HR e Selezione del Personale — Conformità al Regolamento UE sull'IA

Obblighi del Regolamento UE sull'IA per i sistemi di IA utilizzati nella selezione del personale, nel monitoraggio dei dipendenti e nella valutazione delle prestazioni. La categoria 4 dell'Allegato III copre tutti i sistemi di IA in ambito lavorativo.

Perché il Regolamento UE sull'IA è Centrale per la Tecnologia HR

L'intelligenza artificiale è diventata profondamente integrata nelle pratiche occupazionali in tutta l'UE — dall'analisi automatizzata dei curricula nei sistemi di tracciamento dei candidati alle dashboard di prestazioni in tempo reale e all'analisi comportamentale nei contact center. Il Regolamento UE sull'IA, in vigore dal 1° agosto 2024 con obblighi sui sistemi di IA ad alto rischio applicabili dal 2 agosto 2026, tratta i sistemi di IA in ambito occupazionale come un'area di sensibilità per i diritti fondamentali che richiede il massimo livello di scrutinio regolatorio.

L'Allegato III, categoria 4 del Regolamento individua i sistemi di IA utilizzati nell'occupazione, nella gestione dei lavoratori e nell'accesso al lavoro autonomo come ad alto rischio in tre distinte sottocategorie: reclutamento e selezione (cat. 4(a)), decisioni su promozione, assegnazione di compiti e monitoraggio degli obblighi contrattuali (cat. 4(b)), e monitoraggio in tempo reale degli stati emotivi o comportamentali dei lavoratori (cat. 4(c)). Questa classificazione è categorica — non è prevista alcuna soglia di materialità, nessuna deroga per i dispiegamenti di piccola entità, e nessuna distinzione basata sul fatto che lo strumento sia proprietario o acquisito da un fornitore terzo.

Il settore si trova all'intersezione di tre quadri normativi: il Regolamento sull'IA, il GDPR (in particolare l'Art. 22 sul processo decisionale automatizzato) e il diritto del lavoro nazionale — inclusi i diritti di co-determinazione sulle tecnologie sul luogo di lavoro. La conformità richiede un approccio coordinato che coinvolga i settori legale, HR, IT e i consigli aziendali.

Casi d'Uso ad Alto Rischio — Tutti i Sistemi di Categoria 4 dell'Allegato III

Reclutamento e Selezione (Cat. 4(a))

I sistemi di IA utilizzati nel ciclo di vita del reclutamento sono ad alto rischio senza eccezioni. Questo comprende:

Strumenti di scansione di CV e curricula integrati nelle piattaforme ATS (Workday, SAP SuccessFactors, Greenhouse, Lever, SmartRecruiters). La logica di ranking, preselezione e rifiuto guidata dall'IA rientra pienamente nella cat. 4(a).
Strumenti di analisi dei colloqui video che valutano espressioni facciali, tono della voce, schemi del parlato o micro-espressioni per inferire l'idoneità del candidato o i tratti della personalità (ad es. strumenti di tipo HireVue). Questi possono anche attivare gli obblighi di trasparenza dell'Art. 50(2) se incorporano il riconoscimento delle emozioni.
Algoritmi di pubblicità mirata di offerte di lavoro che determinano a quali individui vengono mostrate le offerte di lavoro sulla base di caratteristiche inferite — inclusa età, genere o indicatori geografici — sono esplicitamente elencati nella cat. 4(a) e presentano un rischio particolare di targeting discriminatorio.

Gestione e Monitoraggio della Forza Lavoro (Cat. 4(b))

I sistemi di IA utilizzati per gestire il rapporto di lavoro dopo l'assunzione sono ugualmente ad alto rischio:

Sistemi di IA per la valutazione delle prestazioni che generano punteggi, valutazioni o output di ranking utilizzati per informare decisioni di promozione, bonus o licenziamento.
Algoritmi di assegnazione dei compiti nelle piattaforme della gig economy (Uber, Deliveroo, Amazon Flex) che assegnano il lavoro, fissano i livelli retributivi e determinano la disattivazione. Questi sono ad alto rischio ai sensi della cat. 4(b) indipendentemente dalla classificazione contrattuale del lavoratore.
Software di monitoraggio della produttività che aggrega l'attività della tastiera, l'utilizzo delle applicazioni, i metadati delle comunicazioni o i dati di localizzazione per produrre metriche di prestazione. Dove gli output alimentano decisioni contrattuali, si applica la cat. 4(b).

