AI recruiting e relazioni sindacali: cosa dice lo Statuto dei Lavoratori

L'introduzione di sistemi di intelligenza artificiale nei processi di selezione del personale non è, in Italia, una semplice scelta tecnologica del direttore HR. È un'operazione che intreccia tre corpi normativi: lo Statuto dei Lavoratori (Legge 300/1970), il Decreto trasparenza (D.Lgs. 104/2022, attuativo della Direttiva UE 2019/1152) e il Regolamento europeo sull'intelligenza artificiale (AI Act, Regolamento UE 2024/1689). A questi si aggiungono, sullo sfondo permanente, il GDPR e la giurisprudenza della Corte di Cassazione in materia di controlli datoriali.

Il punto di frizione che molti progetti AI sottovalutano è uno solo: in Italia esiste una procedura sindacale codificata da oltre cinquant'anni che disciplina ogni strumento dal quale possa derivare un controllo, anche indiretto, sull'attività dei lavoratori. Quella procedura è viva, è esigibile, e si applica a sistemi che il marketing dei vendor descrive come "neutri" o "di puro screening". Capire come l'articolo 4 dello Statuto dei Lavoratori interagisce con un ATS dotato di scoring algoritmico, con uno screening video automatizzato o con un agente conversazionale che pre-qualifica candidati è oggi una competenza HR-legale ineludibile.

Questa guida ricostruisce il perimetro normativo italiano, distingue il piano della pre-assunzione da quello della relazione di lavoro già instaurata, descrive il ruolo di RSU e RSA, illustra le due strade alternative previste dalla legge (accordo sindacale o autorizzazione dell'Ispettorato Nazionale del Lavoro), spiega come il Decreto trasparenza imponga obblighi informativi specifici quando interviene un sistema decisionale automatizzato e indica come l'AI Act amplia ulteriormente il quadro a partire dal 2026.

Disclaimer. Questo articolo ha finalità esclusivamente informative e divulgative. Non costituisce parere legale. Le scelte applicative su uno specifico progetto di AI recruiting devono essere validate da un giuslavorista, dal Data Protection Officer e, dove necessario, dalla funzione di compliance interna.

Il perimetro: cosa cambia quando entra l'AI in selezione

Per molti anni il recruiting è stato considerato, dal punto di vista del diritto del lavoro italiano, un'area "pre-contrattuale" e quindi lontana dal cuore dello Statuto dei Lavoratori. La logica era lineare: prima dell'assunzione non esiste un rapporto di lavoro subordinato, dunque non si applicano le norme che tutelano il lavoratore già dipendente. Questa lettura, ancora corretta in linea di principio, è oggi insufficiente per descrivere ciò che fa un sistema di AI recruiting moderno.

Un ATS contemporaneo non si limita più a registrare CV. Spesso esegue parsing semantico, costruisce profili strutturati, calcola punteggi di affinità rispetto alla job description, ordina candidati, suggerisce shortlist, integra video-interviste con analisi del linguaggio e, in alcuni casi, valuta tratti di personalità sulla base di test online. Quando la stessa piattaforma viene usata anche per la mobilità interna, oppure quando i suoi modelli vengono addestrati su dati provenienti da dipendenti già in forza, il confine fra "selezione" e "gestione" diventa poroso. È esattamente in quella porosità che si attivano le norme italiane sui controlli a distanza.

Il principio guida è quindi duplice. Da un lato resta vera la distinzione fra candidato e lavoratore: il candidato non è soggetto al potere direttivo del datore di lavoro e gode di una tutela diversa, principalmente fondata su GDPR, principio di non discriminazione e correttezza pre-contrattuale. Dall'altro lato, ogni volta che lo strumento di selezione genera dati che potranno essere riutilizzati nella relazione di lavoro – o che, nella sua architettura, è lo stesso strumento usato per monitorare i dipendenti – si entra nel raggio dell'articolo 4 dello Statuto, indipendentemente dall'etichetta commerciale del prodotto.

