Temi e questioni sull’utilizzo dell’AI nella fase selettiva e preassuntiva del rapporto di lavoro

Premessa

Le fasi preassuntive, specialmente quando coinvolgono una platea ampia di soggetti interessati, comportano trattamenti di dati personali che, per loro natura, possono esporre i candidati a rischi di discriminazione e pregiudizio. Dal momento in cui viene evidenziata l’esigenza di trovare una o più figure professionali da inserire nell’organico aziendale, la prima attività di trattamento da tenere in conto è quella di ricerca del personale, con una raccolta strutturata o non di curriculum (CV) e successiva analisi degli stessi. Una volta ristretta la rosa dei possibili candidati, si svolgono i colloqui, che alle volte prevedono anche quiz, test o prove di vario tipo e dunque una valutazione, più o meno articolata, di tali candidati. Al termine di questo percorso, si propongono delle condizioni contrattuali al soggetto selezionato e se questi accetta, eventualmente a seguito di una negoziazione, si acquisiscono alcune informazioni ulteriori necessarie alla assunzione vera e propria, andando a siglare il contratto di lavoro. Da questa semplice panoramica delle tipiche fasi di preassunzione si intravedono opportunità sulle quali si sono avventati i fornitori di sistemi di Intelligenza artificiale (di seguito “sistemi di IA”), che hanno prontamente sviluppato varie soluzioni con le quali le aziende possono raggiungere significativi efficientamenti e, dunque, risparmi. I sistemi di IA inseriti in tali “fasi” dell’attività preassuntiva, tuttavia, possono amplificare notevolmente i già presenti rischi specifici per gli interessati, in particolar modo le aziende che trattano grandi quantità di CV di candidati. A fronte di tali risparmi, infatti, è opportuno che le organizzazioni si ricordino che l’utilizzo di questo tipo di sistemi comporta, necessariamente, ulteriore attività di compliance, sia dal punto di vista privacy, che dal punto di vista giuslavoristico, che dal punto di vista del AI Act.

La compliance privacy-giuslavorsitica nella fase preassuntiva

Come avviene per ogni altro trattamento svolto da una azienda, anche quelli realizzati durante le varie fasi preassuntive devono sottostare a tutti i principi fondamentali del trattamento previsti dall’art. 5 del GDPR, ossia liceità, correttezza, trasparenza, limitazione delle finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza, oltre che naturalmente al principio cardine di accountability.

1. La fase di ricerca iniziale: a fronte della pubblicazione di una ricerca di personale (job posting) e di una raccolta di CV e candidature, spontanee o non, il titolare del trattamento effettua le proprie attività di ricerca e scrematura iniziale per valutare quali tra i vari profili proposti potrebbero essere rilevanti per la posizione lavorativa aperta. In tale contesto l’Autorità Garante per la Protezione dei Dati Personali (di seguito “Garante della privacy”) (Cfr. ex multis provv. n. 162 del 4 aprile 2013, doc. web n. 2484965), ha già chiarito che esistono vari limiti a ciò che si può fare in tale contesto. In particolare, non è possibile conservare i CV per periodi di tempo lunghi, in quanto ciò potrebbe pregiudicare le future occasioni lavorative del candidato, poiché la selezione per eventuali posizioni lavorative future non terrebbe conto di nuove esperienze e competenze lavorative acquisite nel frattempo.

Inoltre, le informazioni da trattare dovrebbero essere solo quelle essenziali per capire se il soggetto in questione ha le competenze e capacità richieste per eseguire le mansioni (Garante privacy, provv., 5 giugno 2019, Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21 comma 1 del d.lgs. 10 agosto 2018, n. 101 punto 1.4.1; il Garante della privacy ha anche ricordato che il datore non dovrebbe trattare dati personali eccedenti quanto sopra anche se questi sono forniti spontaneamente dal candidato). Tra le informazioni raccolte, in alcuni casi, rientrano anche dati relativi alla salute (ad esempio nel caso di candidati appartenenti a categorie protette), dunque deve essere gestito il tema dell’individuazione della corretta base giuridica per il trattamento in questione.

1. La fase di valutazione e colloquio dei selezionati: in questa fase, la rosa di candidati selezionata viene sottoposta a colloqui e, in certi casi, a test o prove, anche psicoattitudinali, per valutarne la preparazione e idoneità all’assunzione. Al termine di tale fase, una volta scartato il candidato, i dati non dovrebbero essere conservati salvo che la conservazione non sia effettuata in “favore” degli interessi del candidato, ad esempio nel caso in cui il profilo sia di alto interesse per il datore di lavoro che, quindi, voglia proporgli altre posizioni lavorative, sempre informandolo e permettendogli di opporsi a tale trattamento, (cfr. Art. 29 Working Party di seguito “WP29”, Opinion 2/2017 on data processing at work, p. 11, nota 15).
2. La fase di conclusione del contratto: nell’ultima fase antecedente all’ssunzione, al candidato è proposto un contratto di lavoro le cui condizioni, economiche e non, sono negoziate caso per caso sempre in funzione di quelli che dovrebbero essere i principi di non discriminazione e pari opportunità.