Monitoraggio Emotivo e Comportamentale in Tempo Reale (Cat. 4(c))

L'Allegato III cat. 4(c) è specificamente dedicato ai sistemi che monitorano lo stato emotivo o comportamentale dei lavoratori in tempo reale. Comuni dispiegamenti nell'ambito di applicazione:

Analisi delle emozioni nei call center che valutano il sentiment del cliente e dell'operatore durante le chiamate in diretta e generano segnalazioni di prestazione.
Piattaforme biometriche di benessere che inferiscono stress, affaticamento o livelli di coinvolgimento da segnali fisiologici o comportamentali.
Monitoraggio dell'attenzione e del coinvolgimento durante il lavoro da remoto tramite inferenza basata su webcam.

Questi sistemi attivano inoltre l'Art. 50(2): qualsiasi deployer che utilizzi il riconoscimento delle emozioni sui lavoratori deve notificare a quei lavoratori che sono soggetti al sistema. Questo obbligo di notifica si applica indipendentemente dal fatto che la più ampia tempistica di conformità per i sistemi ad alto rischio sia stata soddisfatta.

Obblighi del Fornitore rispetto al Deployer — La Posizione del Datore di Lavoro

Ai sensi del Regolamento sull'IA, la maggior parte dei datori di lavoro occupa il ruolo di deployer — acquisisce sistemi di IA ad alto rischio dai fornitori (produttori di software) e li impiega nei propri processi HR. La distinzione fornitore/deployer è giuridicamente rilevante poiché gli obblighi differiscono.

Obblighi del Fornitore (Responsabilità del Vendor)

I fornitori — i produttori di software HR — devono, prima di immettere sistemi ad alto rischio sul mercato UE:

Istituire e mantenere un sistema di gestione della qualità (Art. 9) che comprenda la gestione dei rischi, la governance dei dati, la documentazione tecnica e il monitoraggio post-commercializzazione.
Predisporre la documentazione tecnica ai sensi dell'Allegato IV che dimostri il design del sistema, lo scopo previsto, le metriche di prestazione, i dati di addestramento e le limitazioni note.
Condurre una valutazione della conformità ai sensi dell'Art. 43 e registrare il sistema nella banca dati UE (Art. 49).
Apporre la marcatura CE e rilasciare una dichiarazione di conformità UE.
Fornire ai deployer le istruzioni per l'uso (Art. 13) incluse informazioni su limitazioni, profili utente previsti e requisiti di sorveglianza.

Obblighi del Deployer (Responsabilità del Datore di Lavoro)

I datori di lavoro devono:

Verificare la conformità del fornitore prima del dispiegamento: verificare la marcatura CE, la dichiarazione di conformità e l'adeguatezza delle istruzioni per l'uso.
Implementare in conformità alle istruzioni: i deployer non possono utilizzare il sistema per scopi che esulano dall'uso previsto dichiarato (Art. 25(1)).
Garantire una sorveglianza umana sostanziale (Art. 25(2)): i dipendenti designati a supervisionare gli output dell'IA devono avere l'autorità, la competenza tecnica e il tempo necessari per comprendere gli output del sistema e ignorarli quando appropriato. Una revisione umana nominale — una mera spunta senza valutazione genuina — non soddisfa questo requisito.
Condurre una valutazione d'impatto sui diritti fondamentali (FRIA) (Art. 27): obbligatoria per i deployer del settore pubblico; fortemente raccomandata per i datori di lavoro del settore privato che impiegano sistemi di cat. 4, in particolare quando gli output riguardano caratteristiche protette.
Monitorare i rischi post-dispiegamento: se un deployer identifica rischi che il fornitore non aveva previsto, deve notificarlo al fornitore e, ove pertinente, all'autorità di vigilanza del mercato.
Sospendere l'uso in caso di incidenti gravi o se il sistema risulta non conforme in fase operativa.

Interazione con l'Art. 22 del GDPR e il Diritto del Lavoro

Art. 22 del GDPR — Processo Decisionale Automatizzato

L'Art. 22 del GDPR rimane pienamente operativo accanto al Regolamento sull'IA e si applica direttamente all'IA in ambito HR. Vieta le decisioni basate esclusivamente su trattamento automatizzato laddove tali decisioni producano effetti giuridici o effetti significativi analoghi sull'interessato. In ambito occupazionale, le seguenti decisioni rientrano inequivocabilmente nell'ambito di applicazione: assunzione e rifiuto, licenziamento, promozione e retrocessione, determinazione della retribuzione e azione disciplinare.

