Intelligenza Artigianale

Dal blog

AI dipendenti diritti informazione legge: guida PMI 2026

AI dipendenti diritti informazione legge: cosa dice il Decreto Trasparenza art. 1-bis e l'AI Act art. 26, come scrivere l'informativa PMI con template.

di Roberto Buonanno
pubblicato il 10 aprile 2026 aggiornato il 14 aprile 2026 12 min lettura
AI dipendenti diritti informazione legge: guida PMI 2026 — illustrazione editoriale

Se la tua PMI usa strumenti di intelligenza artificiale nel rapporto di lavoro, la normativa italiana impone un obbligo preciso: informare i dipendenti e le loro rappresentanze. I riferimenti operativi sono due, D.lgs. 104/2022 (Decreto Trasparenza) art. 1-bis e Regolamento UE 2024/1689 (AI Act) art. 26 comma 7. Questa guida spiega cosa comunicare, a chi e con quale struttura, con un template copiaincollabile.

Quadro normativo: due binari che si sommano

La disciplina sui diritti di informazione dei lavoratori in presenza di sistemi AI nasce dall’incrocio di due fonti. La prima e’ il Decreto Trasparenza, ovvero il D.lgs. 27 giugno 2022 n. 104 che ha recepito la Direttiva UE 2019/1152. La seconda e’ l’AI Act, il Regolamento UE 2024/1689 del 13 giugno 2024, pubblicato in Gazzetta Ufficiale dell’Unione e in vigore in modo progressivo dal 2025 al 2027.

I due testi non si sostituiscono: si sommano. Il Decreto Trasparenza definisce il contenuto minimo dell’informativa quando un sistema automatizzato incide sulla gestione del rapporto di lavoro. L’AI Act aggiunge, per i sistemi AI classificati ad alto rischio usati in ambito lavorativo, un obbligo esplicito di informazione preventiva verso i lavoratori interessati e i loro rappresentanti.

Se vuoi un inquadramento generale di cosa l’AI Act chiede a una piccola e media impresa, trovi la mappa completa nella guida agli obblighi dell’AI Act per le PMI. Questa pagina approfondisce solo il pezzo dedicato alla trasparenza verso i dipendenti.

Decreto Trasparenza art. 1-bis: cosa chiede davvero

L’articolo 1-bis del D.lgs. 104/2022, introdotto nel 2022 e rafforzato dalle indicazioni operative del Ministero del Lavoro e del Garante privacy, impone al datore di lavoro di informare il lavoratore quando utilizza sistemi decisionali o di monitoraggio automatizzati che incidono sull’assunzione, sulla gestione o sulla cessazione del rapporto, sull’assegnazione di compiti o mansioni, sulla sorveglianza, sulla valutazione e sull’adempimento delle obbligazioni contrattuali.

Il perimetro dell’informativa e’ tassativo. Per ciascun sistema il datore di lavoro deve comunicare:

  • gli aspetti del rapporto di lavoro sui quali il sistema incide;
  • gli scopi e le finalita’ di utilizzo;
  • la logica e il funzionamento del sistema in linguaggio comprensibile;
  • le categorie di dati e i parametri principali utilizzati per programmare o addestrare il sistema, inclusi i meccanismi di valutazione delle prestazioni;
  • le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualita’;
  • il livello di accuratezza, robustezza e cybersicurezza e le metriche usate per misurarlo.

Le informazioni vanno rese in formato strutturato, di uso comune e leggibile da dispositivo automatico. Tradotto: un documento scritto, datato, archiviabile, non un post su Slack o una slide vista di sfuggita in riunione. La trasmissione deve avvenire prima dell’avvio del sistema e ogni volta che cambia in modo sostanziale.