L'articolo 4 dello Statuto dei Lavoratori dopo le riforme

L'articolo 4 della Legge 300/1970, nella versione originaria, vietava in modo molto rigido l'uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell'attività dei lavoratori. La norma è stata profondamente riscritta dal D.Lgs. 151/2015 (uno dei decreti del Jobs Act) e poi nuovamente toccata dal D.Lgs. 24/2022 in sede di trasposizione della direttiva sulla protezione dei whistleblower e da successivi interventi connessi alla digitalizzazione. La struttura attuale, in estrema sintesi, è la seguente.

Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di un controllo a distanza dell'attività dei lavoratori possono essere installati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale. La loro installazione richiede un previo accordo collettivo stipulato con le rappresentanze sindacali unitarie (RSU) o, in alternativa, con le rappresentanze sindacali aziendali (RSA). In mancanza di accordo, il datore di lavoro può ottenere l'autorizzazione dell'Ispettorato Nazionale del Lavoro (sede territoriale competente, con possibilità di ricorso alla sede centrale).

Il secondo comma introduce una deroga fondamentale: la procedura sindacale o autorizzativa non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa, né agli strumenti di registrazione degli accessi e delle presenze. Questa è la base normativa che esonera, ad esempio, il PC aziendale o il badge dall'iter dell'articolo 4, a condizione che siano effettivamente strumenti di lavoro e non strumenti di sorveglianza travestiti.

Il terzo comma chiude il sistema sul versante dell'utilizzo dei dati: le informazioni raccolte sono utilizzabili a tutti i fini connessi al rapporto di lavoro – disciplinari inclusi – soltanto se al lavoratore è stata data adeguata informazione sulle modalità d'uso degli strumenti e di esecuzione dei controlli, e se è stato rispettato il GDPR.

Un sistema di AI recruiting che venga progettato, configurato o riutilizzato in modo da generare informazioni idonee a controllare l'attività dei lavoratori – tipicamente quando il modello viene esteso al people analytics interno, alla mobilità o alla valutazione delle performance – non è fuori da questa cornice. È dentro. La domanda corretta non è "questo è uno strumento di controllo?", ma "da questo strumento può derivare anche solo la possibilità di un controllo a distanza?". Se la risposta è sì, scattano le procedure.

Pre-assunzione vs post-assunzione: un confine che l'AI rende sottile

La distinzione fra fase pre-assuntiva e rapporto di lavoro instaurato resta giuridicamente rilevante, ma non è più sufficiente come unica griglia di analisi. Un progetto di AI recruiting, oggi, va letto su due assi paralleli.

Sul piano del candidato esterno, le tutele sono dettate principalmente dal GDPR (basi giuridiche, minimizzazione, trasparenza, decisioni automatizzate ai sensi dell'articolo 22), dal Codice delle pari opportunità (D.Lgs. 198/2006) e dalle norme antidiscriminatorie generali. Il candidato non è "sotto" lo Statuto dei Lavoratori in senso stretto, ma ha diritto a sapere se è stato sottoposto a una decisione interamente automatizzata, a comprenderne la logica, a contestarla e a ottenere l'intervento umano.

Sul piano del lavoratore già in forza – ad esempio quando lo stesso sistema viene impiegato per selezioni interne, job posting interni, valutazioni di mobilità o talent review – si applicano integralmente lo Statuto dei Lavoratori, l'articolo 4, il Decreto trasparenza e gli obblighi di informazione sindacale. Qui la procedura con RSU/RSA o l'autorizzazione INL non è opzionale: è la condizione di legittimità dello strumento.

La zona grigia, ed è la zona dove la maggior parte dei progetti italiani inciampa, è quella dei sistemi che vengono inizialmente acquistati "solo per la selezione esterna" e che poi, per economie di scala o per scelta architetturale del vendor, finiscono per essere riutilizzati su popolazione interna. In quella transizione lo strumento cambia natura giuridica. Trattarlo come se fosse rimasto un puro ATS esterno è un errore che espone l'azienda sia sul fronte sindacale sia sul fronte ispettivo.

