L’introduzione dell’intelligenza artificiale nelle organizzazioni sta ridisegnando i confini tra conoscenza individuale e patrimonio aziendale.
Prima ancora che un tema tecnologico, si tratta di una questione strategica e giuridica: chi controlla la conoscenza prodotta dal lavoro umano, e con quali regole?
Indice degli argomenti
L’acquisizione silenziosa delle competenze dei lavoratori
Il cambiamento più profondo che seguirà all’intelligenza artificiale sarà infatti una progressiva acquisizione della conoscenza dell’agire umano, e dunque del lavoro.
Ogni giorno, all’interno delle imprese, milioni di micro-decisioni, relazioni con clienti e fornitori, soluzioni operative, intuizioni professionali e competenze tacite prendono forma nelle comunicazioni digitali: e-mail, chat aziendali, documenti condivisi, piattaforme collaborative, sistemi di project management.
È proprio in questo spazio informativo che oggi interviene l’intelligenza artificiale.
I sistemi di AI entrano progressivamente nella dimensione operativa dell’organizzazione e nelle logiche che guidano l’agire delle persone: come individui, come membri di team, come attori di relazioni professionali e organizzative. Analizzano questi flussi informativi, li archiviano, li correlano e li trasformano in modelli di conoscenza utilizzabili.
L’intelligenza artificiale non si limita quindi ad automatizzare attività o generare testi.
Nel contesto del lavoro entra in contatto con i flussi operativi delle organizzazioni, analizza le comunicazioni interne, apprende dai processi decisionali e trasforma queste informazioni in conoscenza strutturata, interrogabile e riutilizzabile.
In altre parole, mentre il dibattito pubblico continua a interrogarsi sulla possibilità che l’AI sostituisca i lavoratori, nelle organizzazioni è già in corso una trasformazione più silenziosa ma strategica: la conversione della conoscenza diffusa delle persone in capitale informativo centralizzato nei sistemi digitali.
La questione decisiva, dunque, non è se l’intelligenza artificiale prenderà il posto dei lavoratori.
La vera domanda – quella che imprenditori, manager e professionisti dovrebbero iniziare a porsi – è un’altra: chi controllerà la conoscenza che le aziende stanno progressivamente acquisendo dal lavoro delle persone?
Dalla produttività alla cattura della conoscenza organizzativa
Molte imprese stanno già utilizzando strumenti di AI senza aver definito regole interne sul trattamento dei dati che tali sistemi analizzano, dunque con obiettivi solo apparentemente chiari: migliorare efficienza operativa, automatizzare attività ripetitive, sintetizzare informazioni e supportare i processi decisionali.
Secondo diverse analisi pubblicate su Harvard Business Review, le tecnologie di IA applicate al lavoro della conoscenza possono aumentare la produttività e supportare attività ad alto valore aggiunto, ma richiedono una profonda revisione dei processi organizzativi.
Parallelamente, studi accademici sul rapporto tra IA e lavoro evidenziano che queste tecnologie non sono neutrali: modificano il modo in cui la conoscenza circola nelle organizzazioni e possono influenzare la distribuzione del potere informativo all’interno delle imprese. In questo scenario emergono almeno due conseguenze organizzative rilevanti.
La prima è l’acquisizione del capitale cognitivo aziendale (le skill dei lavoratori, il loro sapere e capacità) all’interno delle piattaforme tecnologiche e dei sistemi di AI.
La seconda è la trasformazione delle competenze individuali in dati strutturati, potenzialmente analizzabili, replicabili e riutilizzabili su larga scala.
Il potere organizzativo, in questo contesto, non deriva più soltanto dal controllo delle tecnologie o dei mezzi di produzione, ma sempre più dal controllo degli archivi di conoscenza generati dall’attività lavorativa.
L’IA come sistema di apprendimento organizzativo
Da tempo la letteratura manageriale sottolinea che la vera forza dell’intelligenza artificiale non risiede solo nella capacità di automazione, ma nella sua capacità di apprendimento continuo dai dati organizzativi. Alcuni studi sulla strategia aziendale legata all’AI mostrano che il valore competitivo di questi sistemi emerge quando l’intelligenza artificiale e il capitale umano operano in sinergia, trasformando i dati in conoscenza e la conoscenza in apprendimento organizzativo (ResearchGate).
Questo significa che l’AI non sostituisce necessariamente l’intelligenza umana, ma la incorpora nei propri modelli di funzionamento. E qui si apre una questione centrale per la governance delle imprese: se l’intelligenza artificiale apprende dai lavoratori, quali regole disciplinano questa acquisizione di conoscenza?
Il ruolo delle policy aziendali sull’intelligenza artificiale
In questo contesto le policy aziendali per l’impiego dell’intelligenza artificiale stanno assumendo un ruolo sempre più centrale. Non si tratta di semplici documenti tecnici destinati ai reparti IT.
Si configurano sempre più come strumenti di governance che devono bilanciare tre esigenze fondamentali:
- tutela degli interessi organizzativi e della competitività aziendale
- protezione dei diritti e della dignità dei lavoratori
- conformità al quadro normativo europeo in materia di dati, lavoro e tecnologie digitali.