Il punto che molti imprenditori sottovalutano e’ l’ambito di applicazione. L’articolo 1-bis non riguarda solo gli algoritmi che decidono in autonomia: copre anche quelli che forniscono indicazioni rilevanti per la gestione del rapporto di lavoro. Un CRM che suggerisce priorita’ di contatto al commerciale, uno smistamento ticket che definisce chi lavora cosa, un tool che assegna punteggi automatici a candidati o fornitori: tutti potenzialmente dentro il perimetro, anche se l’ultima parola resta all’umano.

AI Act art. 26 comma 7: il secondo binario

L’articolo 26 dell’AI Act disciplina gli obblighi dei deployer, ovvero chi utilizza un sistema AI sotto la propria responsabilita’. Il comma 7 riguarda specificamente il contesto lavorativo: prima di mettere in servizio o utilizzare un sistema AI ad alto rischio sul luogo di lavoro, il deployer che e’ datore di lavoro deve informare i lavoratori interessati e i loro rappresentanti dell’uso del sistema.

Tre elementi pratici contano per una PMI:

  1. l’obbligo scatta per i sistemi AI ad alto rischio secondo l’allegato III dell’AI Act, che include per esempio software di recruiting che filtrano candidati, sistemi di valutazione delle prestazioni e strumenti di allocazione di compiti che incidono in modo significativo sulla carriera;
  2. l’informazione deve essere fornita prima dell’entrata in servizio, non dopo;
  3. le modalita’ seguono le regole e prassi nazionali e di settore in materia di informazione dei lavoratori e delle loro rappresentanze.

Se la tua PMI non usa sistemi ad alto rischio ma solo AI di uso generale (un chatbot interno, ChatGPT Enterprise per le email, un tool di trascrizione delle riunioni), l’articolo 26 comma 7 non ti si applica direttamente. Pero’ l’articolo 1-bis del Decreto Trasparenza continua ad applicarsi ogni volta che quegli strumenti producono output rilevanti per la gestione del rapporto di lavoro. In pratica, la maggior parte delle PMI rientra nel primo binario e non nel secondo, ma quasi nessuna e’ fuori da entrambi.

Cosa comunicare ai dipendenti: il contenuto minimo

Mettendo insieme i due riferimenti normativi, l’informativa AI di una PMI dovrebbe sempre contenere almeno cinque blocchi di informazione.

Strumenti in uso. Elenco degli applicativi AI utilizzati, fornitore, funzione aziendale coinvolta e caso d’uso specifico. Non basta dire “usiamo l’AI”: serve il nome dello strumento e il processo in cui interviene.

Logica di funzionamento. Spiegazione in linguaggio non tecnico di come lavora il sistema: se genera suggerimenti o decisioni, quali input usa, quale intervento umano e’ previsto prima che un output produca effetti.

Dati trattati. Categorie di dati personali coinvolti, finalita’, tempi di conservazione, soggetti che hanno accesso, misure di sicurezza. Questa parte si coordina con l’informativa privacy ai sensi del GDPR, ma non la sostituisce.

Effetti sul rapporto di lavoro. Descrizione degli impatti concreti: valutazioni, assegnazione turni o compiti, monitoraggio, decisioni disciplinari o contrattuali. Se il sistema non ha effetti su questi ambiti va detto in modo esplicito, perche’ l’assenza di impatto e’ essa stessa un’informazione utile.

Diritti esercitabili. Diritto di ottenere spiegazioni sugli output che riguardano il singolo, diritto di contestazione, diritto di richiedere l’intervento umano, canali concreti per esercitare questi diritti (persona di riferimento, indirizzo mail, tempi di risposta).

Un esempio: una PMI metalmeccanica da 28 dipendenti in provincia di Brescia introduce un tool AI che suggerisce priorita’ ai commerciali sulla base dello storico ordini. L’informativa dovra’ indicare il nome del tool, che i suggerimenti non sono vincolanti, quali dati storici usa, che non e’ usato per valutare le prestazioni individuali, e chi contattare per chiedere perche’ un certo cliente e’ finito in fondo alla lista.