RSU e RSA: chi sono, cosa fanno, perché contano

La procedura dell'articolo 4 ruota attorno a un soggetto preciso: la rappresentanza sindacale interna. In Italia coesistono due modelli, eredi di stagioni storiche diverse e oggi disciplinati dal Testo Unico sulla rappresentanza del 10 gennaio 2014.

La RSA, rappresentanza sindacale aziendale, è la forma più antica, prevista direttamente dall'articolo 19 dello Statuto dei Lavoratori. È costituita da iniziativa dei lavoratori iscritti ai sindacati firmatari dei contratti collettivi applicati nell'unità produttiva. È quindi un organismo di derivazione associativa, espressione del singolo sindacato.

La RSU, rappresentanza sindacale unitaria, è invece eletta da tutti i lavoratori dell'unità produttiva, iscritti e non iscritti. Nasce dagli accordi interconfederali e dal Testo Unico del 2014 ed è oggi la forma prevalente nelle realtà di una certa dimensione. La RSU rappresenta la generalità dei lavoratori, non i soli iscritti.

Per gli effetti dell'articolo 4 dello Statuto la legge è chiara: l'accordo va stipulato con la RSU se esistente, oppure con le RSA. In aziende multi-stabilimento, in mancanza di accordo unitario, è prevista la possibilità di accordo con le associazioni sindacali comparativamente più rappresentative sul piano nazionale. Ignorare la struttura di rappresentanza esistente nel proprio perimetro – per fretta, per convinzione che "tanto è solo un software HR" o per una lettura riduttiva del progetto – è la causa più frequente di contenziosi sindacali e di provvedimenti di repressione della condotta antisindacale ai sensi dell'articolo 28 dello Statuto.

Le due strade: accordo sindacale o autorizzazione INL

Quando il sistema di AI recruiting (o, più in generale, un sistema HR potenzialmente idoneo a controllo a distanza) ricade nel perimetro dell'articolo 4, l'ordinamento offre due percorsi alternativi.

Il primo, fortemente preferito dal legislatore, è l'accordo collettivo aziendale con le RSU/RSA. È uno strumento che presuppone confronto, trasparenza tecnica e disponibilità a definire perimetri d'uso, finalità, durata di conservazione, modalità di consultazione dei dati, divieti d'uso disciplinare in determinate condizioni, ruoli abilitati. Un accordo ben costruito non è un atto formale: è una mappa operativa che consente all'azienda di usare il sistema in sicurezza giuridica e ai rappresentanti dei lavoratori di esercitare un controllo continuativo sull'effettivo rispetto del perimetro pattuito.

Il secondo, residuale, è l'autorizzazione dell'Ispettorato Nazionale del Lavoro. Si attiva quando l'accordo non viene raggiunto – per indisponibilità sindacale, per dissenso effettivo o per assenza di rappresentanze. La sede territoriale dell'INL competente per il luogo di installazione esamina l'istanza, verifica le finalità dichiarate (organizzative, produttive, di sicurezza, di tutela del patrimonio aziendale), valuta proporzionalità e misure di garanzia, può dettare prescrizioni e rilascia (o nega) il provvedimento. Contro la decisione è ammesso ricorso alla sede centrale.

La scelta fra accordo e autorizzazione non è neutra. L'accordo costruisce relazioni; l'autorizzazione, di norma, le surroga. Le aziende che dispongono già di buone relazioni industriali tendono a privilegiare l'accordo, anche perché è uno strumento più flessibile e più aggiornabile nel tempo. Le aziende che si rivolgono direttamente all'INL spesso lo fanno perché temono di perdere il controllo della tempistica, ma scoprono in seguito che le prescrizioni dell'Ispettorato sono talvolta più stringenti di quelle che avrebbero negoziato in sede sindacale.