Studi del MIT Sloan School of Management evidenziano che l’introduzione efficace di sistemi di IA nelle imprese richiede il coinvolgimento dei lavoratori e la definizione di regole organizzative chiare sull’utilizzo delle tecnologie.
Senza una governance adeguata, il rischio è che l’adozione dell’intelligenza artificiale avvenga in modo frammentato, generando problemi di sicurezza dei dati, responsabilità organizzativa e conformità normativa.
Principi e responsabilità nell’uso dell’AI
Un principio centrale nella regolazione dei sistemi di IA applicati al lavoro riguarda la trasparenza nell’utilizzo degli strumenti tecnologici. Quando sistemi di intelligenza artificiale analizzano dati derivanti dall’attività lavorativa – ad esempio comunicazioni interne o documenti aziendali – i lavoratori devono essere informati sulle modalità di trattamento dei dati.
Questo principio deriva direttamente dal Regolamento (UE) 2016/679 (GDPR), che impone ai titolari del trattamento obblighi di trasparenza e responsabilizzazione.
L’articolo 5 del GDPR stabilisce che i dati personali debbano essere:
(i) adeguati e pertinenti rispetto alle finalità del trattamento
(ii) limitati a quanto necessario
(iii) conservati per un periodo non superiore al tempo necessario al perseguimento delle finalità.
Questi principi assumono un’importanza particolare quando l’intelligenza artificiale analizza grandi volumi di comunicazioni aziendali.
La riservatezza delle informazioni è altro principio cardine; in questo contesto lo analizziamo con riferimento alle comunicazioni aziendali e all’aspettativa di riservatezza che hanno i lavoratori rispetto ai loro account aziendali nominativi.
Uno dei profili più delicati riguarda la gestione delle comunicazioni digitali nei contesti lavorativi.
Nel quadro europeo della protezione dei dati personali, gli account e-mail o di messaggistica aziendale riconducibili a lavoratori identificati o identificabili costituiscono dati personali a tutti gli effetti. Le autorità di protezione dei dati hanno più volte chiarito che il lavoratore mantiene comunque una legittima aspettativa di riservatezza nella propria corrispondenza professionale, anche quando utilizza strumenti aziendali.
In diversi provvedimenti recenti l’Autorità italiana ha ribadito che la conservazione sistematica delle e-mail dei dipendenti per lunghi periodi può risultare contraria ai principi di proporzionalità e minimizzazione previsti dal GDPR; un caso analizzato nel 2024 ha evidenziato come il backup sistematico delle e-mail dei dipendenti per anni possa costituire un trattamento illecito dei dati personali.
La conservazione dei dati
La questione della conservazione dei dati assume una dimensione ancora più complessa quando entra in gioco l’intelligenza artificiale. Le comunicazioni aziendali non rappresentano più soltanto archivi documentali destinati alla continuità operativa: diventano sempre più spesso dataset utilizzati per alimentare sistemi di analisi, modelli linguistici e strumenti di supporto decisionale. E-mail, chat e documenti condivisi possono essere utilizzati per: analizzare processi decisionali, ricostruire flussi operativi e generare raccomandazioni organizzative.
Il rischio non riguarda soltanto la privacy individuale, ma anche la redistribuzione del potere informativo nelle organizzazioni.
Se i sistemi di AI diventano il luogo in cui si accumula e si struttura la conoscenza prodotta dal lavoro umano, la governance di tali sistemi diventa una questione centrale per il diritto del lavoro, la protezione dei dati e la gestione strategica delle imprese.
Proprio per questo, il primo passaggio operativo per un’azienda che introduce sistemi di IA è impostare una solida data retention anche per le comunicazioni digitali.
Dal punto di vista normativo, il riferimento principale resta il Regolamento (UE) 2016/679 (GDPR). In particolare, l’art. 5 stabilisce i principi fondamentali del trattamento dei dati personali: limitazione delle finalità (art. 5, par. 1, lett. b); minimizzazione dei dati (art. 5, par. 1, lett. c); limitazione della conservazione (art. 5, par. 1, lett. e).
Secondo tali principi, i dati personali – inclusi quelli contenuti nelle comunicazioni aziendali – devono essere conservati per un periodo non superiore a quello necessario al perseguimento delle finalità per cui sono trattati.
Questa regola assume particolare rilievo quando le comunicazioni digitali vengono utilizzate, direttamente o indirettamente, per addestrare o alimentare sistemi di intelligenza artificiale.
Le autorità europee di protezione dei dati hanno più volte richiamato le organizzazioni alla necessità di applicare rigorosamente tali principi. Si veda, ad esempio, quanto stabilito dal Garante italiano sulla conservazione delle e-mail aziendali e dei relativi metadati, che ha chiarito come la conservazione sistematica e prolungata della posta elettronica dei dipendenti possa risultare incompatibile con i principi del GDPR se non adeguatamente giustificata.