RSU, RSA e sindacati: chi coinvolgere oltre ai singoli

L’articolo 26 comma 7 dell’AI Act e la prassi applicativa del Decreto Trasparenza chiedono di informare anche le rappresentanze dei lavoratori, quando esistono. Per una PMI significa tre cose concrete:

  • se in azienda sono presenti RSU o RSA, l’informativa va trasmessa formalmente anche a loro, con data e protocollo;
  • se non ci sono rappresentanze interne, verifica il CCNL applicato: molti contratti collettivi prevedono obblighi di comunicazione alle organizzazioni sindacali territoriali in caso di introduzione di nuove tecnologie;
  • anche in assenza di interlocutori sindacali formali, documentare la comunicazione protegge l’azienda in caso di contestazione futura.

Coinvolgere le rappresentanze in modo preventivo non e’ un rischio, e’ una riduzione di rischio. Un’informativa condivisa e discussa si traduce in meno contenziosi successivi e in un clima interno piu’ collaborativo sull’adozione dell’AI. Il tema si collega direttamente a come gestisci la comunicazione interna sull’innovazione, argomento che abbiamo approfondito nella guida su come rassicurare i dipendenti sull’impatto dell’AI sul lavoro.

Sanzioni: cosa rischi se non adempi

Le conseguenze del mancato rispetto degli obblighi informativi operano su piu’ piani.

Sanzioni amministrative Decreto Trasparenza. La violazione degli obblighi informativi dell’articolo 1-bis comporta sanzioni amministrative pecuniarie previste dall’articolo 19 del D.lgs. 276/2003 come modificato, con importi che variano a seconda del numero di lavoratori coinvolti.

Sanzioni AI Act. Per i sistemi ad alto rischio, l’articolo 99 dell’AI Act prevede un apparato sanzionatorio severo. Le violazioni degli obblighi sugli utilizzatori (tra cui quelli dell’articolo 26) possono comportare sanzioni amministrative fino a 15 milioni di euro o al 3% del fatturato mondiale annuo, applicando l’importo piu’ elevato. Per le PMI l’AI Act prevede che venga applicato l’importo piu’ basso tra i due massimali, attenuando l’impatto ma senza azzerarlo.

Illegittimita’ delle decisioni. Una valutazione, una riorganizzazione o un provvedimento disciplinare basati anche solo parzialmente su output di sistemi AI non comunicati ai lavoratori possono essere contestati con buone probabilita’ di successo davanti al giudice del lavoro.

Condotta antisindacale. Il mancato coinvolgimento delle rappresentanze quando previsto dal CCNL puo’ configurare condotta antisindacale ai sensi dell’articolo 28 dello Statuto dei Lavoratori, con conseguente procedura d’urgenza davanti al tribunale.

Template informativa AI per i lavoratori

Ecco un template di una pagina, pronto da adattare. Sostituisci i segnaposto tra parentesi quadre e archivia la copia firmata nella cartella del dipendente.

INFORMATIVA AI PER I LAVORATORI
[Ragione sociale] - [Indirizzo]
Riferimenti: D.lgs. 104/2022 art. 1-bis - Reg. UE 2024/1689 art. 26 c. 7
Data di emissione: [gg/mm/aaaa]

1. STRUMENTI AI IN USO
Strumento: [Nome]
Fornitore: [Azienda fornitrice]
Funzione aziendale: [es. ufficio commerciale]
Caso d'uso: [es. bozze email ai clienti]
Tipo output: [suggerimento soggetto a revisione umana / decisione automatizzata]

2. LOGICA DI FUNZIONAMENTO
Il sistema utilizza [es. modello linguistico pre-addestrato].
Input: [es. testi e note inseriti dall'operatore].
Revisione umana: [sempre prima dell'invio al cliente].
Il sistema non apprende dai dati aziendali oltre la singola sessione.

