NEWS

La sentiment analysis nei luoghi di lavoro al vaglio del Garante Privacy

Con il provvedimento n. 342 del 14 maggio 2026 il Garante ha rivolto un avvertimento a una start-up che ha sviluppato un plug-in per Slack e Teams capace di stimare, tramite analisi semantica delle chat, il livello di stress dei lavoratori che scelgano di utilizzarlo. All’origine del provvedimento vi sono alcune notizie di stampa che riferivano dell’impiego, presso enti pubblici, di un applicativo di sentiment analysis sviluppato da Myndoor S.r.l. e integrabile nelle piattaforme di messaggistica aziendale Slack e Teams.

Sulla base di tali segnalazioni l’Autorità ha avviato d’ufficio accertamenti ispettivi nei confronti della Società . Il presupposto iniziale — l’uso del sistema da parte di amministrazioni che avrebbero così trattato dati dei propri dipendenti in qualità di datori di lavoro — è però venuto meno già in sede istruttoria, avendo la Società dichiarato che l’ente indicato non aveva acquistato il servizio. Il perimetro del provvedimento si è dunque ridefinito sui trattamenti che, nell’attuale configurazione del sistema, potrebbero in generale essere realizzati dagli enti e dalle imprese acquirenti.

Il funzionamento è il seguente: il dipendente che lo desideri attiva il plug-in e i contenuti testuali dei messaggi scambiati nelle chat sono analizzati da un modello di IA che ne stima i «parametri di stress», restituendo all’interessato suggerimenti per il benessere. Al datore di lavoro che ha acquistato il servizio resta tecnicamente precluso l’accesso sia ai contenuti sia ai risultati individuali. È tuttavia prevista la possibilità di generare, su richiesta, un report aggregato settimanale sul livello di stress, subordinato alla presenza di almeno dieci utenti attivi.

La qualificazione dei ruoli: titolare e datore di lavoro estraneo al trattamento - Il primo merito della decisione sta nella nitidezza della qualificazione soggettiva. Tenuto conto delle finalità perseguite e dei mezzi utilizzati, è la Società a operare quale titolare del trattamento dei dati degli utenti che scelgono di avvalersi del servizio . Il datore di lavoro, pur avendo acquistato l’applicativo a beneficio del personale, resta estraneo al trattamento: non solo non vi accede in concreto, ma difetterebbe altresì di un valido presupposto di liceità per farlo.

L’Autorità inquadra la fattispecie nello schema, ricorrente nella prassi, dei contratti che il datore stipula per erogare benefici ai dipendenti — assicurazioni sanitarie, servizi di assistenza psicologica, convenzioni commerciali — nei quali, a prescindere dalla configurazione civilistica del rapporto sottostante , nessun trattamento dei dati generati dall’erogazione del servizio è imputabile al datore. È un’impostazione persuasiva, che ancora la soluzione a categorie consolidate e ne mostra la coerenza sistematica.

Il vero nodo: il report aggregato e il rischio di re-identificazione - Il punto sensibile non è il servizio in sé, bensì il report aggregato che l’azienda può richiedere. Anche un dato presentato come statistico può, in determinati contesti, consentire di risalire indirettamente ai singoli: di qui il rilievo dato dall’Autorità al rischio di single-out e di re-identificazione per inferenza, tanto più elevato quanto più ridotta o peculiare è la platea aziendale. La Società ha documentato misure di mitigazione — soglia minima di dieci utenti, sola visualizzazione, assenza di micro-dati e di dati semi-aggregati, inibizione automatica della reportistica al di sotto della soglia — e ha dichiarato che, nell’unico caso di trasmissione, il destinatario non disponeva di elementi ulteriori per identificare gli interessati.

