Caso Myndoor: Il Garante Privacy Blocca l'IA che Misura lo Stress dei Dipendenti

Fonti: Garante Privacy — Provvedimento Myndoor · Reg. UE 2024/1689 (AI Act) art. 5 — Pratiche vietate · Reg. UE 2016/679 (GDPR) art. 9 — Dati di categoria particolare · Legge 23 settembre 2025, n. 132 · Statuto dei Lavoratori, L. 300/1970

Il provvedimento del Garante su Myndoor S.r.l. è il primo caso italiano in cui un'autorità di vigilanza ha bloccato un sistema di intelligenza artificiale in ambito lavorativo applicando congiuntamente il GDPR, l'AI Act europeo e lo Statuto dei Lavoratori. Non si tratta di un caso limite o di una tecnologia sperimentale: Myndoor era un prodotto commerciale attivamente venduto alle aziende con rassicurazioni legali sulla sua conformità. Il provvedimento smonta ciascuna di queste rassicurazioni e costituisce un'avvertenza diretta per ogni organizzazione che valuti l'adozione di strumenti AI per la gestione del benessere, della produttività o del clima organizzativo. Per il quadro normativo completo in cui si inserisce questo caso, si veda la guida alla AI Policy aziendale: Shadow AI, GDPR e AI Act.

Cos'era Myndoor e come funzionava

Myndoor S.r.l. era una start-up tecnologica italiana che aveva sviluppato un componente aggiuntivo (plug-in) per le piattaforme di messaggistica aziendale Slack e Microsoft Teams. Il sistema operava in background: analizzava in tempo reale le conversazioni testuali inviate dai lavoratori sulla piattaforma (tono, sentiment, frequenza, pattern linguistici) al fine di produrre inferenze algoritmiche sui livelli di stress psicologico e sul benessere di ciascun membro del team.

Il servizio era commercializzato alle aziende clienti con tre garanzie esplicite:

Adesione volontaria. Il plug-in sarebbe stato installato solo con il consenso del singolo lavoratore, presentando la partecipazione come opzionale e orientata al welfare.

Dati aggregati e spersonalizzati. Ai datori di lavoro venivano restituiti unicamente report di gruppo: indici aggregati di stress del team, non profili individuali, né accesso ai contenuti delle chat.

Obiettivo dichiarato di benessere. Il sistema non era presentato come strumento di controllo, ma come supporto proattivo alla salute psicologica dei lavoratori, in linea con le politiche di welfare aziendale.

Il Garante Privacy è intervenuto motu proprio dopo aver appreso dell'esistenza del software dalla stampa, senza attendere una segnalazione o un data breach, e ha emesso un avvertimento formale bloccando la pratica.

Le quattro ragioni del blocco: analisi del provvedimento

1. Le inferenze sullo stress sono dati sulla salute (art. 9 GDPR)

Il primo e più dirimente motivo del blocco è la qualificazione giuridica dei dati trattati. Myndoor sosteneva di analizzare "metadati comunicativi" e non dati personali in senso stretto. Il Garante ha chiarito che le inferenze algoritmiche relative alla sfera emotiva, al sentiment e allo stress psicofisico non sono semplici metadati comunicativi: costituiscono a tutti gli effetti dati relativi alla salute ai sensi dell'art. 9, par. 1, del GDPR.

I dati sulla salute godono del regime di protezione rafforzata del GDPR: il loro trattamento è vietato in via di principio (art. 9, par. 1) e consentito solo in presenza di una delle specifiche basi giuridiche eccezionali elencate all'art. 9, par. 2. Il consenso del lavoratore (lett. a) è teoricamente utilizzabile, ma il Garante ha dimostrato che in questo contesto è strutturalmente invalido per la seconda ragione.

2. Il consenso del dipendente non è mai libero nel rapporto di lavoro

Il consenso come base giuridica è un pilastro del GDPR (art. 6, par. 1, lett. a), ma deve essere "libero, specifico, informato e inequivocabile". Nel contesto del rapporto di lavoro subordinato, la libertà del consenso è compromessa dalla asimmetria strutturale di potere tra datore di lavoro e dipendente.

Il Garante ha applicato l'orientamento consolidato dell'EDPB: nelle situazioni in cui vi è un chiaro squilibrio di potere tra la persona che presta il consenso e il titolare del trattamento, il consenso non può essere considerato prestato liberamente. Un dipendente che si rifiuta di aderire a un programma di "welfare" aziendale, anche volontario, corre il rischio di essere percepito come ostile, disallineato o non collaborativo. Questa pressione sociale implicita invalida la natura volontaria dell'adesione, rendendo il consenso strutturalmente coercitivo e giuridicamente inopponibile come base giuridica per un trattamento di categoria speciale.

3. I report aggregati non garantiscono anonimato reale nei piccoli team

La terza obiezione riguarda la protezione tecnica offerta dall'aggregazione dei dati. Myndoor affermava che i datori di lavoro non ricevevano dati individuali, ma solo indici di gruppo. Il Garante ha chiarito che l'aggregazione non equivale all'anonimizzazione, specialmente nei contesti aziendali con team numericamente ristretti.

