Il Garante per la protezione dei dati personali, con il provvedimento 342 del 14 maggio 2026, interviene sul crescente utilizzo di sistemi di intelligenza artificiale destinati all’analisi dello stato emotivo dei lavoratori. L’Autorità esamina il funzionamento del plug-in Myndoor, applicativo che utilizza tecniche di sentiment analysis per elaborare i messaggi scambiati nelle chat aziendali Slack e Teams e fornire agli utenti indicazioni sul proprio livello di stress. Pur escludendo, nel caso concreto, l’esistenza di una violazione già consumata, il Garante evidenzia i rilevanti rischi per la tutela dei dati personali e della dignità dei lavoratori, adottando un provvedimento di avvertimento nei confronti della società fornitrice del servizio. L’intelligenza artificiale sta progressivamente entrando nei luoghi di lavoro attraverso strumenti sempre più sofisticati, capaci non soltanto di organizzare attività e processi produttivi, ma anche di elaborare informazioni riferibili alla sfera personale dei dipendenti. Tra le applicazioni più controverse rientrano i sistemi di analisi semantica che, mediante algoritmi di machine learning, sono in grado di elaborare il contenuto delle comunicazioni aziendali al fine di inferire stati emotivi, livelli di benessere psicologico o condizioni di stress. È proprio in questo contesto che si colloca il provvedimento adottato dal Garante nei confronti della società Myndoor S.r.l., sviluppatrice di un plug-in utilizzabile all’interno delle piattaforme Slack e Teams per effettuare attività di sentiment analysis sui messaggi scritti dagli utenti durante l’attività lavorativa. L’intervento dell’Autorità assume particolare interesse poiché affronta simultaneamente tre profili di estrema attualità: la protezione dei dati personali nel rapporto di lavoro, i limiti ai sistemi di monitoraggio dei dipendenti e il coordinamento tra Gdpr Regolamento UE 679/16 e nuovo Regolamento europeo sull’intelligenza artificiale.Il funzionamento del sistema e l’attività istruttoria del Garante. L’istruttoria trae origine da notizie di stampa che avevano segnalato l’utilizzo del sistema presso amministrazioni pubbliche e imprese. Gli accertamenti svolti dal Garante hanno consentito di ricostruire il funzionamento dell’applicativo. Il plug-in consente ai lavoratori che decidano volontariamente di utilizzarlo di ottenere una valutazione del proprio livello di stress psicologico attraverso l’analisi del linguaggio impiegato nei messaggi scambiati sulle piattaforme di collaborazione aziendale. Il sistema elabora i contenuti testuali mediante modelli di intelligenza artificiale e restituisce all’utente indicazioni riferite al proprio benessere emotivo. L’Autorità ha rilevato che il servizio viene acquistato dal datore di lavoro, ma è destinato all’utilizzo individuale e facoltativo dei dipendenti. Inoltre, secondo quanto dichiarato dalla società, il datore di lavoro non può accedere né ai messaggi analizzati né ai risultati individuali delle elaborazioni effettuate dal sistema. La società ha altresì precisato di operare quale titolare autonomo del trattamento e di aver progressivamente modificato l’architettura del servizio fino ad eliminare l’acquisizione diretta di dati identificativi degli utenti. La centralità della tutela della dignità del lavoratore. La parte più significativa del provvedimento riguarda la ricostruzione del quadro normativo applicabile ai trattamenti effettuati nel contesto lavorativo. Il Garante richiama anzitutto gli articoli 24 e 25 del Gdpr, ribadendo come la conformità alla disciplina in materia di protezione dei dati debba essere garantita sin dalla fase di progettazione dei servizi e delle applicazioni che trattano informazioni personali. Particolare rilievo assume il principio di privacy by design, che impone ai produttori di sviluppare soluzioni tecnologiche idonee a prevenire fin dall’origine trattamenti incompatibili con i diritti fondamentali degli interessati. Nel contesto lavorativo, tuttavia, la disciplina privacy si intreccia con le norme nazionali poste a tutela della dignità della persona che lavora. Il provvedimento richiama espressamente l’articolo 113 del Codice privacy, l’articolo 8 dello Statuto dei lavoratori e le disposizioni che vietano al datore di lavoro di raccogliere informazioni non pertinenti rispetto all’attività