Obbligo di trasparenza verso i dipendenti sull’uso dell’IA
In vigore dal 10 ottobre 2025, la Legge n. 132/2025 introduce per la prima volta nel diritto del lavoro italiano un quadro organico sull’impiego dell’intelligenza artificiale (IA). La finalità, sancita dall’articolo 11, è di promuovere un uso dell’IA che migliori le condizioni di lavoro, tuteli l’integrità psicofisica e la dignità delle persone e accresca la qualità e la produttività, nel rispetto del diritto dell’Unione europea.
L’articolo 11 si articola su tre direttrici: (i) finalità migliorative per persone e organizzazioni; (ii) trasparenza, sicurezza, tracciabilità e rispetto della riservatezza dei dati, con divieto di sorveglianza occulta o decisioni lesive della dignità; (iii) non discriminazione in base a sesso, età, origine etnica, credo, orientamento, opinioni o condizioni personali, sociali ed economiche.
Il quadro normativo
L’articolo 11 della Legge 132/2025 richiede che l’IA sia impiegata in modo sicuro, affidabile, trasparente e tracciabile, nel pieno rispetto della dignità umana e della privacy.
Il datore di lavoro o committente è tenuto a informare i lavoratori dell’utilizzo di IA nei casi e con le modalità dell’art. 1-bis, D.Lgs. 152/1997 (introdotto dal D.Lgs. 104/2022), restando fermi i limiti dell’art. 4 dello Statuto dei lavoratori sul controllo a distanza.
Per la parte operativa, la legge rinvia all’articolo 1-bis del D.Lgs. 152/1997 (introdotto dal D.Lgs. 104/2022 – “Decreto Trasparenza”), che dettaglia gli obblighi informativi verso i propri dipendenti già al momento dell'assunzione o quando intervengano modifiche nelle procedure aziendali che abbiano ripercussioni sul rapporto di lavoro.
Il quadro interno si inserisce in quello europeo delineato dal Regolamento (UE) 2024/1689 – AI Act, che qualifica come “ad alto rischio” i sistemi di IA per selezione, gestione, valutazione e cessazione dei rapporti di lavoro (prime norme dal 2025, piena applicazione dal 2026), e dalla Direttiva (UE) 2024/2831 sul lavoro tramite piattaforme digitali, che rafforza trasparenza e supervisione umana nelle decisioni automatizzate.
Come si applica – le sanzioni
Per datori di lavoro e consulenti, l’adeguamento richiede un approccio integrato tra HR, IT, legale e DPO.
Di seguito i passi chiave previsti dalla nuova legge
- Mappatura dei sistemi: inventariare tutti i sistemi di IA/automatizzati che incidono su processi HR (selezione, scheduling, valutazione, salute e sicurezza, produttività), indicandone finalità, logica, dati, metriche, controlli umani e responsabili.
- Informative e procedure: aggiornare l’informativa ai lavoratori con tutti gli elementi dell’art. 1-bis; predisporre modelli standard per aggiornamenti a 24 ore e per risposte entro 30 giorni alle richieste di accesso.
- Coinvolgimento sindacale: trasmettere le informazioni a RSA/RSU o, se assenti, alle organizzazioni territoriali comparativamente più rappresentative; prevedere momenti di confronto periodico su metriche e controlli.
- Controlli e sicurezza: verifiche su accuratezza, robustezza, cybersecurity e bias/discriminazioni; prevedere intervento umano significativo in caso di decisioni automatizzate contestabili; test periodici di qualità.
- Privacy e governance: aggiornare il registro trattamenti, svolgere DPIA quando richiesto, definire policy di minimizzazione dati, conservazione e data protection by design; predisporre SOP per incidenti e reclami.
- Formazione: percorsi mirati per dirigenti, HR e preposti su obblighi informativi, limiti del controllo a distanza (art. 4 Statuto), gestione delle richieste e segnalazioni.
Sanzioni e responsabilità.
In caso di violazione degli obblighi informativi (art. 19, D.Lgs. 152/1997), si applicano sanzioni amministrative: da 250 a 1.500 euro per ciascun lavoratore; incremento da 100 a 750 euro per ogni mese di mancata o incompleta informazione sugli algoritmi; da 400 a 1.500 euro per omissione verso le rappresentanze sindacali. L’irrogazione è di competenza dell’Ispettorato nazionale del lavoro (L. 689/1981).
Restano inoltre i possibili profili privacy per trattamenti non conformi al GDPR.
Check list operativa
| Ambito | Adempimenti principali | Riferimenti normativi |
|---|---|---|
| Informazione ai lavoratori | Comunicare per iscritto e in modo trasparente l’utilizzo di sistemi di IA o algoritmi che incidono su assunzione, gestione, valutazione o cessazione del rapporto. | Art. 11 L. 132/2025 Art. 1-bis D.Lgs. 152/1997 |
| Contenuto minimo dell’informativa | Descrivere logica e finalità del sistema, dati e parametri usati, metriche di valutazione, misure di controllo umano, responsabili della qualità, livello di accuratezza e rischi discriminatori. | D.Lgs. 152/1997, art. 1-bis, commi 2 e 6 |
| Aggiornamenti | Comunicare ogni modifica incidente almeno 24 ore prima ai lavoratori e aggiornare il registro dei trattamenti. | D.Lgs. 152/1997, art. 1-bis, comma 5 |
| Accesso ai dati | Consentire al lavoratore o alle rappresentanze sindacali di accedere ai dati e alle metriche, con risposta scritta entro 30 giorni. | D.Lgs. 152/1997, art. 1-bis, comma 3 |
| Comunicazioni sindacali | Trasmettere le informazioni alle RSA/RSU o, in loro assenza, alle organizzazioni territoriali più rappresentative. | D.Lgs. 152/1997, art. 1-bis, comma 6 |
| Privacy e sicurezza | Effettuare analisi dei rischi e, se necessario, DPIA; aggiornare il registro trattamenti e, se previsto, consultare il Garante Privacy. | GDPR artt. 35-36 Art. 1-bis, comma 4 |
| Divieti | Evitare qualsiasi forma di sorveglianza occulta o decisione automatizzata lesiva della dignità del lavoratore. | Art. 11 L. 132/2025 Art. 4 L. 300/1970 |
| Formazione e governance | Formare HR e dirigenti sull’uso corretto dell’IA e predisporre procedure di controllo umano sulle decisioni automatizzate. | Art. 11 L. 132/2025 |
| Sanzioni | Sanzioni amministrative da 250 a 1.500 € per lavoratore, +100–750 €/mese per mancata informazione, e 400–1.500 € per omissioni sindacali. Competenza: Ispettorato nazionale del lavoro. | Art. 19 D.Lgs. 152/1997 L. 689/1981 |