Sovranità digitale Cittadinanza digitale Intelligenza Artificiale Sicurezza Informatica Sanità digitale Documenti digitali Industria 5.0/Innovazione in azienda Libri Procurement dell'innovazione Guide alla scelta tech Infrastrutture digitali Fatturazione elettronica Scuola digitale Cultura e società digitali Mercati digitali Startup Sostenibilità e smart city

training

Dati dei lavoratori per addestrare l’AI: la strada (stretta) del legittimo interesse

Home Sicurezza digitale Privacy
Partecipa al dibattito
Indirizzo copiato

L’uso dell’intelligenza artificiale nella gestione HR impone una scelta chiara sulla base giuridica del trattamento dei dati dei dipendenti. Le recenti indicazioni europee indicano il legittimo interesse come soluzione preferibile al consenso, con requisiti precisi di valutazione, trasparenza e governance organizzativa

Pubblicato il 20 mag 2026
Marco Sideri

partner di Toffoletto De Luca Tamajo

UNI 11621-8
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

Il trattamento dei dati dei dipendenti per addestrare sistemi di intelligenza artificiale è oggi una delle questioni più delicate all’incrocio tra innovazione e diritto. La risposta normativa europea si consolida attorno al legittimo interesse come base giuridica preferibile al consenso – ma la sua applicazione corretta impone alle aziende un percorso strutturato, tutt’altro che automatico.

Addestrare l’AI che ci ruba il lavoro: il caso Meta apre il dibattito

L’AI nella gestione HR: quando i dati dei dipendenti entrano in gioco

L’impiego di sistemi di intelligenza artificiale nella gestione del personale – dalla selezione al workforce planning, fino alla valutazione delle performance – è ormai una realtà consolidata e sempre più integrata nelle organizzazioni aziendali.

Sia AI che privacy vivono di dati, una definizione generica e potenzialmente oscura; tutto è dato. Nell’identificare e regolamentare i processi il primo passo è la base del trattamento: perché quel dato (e proprio quel dato) è trattato proprio da quel soggetto e, a cascata, quali sono i requisiti e i confini del trattamento. La dinamica detta sopra è fondamentale se parliamo di allenamento e sviluppo di sistemi AI: un sistema impara e si sviluppa sulla base di dati (molti, continui e controllati). In ambito HR, se parliamo di dati, ci sono buone probabilità che siano dati dei dipendenti e, pertanto, soggetti a tutele e procedure particolarmente attente.

Il consenso nel rapporto di lavoro: perché non basta come base giuridica

Nel rapporto di lavoro, in via generale, il consenso non è mai, o è raramente, una valida base per il trattamento dei dati. La ragione è semplice: il consenso è sempre revocabile e, ove un dato sia necessario per l’esistenza del rapporto di lavoro, non è ipotizzabile che il suo trattamento possa essere, unilateralmente, revocato. Non tutti i dati di un dipendente, tuttavia, sono necessari per l’esistenza del rapporto: ci sono informazioni trattate per finalità diverse e, in conseguenza, su basi giuridiche diverse. Le fotografie della festa aziendale per il bollettino interno, la risposta a un sondaggio facoltativo… la lista potrebbe continuare.

Nel lungo elenco di dati che un datore di lavoro tratta nell’ambito di un rapporto, quelli utilizzati per allenare e perfezionare sistemi HR che utilizzano l’intelligenza artificiale sono oggi di particolare interesse. È quindi legittimo chiedersi: su che base giuridica avviene questo trattamento?

Dal consenso al legittimo interesse: l’orientamento europeo

La risposta, oggi, è un pochino più chiara. Il consenso, infatti, per le ragioni viste sopra nonché per la difficoltà oggettiva di cessare il trattamento di un dato una volta inserito quale base di sviluppo per un sistema AI è una base concettualmente traballante, anche se, a prima vista, applicabile. Se informato e nell’ambito dei limiti e tutele note, il consenso può astrattamente servire al nostro scopo.

Va aggiunto a quanto sopra che, secondo l’European Board of Data Protection, il consenso sarebbe una base giuridica da evitare nell’ambito dei rapporti di lavoro poiché lo stesso si presume non genuinamente reso. Ciò in quanto il dipendente sarebbe sempre portato a dire di sì al datore di lavoro. Laddove sia ipotizzabile un trattamento su una base diversa, è questa quella da utilizzare. Recenti indicazioni a livello europeo identificano invece il legittimo interesse come base per questo tipo di trattamenti.

Il legittimo interesse in ambito HR: le sei fasi operative previste dal GDPR

L’art. 6, par. 1, lett. f) del GDPR consente il trattamento dei dati quando esso sia necessario per il perseguimento di un legittimo interesse del titolare, a condizione che non prevalgano i diritti e le libertà fondamentali dell’interessato. Non è quindi sufficiente invocare un interesse: è necessario identificarlo, delimitarlo e soprattutto contemperarlo con tutte le altre esigenze potenzialmente contrapposte.

