Sovranità digitale Cittadinanza digitale Intelligenza Artificiale Sicurezza Informatica Sanità digitale Documenti digitali Industria 5.0/Innovazione in azienda Libri Procurement dell'innovazione Guide alla scelta tech Infrastrutture digitali Fatturazione elettronica Scuola digitale Cultura e società digitali Mercati digitali Startup Sostenibilità e smart city

Sorveglianza emotiva

Biometria in azienda: quando l’AI trasforma la sicurezza in controllo

Home Sicurezza digitale Privacy
Partecipa al dibattito
Indirizzo copiato

L’uso della biometria in azienda evolve dall’identificazione alla capacità di inferire stati emotivi, stress e comportamenti. Tra GDPR, AI Act e nuovi standard internazionali, HR e Legal devono valutare basi giuridiche, proporzionalità, DPIA, supervisione umana e impatto organizzativo sui lavoratori

Pubblicato il 10 giu 2026
Aldo Bottini

Partner Toffoletto De Luca Tamajo e Soci

Biometria, IA, identità digitale
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

Per anni, l’utilizzo della biometria in azienda è stato circoscritto a finalità relativamente stabili: controllo accessi, autenticazione forte, sicurezza fisica e logica. Oggi lo scenario è mutato. Le nuove applicazioni di AI consentono non solo di identificare o verificare l’identità di un lavoratore, ma di utilizzare la voice analytics per analizzarne il tono della voce, monitorare micro-espressioni facciali, stimare livelli di stress o engagement fino a rilevare tratti comportamentali durante selezione o valutazione.

Biometria in azienda: quando si può usare e quali rischi evitare

Per un HR Director o un datore di lavoro, il punto non è la disponibilità tecnologica, ma la sostenibilità giuridica e organizzativa dell’adozione di questi sistemi con un passaggio dalla biometria di identificazione alla biometria di inferenza.

Quando la biometria in azienda diventa dato particolare

Il perimetro del GDPR

Il punto di partenza è l’art. 4, n. 14, del Regolamento (UE) 2016/679, che definisce i “dati biometrici” come: dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca.

Quando tali dati sono trattati per identificare in modo univoco una persona, rientrano tra le categorie particolari di dati ai sensi dell’art. 9, par. 1 GDPR, con conseguente divieto generale di trattamento salvo eccezioni.

Nel contesto lavorativo, le basi giuridiche astrattamente invocabili sono:

art. 9, par. 2, lett. b) (assolvimento di obblighi ed esercizio di diritti in materia di diritto del lavoro);
art. 9, par. 2, lett. a) (consenso esplicito);
• eventualmente art. 9, par. 2, lett. g) (interesse pubblico rilevante).

Tuttavia, l’utilizzo del consenso nel rapporto di lavoro è fortemente problematico, in ragione dello squilibrio tra le parti, come chiarito anche dalle Linee guida dell’European Data Protection Board.

Emotion AI e possibile qualificazione come dato relativo alla salute

Il passaggio più delicato riguarda l’inferenza di stati emotivi o psicologici. Un sistema che è in grado di stimare livelli di stress, individuare segnali di burnout e/o classificare tratti comportamentali, può indirettamente trattare dati riconducibili allo stato di salute (art. 4, n. 15 GDPR) o comunque generare profili ad alto impatto sui diritti fondamentali.

In tali casi, la soglia di legittimità si alza sensibilmente.

AI Act e biometria in azienda ad alto rischio

Il nuovo Regolamento (UE) 2024/1689 introduce una classificazione dei sistemi di AI basata sul rischio.

Sistemi ad alto rischio in ambito employment

L’Allegato III dell’AI Act qualifica come “ad alto rischio” i sistemi utilizzati per:

reclutamento e selezione del personale;
• decisioni relative a promozione e cessazione;
valutazione delle prestazioni;
assegnazione di compiti.

Se la biometria o l’emotion AI incidono su tali decisioni, il sistema rientra verosimilmente in questa categoria.

Conseguenze operative:

sistema di gestione del rischio (art. 9 AI Act);
governance dei dati (art. 10);
documentazione tecnica (art. 11);
registrazione dei log (art. 12);
trasparenza verso gli utenti (art. 13);
supervisione umana effettiva (art. 14).

Non si tratta più solo di compliance privacy, ma di compliance tecnologica strutturata.

Biometria e possibili divieti

L’art. 5 AI Act vieta alcune pratiche di AI, tra cui sistemi che manipolano il comportamento umano in modo subliminale o sfruttano vulnerabilità. Un utilizzo invasivo dell’emotion AI, specie in contesti di valutazione psicologica non trasparente, potrebbe avvicinarsi a tali aree critiche, pur non rientrandovi automaticamente.