La conformità richiede:

Intervento umano sostanziale prima di qualsiasi decisione rilevante — il revisore umano deve avere accesso ai dati e alla logica sottostanti, non soltanto a una raccomandazione riepilogativa.
Diritto di ottenere revisione umana di qualsiasi decisione automatizzata su richiesta, con genuina capacità di riconsiderazione.
Una base giuridica per il trattamento ai sensi dell'Art. 6 e, laddove siano coinvolti dati di categoria speciale (dati sulla salute, etnia, dati biometrici inferiti dall'analisi facciale), ai sensi dell'Art. 9.

Il Regolamento sull'IA e il GDPR sono complementari, non mutualmente esclusivi. L'Art. 2(7) del Regolamento sull'IA conferma che si applica fatte salve le disposizioni del GDPR. I datori di lavoro devono soddisfare entrambi i regimi simultaneamente.

Diritto del Lavoro Nazionale — Consigli Aziendali e Co-Determinazione

In diversi Stati membri dell'UE, il diritto del lavoro nazionale conferisce diritti di co-determinazione sulle tecnologie sul luogo di lavoro che si applicano ai sistemi di IA indipendentemente dal Regolamento sull'IA:

Germania — Betriebsverfassungsgesetz §87(1) n. 6: il consiglio aziendale ha un diritto vincolante di co-determinazione sull'introduzione di dispositivi tecnici destinati al monitoraggio del comportamento o delle prestazioni dei dipendenti. Il dispiegamento di strumenti di monitoraggio o valutazione basati su IA senza il previo accordo del consiglio aziendale può essere impugnato dinanzi al tribunale del lavoro (Arbeitsgericht) e inibitogli.
Paesi Bassi — Wet op de ondernemingsraden (WOR) Art. 27: l'ondernemingsraad ha diritti di consenso sui sistemi del personale e sulle modalità di monitoraggio.
Austria — Arbeitsverfassungsgesetz §96: co-determinazione vincolante sulle misure di monitoraggio che incidono sulla dignità personale.
Francia — Code du Travail L. 2312-38: il Comité Social et Économique deve essere informato e consultato prima del dispiegamento di strumenti automatizzati che incidono sulle condizioni di lavoro.

I diritti dei consigli aziendali richiedono in genere preavviso, documentazione del funzionamento del sistema e, in molti casi, accordo formale o un accordo aziendale (Betriebsvereinbarung) prima del dispiegamento. Questi obblighi scattano prima della tempistica di conformità al Regolamento sull'IA e non possono essere differiti.

La Direttiva 2002/14/CE sull'informazione e la consultazione dei lavoratori fornisce inoltre un quadro di riferimento per i Comitati Aziendali Europei dei gruppi multinazionali che dispiegano strumenti di IA nei vari Stati membri.

Enforcement — Garanti della Privacy, Organismi per le Pari Opportunità e Ispettorati del Lavoro

L'applicazione degli obblighi del Regolamento sull'IA nel settore HR coinvolgerà molteplici autorità competenti:

Autorità per la protezione dei dati (Garanti della Privacy): la designazione quale principale autorità di vigilanza del mercato in molti Stati membri sarà attribuita al Garante della Privacy o sarà esercitata congiuntamente ad esso. I Garanti hanno competenza concorrente ai sensi dell'Art. 22 del GDPR per le violazioni in materia di processo decisionale automatizzato. Le linee guida dell'EDPB su IA e occupazione restano l'interpretazione autorevole a livello UE.
Organismi nazionali per le pari opportunità: laddove i sistemi di IA producano risultati discriminatori nel reclutamento o nella promozione — ad esempio, impatto sproporzionato su donne, minoranze etniche o lavoratori anziani — gli organismi per le pari opportunità (ad es. ECRI, Défenseur des droits, membri di Equinet) dispongono di poteri di indagine e enforcement ai sensi delle Direttive sulla parità di trattamento (2000/43/CE, 2000/78/CE, 2006/54/CE).
Ispettorati del lavoro: negli Stati membri con forti regimi di ispezione del lavoro, gli ispettori possono indagare sulle violazioni legate all'IA delle condizioni di lavoro, dei limiti al monitoraggio e dei diritti dei consigli aziendali. Francia (DREETS), Germania (Gewerbeaufsicht) e Spagna (Inspección de Trabajo) sono esempi di organi di enforcement attivi.

