Avv. Antonino Ingoglia - Diritto IT e Privacy
Aziende2026-05-2010 min read

AI Act HR Tech: Obblighi per Algoritmi di Reclutamento e Gestione HR

I sistemi AI per la selezione del personale sono ad alto rischio nell'Allegato III. Obblighi per HR Tech, startup e aziende che usano screening CV, ranking candidati e analisi video-colloqui.

Avv. Antonino Ingoglia

Ordine degli Avvocati di Sciacca n. 747 · Avvocato & Sviluppatore · IT Law

In sintesi: I sistemi AI usati per assumere, promuovere, monitorare o licenziare lavoratori sono classificati come ad alto rischio dall'Allegato III, punto 4 del Regolamento UE 2024/1689. Questo vale sia per le HR Tech che li sviluppano, sia per le aziende che li adottano. La scadenza per la conformità completa è il 2 dicembre 2027. Le implicazioni operative, però, richiedono un avvio immediato del percorso di adeguamento.

L'AI Act e il Mercato del Lavoro: Perché il Punto 4 è Cruciale

Il legislatore europeo ha incluso i sistemi AI nel dominio dell'occupazione tra le categorie ad alto rischio per una ragione precisa: le decisioni algoritmiche in questo ambito producono effetti concreti e duraturi sulla vita delle persone, spesso in modo non trasparente e potenzialmente discriminatorio.

L'Allegato III, punto 4 del Regolamento UE 2024/1689 elenca quattro categorie specifiche di sistemi AI ad alto rischio nel settore occupazione, gestione dei lavoratori e accesso al lavoro autonomo:

  • Punto 4a: Sistemi AI destinati a essere utilizzati per il reclutamento o la selezione di persone fisiche, in particolare per pubblicare annunci di lavoro mirati, analizzare e filtrare le candidature, valutare i candidati
  • Punto 4b: Sistemi AI destinati a essere utilizzati per prendere decisioni riguardanti le condizioni del rapporto di lavoro, la promozione e risoluzione dei rapporti contrattuali di lavoro
  • Punto 4c: Sistemi AI destinati a essere utilizzati per allocare compiti e per monitorare e valutare le prestazioni e il comportamento delle persone in tali rapporti
  • Punto 4d: Sistemi AI destinati a essere utilizzati per gestire l'accesso al lavoro autonomo e ai relativi contratti

Il Test Pratico: Quando un Sistema HR È ad Alto Rischio

Non tutti i software HR con funzionalità AI sono ad alto rischio. Il test pratico da applicare:

  1. Il sistema analizza, filtra o valuta candidati o lavoratori? (punto 4a, 4b, 4c)
  2. L'output del sistema influenza una decisione su una persona fisica (assunzione, promozione, licenziamento)?
  3. Il sistema utilizza componenti di machine learning o modelli statistici complessi (non solo regole statiche)?

Se le risposte sono tutte sì, il sistema è ad alto rischio. Se il sistema si limita a organizzare il workflow HR senza valutare o classificare persone, non rientra nel perimetro.

I Sistemi HR Più Diffusi e il Loro Inquadramento

Screening e Ranking dei Candidati (ATS con AI)

I sistemi di Applicant Tracking System con funzionalità di AI che vanno oltre la semplice gestione del workflow rientrano tipicamente nel punto 4a. In particolare:

  • Analisi automatica dei CV con scoring di rilevanza
  • Ranking dei candidati in base alla compatibilità con il profilo ricercato
  • Filtraggio delle candidature con riduzione automatica del pool

Questi sistemi devono essere conformi all'AI Act come sistemi ad alto rischio. Il provider deve predisporre la documentazione tecnica, il sistema di gestione del rischio e i meccanismi di supervisione umana.

Analisi Video-Colloquio

I sistemi che analizzano automaticamente i video-colloqui per valutare competenze, attitudine o compatibilità culturale rientrano nell'alto rischio. L'analisi delle espressioni facciali o del tono di voce per inferire caratteristiche dei candidati può inoltre ricadere nei divieti dell'Art. 5 se volta a dedurre stati emotivi in contesto lavorativo.

Attenzione: l'Art. 5 vieta i sistemi di riconoscimento delle emozioni sul posto di lavoro (non solo nella fase di selezione). I provider di tali sistemi devono verificare con estrema attenzione i limiti di questo divieto.

Performance Management e Monitoraggio dei Lavoratori

I sistemi di monitoraggio delle performance, i tool di workforce analytics e i sistemi di people analytics basati su AI rientrano nel punto 4c. Questo include:

  • Dashboard di produttività con scoring automatico dei lavoratori
  • Sistemi di rilevazione anomalie nel comportamento lavorativo
  • Tool di feedback continuo con raccomandazioni AI per manager

Sistemi di Workforce Planning e Successione

I sistemi AI che raccomandano promozioni, successioni o riorganizzazioni rientrano nel punto 4b. Anche i sistemi di matching interno (candidati interni a posizioni aperte) rientrano nel perimetro se il processo di matching è guidato da un modello AI.