lavorativa svolta dal dipendente. Secondo l’Autorità, le informazioni concernenti la sfera emotiva della persona, il livello di stress psicologico o le condizioni di benessere mentale rientrano pienamente tra i dati che il datore di lavoro non può legittimamente conoscere. L’elemento centrale del ragionamento del Garante consiste proprio nell’affermazione secondo cui lo stato emotivo del lavoratore rappresenta una dimensione personale che non può diventare oggetto di conoscenza, monitoraggio o valutazione da parte del datore di lavoro, neppure indirettamente attraverso strumenti tecnologici avanzati. Il collegamento con il Regolamento europeo sull’intelligenza artificiale. Particolarmente innovativo è il richiamo effettuato al Regolamento (UE) 1689/24 sull’intelligenza artificiale. L’Autorità evidenzia che l’articolo 5, paragrafo 1, lettera f), del regolamento vieta l’immissione sul mercato e l’utilizzo di sistemi di AI destinati a inferire le emozioni delle persone fisiche nei luoghi di lavoro. Il riferimento assume notevole importanza perché rappresenta una delle prime applicazioni concrete dei principi contenuti nel nuovo quadro normativo europeo sull’intelligenza artificiale. Secondo il Garante, anche quando il sistema venga utilizzato per finalità apparentemente benefiche, come il miglioramento del benessere organizzativo o la prevenzione dello stress lavoro-correlato, occorre evitare che le informazioni generate dall’intelligenza artificiale possano essere rese conoscibili al datore di lavoro o utilizzate per finalità incompatibili con la tutela della dignità della persona. L’Autorità richiama inoltre l’attenzione sui rischi tipici dei sistemi basati su modelli linguistici e analisi semantica, sottolineando la necessità di garantire affidabilità, trasparenza, spiegabilità degli algoritmi e adeguato controllo umano sui risultati prodotti dai sistemi automatizzati. L’avvertimento del Garante e gli effetti pratici per imprese e fornitori. Pur non ravvisando una violazione già consumata, il Garante ha ritenuto necessario adottare un provvedimento di avvertimento ai sensi dell’articolo 58 del Gdpr. L’Autorità prende atto che, nel caso esaminato, non risultano essere stati comunicati ai datori di lavoro dati personali riferibili ai singoli dipendenti. Tuttavia, evidenzia il rischio che la trasmissione di report aggregati sul livello di stress del personale possa, in determinate realtà organizzative, consentire indirettamente l’identificazione degli interessati o comunque determinare una conoscenza indebita di informazioni riferite alla loro sfera emotiva. Per tale ragione il Garante invita la società a predisporre misure tecniche e organizzative idonee a prevenire qualsiasi forma di messa a disposizione, diretta o indiretta, delle informazioni elaborate mediante il sistema nei confronti dei datori di lavoro che acquistano il servizio. L’avvertimento assume una portata che va ben oltre il singolo caso esaminato e si rivolge, di fatto, all’intero mercato delle soluzioni tecnologiche destinate al monitoraggio del benessere organizzativo. Il provvedimento 342/2026 rappresenta uno dei primi interventi dell’Autorità italiana nel delicato punto di incontro tra intelligenza artificiale, organizzazione del lavoro e tutela della persona. Il Garante conferma che la protezione dei dati personali non può essere considerata separatamente dalle garanzie poste a tutela della dignità del lavoratore e richiama l’attenzione delle imprese sui rischi derivanti dall’utilizzo di strumenti capaci di inferire emozioni, stati psicologici o condizioni di stress dei dipendenti. L’intervento assume particolare rilievo anche in prospettiva futura. L’entrata in vigore del Regolamento europeo sull’intelligenza artificiale impone infatti una revisione complessiva delle tecnologie utilizzate nei contesti lavorativi. I sistemi che elaborano dati emotivi, comportamentali o psicologici dovranno essere valutati non soltanto alla luce del Gdpr, ma anche delle nuove limitazioni introdotte dal legislatore europeo in materia di AI. Per imprese, sviluppatori e professionisti si apre dunque una fase nella quale la progettazione degli strumenti digitali dovrà necessariamente integrare, fin dall’origine, esigenze di innovazione tecnologica e tutela dei diritti fondamentali della persona che lavora.

Fonte: SOLE24ORE