Il benchmark internazionale della Nuova Zelanda

Il recente report di Ius Laboris “Workplace Data Privacy Update” segnala l’introduzione in Nuova Zelanda del Biometric Processing Privacy Code 2025, primo quadro normativo dedicato specificamente alla biometria.

Il Codice impone un test di necessità e proporzionalità rafforzato, richiede notifiche pre-trattamento dettagliate, limita fortemente la retention e pone restrizioni severe sugli usi altamente intrusivi, inclusa l’inferenza di emozioni o attributi sensibili.

Il dato rilevante, per un datore di lavoro o HR europeo, non è tanto la specificità del sistema neozelandese, quanto la direzione regolatoria: la biometria viene valutata in relazione al rapporto di potere e all’impatto relazionale sul lavoratore, non solo alla sicurezza del dato.

Consenso, proporzionalità e trattamento biometrico dei lavoratori

L’art. 5, par. 1, lett. c) GDPR impone il principio di minimizzazione dei dati; la lett. a) impone liceità, correttezza e trasparenza; la lett. b) richiede limitazione della finalità.

In ambito lavorativo, l’art. 88 GDPR consente agli Stati membri di prevedere norme più specifiche, ma sempre nel rispetto dei principi generali.

Il vero test per un datore di lavoro non è se esista una base giuridica astratta, ma se il trattamento sia:

necessario rispetto alla finalità perseguita;
proporzionato rispetto all’impatto sui diritti del lavoratore;
non sostituibile con strumenti meno invasivi.

Una DPIA ai sensi dell’art. 35 GDPR sarà, nella maggior parte dei casi, obbligatoria, trattandosi di monitoraggio sistematico su larga scala o di trattamento di categorie particolari di dati.

Roadmap prudenziale per HR e Legal

Prima di introdurre sistemi biometrici evoluti o emotion AI, è quindi opportuno:

Mappare la finalità per chiarire se il sistema incide su decisioni occupazionali rilevanti (con possibile applicazione dell’AI Act come “alto rischio”).

• Effettuare una DPIA sostanziale (art. 35 GDPR) valutando: rischio di discriminazione; rischio di errore algoritmico; impatto sulla dignità e libertà del lavoratore.

• Valutare l’art. 22 GDPR. Se il sistema produce decisioni automatizzate con effetti giuridici o analogamente significativi, occorre garantire: intervento umano significativo; possibilità di contestazione; diritto di ottenere spiegazioni.

• Implementare supervisione umana effettiva (art. 14 AI Act), non meramente formale, ma in grado di correggere e bloccare decisioni inappropriate.

• Limitare retention e accessi applicando rigorosamente art. 5, par. 1, lett. e) GDPR (limitazione della conservazione).

Una scelta di governance, prima ancora che di compliance

L’introduzione di biometria evoluta non è solo un tema tecnico-giuridico. È una scelta di governance. Un sistema che analizza micro-espressioni o tono della voce può, tra le altre, migliorare l’efficienza organizzativa con però il rischio di incidere sul clima aziendale e generare contenzioso e conflitti sindacali.

La direzione internazionale – come dimostra l’esperienza neozelandese – indica una crescente attenzione all’impatto umano della tecnologia.

Dalla legittimità alla responsabilità

La biometria di identificazione è ormai una tecnologia consolidata. La biometria di inferenza rappresenta invece una frontiera regolatoria e culturale.

Per un datore di lavoro la domanda non è solo se è conforme al GDPR ma anche se è coerente con il modello organizzativo e con il livello di fiducia che si vuole costruire in azienda.

Nel contesto combinato di GDPR e AI Act, la biometria applicata al lavoro è uno dei terreni più delicati della trasformazione digitale. Governarla significa non solo rispettare le norme, ma assumere una responsabilità strategica verso le persone.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

B
Aldo Bottini
Partner Toffoletto De Luca Tamajo e Soci

Avvocato esperto di diritto del lavoro, partner di Toffoletto De Luca Tamajo

Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

InnovAttori

Vedi tutti gli approfondimenti >

Articoli correlati

  • cybersecurity italia

  • Browser e privacy

    Il consenso online diventa automatico: cosa cambia in Europa

    19 Feb 2026

    di Francesca Niola

    Condividi
  • cybersecurity act nis2

  • la guida

    Registrar TLD e NIS 2, le novità per i gestori di registri di nomi di dominio

    07 Ago 2025

    di Federica Maria Rita Livelli

    Condividi
  • dpo indipendenza

  • it, legal e compliance

    NIS2: perché il DPO diventa centrale anche fuori dal perimetro GDPR

    09 Mar 2026

    di Alessandro Bottonelli

    Condividi
0
Lascia un commento, la tua opinione conta.x