Gli Obblighi per i Provider HR Tech

Le startup e le software house che sviluppano e commercializzano piattaforme HR con componenti AI ad alto rischio devono:

Documentazione Tecnica (Art. 11 e Allegato IV)

Predisporre e mantenere aggiornata la documentazione tecnica che descrive:

ElementoCosa documentare
Finalità del sistemaCaso d'uso dichiarato, categorie di utenti, settori target
ArchitetturaComponenti, modelli usati, pipeline di dati
Dataset di addestramentoFonti, criteri di inclusione/esclusione, analisi della distribuzione demografica
Metriche di performanceAccuratezza complessiva e per sottogruppi (genere, età, provenienza)
LimitazioniScenari in cui il sistema non è affidabile
Misure anti-biasTecniche adottate per identificare e mitigare il bias nei dati e nel modello

Analisi del Bias Demografico (Art. 10)

Il punto critico per i sistemi HR: i dataset storici di assunzione riflettono spesso le discriminazioni del mercato del lavoro. Un modello addestrato su dati storici tenderà a replicare e amplificare questi bias. Il provider deve:

  1. Analizzare la distribuzione del dataset per genere, età, provenienza geografica, disabilità
  2. Verificare le metriche di performance disaggregate per sottogruppi demografici
  3. Adottare tecniche di mitigazione del bias (re-weighting, re-sampling, fairness constraints)
  4. Documentare le misure adottate e i risultati ottenuti

Supervisione Umana (Art. 14)

Il sistema deve essere progettato affinché il responsabile HR possa:

  • Accedere all'output del modello con una spiegazione comprensibile della raccomandazione
  • Verificare gli input usati per produrre l'output
  • Disattendere la raccomandazione del sistema senza penalizzazioni procedurali
  • Registrare il proprio giudizio finale indipendentemente dall'output del sistema

Gli Obblighi per le Aziende Deployer

Le aziende che adottano piattaforme HR di terzi (deployer) hanno obblighi distinti ma ugualmente vincolanti.

Prima dell'Adozione: Due Diligence sul Vendor

Prima di adottare un sistema HR con AI, l'azienda deve verificare:

  • Il vendor ha completato la conformità AI Act? In caso contrario, qual è la roadmap?
  • Il contratto prevede accesso alla documentazione tecnica e diritto di audit?
  • Esistono clausole di notifica per modifiche sostanziali al modello?

Durante l'Uso: Supervisione e Documentazione

Il deployer deve:

  1. Utilizzare il sistema secondo le istruzioni d'uso del provider
  2. Assegnare responsabili HR con competenze per valutare criticamente l'output del sistema
  3. Monitorare i risultati del sistema nel tempo (es. analisi dei tassi di selezione per genere)
  4. Conservare i log delle decisioni per il periodo stabilito
  5. Informare i lavoratori dell'uso di sistemi AI che li valutano (Art. 26, par. 7)

Il Coordinamento con il GDPR

L'uso di sistemi AI di selezione e valutazione del personale coinvolge invariabilmente dati personali. Il deployer deve:

  • Aggiornare il Registro dei Trattamenti (Art. 30 GDPR) con la voce relativa al sistema AI
  • Valutare se è richiesta la DPIA (Art. 35 GDPR): probabile per sistemi di profilazione o monitoraggio sistematico dei lavoratori
  • Verificare la base giuridica del trattamento: il consenso non è praticabile nel contesto del rapporto di lavoro; il legittimo interesse richiede un bilanciamento attento
  • Garantire i diritti degli interessati, incluso il diritto di non essere sottoposti a decisioni automatizzate (Art. 22 GDPR)

Il Diritto dei Lavoratori e dei Candidati: Cosa Cambia

L'AI Act introduce obblighi di trasparenza che si sommano a quelli già previsti dal GDPR:

  • I candidati devono essere informati che un sistema AI analizza la loro candidatura
  • I candidati hanno il diritto di richiedere spiegazioni sulle decisioni automatizzate che li riguardano (combinazione Art. 22 GDPR e obblighi di trasparenza AI Act)
  • I rappresentanti dei lavoratori devono essere informati dell'introduzione di sistemi AI di monitoraggio e valutazione (Art. 26, par. 7 AI Act)

In Italia, questi obblighi si intersecano con la normativa giuslavoristica sull'uso di strumenti di controllo a distanza (Art. 4 Statuto dei Lavoratori), che richiede accordo sindacale o autorizzazione dell'Ispettorato del Lavoro per strumenti che consentono il controllo dell'attività dei lavoratori.