In un team di cinque persone, un indice aggregato di stress che registra un aumento significativo in una settimana in cui tre componenti del team non erano presenti (per ferie, malattia o trasferta) rende facilmente identificabile il dato del dipendente o dei dipendenti effettivamente presenti. Il datore di lavoro può quindi dedurre per esclusione le condizioni psicologiche di specifici lavoratori, aggirando di fatto la protezione dichiarata e violando il principio di cui all'art. 9 GDPR.

Questo ragionamento è particolarmente rilevante per le PMI, dove la dimensione ridotta dei team rende quasi inevitabile la re-identificazione dei soggetti nei report aggregati.

4. Il divieto anticipato dell'art. 5 AI Act: rischio inaccettabile

La quarta ragione del blocco è la più innovativa e la più rilevante per il futuro del diritto dell'IA in Italia. Il Garante ha applicato in via anticipata le disposizioni dell'art. 5 del Regolamento (UE) 2024/1689 (AI Act), che vieta espressamente "l'immissione sul mercato, la messa in servizio o l'uso di sistemi di IA destinati a inferire le emozioni delle persone fisiche nell'ambito del luogo di lavoro e degli istituti di istruzione".

Questo divieto appartiene alla categoria del Rischio Inaccettabile, il livello più elevato della classificazione AI Act: quello per cui non esistono deroghe, non esistono misure compensative, non esiste una soglia di conformità da raggiungere. Il sistema, per sua stessa natura e finalità, è illegale nell'Unione Europea.

Il carattere "anticipato" dell'applicazione è rilevante: i divieti per i sistemi a Rischio Inaccettabile sono entrati in vigore il 2 febbraio 2025. Il provvedimento su Myndoor dimostra che le autorità italiane non aspettano la piena operatività del sistema di enforcement (agosto 2026) per intervenire: agiscono già ora sulla base del testo del Regolamento.

Le implicazioni pratiche per le aziende

Quali strumenti AI rientrano in questo precedente?

Il provvedimento Myndoor non riguarda solo i plug-in di messaggistica. Rientrano nello stesso perimetro di rischio tutti i sistemi che effettuano inferenze sullo stato emotivo, sul benessere psicologico o sulle condizioni di salute dei lavoratori, indipendentemente dal canale di acquisizione dei dati:

• Sistemi di analisi del sentiment nelle email interne
• Strumenti di monitoring della voce nei call center che inferiscono stress o frustrazione dell'operatore
• Piattaforme di engagement survey che usano LLM per classificare il "rischio di dimissioni" da testi liberi
• Sistemi di analisi delle espressioni facciali nei colloqui video (anch'essi vietati dall'art. 5 AI Act)
• Algoritmi che correlano i pattern di utilizzo dei sistemi informatici (orari di accesso, velocità di digitazione) con metriche di produttività o benessere

La valutazione legale preventiva come obbligo non opzionale

Il provvedimento rende operativo un principio che molte aziende trattavano ancora come raccomandazione: la valutazione legale preventiva su qualsiasi strumento AI orientato alla gestione del personale non è opzionale. Le rappresentanze sindacali devono essere informate prima dell'introduzione, in conformità alla Legge 132/2025 e allo Statuto dei Lavoratori. Il DPO deve produrre una DPIA che documenti le misure di mitigazione o, in caso di sistemi a Rischio Inaccettabile, l'impossibilità di procedere. Per la metodologia di valutazione integrata DPIA e FRIA, si veda la guida alla DPIA e FRIA integrate per sistemi AI.

Il ruolo degli obblighi di supervisione umana

Il caso Myndoor mette in luce anche un profilo spesso trascurato: il sistema raccoglieva dati e produceva inferenze in background, senza che i lavoratori interessati ne fossero consapevoli e senza alcuna forma di supervisione umana sul processo decisionale. L'art. 22 GDPR vieta le decisioni basate unicamente su trattamento automatizzato che producano effetti giuridici o significativi sulle persone fisiche. I sistemi AI ad Alto Rischio in ambito HR richiedono supervisione umana continua (Human-in-the-Loop) su ogni output che possa influenzare la situazione lavorativa di un individuo. Per gli obblighi operativi in materia, si veda la guida alla supervisione umana AI Act.

Dalla Shadow AI al sistema a Rischio Inaccettabile: la connessione

Il caso Myndoor si collega direttamente alla problematica della Shadow AI: molte aziende adottano strumenti AI per l'HR senza una valutazione legale, spinte dall'appeal commerciale e dalle rassicurazioni del fornitore, esattamente come avviene per gli strumenti di Shadow AI. La differenza è che, mentre un dipendente che usa ChatGPT per velocizzare un report agisce in buona fede in assenza di regole, un'azienda che acquista e installa un sistema di monitoring emotivo agisce con piena consapevolezza, assumendosi così una responsabilità che il provvedimento Myndoor configura come oggettiva.

La risposta sistemica a entrambe le problematiche è la stessa: una AI Policy aziendale strutturata, che includa un processo formalizzato di valutazione preventiva per qualsiasi nuovo strumento AI prima della sua introduzione in azienda, la comunicazione ai rappresentanti dei lavoratori e la documentazione della compliance per resistere a ispezioni e contenziosi.

Sintesi: cosa fare prima di adottare qualsiasi strumento AI per l'HR