Decreto trasparenza 104/2022: il pezzo che molti dimenticano

Accanto allo Statuto, un secondo testo si è progressivamente imposto come riferimento centrale per chiunque adotti AI in HR: il D.Lgs. 26 giugno 2022, n. 104, attuativo della Direttiva UE 2019/1152 sulle condizioni di lavoro trasparenti e prevedibili. La sua architettura è generalista, ma uno specifico intervento del D.L. 48/2023 ne ha rafforzato la portata in materia di sistemi decisionali automatizzati nei rapporti di lavoro.

In sintesi, il datore di lavoro è tenuto a informare in modo chiaro, comprensibile e in forma strutturata sia il lavoratore sia le rappresentanze sindacali sull'utilizzo di sistemi decisionali o di monitoraggio integralmente automatizzati deputati a fornire indicazioni rilevanti ai fini dell'assunzione, della gestione del rapporto di lavoro, dell'assegnazione di compiti, della sorveglianza, della valutazione, dell'adempimento di obblighi contrattuali e dell'esercizio dei poteri datoriali (incluso quello disciplinare). L'informativa deve descrivere finalità e logica del sistema, parametri usati per le decisioni, categorie di dati trattati, processi di monitoraggio e incidenza sulle condizioni di lavoro.

Il combinato disposto fra Statuto e Decreto trasparenza produce un effetto preciso: anche quando l'azienda ha correttamente concluso un accordo ex articolo 4, deve in parallelo aver predisposto le informative del Decreto trasparenza (art. 1-bis), comunicarle ai lavoratori coinvolti e renderle disponibili alle rappresentanze. Le due procedure non si sostituiscono: si sommano, ciascuna con la propria finalità.

L'AI Act e le novità per l'HR italiano

Il Regolamento UE 2024/1689 (AI Act) entra in vigore a tappe fra il 2024 e il 2027 e tocca direttamente l'HR. La classificazione più rilevante per il recruiting è quella di "sistema ad alto rischio": l'Allegato III include esplicitamente i sistemi di AI utilizzati per il reclutamento o la selezione di persone fisiche – in particolare per pubblicare offerte di lavoro mirate, analizzare e filtrare candidature, valutare i candidati – e i sistemi destinati a essere usati per prendere decisioni o influire materialmente su decisioni che riguardano l'avvio, la gestione, la cessazione del rapporto di lavoro, l'assegnazione di mansioni in base a comportamenti o tratti, il monitoraggio e la valutazione delle prestazioni.

Gli obblighi connessi alla qualifica di alto rischio sono significativi e cumulativi rispetto a quelli già esistenti: sistema di gestione del rischio, qualità dei dataset di training e validazione, documentazione tecnica, registrazione automatica degli eventi (logging), trasparenza informativa verso gli utilizzatori, supervisione umana effettiva, accuratezza/robustezza/cibersicurezza, valutazione di impatto sui diritti fondamentali (FRIA) per i deployer pubblici e per alcuni privati, registrazione nella banca dati europea. La governance in azienda deve coprire l'intero ciclo di vita: dalla selezione del fornitore alla configurazione, dalla messa in produzione al monitoraggio post-deployment.

Per il diritto del lavoro italiano, l'AI Act non sostituisce lo Statuto né il Decreto trasparenza: vi si sovrappone. Un progetto AI recruiting pienamente compliant deve quindi reggere su tre gambe contemporaneamente: procedura sindacale o autorizzazione INL ex articolo 4, informativa ex Decreto trasparenza, conformità AI Act (più, naturalmente, GDPR e DPIA quando dovuta).

Cosa dovrebbe avere in mano un direttore HR prima di firmare

Tradurre il quadro in operatività è la parte più sottovalutata. Una checklist sintetica, da non confondere con un parere legale, può aiutare a impostare il lavoro.

Una mappatura preliminare onesta del sistema: quali decisioni automatizza, quali raccomanda, quali si limita a rappresentare; quali dati raccoglie e quali genera ex novo; quali popolazioni tocca (candidati esterni, dipendenti, ex dipendenti) e per quanto tempo conserva ciò che produce.

