Il Garante per la protezione dei dati personali, con provvedimento n. 342 del 14 maggio 2026, pubblicato il 28 maggio 2026, è intervenuto sul tema dell’utilizzo di sistemi di intelligenza artificiale destinati ad analizzare lo stato emotivo e i livelli di stress dei lavoratori attraverso i messaggi scambiati nelle piattaforme di comunicazione aziendale.
Nel corso dell’istruttoria è emerso che il sistema sviluppato consente agli utenti che decidono volontariamente di attivarlo di ottenere valutazioni sul proprio livello di stress mediante l’analisi semantica dei messaggi scambiati nelle chat aziendali. L’applicativo è commercializzato alle imprese come strumento di supporto al benessere organizzativo e, secondo quanto dichiarato dalla società, non consente ai datori di lavoro di accedere ai contenuti delle conversazioni né ai risultati individuali delle elaborazioni effettuate dall’algoritmo.
Particolare attenzione è stata dedicata alla possibilità per le aziende clienti di ricevere report aggregati relativi ai livelli di stress rilevati tra i lavoratori che utilizzano il sistema. Tali report, secondo quanto emerso dall’istruttoria, vengono generati soltanto in presenza di almeno dieci utenti attivi e contengono esclusivamente dati statistici aggregati, senza indicazione di nominativi o altri elementi identificativi. La società ha inoltre dichiarato di non avere mai associato i nominativi dei lavoratori ai dati utilizzati per le elaborazioni e di avere progressivamente rafforzato le misure tecniche volte a garantire l’anonimizzazione delle informazioni trattate.
Il Garante ha preso atto favorevolmente dell’impostazione adottata dalla società, rilevando che il trattamento dei dati personali necessari per l’erogazione del servizio avviene nell’ambito di un rapporto diretto con gli utenti che scelgono di utilizzare l’applicativo. In tale configurazione il datore di lavoro non dispone di strumenti che consentano l’accesso ai dati individuali relativi allo stato emotivo o ai livelli di stress dei lavoratori. L’Autorità ha pertanto escluso che, allo stato degli atti, vi siano elementi per ritenere che le imprese clienti abbiano effettivamente trattato dati personali dei propri dipendenti attraverso il sistema in esame.
La parte più significativa del provvedimento riguarda tuttavia le considerazioni formulate dall’Autorità in ordine ai limiti imposti dalla normativa in materia di protezione dei dati personali e tutela della dignità dei lavoratori. Il Garante ricorda infatti che le informazioni riguardanti la sfera emotiva, il benessere psicologico o i livelli di stress dei dipendenti costituiscono dati particolarmente delicati e che la loro conoscibilità da parte del datore di lavoro incontra precisi limiti derivanti sia dal GDPR sia dalla normativa nazionale in materia lavoristica.
L’Autorità affronta inoltre il tema dell’utilizzo dell’intelligenza artificiale per inferire emozioni e stati psicologici nei luoghi di lavoro, richiamando espressamente il Regolamento europeo sull’intelligenza artificiale (AI Act). In particolare, viene evidenziato il divieto previsto dall’articolo 5 del Regolamento (UE) 2024/1689 relativo all’utilizzo di sistemi di IA destinati a inferire emozioni di persone fisiche nell’ambito lavorativo. Il richiamo assume particolare rilevanza poiché rappresenta una delle prime applicazioni concrete dei principi contenuti nella nuova disciplina europea sull’intelligenza artificiale in relazione ai rapporti di lavoro.
Pur non ravvisando violazioni concretamente realizzate nel caso esaminato, il Garante ha ritenuto opportuno adottare un provvedimento di avvertimento nei confronti della società. L’Autorità ha infatti evidenziato che, in futuro, la trasmissione di report aggregati ai datori di lavoro potrebbe determinare il rischio di identificazione, anche indiretta, dei lavoratori che utilizzano il sistema, soprattutto in contesti organizzativi caratterizzati da un numero limitato di dipendenti o da particolari assetti aziendali.