Sanzioni e Rischio Reputazionale

Le violazioni degli obblighi per i sistemi ad alto rischio espongono a sanzioni fino a 15 milioni di euro o il 3% del fatturato mondiale. Ma nel settore HR Tech il rischio più immediato è reputazionale e commerciale.

I clienti corporate verificano sempre più la conformità AI Act dei vendor HR nelle procedure di acquisto. Un sistema di recruiting privo di documentazione tecnica e di analisi del bias è un rischio legale che i responsabili acquisti delle grandi aziende non accettano. La conformità AI Act diventa così un prerequisito commerciale prima ancora di una questione regolatoria.

Domande Frequenti (FAQ)

Usiamo un ATS di mercato (es. Greenhouse, Workday, SAP SuccessFactors): dobbiamo fare qualcosa? Sì, come deployer. Dovete verificare che il vendor stia adeguando la propria piattaforma all'AI Act, richiedere informazioni sulle funzionalità AI presenti nel sistema, e assicurarvi che i vostri processi HR garantiscano supervisione umana reale sulle decisioni di selezione. Aggiornate anche le informative privacy per i candidati.

Il nostro sistema di scoring candidati è stato sviluppato internamente: quali sono i nostri obblighi? Come provider e deployer simultaneamente, avete tutti gli obblighi dell'Art. 11 (documentazione tecnica), Art. 9 (sistema di gestione del rischio), Art. 10 (governance dati e bias), Art. 14 (supervisione umana). Dovete anche registrare il sistema nella banca dati UE (Art. 49) prima di immetterlo sul mercato o di usarlo su persone fisiche.

L'analisi del video-colloquio che usiamo valuta solo la chiarezza espositiva: è comunque ad alto rischio? Dipende da come questa valutazione influenza la decisione finale. Se l'output del sistema (anche un semplice punteggio di chiarezza) entra nella decisione di selezionare o escludere un candidato, il sistema è ad alto rischio. Verificate anche se l'analisi video coinvolge espressioni facciali o tono di voce: in quel caso si applica il divieto di riconoscimento delle emozioni in contesto lavorativo (Art. 5).

Dobbiamo informare i candidati? Come? Sì. L'informativa privacy (GDPR) deve già menzionare l'uso di eventuali sistemi automatizzati. Con l'AI Act, aggiungete una menzione esplicita dell'uso di sistemi AI nella valutazione delle candidature, le logiche principali del sistema, e i diritti del candidato (incluso il diritto di richiedere una revisione umana della decisione). Questa informazione deve essere fornita prima dell'uso del sistema, idealmente nel processo di application.

Abbiamo 15 dipendenti e usiamo un tool AI per filtrare i CV: siamo davvero soggetti all'AI Act? Gli obblighi AI Act per i deployer di sistemi ad alto rischio si applicano indipendentemente dalla dimensione. Come deployer, i vostri obblighi principali sono: verificare la conformità del vendor, garantire supervisione umana sulle decisioni, informare i candidati, e conservare i log. Non dovete produrre documentazione tecnica (è compito del vendor), ma dovete usare il sistema conformemente alle sue istruzioni d'uso.

Approfondimenti correlati:

Fonti: Regolamento (UE) 2024/1689, Allegato III punto 4; Art. 4 Statuto dei Lavoratori (L. 300/1970); Regolamento (UE) 2016/679 (GDPR), artt. 22, 30, 35; Legge 23 settembre 2025, n. 132.

Condividi:
Avv. Antonino Ingoglia

Autore

Avvocato iscritto all'Ordine di Sciacca (n. 747), specializzato in diritto delle tecnologie e privacy. Prima dell'attività forense ha sviluppato applicazioni web e architetture cloud, competenza che porta nell'analisi tecnico-giuridica di prodotti digitali, SaaS e sistemi AI. Assiste aziende e startup nell'adeguamento a GDPR, AI Act, NIS2 e DORA.

Profilo completo e competenze
Nota Informativa: I contenuti di questo articolo hanno finalità puramente divulgative e informative. Non costituiscono parere legale né instaurano un rapporto professionale. Ogni caso concreto richiede una valutazione specifica da parte di un professionista abilitato per delineare l'esatto perimetro legislativo e sanzionatorio.

Articoli correlati ed Approfondimenti

AziendeAI Act Allegato III: Guida alla Classificazione dei Sistemi AI ad Alto Rischio9 min readAziendeAI Act e Attrito Commerciale B2B: Il Rischio Nascosto per le Startup8 min readAziendeAI Act Data Governance: Come Auditare i Bias e Implementare PET9 min read
Torna alla raccolta
SUPPORTO

Serve assistenza per il tuo caso?

Prenota un colloquio in videochiamata da tutta Italia. Analizzeremo la situazione assieme e definiremo i passi operativi in totale riservatezza strategica.

Prenota Consulenza