Tutte queste fasi del trattamento, già oggi, necessitano di un impianto di compliance non indifferente, che deve considerare, tra gli altri,

• i limiti previsti dall’art. 8 Stat. Lav.  e dall’art. 10 d.lgs. 276/2003 che impediscono al datore di lavoro di richiedere e trattare informazioni non rilevanti ai fini della valutazione della prestazione lavorativa (La violazione dell’art. 10 D.Lgs. 27672003 e dell’art. 8 Stat. Lav. è assistita dalle sanzioni penali previste dall’art. 38 Stat. Lav. (quest’ultima in virtù del rinvio previsto dall’art. 171 del Codice Privacy);
• l’art. 15 Stat. Lav. (e la normativa antidiscriminatoria derivata) che garantisce le lavoratrici e i lavoratori dalle discriminazioni dirette o indirette che derivino anche dal trattamento delle predette informazioni (La violazione dell’art. 15 Stat. Lav. è assistita dalle sanzioni penali previste dall’art. 38 Stat. Lav .);
• la predisposizione di informative ad hoc, con prova di avvenuta consegna delle stesse;
• eventuali DPIA (se si rientra nei casi di obbligatorietà previsti dalle linee guida dell’European Data Protection Board, di seguito “EDPB”, in merito), la raccolta e conservazione di dati, sempre nei limiti di quelli permessi, con misure di sicurezza adeguate, secondo quanto previsto dagli artt. 24 e 32 del GDPR, e deve essere stabilito un limite temporale di conservazione dei dati che deve essere rispettato dal titolare eventualmente implementando automatismi di cancellazione.

L’introduzione di sistemi di AI nelle fasi preassuntive

L’introduzione di sistemi di AI per la gestione dei processi che governano la fase preassuntiva, ovviamente, permetterebbe di velocizzare enormemente alcune attività. Pensiamo ad esempio ad un sistema che in pochi secondi passasse al setaccio migliaia di CV alla ricerca di una o più specifiche competenze che, prima, dovevano essere ricercate manualmente da un essere umano. Allo stesso modo, i sistemi di AI possono intervenire nella fase di valutazione dei soggetti preselezionati, andando ad assegnare punteggi e valutazioni preliminari e fornendo report dettagliati al datore di lavoro. Tali valutazioni potrebbero riguardare i colloqui iniziali, o i risultati di test o, cosa più rischiosa, ricerche sul web o sui social network relative a potenziali situazioni ostative alla assunzione. Nello svolgere tali attività, secondo quanto sostenuto dal WP29, (vedasi “Opinion 2/2017 on data processing at work”) i datori di lavoro non dovrebbero presumere che solo perché i dati di un dipendente siano disponibili sui social media, questi possano essere utilizzati per i loro fini, ma dovrebbero accertarsi in concreto delle circostanze attinenti a tale profilo – ad esempio se è pubblico o privato o se ha natura professionale o no. Inoltre, i datori di lavoro dovrebbero solo trattare i dati necessari a valutarne l’attitudine a ricoprire il ruolo per il quale si sono candidati (Cfr. Alessandro Riccobono, Intelligenza artificiale e limiti al social media profiling nella selezione del personale, in Diritto Del Lavoro E Intelligenza Artificiale, a cura di Marco Biasi, 2024, p. 253 e ss, Giuffrè).  Infine, in fase di conclusione del contratto, i sistemi di AI possono essere uno strumento per capire quale sia, nel range prefissato, l’aspettativa di retribuzione del candidato che ha passato la selezione, e dunque potrebbe suggerire di offrire al candidato importi superiori o inferiori non in modo oggettivo, ma personalizzando la risposta in funzione della aspettativa del candidato e, potenzialmente, discriminandolo.

AI in fase preassuntiva: quali ulteriori adempimenti cui prestare attenzione?