La dignità del lavoratore: art. 113 del Codice e Statuto dei lavoratori - Sul versante lavoristico la motivazione è solida. Le informazioni sulla sfera emotiva e sullo stato di stress dei dipendenti rientrano tra quelle precluse al datore di lavoro ai sensi dell’art. 113 del Codice, che rinvia alle disposizioni a tutela della dignità della persona e al divieto di raccolta di dati non pertinenti all’attività lavorativa . L’Autorità valorizza inoltre la dichiarata finalità «di medicina preventiva, diagnosi e assistenza» per ricordare che ogni accertamento sanitario sul lavoratore è sottratto al datore e riservato al medico competente: è in quel riparto di competenze che risiede una garanzia essenziale.

La conoscenza datoriale dello stato psicologico del personale, in qualunque forma anche indiretta, collide dunque con un nucleo di tutela presidiato pure da sanzione penale.

L’innesto dell’AI Act: l’art. 5, par. 1, lett. f) e la sua effettiva portata - L’elemento di maggiore interesse — e, insieme, il più discutibile — è il richiamo al divieto di sistemi di IA destinati a inferire le emozioni delle persone nei luoghi di lavoro, posto dall’art. 5, par. 1, lett. f), del Regolamento sull’intelligenza artificiale . L’Autorità lo evoca per rafforzare la conclusione raggiunta in via di protezione dei dati, in chiave di coerenza dell’ordinamento, e per richiamare l’attenzione sui limiti delle tecnologie basate su analisi semantica: scarsa trasparenza e spiegabilità degli output, rischio di bias e di esiti discriminatori, necessità di un controllo umano effettivo.

Qui, tuttavia, si annida la criticità dottrinale più rilevante. Il divieto della lett. f) si lega, sul piano definitorio, alla nozione di «sistema di riconoscimento delle emozioni», che il Regolamento àncora espressamente al trattamento di dati biometrici — cioè a dati ricavati da uno specifico trattamento tecnico di caratteristiche fisiche, fisiologiche o comportamentali, quali l’immagine facciale o la voce. Il sistema Myndoor, invece, opera sull’analisi semantica di testi liberamente digitati: dati che, di per sé, non sono biometrici. Ne discende un interrogativo che il provvedimento non scioglie: un applicativo di sentiment analysis testuale ricade davvero nel perimetro dell’art. 5, par. 1, lett. f), o se ne colloca al di fuori? La questione non è nominalistica: dalla qualificazione dipende se si versi in una pratica vietata oppure — al più — in un trattamento da valutare sotto il profilo dei principi generali. La motivazione assume l’applicabilità del divieto senza affrontare il presupposto biometrico, e ciò ne indebolisce la tenuta argomentativa.

(Nella foto: l'Avv. Michele Iaselli, Coordinatore del Comitato Scientifico di Federprivacy)

Va, in senso opposto, riconosciuto che il Garante non impiega l’AI Act come base sanzionatoria, ma in funzione interpretativa e di indirizzo: scelta tanto più comprensibile ove si consideri che la vigilanza sull’AI Act in Italia è affidata ad autorità diverse . Resta che, anche in chiave sistematica, l’evocazione di un divieto presuppone la verifica che la fattispecie vi rientri; e che la stessa deroga «per motivi medici o di sicurezza» prevista dalla norma avrebbe meritato considerazione, proprio a fronte della finalità «di medicina preventiva» dichiarata nell’informativa.

La misura: un avvertimento ex art. 58, par. 2, lett. a) - Sul piano del dispositivo, l’Autorità non irroga sanzioni né adotta misure correttive prescrittive: rivolge alla Società un avvertimento, strumento previsto per i trattamenti che «verosimilmente» potrebbero violare la disciplina . È una scelta coerente con l’esito dell’istruttoria: poiché la disciplina di protezione dei dati presuppone un trattamento effettivamente posto in essere, e poiché non risultava provato che gli enti acquirenti avessero in concreto trattato i dati dei dipendenti, il Garante esclude responsabilità attuali e si colloca su un piano preventivo, segnalando il rischio che la trasmissione del report possa in futuro determinare una violazione del quadro a tutela dei dati e della dignità di chi lavora .