Le sanzioni ai sensi del Regolamento sull'IA raggiungono 30 milioni di euro o il 6% del fatturato annuo globale per le pratiche vietate, e 15 milioni di euro o il 3% del fatturato per altre violazioni relative ai sistemi ad alto rischio. Le sanzioni del GDPR ai sensi dell'Art. 83 si applicano cumulativamente. Il rischio reputazionale e il contenzioso dei dipendenti ai sensi del diritto del lavoro nazionale rappresentano un'ulteriore esposizione.

Roadmap di Conformità per i Professionisti HR

Un programma di conformità strutturato per i datori di lavoro che impiegano l'IA nelle risorse umane dovrebbe affrontare in sequenza i seguenti punti:

1. Inventario dei sistemi di IA: catalogare tutti gli strumenti di IA utilizzati lungo il ciclo di vita occupazionale — reclutamento, onboarding, gestione delle prestazioni, pianificazione della forza lavoro e uscita. Per ciascuno strumento, identificare la categoria dell'Allegato III e confermare la classificazione ad alto rischio.

2. Due diligence sui fornitori: prima del 2 agosto 2026 (o al successivo rinnovo contrattuale), richiedere a ciascun vendor: marcatura CE, dichiarazione di conformità UE, sintesi della documentazione tecnica e istruzioni per l'uso. I vendor che non sono in grado di fornire questi elementi devono essere trattati come non conformi.

3. Consultazione del consiglio aziendale: avviare procedure di co-determinazione o consultazione ai sensi del diritto nazionale applicabile per tutti i sistemi di IA non ancora soggetti ad accordo formale. Documentare gli esiti in un accordo aziendale o in uno strumento equivalente.

4. Audit ai sensi dell'Art. 22 del GDPR: mappare tutte le decisioni HR con effetti giuridici o significativi e verificare che nessuna decisione si basi esclusivamente su output automatizzato. Implementare protocolli di sorveglianza umana con documentazione della competenza del revisore e dei record di intervento.

5. Valutazione d'impatto sui diritti fondamentali: condurre la FRIA ai sensi dell'Art. 27 per tutti i dispiegamenti di cat. 4 dell'Allegato III. Per i datori di lavoro del settore pubblico, questa è obbligatoria; per i datori di lavoro del settore privato, rappresenta lo standard di diligenza atteso e una difesa rispetto alle azioni di enforcement.

6. Obblighi di trasparenza: implementare la notifica ai dipendenti ai sensi dell'Art. 50(2) per qualsiasi sistema di riconoscimento delle emozioni. Assicurarsi che i candidati siano informati della selezione assistita dall'IA ai sensi dei requisiti di trasparenza del GDPR (Artt. 13–14).

7. Capacità di sorveglianza umana: verificare che il personale designato a rivedere gli output dell'IA nelle risorse umane abbia la genuina autorità di ignorare le raccomandazioni, il tempo sufficiente per condurre una revisione sostanziale e una formazione documentata adeguata alla complessità del sistema.

8. Procedure di risposta agli incidenti: stabilire procedure per la registrazione, l'indagine e la segnalazione di incidenti gravi che coinvolgano sistemi di IA HR, in linea con gli obblighi del fornitore ai sensi dell'Art. 73 trasferiti ai deployer tramite accordi contrattuali.

La conformità in questo settore non è un progetto una tantum. La combinazione degli obblighi del Regolamento sull'IA, delle linee guida in evoluzione dei Garanti della Privacy sull'Art. 22 del GDPR e dell'engagement attivo dei consigli aziendali richiede una struttura di governance continuativa con titolarità dedicata nelle funzioni HR, legale e di protezione dei dati.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-20 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

I sistemi di IA per la scansione dei CV sono automaticamente ad alto rischio ai sensi del Regolamento UE sull'IA?

Sì. **L'Allegato III, categoria 4(a)** elenca esplicitamente i sistemi di IA utilizzati per il reclutamento e la selezione — inclusa la scansione dei CV, il ranking dei curricula e la pubblicità mirata delle offerte di lavoro — come ad alto rischio. Non è prevista alcuna soglia de minimis. Qualsiasi strumento di screening integrato in un ATS e utilizzato nell'UE è soggetto all'intero set di obblighi per i sistemi ad alto rischio previsti dagli **Artt. 9–15** e **Artt. 25–27**, indipendentemente dalle dimensioni del fornitore o dalla sofisticazione del modello.