Tra le prime conseguenze da tenere a mente in caso di adozione di sistemi di IA di questo tipo sicuramente c'è il rischio di violazione dell'art. 22 del GDPR, che prevede un diritto dell'interessato a “non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”. Questo divieto non è applicabile nel caso in cui la decisione “sia necessaria per la conclusione o l'esecuzione di un contratto tra l'interessato e un titolare del trattamento”. Il WP29, in merito, ha tuttavia evidenziato che “Il titolare del trattamento deve essere in grado di dimostrare che questo tipo di trattamento è necessario, tenendo conto della possibilità di adottare un metodo più rispettoso della vita privata”( WP29, Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679, 3 ottobre 2017, p. 26). Laddove, quindi questo trattamento non sia essenziale o se ci fossero soluzioni meno invasive, il titolare dovrebbe realisticamente richiedere il consenso all'interessato per farlo (come stabilito nell'art. 22, 2, c) del GDPR). Sicuramente, a causa dell'introduzione di un sistema di intelligenza artificiale, sarebbe necessario effettuare una DPIA, essendo presenti almeno vari tra gli elementi di rischio previsti dalle linee guida del WP29 in materia (Cfr WP29, Linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilità che il trattamento "possa presentare un rischio elevato" ai fini del regolamento (UE) 2016/679, 14 aprile 2017), in particolare: 1. Valutazione o assegnazione di un punteggio, 2. processo decisionale automatizzato che ha effetto giuridico o incide in modo analogo significativamente, 3. uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative, e possibilmente anche 4. dati sensibili o dati aventi carattere altamente personale, 5. dati relativi a interessati vulnerabili nonché, in funzione della vastità del db di candidati, anche il potenziale 6. trattamento di dati su larga scala.

L'utilizzo di sistemi di intelligenza artificiale, inoltre, comporta una attenta valutazione su come tale strumento funzioni. L'analisi in capo al titolare deve toccare le varie fasi di sviluppo, rilascio ed utilizzo del sistema di ia, tenendo a mente che il garante, in più di una occasione (cfr. Provvedimento n.  232/2025, Provvedimento n. 755/2024) ha sanzionato titolari del trattamento per non aver correttamente individuato la base giuridica del trattamento connesso all'addestramento dell'algoritmo di intelligenza artificiale sotteso al sistema di IA. Se il sistema che il titolare intende adottare utilizza i dati dei candidati per “imparare” e migliorare, subentrano una serie di ulteriori obblighi, tra i quali l'individuazione della corretta base giuridica per effettuare tale trattamento. Considerato che per prassi e per comodità i titolari tendono a voler affidarsi al legittimo interesse, questo deve essere preceduto da una LIA (Legitimate Impact Assessment), con il quale a sua volta il titolare dovrebbe garantire un corretto bilanciamento tra tale interesse e i diritti e le libertà fondamentali degli interessati coinvolti. Laddove i sistemi di IA in questione comportino il trattamento automatizzato delle informazioni relative all'assunzione, il necessario supporto informativo dovrà necessariamente considerare quanto previsto dall'art. 1-bis d.lgs. 152/1997 (introdotto dall'art. 4 d.lgs. 104/2022 c.d. Decreto Trasparenza) in tema di obblighi informativi nel caso di utilizzo di sistemi decisionali o di monitoraggio automatizzati.

Tale previsione obbliga il datore di lavoro a informare il lavoratore dell'utilizzo di sistemi decisionali o di monitoraggio integralmente automatizzati deputati a fornire indicazioni rilevanti anche ai fini dell'assunzione (oltre che per la gestione o la cessazione del rapporto di lavoro, dell'assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l'adempimento delle obbligazioni contrattuali dei lavoratori), fornendo informazioni circa:

1. gli aspetti del rapporto di lavoro sui quali incide l'utilizzo dei sistemi in questione;
2. gli scopi e le finalità dei sistemi;
3. la logica ed il funzionamento dei sistemi;
4. le categorie di dati e i parametri principali utilizzati per programmare o addestrare i sistemi i questione, inclusi i meccanismi di valutazione delle prestazioni;
5. le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità;
6. il livello di accuratezza, robustezza e cybersicurezza dei sistemi automatizzati e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.

Il lavoratore, direttamente o per il tramite delle rappresentanze sindacali aziendali o territoriali, ha diritto di accedere ai dati e di richiedere ulteriori informazioni concernenti i predetti obblighi. Il datore di lavoro è tenuto a trasmettere i dati richiesti e a rispondere per iscritto entro trenta giorni.

Le informazioni in questione devono essere comunicate dal datore di lavoro ai lavoratori in modo trasparente, in formato strutturato, di uso comune e leggibile da dispositivo automatico. La comunicazione delle medesime informazioni e dati deve essere effettuata anche alle oo.ss. aziendali o, in mancanza, territoriali. Il Ministero del lavoro e l'Ispettorato nazionale del lavoro possono richiedere la comunicazione delle medesime informazioni e dati e l'accesso agli stessi.