Le recenti iniziative europee, riconducibili al cosiddetto “Digital Omnibus”, si muovono in questa direzione, cercando di chiarire un aspetto ancora incerto nella pratica: entro quali limiti il legittimo interesse possa costituire una valida base giuridica per il training dei modelli di AI. In questo contesto, la definizione del perimetro operativo per le imprese si articolerebbe attorno a sei fasi fondamentali:

  1. l’individuazione dell’interesse della società (es. migliorare i processi di selezione, ridurre i bias, ottimizzare la gestione delle risorse),
  2. la verifica della necessità (ossia stabilire se il medesimo risultato può essere raggiunto tramite modalità meno invasive),
  3. il c.d. balancing test (ossia valutare quale interesse (aziendale o del dipendente) debba prevalere in base alla situazione concreta);
  4. l’adozione di garanzie tecniche e organizzative adeguate;
  5. considerare il diritto di opposizione dell’interessato, tale per cui il dipendente ha sempre la possibilità di opporsi al trattamento in qualsiasi momento. Ciò con potenziali importanti implicazioni, non solo sul piano giuridico, ma anche su quello tecnico/organizzativo, quali la necessità di ri-addestramento dei modelli o l’esclusione selettiva di dati senza compromissione della qualità dei risultati già ottenuti;
  6. considerare i limiti previsti dall’art. 9 GDPR (che rimangono fermi) con riferimento a particolari categorie di dati personali (ad esempio relativi alla salute dei dipendenti), per i quali il livello di attenzione da parte delle funzioni HR deve sempre rimanere molto elevato.

GDPR e obblighi di compliance: trasparenza, finalità e governance dei dati

Accanto a un attento audit mirato a coprire tutte le fasi sopra descritte, non bisogna però scordarci che le società dovranno sempre tenere presenti anche i principi e gli obblighi previsti dal GDPR, effettuando una verifica puntuale del loro rispetto. Tra questi obblighi figurano ad esempio:

  • la limitazione della finalità: i dati devono essere raccolti per finalità specifiche, esplicite e legittime, e non essere trattati ulteriormente in modo incompatibile con tali finalità.
  • la valutazione di compatibilità di eventuali nuove finalità: quando si intende trattare i dati già acquisiti dei dipendenti per finalità diverse da quelle per cui sono stati raccolti (quali appunto l’addestramento di modelli AI), è necessario valutare se la nuova finalità sia compatibile con la precedente.
  • gli obblighi di trasparenza: le società devono garantire che gli interessati siano adeguatamente informati riguardo al trattamento dei loro dati, attraverso una comunicazione chiara e facilmente accessibile.

La governance dei dati diventa quindi un elemento centrale della compliance: le società devono essere in grado di dimostrare in ogni momento la legittimità delle finalità e delle modalità del trattamento.

La gestione operativa del legittimo interesse: dalla LIA alla DPIA

Da un punto di vista operativo, una gestione prudente del legittimo interesse nell’utilizzo (o ri-utilizzo) di dati dei dipendenti per il training di modelli AI richiede conseguentemente almeno:

  • una Legitimate Interest Assessment (LIA) strutturata e sostanziale che documenti finalità, necessità e balancing test;
  • la verifica della compatibilità delle finalità per verificare se il riutilizzo dei dati per training sia compatibile con la finalità originaria;
  • una DPIA, ove necessaria;
  • informative trasparenti e comprensibili;
  • procedure e policies operative efficaci;
  • limitarsi all’utilizzo di dati strettamente necessari allo scopo perseguito e l’utilizzo di pseudonimi mirati ad anonimizzare i dati raccolti.

Legittimo interesse e AI Act: gli obblighi aggiuntivi per i sistemi ad alto rischio

La scelta della base giuridica non è tuttavia sufficiente di per sé per implementare il training di sistemi AI con dati dei dipendenti. I sistemi di AI utilizzati in ambito HR rientrano frequentemente tra quelli ad alto rischio ai sensi dell’AI Act e pertanto è necessario altresì che tutti gli ulteriori obblighi previsti dal Regolamento (UE) 2024/1689 (per esempio in materia di gestione del rischio, governance dei dati, supervisione umana effettiva) debbano essere rispettati.

Dal consenso formale alla responsabilità sostanziale: governance come fattore determinante

Il ricorso al legittimo interesse, se correttamente applicato, non comporta quindi una semplificazione, ma un aumento della responsabilità. Impone scelte organizzative consapevoli, una valutazione approfondita dei dati trattati e un costante adeguamento a un quadro normativo in evoluzione. Nel nuovo equilibrio tra innovazione e tutela dei diritti, il fattore determinante non sarà infatti solo la tecnologia in sé, ma la qualità della governance dei dati acquisiti e trattati.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

S
Marco Sideri
partner di Toffoletto De Luca Tamajo

Avvocato esperto di diritto del lavoro, partner di Toffoletto De Luca Tamajo

Seguimi su
guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

InnovAttori

Vedi tutti gli approfondimenti >

Articoli correlati

0
Lascia un commento, la tua opinione conta.x