3. DATI PERSONALI TRATTATI
Categorie: [es. dati di contatto clienti, nessun dato sensibile dei dipendenti].
Finalita': [supporto operativo alla redazione di comunicazioni].
Conservazione: [30 giorni presso il fornitore].
Accesso: [solo l'utente che ha generato l'output].
Base giuridica: [legittimo interesse del titolare - art. 6 GDPR].

4. EFFETTI SUL RAPPORTO DI LAVORO
Il sistema:
- non viene usato per valutare le prestazioni individuali;
- non viene usato per monitorare tempi e comportamenti;
- non produce decisioni disciplinari ne' variazioni contrattuali.

5. DIRITTI DEL LAVORATORE
Ogni lavoratore puo':
- chiedere spiegazioni sugli output che lo riguardano;
- contestare per iscritto un output e richiedere intervento umano;
- segnalare errori o preoccupazioni al referente aziendale.

Referente: [Nome Cognome] - [ruolo] - [email] - [telefono]
Tempi di riscontro: [es. 10 giorni lavorativi].

Il datore di lavoro: __________________
Presa visione del lavoratore: __________________  Data: _______

Per situazioni piu’ complesse, in particolare quando entrano in gioco sistemi di recruiting automatici o valutazione delle prestazioni, conviene partire da questo template e farlo integrare da un consulente del lavoro o da un legale specializzato. Il tema del recruiting AI, con i suoi vincoli specifici, e’ trattato nella guida all’AI nell’HR e nel recruiting per PMI.

Checklist compliance informativa AI

Una volta scritta l’informativa, serve un controllo sistematico. Questa checklist copre i punti che un ispettore o un avvocato del lavoro guarderebbero per primi.

  • Inventario completo degli strumenti AI in uso, shadow AI inclusa
  • Per ogni strumento e’ indicato il caso d’uso e l’impatto sul rapporto di lavoro
  • Logica di funzionamento spiegata in linguaggio non tecnico
  • Categorie di dati personali, tempi di conservazione e accessi specificati
  • Effetti sul rapporto di lavoro descritti (o esclusi esplicitamente)
  • Diritti del lavoratore elencati con canali concreti di esercizio
  • Referente aziendale nominato con contatti e tempi di risposta
  • Informativa consegnata con firma di presa visione, archiviata per ogni dipendente
  • Informativa trasmessa a RSU/RSA se presenti, con protocollo e data
  • Procedura di aggiornamento definita: ogni nuovo strumento, ogni modifica rilevante
  • Collegamento a registro strumenti AI e policy aziendale verificato
  • Formazione ai responsabili di funzione sulla gestione delle domande dei lavoratori

Integrare l’informativa nella governance AI

L’informativa funziona quando e’ parte di un sistema, non un foglio isolato. Tre agganci sono decisivi.

Il primo e’ il registro degli strumenti AI. Se hai gia’ un registro aggiornato, l’informativa si scrive quasi da sola: ogni strumento porta con se’ caso d’uso, owner, dati trattati, livello di revisione. L’informativa e’ la proiezione di quel registro in linguaggio comprensibile ai dipendenti. Le regole minime di questo impianto sono nella guida alla governance AI essenziale per PMI.

Il secondo e’ la policy aziendale di uso dell’AI. La policy definisce cosa e’ permesso fare e cosa no: strumenti approvati, dati vietati, livelli di supervisione, canali di segnalazione. L’informativa richiama la policy per dare ai dipendenti il contesto operativo in cui i loro diritti si esercitano.

Il terzo e’ il ciclo di review trimestrale. Ogni trimestre si verifica se gli strumenti elencati sono ancora tutti in uso, se ne sono stati aggiunti di nuovi, se i casi d’uso sono cambiati. A ogni cambiamento sostanziale corrisponde un aggiornamento dell’informativa e una ri-trasmissione ai lavoratori. Questa cadenza strutturata e’ la stessa che proponiamo nel libro Intelligenza Artigianale come fondamento della governance AI per PMI.

