Con il provvedimento n. 342/2026 Il Garante per la protezione dei dati personali ha emesso un avvertimento nei confronti di una start-up italiana in merito a un innovativo plug-in da essa sviluppato. Questo strumento, basato su sistemi di intelligenza artificiale, utilizza la tecnica della sentiment analysis per rilevare le emozioni e i livelli di stress degli utilizzatori dipendenti delle aziende clienti. Il software in questione si integra direttamente nelle piattaforme di messaggistica aziendali e, attraverso l’analisi semantica dei testi, monitora lo stato di stress dei lavoratori che scelgono di usufruirne in modo del tutto volontario, offrendo loro in cambio dei suggerimenti personalizzati per finalità di medicina preventiva, diagnosi e assistenza.
Trattamento dati e gestione privacy – Nella fase istruttoria il Garante ha riscontrato che i dati raccolti dal sistema potevano includere informazioni identificative e di contatto come nome, cognome, indirizzo email, numero di telefono, oltre a luogo e data di nascita e residenza, dati che rientrano nelle categorie particolari tutelate dall’articolo 9 del Regolamento UE n. 679/2016 (GDPR).Tuttavia, tali informazioni non venivano memorizzate a lungo termine, poiché il sistema provvedeva alla loro cancellazione immediata non appena effettuata l’analisi e generata la risposta per l’utente. Solo in un secondo momento, la start-up ha liberamente scelto di ottimizzare il servizio introducendo l’attivazione del plug-in tramite un codice identificativo univoco, allineandosi così al principio di minimizzazione dei dati. A conclusione delle verifiche ispettive, è emerso che l’unico soggetto a trattare queste informazioni è la start-up stessa, la quale riveste il ruolo esclusivo di titolare del trattamento. Al datore di lavoro che acquista il servizio è precluso qualsiasi tipo di accesso sia ai contenuti delle chat sia ai risultati delle elaborazioni individuali, potendo fruire di questi dati solo ed esclusivamente in una forma aggregata attraverso report statistici che includono un minimo di 10 dipendenti.
L’avvertimento del Garante – Nonostante l’azienda cliente non acceda ai dati sensibili, la delicatezza delle informazioni elaborate ha spinto il Garante a richiamare formalmente l’attenzione sulla necessità di misure tecniche e organizzative idonee a garantire la piena conformità alla disciplina sulla protezione dei dati. Il Garante ribadisce che tali misure devono essere strutturate fin dal momento della progettazione del servizio, secondo il principio della privacy by design, e devono essere capaci di prevenire efficacemente il rischio che soggetti terzi non legittimati possano accedere alle informazioni dei lavoratori. In questo contesto, l’Autorità ha ritenuto fondamentale ricordare che l’ordinamento italiano vieta espressamente al datore di lavoro di acquisire informazioni non strettamente attinenti all’attività lavorativa, ponendo inoltre un generale divieto di intraprendere iniziative autonome di accertamento sanitario nei confronti del proprio personale.
I divieti dell’IA ACT – La decisione del Garante si inserisce in un quadro normativo europeo stringente, regolato dal recente Regolamento UE 2024/1689, noto come AI Act. L’articolo 5 di tale regolamento vieta esplicitamente l’immissione sul mercato, la messa in servizio o l’uso di sistemi di intelligenza artificiale progettati per inferire le emozioni di una persona fisica all’interno dei contesti lavorativi. Di conseguenza, queste tecnologie non devono in alcun modo mettere a disposizione dei datori di lavoro informazioni sul personale acquisite tramite algoritmi predittivi.
Le raccomandazioni – Il Garante ha infine rimarcato come l’adozione di strumenti basati su modelli linguistici e analisi semantica, anche se non legati al trattamento di dati biometrici ( espressioni facciali, tonalità della voce, battito cardiaco ) comporti in ogni caso forti rischi legati a risultati non sempre trasparenti o facilmente spiegabili, che potrebbero tradursi in derive discriminatorie o lesive dei diritti dei lavoratori. Per sventare tali minacce, l’Autorità evidenzia l’assoluta necessità di un approccio consapevole e prudente, che rispetti rigorosamente il principio di trasparenza previsto per i sistemi considerati ad alto rischio dal nuovo regolamento europeo.