I datori di lavoro devono consultare i consigli aziendali prima di adottare strumenti di IA per il reclutamento o il monitoraggio?

In Germania, il **Betriebsverfassungsgesetz §87(1) n. 6** attribuisce ai consigli aziendali diritti vincolanti di co-determinazione sui dispositivi tecnici di monitoraggio, inclusi i sistemi di IA che monitorano il comportamento o le prestazioni dei dipendenti. Diritti di consultazione equivalenti si applicano nei Paesi Bassi (OR), in Austria (Betriebsrat) e in Francia (Comité Social et Économique). Il mancato ottenimento di un accordo preventivo può rendere il dispiegamento illecito ai sensi del diritto del lavoro nazionale, indipendentemente dalla conformità al Regolamento sull'IA.

Come si relaziona l'Art. 22 del GDPR con il Regolamento sull'IA in ambito HR?

**L'Art. 22 del GDPR** vieta le decisioni basate esclusivamente su trattamento automatizzato che producano effetti giuridici o effetti significativi analoghi sugli individui. In ambito HR, le decisioni di assunzione, licenziamento e promozione rientrano chiaramente nell'ambito di applicazione. Il Regolamento sull'IA non sostituisce l'Art. 22 — vi aggiunge obblighi sovrapposti. I datori di lavoro devono garantire una **revisione umana sostanziale** prima di qualsiasi decisione rilevante, conservare la documentazione di tale revisione e assicurarsi che il revisore umano disponga della competenza e dell'autorità per ignorare l'output del sistema di IA.

È possibile utilizzare sistemi di IA per il riconoscimento delle emozioni nei colloqui di lavoro?

I sistemi di IA per il riconoscimento delle emozioni non sono vietati nei contesti di reclutamento, ma l'**Art. 50(2)** del Regolamento sull'IA impone un obbligo di trasparenza obbligatorio: i deployer devono informare le persone quando sono sottoposte a un sistema di riconoscimento delle emozioni. Inoltre, poiché tali sistemi costituiscono sistemi di IA ad alto rischio ai sensi dell'Allegato III cat. 4(a), si applicano tutti i requisiti per i sistemi ad alto rischio — valutazione della conformità, documentazione tecnica, sorveglianza umana e valutazione d'impatto sui diritti fondamentali. La validità scientifica del riconoscimento delle emozioni nel reclutamento è ampiamente contestata, con conseguenti ulteriori preoccupazioni in materia di proporzionalità ai sensi del GDPR.

Cosa deve fare un datore di lavoro quando utilizza uno strumento di IA per il reclutamento fornito da terzi (ad es. Workday o SAP SuccessFactors)?

I datori di lavoro sono **deployer** ai sensi del Regolamento sull'IA (**Art. 3(4)**) e hanno obblighi specifici ai sensi degli **Artt. 25–27**. Devono: verificare che il fornitore abbia fornito una dichiarazione di conformità, la documentazione tecnica UE e le istruzioni per l'uso; implementare il sistema in conformità a tali istruzioni; assicurarsi che il personale designato alla sorveglianza umana abbia l'autorità, la competenza e il tempo necessari per intervenire; condurre una **valutazione d'impatto sui diritti fondamentali** (obbligatoria per i deployer del settore pubblico; raccomandata per il settore privato); e sospendere l'uso qualora emergano rischi. I deployer non possono aggirare le restrizioni del fornitore né utilizzare il sistema per scopi diversi da quelli previsti.

Il Regolamento sull'IA si applica ai sistemi di IA utilizzati nell'assegnazione dei compiti nell'economia dei lavoratori occasionali (gig economy)?

Sì. **L'Allegato III, categoria 4(b)** copre i sistemi di IA utilizzati per l'assegnazione dei compiti e il monitoraggio degli obblighi contrattuali dei lavoratori, che comprende direttamente i sistemi di gestione algoritmica utilizzati dalle piattaforme della gig economy come la consegna, il ride-hailing e gli operatori di servizi on-demand. Questi sistemi sono ad alto rischio. I lavoratori su queste piattaforme hanno diritto a una sorveglianza umana sostanziale delle decisioni che influiscono sul loro accesso al lavoro, ai livelli retributivi e alla disattivazione dell'account.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.