 132/2025 prevede, all'articolo 12, l'istituzione presso il Ministero del Lavoro e delle Politiche Sociali dell'Osservatorio sull'adozione di sistemi di intelligenza artificiale nel mondo del lavoro. Questo organo avrà il compito di:
- Definire una strategia nazionale sull'utilizzo dell'IA in ambito lavorativo.
- Monitorare l'impatto dell'IA sul mercato del lavoro.
- Identificare i settori lavorativi più esposti alla trasformazione tecnologica.
- Promuovere la formazione di lavoratori e datori di lavoro in materia.
La creazione di questo osservatorio segnala l'intenzione del legislatore di governare il fenomeno in modo strutturato e continuativo, non limitandosi a un intervento normativo puntuale.
Importantissimo, quindi, per tutte le aziende aggiornarsi ed adeguarsi alla nuova legge sull’Intelligenza Artificiale, per stare al passo con tempi non solo sotto il profilo delle nuove opportunità di efficientamento dei servizi, ma anche dal punto di vista della compliance normativa.
