Garante Privacy ferma il plug-in IA che legge emozioni e stress dei dipendenti su Slack e Microsoft Teams

Il Garante Privacy interviene contro un plug-in IA sviluppato da una start-up italiana per piattaforme aziendali come Slack e Microsoft Teams, progettato per analizzare le conversazioni dei dipendenti e rilevare emozioni, tono del linguaggio e livelli di stress psicologico. L’Autorità ha adottato un avvertimento formale il 28 maggio 2026 dopo aver appreso da notizie di stampa l’esistenza dello strumento, presentato come soluzione volontaria capace di fornire suggerimenti personalizzati agli utenti finali. Il punto critico non riguarda soltanto l’uso dell’intelligenza artificiale nelle chat aziendali, ma la natura stessa dei dati trattati: informazioni sulla sfera emotiva, psicologica e comportamentale dei lavoratori, cioè elementi che il datore di lavoro non può legittimamente conoscere, acquisire o utilizzare. Anche se la start-up sostiene di agire come titolare del trattamento e di impedire ai datori di lavoro l’accesso ai contenuti individuali, il sistema può generare report aggregati sul livello di stress complessivo dei dipendenti, aprendo un rischio di inferenza indiretta, pressione organizzativa e possibile discriminazione.

Il Garante Privacy avvia verifiche sul plug-in IA per Slack e Teams

Il Garante Privacy ha acceso un faro su un prodotto che intercetta una delle aree più delicate dell’innovazione aziendale: l’uso dell’AI generativa e dell’analisi semantica per interpretare il linguaggio dei dipendenti dentro strumenti di lavoro quotidiano come Slack e Teams. Il plug-in promette di leggere le conversazioni, individuare segnali emotivi, stimare il livello di stress e offrire consigli personalizzati agli utenti che decidono volontariamente di attivarlo. Questa volontarietà, però, non basta a eliminare i rischi giuridici e organizzativi. Il lavoratore opera infatti in un contesto gerarchico, dove la libertà di scelta può essere condizionata dalla cultura aziendale, dalle aspettative del management o dal timore di apparire poco collaborativo. Il Garante osserva che la sfera emotiva e psicologica del dipendente rientra tra le aree più protette della persona, soprattutto quando il trattamento avviene nel rapporto di lavoro. L’analisi delle chat, anche se presentata come strumento di benessere, può trasformarsi in monitoraggio indiretto del comportamento, della fragilità, della pressione lavorativa e della reazione emotiva agli stimoli aziendali. La criticità cresce perché il sistema non si limita a elaborare dati tecnici o metriche operative, ma interpreta linguaggio, tono e stati interiori mediante modelli algoritmici che possono produrre inferenze non sempre verificabili. Per questo l’Autorità chiede alla start-up di integrare misure robuste già nella progettazione, secondo i principi di privacy by design e privacy by default.

La start-up è titolare del trattamento e deve dimostrare conformità

La start-up italiana viene qualificata come titolare del trattamento, perché gestisce direttamente i dati generati dal plug-in e decide finalità, mezzi e architettura del servizio. Questa posizione comporta responsabilità piena rispetto alla conformità al GDPR, alla normativa nazionale sul lavoro e ai nuovi vincoli del Regolamento europeo sull’intelligenza artificiale. La società sostiene che i datori di lavoro che acquistano il servizio non possano accedere né ai contenuti originali delle comunicazioni né ai risultati individuali elaborati dal sistema. Questa separazione rappresenta un primo livello di tutela, ma non esaurisce il problema. Il Garante evidenzia infatti il rischio che i report aggregati sullo stress dei dipendenti possano rivelare indirettamente informazioni sensibili su team, reparti, gruppi ristretti o unità organizzative facilmente identificabili. Anche un dato aggregato può diventare personale quando il numero dei soggetti coinvolti è basso o quando il contesto consente di ricondurre l’informazione a persone specifiche. La start-up deve quindi provare di aver adottato controlli tecnici e organizzativi capaci di impedire ogni forma di reidentificazione, accesso indiretto o utilizzo improprio da parte del datore di lavoro. Non basta dichiarare che il servizio è sicuro o volontario: servono documentazione, valutazioni d’impatto, limiti funzionali, auditabilità, trasparenza degli algoritmi e procedure che impediscano al cliente aziendale di trasformare uno strumento di supporto individuale in un sistema di sorveglianza collettiva.

Il datore di lavoro non può trattare emozioni e stress dei dipendenti

Il cuore del provvedimento riguarda un principio netto: il datore di lavoro non può trattare dati relativi alla sfera emotiva, allo stress psicologico o agli stati interiori dei dipendenti. Queste informazioni sono incompatibili con le finalità ordinarie di gestione del rapporto di lavoro e possono incidere sulla dignità, sulla libertà e sull’autodeterminazione della persona. Il riferimento allo Statuto dei lavoratori e alla normativa privacy serve a ricordare che l’ambiente aziendale non è uno spazio neutro, ma un contesto nel quale il lavoratore si trova in una posizione di subordinazione o comunque di dipendenza economica e organizzativa. Anche quando l’attivazione del plug-in viene presentata come scelta individuale, il rischio di pressione implicita resta elevato. Un dipendente che rifiuta l’uso dello strumento potrebbe essere percepito come meno trasparente o meno collaborativo; un reparto segnalato come stressato potrebbe essere oggetto di interventi manageriali, valutazioni organizzative o decisioni indirettamente punitive. Il Regolamento UE sull’intelligenza artificiale rafforza ulteriormente questo quadro, vietando l’uso di sistemi di AI destinati a dedurre o analizzare le emozioni delle persone nei luoghi di lavoro, salvo casi strettamente delimitati. Il Garante applica questo orientamento al caso concreto e avverte che l’analisi emotiva non può essere normalizzata come funzione accessoria delle piattaforme collaborative aziendali.

Privacy by design e limiti tecnici diventano obblighi centrali

L’avvertimento del Garante Privacy impone alla start-up una revisione sostanziale dell’architettura del plug-in secondo i principi di privacy by design. Questo significa che la protezione dei dati non può essere aggiunta dopo il lancio commerciale, ma deve essere integrata nel codice, nei flussi di elaborazione, nelle interfacce, nei report e nelle impostazioni predefinite del servizio. Il sistema deve impedire qualunque accesso, diretto o indiretto, a informazioni sulla condizione emotiva dei lavoratori da parte dei datori di lavoro. Deve inoltre garantire trasparenza sulle logiche di analisi semantica, sui criteri usati per classificare emozioni e stress, sulla conservazione dei dati, sulle eventuali elaborazioni aggregate e sulle modalità di cancellazione. La spiegabilità è un punto cruciale, perché i modelli linguistici possono generare inferenze opache, difficili da controllare e potenzialmente errate. Un algoritmo che interpreta ironia, frustrazione, stanchezza o preoccupazione dentro una chat aziendale può sbagliare contesto, intensità e significato. Se questi risultati vengono poi trasformati in indicatori di benessere o stress, l’errore tecnico può produrre conseguenze organizzative. Il Garante chiede quindi misure verificabili, non semplici promesse commerciali. La start-up deve dimostrare che il servizio non abilita profilazione emotiva, non produce output utilizzabili per valutare persone o gruppi e non consente al management di ottenere informazioni vietate attraverso scorciatoie statistiche.

Il rischio discriminazione riguarda anche i dati aggregati

Il rischio di discriminazione non nasce soltanto dall’accesso ai dati individuali, ma anche dall’uso improprio dei risultati aggregati. Un report che segnala livelli elevati di stress in un reparto può orientare decisioni su carichi di lavoro, leadership, promozioni, riorganizzazioni o sostituzioni. Un indicatore emotivo costruito su conversazioni aziendali può diventare uno strumento di valutazione indiretta, soprattutto se associato a team piccoli o a funzioni facilmente identificabili. Il Garante segnala proprio questa zona grigia: il datore di lavoro non vede la chat del singolo dipendente, ma può ricevere un quadro emotivo del gruppo che finisce per condizionare scelte gestionali. In più, la presunta volontarietà dell’attivazione può generare una forma di pressione ambientale. Se il plug-in viene promosso come strumento di benessere aziendale, chi decide di non usarlo potrebbe temere conseguenze reputazionali o relazionali. Questa dinamica svuota la libertà del consenso, perché nel rapporto di lavoro il consenso del dipendente è raramente una base giuridica solida quando il trattamento riguarda dati sensibili o potenzialmente intrusivi. Il punto politico e giuridico è netto: la tecnologia non può trasformare emozioni, vulnerabilità e fatica psicologica in metriche aziendali. L’innovazione HR deve fermarsi davanti al confine della dignità personale.

Il Regolamento UE sull’IA stringe il campo per le tecnologie HR

Il caso del plug-in per Slack e Teams assume un valore più ampio perché anticipa il modo in cui il Regolamento UE sull’intelligenza artificiale inciderà sul mercato delle tecnologie HR. Le soluzioni che promettono di misurare benessere, stress, engagement, sentiment o stabilità emotiva dei lavoratori entrano in un’area ad altissimo rischio regolatorio. Il divieto di sistemi destinati a dedurre emozioni nei luoghi di lavoro rappresenta un limite preciso per start-up, fornitori software e aziende clienti. Il Garante invia quindi un segnale non solo alla società coinvolta, ma all’intero settore: l’AI applicata al personale non può essere progettata come sorveglianza psicologica mascherata da welfare digitale. Le imprese dovranno distinguere tra strumenti realmente orientati al supporto individuale, sotto controllo dell’utente, e sistemi che producono informazioni utilizzabili dall’organizzazione per finalità manageriali. La differenza non è formale, ma sostanziale. Se il datore di lavoro può accedere anche solo indirettamente a output emotivi, la funzione rischia di cadere in un’area vietata o comunque incompatibile con la normativa. Per questo saranno necessarie valutazioni d’impatto, minimizzazione dei dati, segregazione degli accessi, governance dei modelli e controlli indipendenti. Il caso italiano diventa così un banco di prova per capire come le autorità applicheranno i nuovi limiti europei alle tecnologie di monitoraggio dei dipendenti.

Slack, Teams e il nuovo perimetro della sorveglianza aziendale

Le piattaforme di messaggistica aziendale come Slack e Microsoft Teams sono diventate infrastrutture centrali del lavoro digitale, ma proprio per questo rappresentano un terreno sensibile per l’uso dell’AI. Le conversazioni interne contengono informazioni operative, relazioni professionali, stati d’animo, conflitti, carichi di lavoro, fragilità e dinamiche informali. Inserire un plug-in capace di analizzare semanticamente questi contenuti significa trasformare lo spazio comunicativo aziendale in un ambiente potenzialmente sorvegliato. Anche quando il servizio viene presentato come assistente personale, il contesto lavorativo rende necessario un controllo particolarmente severo. Il Garante interviene per impedire che l’innovazione venga usata per normalizzare una nuova forma di controllo emotivo. La produttività non può diventare il pretesto per misurare il disagio psicologico dei dipendenti; il welfare digitale non può diventare una scorciatoia per raccogliere dati che il datore di lavoro non avrebbe titolo di conoscere. L’impatto sul mercato è immediato: fornitori di soluzioni AI, piattaforme collaborative e imprese clienti dovranno verificare se i plug-in installati nelle chat aziendali trattano dati eccedenti, producono inferenze sensibili o generano report potenzialmente identificativi. Il confine tra assistenza e sorveglianza passa dalla progettazione tecnica, ma anche dalla governance contrattuale e organizzativa del servizio.

Il Garante rafforza la tutela della dignità nel lavoro digitale

Il provvedimento del 28 maggio 2026 conferma il ruolo del Garante Privacy come presidio preventivo contro l’uso invasivo dell’AI nei contesti lavorativi. L’Autorità non attende che la tecnologia si diffonda su larga scala, ma interviene nella fase di sviluppo e commercializzazione per impedire che pratiche illegittime diventino standard di mercato. La tutela della dignità dei lavoratori assume qui una forma nuova, perché non riguarda soltanto telecamere, controlli a distanza o strumenti disciplinari tradizionali, ma algoritmi capaci di interpretare linguaggio, emozioni e stress. Il lavoro digitale produce grandi quantità di dati relazionali e comportamentali, e proprio questi dati diventano appetibili per fornitori di soluzioni HR basate su AI. Il Garante chiarisce che non tutto ciò che è tecnicamente possibile è giuridicamente lecito. La start-up dovrà rispondere entro i termini indicati, fornendo prove concrete delle misure adottate e dimostrando che il plug-in non consente accessi vietati alla sfera emotiva dei dipendenti. In caso contrario, l’Autorità potrà adottare ulteriori provvedimenti. Il messaggio finale è chiaro: l’intelligenza artificiale può supportare il benessere lavorativo solo se resta sotto il controllo effettivo della persona e non diventa uno strumento di misurazione psicologica al servizio dell’organizzazione.