Le misure organizzative concrete per le aziende
In termini operativi, le imprese che utilizzano strumenti digitali e sistemi di IA dovrebbero adottare alcune misure organizzative concrete, fra le quali:
a) Definire policy di conservazione dei dati aziendali distinguendo altresì tra archivi operativi e archivi documentali. Una buona prassi consiste nel separare: le comunicazioni operative quotidiane (e-mail, chat) dai documenti rilevanti per finalità legali, contrattuali o fiscali. Solo questi ultimi dovrebbero essere conservati per periodi più lunghi, ad esempio per adempiere agli obblighi previsti dalla normativa civilistica e fiscale (quali art. 2220 codice civile per la conservazione delle scritture contabili per 10 anni; art. 39 DPR 633/1972 e art. 22 DPR 600/1973 per la conservazione dei documenti rilevanti ai fini fiscali, ecc.).
b) Regolare la gestione degli account aziendali dei dipendenti. Le autorità di protezione dei dati raccomandano di adottare procedure specifiche per la gestione degli account e-mail e di messaggistica aziendale, in particolare: definire chiaramente l’uso esclusivamente professionale; limitare la conservazione dei metadati tecnici (21 giorni); prevedere procedure per la gestione degli account in caso di cessazione del rapporto di lavoro o assenze prolungate e improvvise. In tali situazioni, la prassi indicata è la disattivazione dell’account e l’attivazione di un messaggio automatico che indirizzi i contatti verso altri riferimenti aziendali, evitando il mantenimento indefinito della casella di posta del lavoratore.
c) Verificare il concreto funzionamento dei sistemi IA sotto il profilo del trasferimento verso paesi terzi rispetto all’Unione Europea e la condivisione delle informazioni/modi di utilizzo con il provider.
d) Una consapevole e corretta impostazione prompt e l’impostazione di sistemi di verifica degli output; impostazioni di correttivi per evitare un potenziale controllo indiretto sui lavoratori a cui siano messi a disposizione i sistemi. Dunque valutare l’impatto dei sistemi di IA sul trattamento dei dati.
Quando i sistemi di AI analizzano grandi volumi di dati aziendali o comunicazioni interne, può essere necessario effettuare una valutazione d’impatto sulla protezione dei dati (DPIA) ai sensi dell’art. 35 GDPR, soprattutto quando il trattamento comporta monitoraggio sistematico delle attività dei lavoratori.
Per molte imprese questo significa avviare un percorso strutturato di data governance e AI governance, nel quale la definizione delle policy interne, dei tempi di conservazione dei dati e delle regole di utilizzo delle tecnologie diventa una componente essenziale della strategia aziendale.
Dunque per affrontare questa trasformazione le imprese devono sviluppare una visione più ampia della governance dell’intelligenza artificiale. Occorre progettare un sistema di regole organizzative capace di governare l’intero ciclo di vita dei dati generati dal lavoro. Tra gli elementi più rilevanti emergono: regole chiare sull’utilizzo dei dati provenienti dalle attività lavorative, limiti alla conservazione delle comunicazioni digitali, trasparenza sull’utilizzo dell’IA nei processi decisionali e sistemi di audit e controllo sui modelli utilizzati.
Secondo analisi recenti pubblicate su Harvard Business Review, l’intelligenza artificiale non sempre riduce il lavoro umano ma può addirittura aumentarne l’intensità e trasformarne le modalità operative, rendendo ancora più importante una governance chiara dei sistemi digitali.
Il futuro del lavoro nell’era dell’intelligenza artificiale
L’intelligenza artificiale non è soltanto uno strumento di automazione: è una tecnologia capace di organizzare, analizzare e concentrare la conoscenza prodotta dal lavoro umano.
Per questo motivo le policy aziendali sull’AI, le regole sulla gestione dei dati e le modalità di utilizzo delle comunicazioni digitali stanno diventando uno dei luoghi decisivi in cui si definirà l’equilibrio tra innovazione tecnologica, competitività delle imprese e tutela dei diritti dei lavoratori. Per gli imprenditori il tema non è soltanto tecnologico: è e sarà sempre di più, prima di tutto, strategico e giuridico.
Comprendere come progettare le regole di utilizzo dell’intelligenza artificiale, definire tempi corretti di conservazione dei dati, strutturare policy aziendali conformi al quadro europeo e prevenire rischi di responsabilità richiede oggi competenze che uniscono diritto, tecnologia e organizzazione aziendale. Per molte imprese questo significa avviare percorsi strutturati di governance dell’IA, coinvolgendo figure professionali specializzate in materia di protezione dei dati, diritto del lavoro e compliance tecnologica.
Perché la vera sfida dell’intelligenza artificiale non è soltanto introdurre nuovi strumenti: è governare la conoscenza che questi strumenti imparano dal lavoro delle persone.
In molte aziende oggi mancano ancora, con riferimento ai sistemi di IA:
a) policy interna per l’utilizzo efficace e compliance dell’IA
b) policy data retention
c) DPIA per strumenti di IA
d) la valutazione sull’applicabilità art. 4 L. 300/70 e) la verifica dei trasferimenti dati verso provider esteri
