L’analisi del sentiment tramite IA nel luogo di lavoro solleva questioni critiche sia ai sensi del GDPR sia dell’AI Act, come confermato da un recente ammonimento emesso dal Garante per la protezione dei dati personali nei confronti di Myndoor S.r.l., una società che offre un plug‑in per il rilevamento dello stress nelle chat aziendali Slack e Teams.
Questa decisione, adottata il 14 maggio 2026, fornisce spunti rilevanti sia in relazione al GDPR sia all’AI Act per tutte le organizzazioni che impiegano o intendono utilizzare strumenti di benessere basati sull’IA nel contesto lavorativo — lasciando tuttavia irrisolte diverse questioni fondamentali.
Come funziona il sistema di analisi del sentiment di Myndoor
Il plug‑in Myndoor è acquistato dai datori di lavoro e messo a disposizione dei dipendenti, che lo attivano volontariamente. Attraverso un modello di IA, il sistema analizza il contenuto testuale dei messaggi in chat per valutare parametri relativi allo stress psicologico. Myndoor si qualifica come unico titolare del trattamento, sostenendo che i datori di lavoro non hanno accesso ai dati personali dei singoli dipendenti. Tuttavia, quando almeno dieci utenti sono attivi settimanalmente, il sistema può generare un report aggregato sullo stress accessibile al datore di lavoro.
Il ragionamento del Garante tra GDPR e AI Act
Il Garante ha riconosciuto che, nella configurazione attuale, il sistema esclude il datore di lavoro dal trattamento dei dati personali individuali — richiamando un’analogia con le assicurazioni sanitarie o i programmi di assistenza psicologica finanziati dal datore di lavoro. Tuttavia, l’Autorità ha sollevato due principali criticità regolatorie.
In primo luogo, le informazioni relative alla sfera emotiva e allo stress psicologico dei lavoratori rientrano tra i dati la cui conoscenza è preclusa al datore di lavoro secondo i principi in materia di protezione dei dati e diritto del lavoro. In secondo luogo, il Garante ha esplicitamente richiamato l’articolo 5, paragrafo 1, lettera f) dell’AI Act (Regolamento (UE) 2024/1689), che vieta l’uso di sistemi di IA per inferire le emozioni delle persone fisiche nel luogo di lavoro. Il Garante ha collegato tale divieto ai principi di privacy by design e by default del GDPR (articolo 25), concludendo che le funzionalità in contrasto con norme settoriali dovrebbero essere disattivate.
Poiché non è stato dimostrato alcun trasferimento illecito di dati al datore di lavoro, l’Autorità si è limitata a un ammonimento formale, segnalando tuttavia il rischio che il report aggregato possa violare il quadro normativo applicabile.
Qual è la situazione dell’analisi del sentiment tramite IA nel lavoro?
Nonostante tale impostazione, restano aperte diverse questioni — estremamente rilevanti per qualsiasi ordinamento che applica il GDPR e l’AI Act.
È convincente la qualificazione come unico titolare? Il datore di lavoro acquista il servizio, decide di renderlo disponibile e potenzialmente riceve report aggregati. Ciò potrebbe configurare una contitolarità ai sensi dell’articolo 26 GDPR o addirittura una titolarità esclusiva del datore di lavoro? Il fatto che il datore non abbia accesso ai dati personali non è di per sé decisivo, come chiarito dall’EDPB. La decisione non approfondisce adeguatamente questo aspetto.
Una soglia di dieci utenti è sufficiente per l’anonimizzazione? Il Garante stesso riconosce i rischi di re‑identificazione nelle unità organizzative di piccole dimensioni. Tuttavia, la decisione non fornisce indicazioni su quale soglia numerica sarebbe adeguata, lasciando un’evidente incertezza per le imprese. È evidente che si debba considerare la prospettiva concreta del datore di lavoro, piuttosto che un’analisi astratta.
Quali sono gli effetti pratici dell’ammonimento? Il Garante non impone misure correttive, non ordina la cessazione del trattamento né stabilisce termini di adeguamento. Myndoor deve eliminare il report aggregato o basterebbe rafforzare l’anonimizzazione? La certezza giuridica non è pienamente garantita.
Implicazioni dell’AI Act
L’analisi del sentiment nel lavoro coinvolge due percorsi distinti nell’ambito dell’AI Act, ciascuno con conseguenze concrete.
Rischio di divieto (articolo 5, par. 1, lett. f).
Se la funzionalità è qualificata come “inferenza delle emozioni” nel contesto lavorativo, l’AI Act vieta la messa sul mercato, la messa in servizio o l’uso di tali sistemi per questo scopo. Ciò implica, per i fornitori, scelte strategiche: disattivare o bloccare tecnicamente queste funzionalità nel contesto lavorativo, evitare di promuovere tali usi e documentare le valutazioni di esclusione dal divieto. Per i datori di lavoro, le politiche interne dovrebbero escludere qualsiasi capacità di inferenza delle emozioni, anche indiretta.
Qualificazione come sistema ad alto rischio.
Se il sistema non rientra nel divieto ma supporta decisioni occupazionali o gestione del personale, può qualificarsi come ad alto rischio. Ciò comporta obblighi stringenti per i fornitori (gestione del rischio, documentazione tecnica, governance dei dati, supervisione umana, marcatura CE, ecc.) e per gli utilizzatori (uso conforme, monitoraggio, conservazione dei log, segnalazione degli incidenti).
In questi casi, fornitori e utilizzatori dovrebbero predisporre un “AI Act classification memo” che:
- spieghi perché il sistema non rientra nell’inferenza delle emozioni (o quali funzionalità sono disattivate);
- descriva le finalità e i casi d’uso;
- identifichi i fattori di rischio elevato;
- preveda controlli tecnici per evitare usi impropri.
I contratti dovrebbero riflettere questi aspetti con clausole di limitazione delle finalità, divieti d’uso, diritti di audit e meccanismi di controllo.
Inoltre, anche strumenti non vietati devono:
- fornire informazioni chiare su capacità e limiti;
- garantire supervisione umana e contestabilità dei risultati;
- utilizzare dati rappresentativi e documentare i limiti;
- mantenere registri adeguati e prevedere canali di segnalazione.
Nel complesso, l’AI Act spinge verso scelte conservative: rimuovere funzionalità di inferenza emotiva o operare nel regime dei sistemi ad alto rischio con rigorosi controlli.
Necessità di regole più chiare
La decisione Myndoor segnala un approccio rigoroso delle autorità europee all’incrocio tra GDPR e AI Act. Tuttavia, le questioni aperte — dalla titolarità del trattamento ai limiti del divieto di inferenza emotiva — evidenziano la necessità urgente di linee guida più chiare.
Le organizzazioni che adottano strumenti di benessere basati sull’IA dovrebbero monitorare attentamente questi sviluppi, poiché le soluzioni interpretative influenzeranno il futuro dell’IA nel lavoro in tutta l’Unione europea.
L’UE sta concedendo più tempo alle imprese per adeguarsi ai sistemi di IA ad alto rischio, ma ciò non deve essere interpretato come una pausa: la fase di implementazione richiede profondi cambiamenti organizzativi.
About the Author: Giulio Coraggio