A proposito di tale obblighi, sempre limitatamente alla fase preassuntiva, il Ministero del Lavoro ha avuto modo di precisare che l'obbligo di informativa sussista nelle ipotesi di assunzione o conferimento dell'incarico tramite l'utilizzo di chatbots durante il colloquio, la profilazione automatizzata dei candidati, lo screening dei curricula, l'utilizzo di software per il riconoscimento emotivo e test psicoattitudinali, etc.; in sintesi, tutte le volte in cui il datore di lavoro utilizzi sistemi decisionali o di monitoraggio automatizzati, intendendosi come tali quegli strumenti che, attraverso l'attività di raccolta dati ed elaborazione degli stessi effettuata tramite algoritmo, intelligenza artificiale, ecc., siano in grado di generare decisioni automatizzate. In tali ipotesi l'obbligo dell'informativa sussiste anche nel caso di intervento umano meramente accessorio (Ministero del Lavoro, circolare n. 19 del 20 settembre 2022).

AI Act e nuovi adempimenti

Oltre ai temi sopra descritti, subentrano anche questioni relative all'applicabilità di alcune disposizioni dell'AI Act.

Partendo dal presupposto che con «sistema di IA» si intende, secondo quanto stabilito dall'AI Act, “un sistema automatizzato progettato per funzionare con livelli di autonomia variabili e che può presentare adattabilità dopo la diffusione e che, per obiettivi espliciti o impliciti, deduce dall'input che riceve come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali”, è necessario fare alcune considerazioni in merito a quali siano gli effettivi risvolti dell'adozione di questo tipo di sistemi, soprattutto in questa delicata fase.

A fronte di questa definizione è evidente, ad esempio, che vi possano rientrare tutti i sistemi che introducano automazione che permetta alle aziende di “scremare” i CV attraverso una analisi massiva degli stessi. Una azienda che adottasse un sistema di questo tipo rientrerebbe automaticamente nella definizione di deployer, che è la seguente: “una persona fisica o giuridica, […] che utilizza un sistema di IA sotto la propria autorità, […];”

Da ciò deriva in primis, ai sensi dell'art. 4 del AI Act, un obbligo generalizzato di alfabetizzazione in merito all'utilizzo ed alle potenziali conseguenze legato all'adozione di tali strumenti, infatti “I fornitori e i deployer dei sistemi di IA adottano misure per garantire nella misura del possibile un livello sufficiente di alfabetizzazione in materia di IA del loro personale […] prendendo in considerazione le loro conoscenze tecniche, la loro esperienza, istruzione e formazione, nonché il contesto in cui i sistemi di IA devono essere utilizzati, e tenendo conto delle persone o dei gruppi di persone su cui i sistemi di IA devono essere utilizzati.”

In secondo luogo, è essenziale ricordarsi che questi sistemi potrebbero realisticamente rientrare tra i c.d. trattamenti ad alto rischio, di cui all'allegato III dell'AI ACT. Infatti, tra questi, vi rientrano i sistemi di IA utilizzati nei settori della occupazione, gestione dei lavoratori e accesso al lavoro autonomo, con particolare riguardo a “a) i sistemi di IA “destinati a essere utilizzati per l'assunzione o la selezione di persone fisiche, in particolare per pubblicare annunci di lavoro mirati, analizzare o filtrare le candidature e valutare i candidati; b) i sistemi di IA destinati a essere utilizzati per adottare decisioni riguardanti le condizioni dei rapporti di lavoro, la promozione o cessazione dei rapporti contrattuali di lavoro, per assegnare compiti sulla base del comportamento individuale o dei tratti e delle caratteristiche personali o per monitorare e valutare le prestazioni e il comportamento delle persone nell'ambito di tali rapporti di lavoro.”

A fronte di questa premessa, va sottolineato che non sempre i sistemi di AI inclusi nell'allegato III rientrano nelle fattispecie di sistemi AI, ad alto rischio per i quali sono previsti obblighi aggiuntivi e particolari. Tuttavia, l'ultimo comma del par. 3 dell'art. 6 dell'AI Act prevede che un “sistema di IA di cui all'allegato III è sempre considerato ad alto rischio qualora esso effettui profilazione di persone fisiche.”

Partendo dalla definizione di profilazione, contenuta nel GDPR, ossia “qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica” è inevitabile dedurne che le attività di analisi preliminare e valutazione preliminare dei candidati sottendano proprio a questo tipo di attività valutativa e predittiva della sua capacità professionale. È dunque poco realistico pensare che tali sistemi di IA nel contesto della selezione del personale potranno non rientrare nella definizione di sistemi IA ad alto rischio.

Dall'inclusione in questa categoria derivano obblighi aggiuntivi, tra i quali spicca per complessità la istituzione, attuazione, documentazione e manutenzione di un sistema di gestione dei rischi, nonché tutti quelli ulteriori elencati all'art. 27 dell'AI Act.

Alla luce di tutto quanto sopra detto, appare sempre più centrale il ruolo della compliance aziendale e del rispetto di una così complessa e stratificata quantità di norme. Che una intelligenza artificiale possa aiutare a gestire tali adempimenti?