Una qualificazione giuridica condivisa: il sistema è ad alto rischio ai sensi dell'AI Act? Rientra nel perimetro dell'articolo 4 dello Statuto? Attiva gli obblighi del Decreto trasparenza? Le tre risposte raramente coincidono e nessuna delle tre si può presumere.

Un percorso sindacale documentato: convocazione delle RSU/RSA con un preavviso ragionevole, condivisione della documentazione tecnica essenziale, almeno una sessione di confronto effettivo, verbale dell'incontro, testo dell'accordo o – in caso di mancata intesa – istanza all'INL con motivazione tecnica.

Una DPIA aggiornata, costruita non come documento di compliance formale ma come strumento vivo di analisi del rischio, integrata con la valutazione AI Act dove richiesta.

Un'informativa al lavoratore e al candidato chiara, in italiano, sufficientemente specifica da resistere a una richiesta di accesso e a un'eventuale verifica ispettiva.

Un presidio organizzativo: chi è il referente AI in HR, chi è il DPO coinvolto, chi tiene il log delle modifiche al sistema, chi gestisce le richieste di intervento umano sulle decisioni automatizzate.

Errori ricorrenti e come evitarli

Tre errori si presentano con regolarità nei progetti italiani e meritano una nota a parte.

Il primo è la sottovalutazione del concetto di "controllo a distanza". L'articolo 4 non parla di telecamere e GPS soltanto: parla di strumenti dai quali può derivare anche solo la possibilità di un controllo. Un sistema che produce ranking di candidati interni con punteggi numerici è uno strumento dal quale può derivare un controllo, soprattutto se quei punteggi vengono ri-letti in fase di valutazione delle performance.

Il secondo è la confusione fra GDPR e Statuto. Avere completato la DPIA non esaurisce gli obblighi sindacali. Sono due cornici diverse che proteggono interessi diversi: il GDPR tutela la persona fisica come interessato del trattamento, lo Statuto tutela il lavoratore come parte debole del contratto e il sindacato come soggetto collettivo. Un progetto può essere perfettamente conforme al GDPR e al tempo stesso illegittimo per violazione dell'articolo 4.

Il terzo è il "patch sindacale tardivo": firmare un accordo dopo che il sistema è già in produzione da mesi. È una scelta che riduce, ma non elimina, il rischio. La giurisprudenza ha riconosciuto in più casi rilevanza al momento dell'attivazione, e una condotta che bypassa la procedura preventiva può essere qualificata come antisindacale, con le conseguenze dell'articolo 28 dello Statuto.

Una traiettoria possibile

Le aziende italiane che stanno facendo bene questo passaggio condividono alcune caratteristiche. Trattano il progetto AI recruiting come un progetto multidisciplinare, non come un acquisto IT. Coinvolgono presto la funzione legale del lavoro e il DPO. Considerano la procedura sindacale non come un ostacolo, ma come un'occasione per definire un perimetro chiaro e difendibile. Documentano in modo ordinato ogni passaggio. Distinguono ciò che il sistema decide da ciò che il sistema raccomanda, e mantengono un livello di supervisione umana proporzionato all'impatto delle decisioni. Soprattutto, non lasciano che il claim di "neutralità" del vendor sostituisca la verifica indipendente della conformità.

L'AI nel recruiting non è incompatibile con lo Statuto dei Lavoratori. È compatibile a condizione che venga riconosciuto per ciò che è: uno strumento potente, capace di influire sulla vita lavorativa delle persone, e quindi soggetto a una disciplina giuslavoristica che in Italia ha radici profonde e tutele non negoziabili.

Per approfondire

• AI recruiting: guida completa per HR italiani
• AI Act Italia: guida completa alla conformità
• AI Act: scadenze 2026-2027 per le aziende italiane
• Checklist conformità AI 2026
• ISO 42001 Italia: guida all'implementazione
• ISO 42001 vs ISO 27001: differenze e complementarità