NEWS

 

AI, strumenti informatici e privacy in azienda: compliance verso un approccio integrato

L’utilizzo di sistemi di intelligenza artificiale è per le aziende un tema di organizzazione, regole interne e tutela concreta delle persone, e non può essere più trattato solo come una questione tecnologica.

(L'Avv. Matteo Maria Perlini, docente al Corso "AI e strumenti informatici: impatti sulla compliance privacy in azienda")

È necessario chiedersi se i sistemi di AI vengano usati in modo corretto, trasparente e controllabile ed è su questo piano che privacy, diritto del lavoro e compliance iniziano davvero a parlare la stessa lingua.

E le novità europee e italiane successive all’AI Act vanno tutte nella stessa direzione.

Da un lato, la giurisprudenza UE ha rafforzato l’idea che, quando un processo automatizzato incide in modo significativo sulla persona (per esempio con profilazione, punteggi, classificazioni o priorità), non basta una spiegazione generica: la Corte di giustizia, con la sentenza 27 febbraio 2025 (C-203/22), ha ribadito che il diritto dell’interessato all’informazione e all’accesso ai dati richiede contenuti realmente comprensibili e utili.

Dall’altro lato, è stato ribadito un punto molto importante per capire come usare l’intelligenza artificiale e come condividere correttamente i dati: anche se i dati sono pseudonimizzati, non è detto che escano dal perimetro del GDPR, in quanto, se esiste una possibilità ragionevole di risalire alla persona, quelle informazioni restano dati personali e vanno trattate con tutte le cautele del caso (sentenza CGUE 4 settembre 2025, C-413/23 P).

In questa prospettiva è opportuno richiamare anche le schede operative della CNIL sull’intelligenza artificiale, raccolte nella sezione AI how-to sheets, che affrontano in modo pratico i principali nodi nello sviluppo dei sistemi di intelligenza artificiale in conformità con il GDPR, con particolare attenzione alla trasparenza verso gli interessati, all’esercizio dei diritti, alla valutazione d’impatto, alla sicurezza e alla gestione dei dati usati per l’addestramento.

In Italia, la Legge n. 132/2025 aveva già rafforzato il tema dell’utilizzo di sistemi di AI nel rapporto di lavoro in raccordo con l’art. 1-bis del D.Lgs. 152/1997.

Con il D.M. 180 del 17 dicembre 2025 il Ministero del Lavoro ha compiuto un passo ulteriore pubblicando linee guida operative, che coprono implementazione in azienda, formazione, incentivi, principi di uso responsabile, gestione dei rischi e un vademecum dedicato alla GenAI.

La novità più importante del D.M. 180/2025 è il tentativo - riuscito, a parere di chi scrive - di tradurre AI Act, GDPR e diritto del lavoro in una grammatica comune per le imprese, facendo convergere temi come trasparenza, supervisione umana, tracciabilità, formazione e gestione del rischio.

Per le linee guida ministeriali, l’azienda non può limitarsi a dire che lo strumento serve solo a “supportare” le decisioni, dovendo invece trattarlo con regole precise se produce in concreto effetti sulle persone.

In termini operativi, quando l’intelligenza artificiale entra nei processi aziendali che riguardano i lavoratori (es. selezione, organizzazione del lavoro, valutazioni, controlli indiretti tramite strumenti digitali) l’impresa deve essere trasparente, deve garantire una supervisione umana reale e deve poter dimostrare come funziona il sistema.

Le linee guida ministeriali sono particolarmente utili perché spiegano questi obblighi con un linguaggio concreto, vicino alla vita aziendale insistendo su alcuni punti essenziali: informare chiaramente i lavoratori quando vengono usati sistemi automatici, evitare un uso opaco o eccessivo dei dati, mantenere il controllo umano sulle decisioni, documentare i processi e valutare non solo i rischi privacy, ma anche quelli legati a discriminazioni, stress, sorveglianza e impatto sull’organizzazione del lavoro.

In altre parole, le linee guida chiedono una gestione responsabile e verificabile oltre al rispetto formale delle norme.

Molto utile è anche il vademecum sull’IA generativa, perché offre indicazioni semplici ma efficaci che le aziende possono trasformare subito in regole interne.

In sostanza, l’idea di fondo è che questi strumenti possono essere molto utili, ma non vanno usati in modo indiscriminato.

Gli output devono essere sempre verificati da una persona competente, bisogna inserire solo i dati strettamente necessari, occorre fare attenzione a non caricare informazioni riservate o dati personali, e conviene privilegiare versioni professionali dei servizi, con maggiori garanzie contrattuali e tecniche.

È una linea di buon senso, ma anche pienamente coerente con una lettura integrata dei principi del GDPR (minimizzazione, trasparenza, accountability e art. 22), dell’art. 4 Statuto dei lavoratori (quando lo strumento assume una funzione di controllo) e dell’AI Act (tracciabilità, trasparenza e supervisione umana).

In questo senso, il Ministero spinge verso un approccio integrato alla valutazione d’impatto che abbracci privacy, lavoro, organizzazione ed etica, richiedendo un impact assessment che non si limiti al trattamento dei dati personali, ma consideri congiuntamente occupazione, protezione dati, sicurezza e diritti dei lavoratori.

Del resto, per alcuni sistemi di AI ad alto rischio l’AI Act richiede anche una valutazione preventiva dell’impatto sui diritti fondamentali (FRIA) che si affianca alla valutazione di impatto privacy (DPIA).

In pratica, accanto alla valutazione privacy, l’azienda deve considerare in modo strutturato anche i rischi più ampi per le persone, così da dimostrare che l’uso del sistema è davvero controllato e proporzionato.

Per questo oggi la vera sfida è costruire una governance semplice e credibile, sapere quali sistemi di AI sono usati in azienda, per quali scopi, con quali dati, con quali rischi e con quali controlli, mettendo intorno allo stesso tavolo chi si occupa di privacy, chi gestisce le risorse umane, chi segue l’IT e chi prende le decisioni organizzative.

Se questi pezzi restano separati, la compliance resta teorica; se invece lavorano insieme, l’azienda riesce a innovare con meno rischi e con maggiore fiducia da parte di lavoratori, clienti e partners.

In questo scenario, la privacy non è un ostacolo all’innovazione tecnologica, ma il modo più concreto per renderla sostenibile.

E proprio questo, oggi, è il punto centrale: usare l’intelligenza artificiale non solo in modo efficiente, ma in modo corretto, spiegabile e rispettoso delle persone.

Note sull'Autore

Matteo Maria Perlini Matteo Maria Perlini

Avvocato Cassazionista presso Studio Legale Perlini, Data Protection Officer, Delegato Federprivacy per la provincia di Frosinone, membro del Gruppo di Lavoro per la tutela della privacy nella gestione del personale - Web: www.studiolegaleperlini.it

Articoli correlati

Prev Norma ISO/IEC 27701:2025, come cambia lo standard internazionale sui sistemi di gestione della privacy
Next Legittimo il licenziamento del lavoratore che in un giorno di ferie mette le mani sui dati aziendali senza alcun motivo

Galleria Video

Privacy Day Forum 2025: il servizio dell'Ansa

Cerca Delegato

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Newsletter

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy

Federprivacy sui social

Argomenti in evidenza