I pregi del provvedimento - Diversi profili meritano apprezzamento. Anzitutto il rigore della distinzione tra trattamento potenziale e trattamento effettivo: applicando l’ambito di applicazione materiale del Regolamento, l’Autorità evita un’indebita anticipazione della tutela e non ascrive responsabilità in assenza di un trattamento concreto. In secondo luogo, l’integrazione delle fonti — protezione dei dati, Statuto dei lavoratori, disciplina sull’IA — restituisce una lettura d’insieme della posizione del lavoratore, oggi esposto a tecnologie che inferiscono stati interiori. In terzo luogo, il provvedimento valorizza la data protection by design: l’osservanza della disciplina va assicurata sin dalla progettazione, anche attraverso la corretta allocazione dei ruoli e la disattivazione delle funzioni prive di base giuridica. È un’indicazione operativa preziosa per sviluppatori e DPO. Apprezzabile, infine, la presa d’atto favorevole dell’architettura che esclude in radice l’accesso datoriale: un riconoscimento che premia le scelte di privacy by design già adottate.

I profili critici - Accanto ai pregi permangono alcune criticità. La prima è quella già illustrata: l’applicazione dell’art. 5, par. 1, lett. f), dell’AI Act a un sistema di analisi testuale non biometrica resta affermata e non dimostrata, e la deroga per finalità mediche non è esaminata. La seconda riguarda l’asimmetria tra destinatario e rischio: l’avvertimento si rivolge a Myndoor, mentre la lesione paventata si produrrebbe a valle, presso il datore che richieda il report. La scelta di intervenire alla fonte è sensata, ma l’efficacia dello strumento — privo di prescrizioni puntuali, di un termine e di un meccanismo di verifica del follow-up — rimane tenue. La terza è una tensione interna: pur insistendo su affidabilità, spiegabilità e rischio di errore dei modelli, l’Autorità dichiara di prescindere «da ogni valutazione sull’attendibilità scientifica» delle elaborazioni, lasciando così impregiudicato proprio il nodo che le sue stesse premesse rendevano centrale. Vi è, infine, un profilo di concretezza: caduto il presupposto dell’uso nella pubblica amministrazione, il provvedimento finisce per pronunciarsi su uno scenario in larga parte ipotetico, con un raggio applicativo più di indirizzo che dispositivo.

Considerazioni conclusive - Al di là dei rilievi, il provvedimento ha un valore che eccede il caso. Esso enuncia un principio destinato a orientare la prassi: lo stato emotivo del lavoratore è sottratto alla conoscibilità datoriale, e nessuna mediazione tecnologica — fosse pure un report «aggregato» — può trasformarlo in un’informazione gestionale. È una linea netta nel momento in cui gli strumenti di well-being analytics e di analisi del linguaggio si diffondono nelle organizzazioni. La decisione conferma inoltre la centralità della progettazione: i ruoli, le finalità e le funzioni vanno definiti a monte, perché è in quella sede che si gioca la conformità. Sul versante dell’intelligenza artificiale, infine, il caso rende evidente quanto sia decisivo — e ancora incerto — il confine tra ciò che l’AI Act vieta e ciò che governa con altri strumenti: una soglia che la qualificazione biometrica rende tutt’altro che scontata e che attende, dalla prassi delle autorità competenti e dalle linee guida della Commissione, un assestamento ancora in corso.

Note sull'Autore

Michele Iaselli Michele Iaselli

Coordinatore del Comitato Scientifico di Federprivacy. Avvocato, docente di  diritto digitale e tutela dei dati presso LUISS - dipartimento di giurisprudenza. Specializzato presso l'Università degli Studi di Napoli Federico II in "Tecniche e Metodologie informatiche giuridiche". Presidente del Comitato Scientifico dell’Associazione Nazionale per la Difesa della Privacy. Funzionario del Ministero della Difesa - X : @infomicheleias1

 

Prev Nel digitale la cybersecurity è diventata decisiva anche per guadagnare la fiducia dei clienti
Next Assoluzioni e proscioglimenti, via libera alla pubblicità delle sentenze sui media con l'inserimento di un nuovo articolo nel Codice Privacy

Siamo tutti spiati? il presidente di Federprivacy a Cremona 1 Tv

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy