AI e stress dei dipendenti: cosa dice il Garante Privacy

Privacy & Lavoro

Un plug-in per Slack e Teams capace di stimare il livello di stress dei dipendenti dalle loro chat ha attirato l'attenzione del Garante Privacy. Non è una multa: è un avvertimento (ai sensi dell'art. 58 del GDPR) che riguarda tutte le aziende e i lavoratori che oggi usano, o valutano di usare, strumenti di IA sul benessere del personale.

Trasparenza: questo articolo non parla di prodotti che vendiamo né contiene link affiliati a sistemi di monitoraggio aziendale. Citiamo un provvedimento ufficiale del Garante Privacy e normativa europea; dove riportiamo cifre o affermazioni, indichiamo sempre la fonte.

In breve

Il Garante Privacy ha avvertito una start-up italiana, Myndoor, che produce un plug-in capace di analizzare il linguaggio delle chat aziendali per stimare stress ed emozioni dei dipendenti che lo usano volontariamente. L'indagine era partita dal sospetto che alcuni enti pubblici lo stessero usando sui propri lavoratori, ma è emerso che non era così: il caso concreto verificato non ha mostrato violazioni accertate. Resta però un principio chiaro, rafforzato anche dall'AI Act europeo: l'azienda deve evitare che il sistema permetta, anche indirettamente, di ricondurre ai singoli lavoratori informazioni sullo stato emotivo o livello di stress.

14/05/2026

data del provvedimento n. 342

02/02/2025

in vigore il divieto AI Act sulle emozioni sul lavoro

Il dettaglio più interessante di questo caso non è il divieto in sé — quello era già scritto nella legge. È che il sospetto iniziale del Garante (uso del sistema su dipendenti pubblici) si è rivelato infondato, e l'avvertimento finale riguarda solo un rischio teorico nella configurazione del sistema, non un abuso già accertato.

✍️ Rocco Caiazza — Fondatore di ScelgoIo | Giugno 2026

Il datore di lavoro può usare l'AI per capire se sei stressato? Cosa dice il Garante Privacy

Negli ultimi mesi diverse aziende italiane, soprattutto di medie e grandi dimensioni, hanno iniziato a guardare con interesse a strumenti di intelligenza artificiale che promettono di "misurare il benessere" dei dipendenti analizzando il modo in cui scrivono su Slack o Teams. L'idea, sulla carta, è seducente: individuare segnali di burnout prima che diventino un problema serio, offrire supporto personalizzato, prevenire il disagio. Ma chi raccoglie questi dati? Chi li vede? E soprattutto: è anche solo legale farlo?

A fine maggio 2026 il Garante per la protezione dei dati personali ha pubblicato un provvedimento (provv. n. 342 del 14/05/2026) che mette ordine su questo tema, rivolto a una start-up italiana, Myndoor, sviluppatrice di un plug-in di questo tipo. La notizia è stata raccontata da molte testate con titoli abbastanza netti — "il Garante ferma l'IA", "stop al monitoraggio emotivo" — ma leggendo il testo integrale del provvedimento la storia è più sottile, e proprio per questo più utile da capire bene, sia se sei un dipendente che usa strumenti del genere, sia se lavori in azienda e stai valutando di introdurli.

01

Cos'è successo davvero: il caso Myndoor

Myndoor S.r.l. ha sviluppato un plug-in integrabile in Slack e Teams che, attraverso l'analisi semantica delle conversazioni di lavoro, stima il livello di stress psicologico dei dipendenti che scelgono volontariamente di attivarlo, offrendo loro suggerimenti personalizzati sul benessere.

Il Garante ha aperto un'istruttoria dopo alcune notizie di stampa che suggerivano l'uso del sistema presso enti della pubblica amministrazione. Durante l'istruttoria, però, l'ente coinvolto ha dichiarato formalmente di non aver mai acquistato il servizio per le chat aziendali — un punto che molti articoli sul tema non hanno raccontato con la stessa enfasi, ma che secondo il testo pubblicato dal Garante è centrale: il presupposto iniziale dell'indagine non si è verificato.

Il Garante ha quindi verificato come funziona il sistema "in generale", nella sua configurazione attuale, e ha anche controllato l'unico caso concreto in cui Myndoor aveva effettivamente fornito un report aggregato a un cliente: in quel caso, non sono state trovate informazioni sufficienti a reidentificare i singoli dipendenti. Anche per questo, il Garante ha concluso che non risultano comprovate violazioni effettivamente avvenute.

Nota di precisione: il provvedimento non è una sanzione pecuniaria. È un richiamo preventivo che segnala come i trattamenti previsti dal sistema, nella sua configurazione attuale, possano verosimilmente violare la normativa — non l'accertamento di un illecito già commesso.

🔧 Per i tecnici: come Myndoor dice di proteggere i dati

Secondo il provvedimento, Myndoor riceve dati grezzi solo dagli utenti che attivano volontariamente il servizio, e il datore di lavoro non ha accesso al contenuto delle chat né ai risultati individuali. Su richiesta, può ricevere solo un report aggregato, generato esclusivamente se almeno 10 dipendenti hanno usato il plug-in nella stessa settimana — sotto quella soglia, il report non viene generato.

Il punto è che questa pseudonimizzazione riduce il rischio ma non lo elimina del tutto: il Garante ha osservato che non si può escludere in via assoluta che, in futuro, un'azienda con un organico piccolo o con altre informazioni a disposizione possa risalire all'identità dei dipendenti partendo solo dal report aggregato. Per questo ha chiesto a Myndoor misure più solide già in fase di progettazione — ad esempio una soglia minima più alta, o l'esclusione totale di qualunque dato semi-aggregato dall'export verso il cliente.

Per chi valuta di iscriversi a uno strumento simile: prima di aderire, chiedi se esiste una DPIA, una conferma scritta che l'azienda non riceve dati individuali, e i tempi di cancellazione dei tuoi dati.

02

Perché conta per chi lavora come dipendente

Se in azienda ti hanno proposto o ti stanno proponendo uno strumento di questo tipo — magari presentato come "supporto al benessere" o "prevenzione del burnout" — ci sono alcune cose che vale la pena sapere prima di iscriverti.

Cosa può fare il sistema	Cosa NON può legalmente fare il datore di lavoro
Analizzare le chat di chi si iscrive volontariamente al servizio	Leggere il contenuto delle tue conversazioni analizzate
Offrirti suggerimenti personalizzati sul tuo benessere	Ricevere i risultati individuali della tua analisi
Generare report aggregati e statistici per l'azienda	Usare quei report per identificare chi, individualmente, è "più stressato"
Restare attivo solo sopra una certa soglia di utenti	Usare un sistema di IA per dedurre le tue emozioni, in qualunque forma — vietato dall'AI Act

Il principio richiamato dal Garante è netto: lo stato emotivo, il livello di stress e il benessere psicologico di un dipendente non sono informazioni che il datore di lavoro può legittimamente raccogliere o trattare, in base alla normativa privacy, allo Statuto dei Lavoratori e al Regolamento europeo sull'intelligenza artificiale. Questo vale anche se l'adesione al servizio è volontaria e anche se l'azienda riceve solo dati aggregati: il rischio di un accesso indiretto, per quanto residuo, resta un problema da prevenire, non da accettare come inevitabile.

Se vuoi capire meglio, in generale, quanto le aziende possono effettivamente vedere della tua attività digitale sul lavoro (email, traffico web, geolocalizzazione), vale la pena conoscere anche i limiti posti dallo Statuto dei Lavoratori sul controllo a distanza — un tema più ampio di questo singolo caso, ma strettamente collegato.

03

Perché conta per chi gestisce persone o un'azienda

Dall'altra parte del tavolo, per chi ha responsabilità di gestione — che sia un HR manager di una grande azienda o, come nel mio caso, chi dirige un punto vendita e coordina un team — la tentazione di voler "misurare" il clima aziendale con strumenti automatici è comprensibile. Ma questo caso mostra con chiarezza dove sta il limite, e perché conviene restare ben distanti da quel limite, non semplicemente entro i suoi confini.

I tre rischi concreti per un'azienda

• Rischio normativo diretto: l'AI Act vieta espressamente, già dal 2 febbraio 2025, i sistemi di IA destinati a dedurre o analizzare le emozioni delle persone nei luoghi di lavoro, salvo motivi medici o di sicurezza. Le sanzioni per questo tipo di violazione sono tra le più alte previste dal Regolamento.
• Rischio reputazionale: anche un avvertimento — non una multa — basta a finire su decine di testate specializzate e generaliste, con titoli che parlano di "sorveglianza emotiva". Il danno d'immagine spesso supera quello sanzionatorio.
• Rischio di affidabilità del dato stesso: il Garante ha richiamato anche il rischio che questi sistemi, basati su modelli linguistici e analisi semantica, producano risultati non sempre trasparenti, spiegabili o verificabili — con possibili effetti discriminatori. In pratica: anche se fosse legale, un punteggio di "stress" dedotto da un algoritmo su un campione di chat di lavoro è un dato debole su cui basare qualunque decisione.

La domanda utile da farsi prima di adottare qualunque strumento di questo tipo non è "il fornitore garantisce l'anonimato?" — come abbiamo visto, anche un fornitore con misure tecniche serie (soglie minime di popolazione, pseudonimizzazione) può comunque finire sotto la lente del Garante. La domanda è: "sto raccogliendo, anche indirettamente, informazioni sullo stato emotivo dei miei dipendenti?" Se la risposta è sì, il problema non è la qualità tecnica del sistema, è la finalità stessa del trattamento.

04

Cosa dice esattamente l'AI Act sul riconoscimento delle emozioni

Vale la pena chiarire questo punto perché genera spesso confusione sulle date: il divieto sul riconoscimento delle emozioni nei luoghi di lavoro e nelle scuole è già applicabile dal 2 febbraio 2025, anche se l'AI Act prevede un'applicazione progressiva per altre categorie di obblighi (come quelli sui sistemi ad alto rischio, che scattano dal 2 agosto 2026). È una delle pratiche di intelligenza artificiale considerate a "rischio inaccettabile" dall'articolo 5 del Regolamento UE 2024/1689, insieme ad altre come il social scoring o il riconoscimento facciale indiscriminato.

Cosa intende l'AI Act per "riconoscimento delle emozioni": sistemi di IA che deducono o identificano lo stato emotivo di una persona partendo da dati come tono di voce, espressioni del viso, gesti o, come nel caso Myndoor, linguaggio scritto. È diverso dal semplice osservare un comportamento visibile — il Regolamento distingue tra notare che qualcuno sta scrivendo messaggi più brevi del solito (un fatto) e concludere che quella persona è stressata o infelice (un'inferenza emotiva, vietata in questo contesto).

Per renderlo più concreto: contare quanti messaggi un dipendente invia al giorno, o misurare i tempi medi di risposta, sono dati comportamentali oggettivi — generalmente leciti, fermo restando il rispetto dello Statuto dei Lavoratori sui controlli a distanza. Trasformare quei numeri in un "punteggio di stress" o in un'etichetta come "a rischio burnout" è invece un'inferenza emotiva, ed è esattamente il tipo di output che l'AI Act vieta in ambito lavorativo.

Le uniche eccezioni previste riguardano motivi medici o di sicurezza — non il benessere organizzativo generico, per quanto buone siano le intenzioni dichiarate.

Una precisazione utile, in genere valida ma da verificare caso per caso: questo divieto si applica indipendentemente dal tipo di rapporto di lavoro (dipendente, collaboratore, tirocinante) e copre anche la fase di selezione del personale, non solo il rapporto già in corso.

05

Non è un caso isolato: il contesto europeo

Il caso Myndoor si inserisce in un momento in cui le autorità di protezione dei dati in tutta Europa stanno iniziando a far valere concretamente i divieti dell'AI Act, dopo un periodo iniziale in cui le norme esistevano sulla carta ma erano applicate raramente. Secondo le linee guida pubblicate dalla Commissione europea sulle pratiche vietate, il divieto sul riconoscimento delle emozioni nasce da una preoccupazione precisa: il contesto lavorativo è caratterizzato da uno squilibrio di potere strutturale tra datore di lavoro e dipendente, e introdurre sistemi capaci di dedurre stati emotivi rischia di trasformarsi in una forma di controllo pervasivo, anche quando l'intenzione dichiarata è opposta.

Vale la pena notare una distinzione che spesso si perde nelle discussioni più generiche su questo tema: osservare un comportamento visibile non equivale automaticamente a riconoscere un'emozione. Se un sistema rileva che un dipendente sta sorridendo, questo è un dato comportamentale neutro. Se invece quel sistema ne deduce che il dipendente "è felice" o "è soddisfatto del lavoro", quella è già un'inferenza emotiva, e rientra nel divieto. È una linea sottile, ma è esattamente la linea su cui si gioca la legittimità di moltissimi strumenti di "people analytics" che oggi vengono proposti alle aziende sotto etichette diverse — produttività, engagement, benessere organizzativo — che in alcuni casi nascondono lo stesso problema di fondo.

Per chi si occupa di gestione del personale — che sia in una grande azienda strutturata o, come nel mio caso, alla guida di un punto vendita con un team da coordinare ogni giorno — il punto da portarsi a casa non è "evitare l'IA nelle risorse umane" in senso assoluto. Strumenti che misurano produttività, presenze, obiettivi commerciali restano generalmente legittimi, purché trattino dati oggettivi e non inferenze sullo stato interiore delle persone. Il confine da non attraversare è quello tra "misurare cosa fa una persona" e "dedurre cosa sente".

06

Checklist: come riconoscere un sistema a rischio

Che tu sia un dipendente al quale viene proposto un nuovo strumento aziendale, oppure chi deve valutarne l'acquisto, alcune domande aiutano a orientarsi senza dover essere un esperto di diritto digitale.

1. Cosa analizza veramente?

Se il sistema legge il contenuto o il tono di messaggi, email o chat per dedurre uno stato d'animo, è un campanello d'allarme. Se misura solo dati oggettivi (ore lavorate, scadenze rispettate), il rischio è diverso.

2. Chi vede cosa?

Verifica se il datore di lavoro può accedere, anche indirettamente, a dati individuali o a report che con pochi utenti diventano facilmente ricollegabili a una persona specifica.

3. È stato coinvolto chi si occupa di privacy?

In azienda, prima di acquistare strumenti di questo tipo, una valutazione d'impatto sulla protezione dei dati (DPIA) non è un passaggio burocratico opzionale: è proprio il punto in cui questo tipo di rischio dovrebbe emergere prima dell'acquisto, non dopo un avvertimento del Garante.

Il verdetto di ScelgoIo

Il caso Myndoor non è la storia di un'azienda "beccata" a spiare i propri dipendenti — su questo, le verifiche del Garante non hanno trovato prove. È la storia di un confine normativo che esiste già, indipendentemente dalle buone intenzioni di chi sviluppa questi strumenti, e che vale la pena conoscere prima di trovarsi dall'una o dall'altra parte del problema.

✓ Aspetti positivi

• Il Garante ha agito in modo preventivo, non punitivo
• Myndoor aveva già misure tecniche di tutela non banali
• Il quadro normativo (AI Act + GDPR + Statuto Lavoratori) è chiaro e si rafforza a vicenda

✗ Aspetti da monitorare

• Molti articoli online raccontano il caso in modo impreciso o sensazionalistico
• Le aziende che adottano strumenti simili spesso non valutano correttamente questo rischio prima dell'acquisto
• Il confine tra "report aggregato" e "dato reidentificabile" resta tecnicamente delicato

📚 Fonti ufficiali

• Garante per la protezione dei dati personali — Provvedimento del 14 maggio 2026, n. 342 [doc. web n. 10255494]
• Regolamento (UE) 2024/1689 (AI Act) — testo ufficiale su EUR-Lex, articolo 5 (pratiche di IA vietate)
• Statuto dei Lavoratori (L. 300/1970) — testo su Normattiva, art. 4 sui controlli a distanza
• Garante Privacy — comunicato stampa del 28 maggio 2026

Domande frequenti

Il mio datore di lavoro può sapere se sono stressato leggendo le mie chat su Slack o Teams?+

No, non in modo legittimo. Lo stato emotivo e il livello di stress sono informazioni che il datore di lavoro non può raccogliere o trattare, secondo la normativa privacy, lo Statuto dei Lavoratori e l'AI Act. Anche se un'azienda terza analizza le chat con il tuo consenso, il datore di lavoro non dovrebbe poter accedere né al contenuto né ai risultati individuali — solo, al massimo, a report statistici aggregati che non permettano di identificarti.

Myndoor è stata multata dal Garante Privacy?+

No. Il provvedimento del 14 maggio 2026 è un avvertimento formale, non una sanzione pecuniaria. Il Garante segnala che i trattamenti previsti dal sistema, nella configurazione attuale, possono verosimilmente violare la normativa, e chiede misure aggiuntive — ma non ha accertato una violazione già avvenuta né applicato una multa.

Da quando è vietato usare l'IA per analizzare le emozioni sul lavoro?+

Dal 2 febbraio 2025. È una delle pratiche di intelligenza artificiale a "rischio inaccettabile" elencate dall'articolo 5 dell'AI Act (Regolamento UE 2024/1689), già vincolante da quella data, distinta dalla scadenza del 2 agosto 2026 che riguarda invece gli obblighi per i sistemi di IA ad "alto rischio" in generale.

Esistono eccezioni al divieto di riconoscimento delle emozioni sul lavoro?+

Sì, ma sono molto limitate: l'AI Act prevede deroghe solo per motivi medici o di sicurezza. Un programma generico di "benessere organizzativo" o "prevenzione del burnout" non rientra in queste eccezioni, anche se l'intenzione dichiarata è positiva.

Se aderisco volontariamente a uno strumento del genere, sono comunque tutelato?+

La volontarietà dell'adesione riguarda il rapporto tra te e il fornitore del servizio, non cambia i limiti su cosa il tuo datore di lavoro può legittimamente ricevere o dedurre sul tuo stato emotivo. In altre parole: puoi scegliere di usare un'app di benessere, ma questo non autorizza l'azienda a venirne a conoscenza nei dettagli, nemmeno in forma aggregata se il campione è troppo piccolo per garantire l'anonimato.

Cosa dovrebbe verificare un'azienda prima di adottare uno strumento di analisi del benessere dei dipendenti?+

Prima di tutto, se lo strumento deduce in qualche modo lo stato emotivo dei lavoratori — anche solo dal linguaggio scritto — andrebbe verificato se rientra nel divieto dell'art. 5 dell'AI Act, indipendentemente dalle misure tecniche di anonimizzazione adottate dal fornitore. È consigliabile coinvolgere chi si occupa di compliance privacy in azienda prima dell'acquisto, non dopo.

L'avvertimento del Garante riguarda solo Myndoor o tutti gli strumenti simili?+

Formalmente il provvedimento riguarda Myndoor, ma il principio richiamato — emozioni e stress non sono dati che un datore di lavoro può legittimamente trattare — vale per qualunque strumento con finalità simili, indipendentemente dal nome del fornitore.

Rocco Caiazza

Fondatore di ScelgoIo. Chi è Rocco →