Domande frequenti

Il Decreto Trasparenza si applica solo ai sistemi completamente automatizzati?

No. La formulazione dell’articolo 1-bis copre sia i sistemi decisionali sia quelli di monitoraggio automatizzati, e l’interpretazione operativa del Ministero del Lavoro e del Garante privacy ha chiarito che rientrano anche i sistemi che forniscono indicazioni rilevanti per la gestione del rapporto di lavoro, anche se l’ultima parola resta a un decisore umano.

Se uso solo ChatGPT per le email devo fare l’informativa?

Se ChatGPT viene usato in modo sistematico in un processo che incide sulla gestione del rapporto di lavoro (per esempio per redigere comunicazioni a candidati o valutazioni), l’obbligo informativo dell’articolo 1-bis si attiva. Se e’ uno strumento di supporto personale senza impatto sui processi HR, l’obbligo non scatta, ma conviene comunque un cenno nella policy interna.

L’informativa AI sostituisce l’informativa privacy?

No. Sono documenti distinti con basi giuridiche diverse. L’informativa AI copre gli obblighi dell’articolo 1-bis del Decreto Trasparenza e dell’articolo 26 comma 7 dell’AI Act; l’informativa privacy copre gli articoli 13 e 14 del GDPR. Spesso le due informative si richiamano a vicenda, ma restano documenti separati.

Devo coinvolgere il sindacato anche se in azienda non ho RSU?

L’obbligo diretto di informazione alle RSU scatta se sono presenti in azienda. In assenza, va verificato il CCNL applicato: diversi contratti collettivi prevedono comunicazioni alle organizzazioni territoriali in caso di introduzione di nuove tecnologie. Documentare la comunicazione, anche quando non obbligatoria, e’ una buona pratica difensiva.

Ogni quanto va aggiornata l’informativa?

Ogni volta che cambia un elemento sostanziale: nuovo strumento introdotto, nuovo caso d’uso, modifica alle tipologie di dati trattati, cambio del referente aziendale. In assenza di cambiamenti, una review almeno annuale e’ consigliata per allinearla al registro strumenti AI e alla policy aziendale.

Le sanzioni AI Act si applicano anche alle PMI?

Si’, ma con un meccanismo di proporzionalita’: per le PMI l’articolo 99 del regolamento prevede che venga applicato l’importo piu’ basso tra il massimale fisso e la percentuale del fatturato. Questo attenua l’impatto ma non esclude l’esposizione, soprattutto in caso di utilizzo di sistemi ad alto rischio.

Il punto che cambia tutto

L’obbligo informativo non e’ un modulo da far firmare e archiviare. E’ il punto in cui un’azienda decide che tipo di rapporto vuole avere con i propri dipendenti sull’uso dell’AI. Una PMI che informa in modo chiaro e aggiornato costruisce fiducia e riduce le resistenze all’adozione. Una che nasconde o minimizza prepara il terreno a contestazioni, contenzioso e danno reputazionale.

Gli strumenti di questa guida - template, checklist, struttura dell’informativa - servono a rendere l’adempimento gestibile anche per aziende piccole, senza uffici legali interni. Il percorso completo, dalla governance minima alla formazione fino all’adozione strutturata, e’ descritto nel libro Intelligenza Artigianale.

Fonti normative:

Approfondisci questo tema

Questi topic hub collegano gli articoli più rilevanti sullo stesso argomento.

Topic hub

AI Act

18 articoli collegati

Topic hub

Compliance

15 articoli collegati

Topic hub

Governance

10 articoli collegati

Topic hub

PMI

8 articoli collegati

Approfondimenti

Continua da qui

Il libro

Se vuoi trasformare questi articoli in un percorso operativo, vai al libro.

Questa pagina resta un approfondimento singolo. Nell’ebook trovi il metodo completo (solo digitale).

Vai al libro