Nel mondo aziendale, l’uso della biometria si evolve rapidamente, passando da strumento di identificazione a tecnologia di inferenza psicologica. Il recente sviluppo dell’intelligenza artificiale consente di tracciare micro-espressioni, valutare il tono delle voci e interpretare tratti emotivi, aprendo nuove possibili applicazioni ma anche gravi problematiche legali e sociali.

La frontiera tecnologica

Per anni, l’utilizzo della biometria in azienda si è concentrato su finalità semplici e ben definite: controllo degli accessi, autenticazione di dispositivi, identificazione biometrica per la sicurezza fisica e logica del posto di lavoro. Oggi, grazie alle nuove tecnologie di AI, si apre l’orizzonte della cosiddetta biometria di inferenza, che permette di interpretare livelli di stress, engagement, stati emotivi o persino di costruire profili psicologici basati sulla voce, l’espressione del viso o gesti non consci.

Per un Direttore Risorse Umane o un datore di lavoro, la domanda cruciale non è più se tali tecnologie esistano, ma se siano adottabili in modo sostenibile dal punto di vista giuridico, organizzativo e sociale. Questo passaggio richiede una valutazione non solo tecnica, ma anche etica ed economica.

Fondamenti giuridici del trattamento

L’identificazione biometrica rientra, nei termini dell’art. 4 n. 14 del GDPR, nei dati personali ottenuti attraverso tecniche analitiche specifiche relative a tratti fisici, fisiologici o comportamentali. Quando tali dati vengono utilizzati a scopo identificativo, rientrano tra le “categorie particolari” definite nell’art. 9 del Regolamento UE, necessitando di specifiche basi giuridiche e, in molti casi, di un consenso esplicito.

Le basi giuridiche astrattamente applicabili ai sistemi di biometria sono:

    • art. 9, par. 2, lett. b): obblighi di legge e gestione relazioni di lavoro;
    • art. 9, par. 2, lett. a): consenso dell’interessato;
    • art. 9, par. 2, lett. g): interesse pubblico.

Tuttavia, il consenso raramente rappresenta una base sicura in ambito lavorativo, dove esiste uno squilibrio di poteri tra datore di lavoro e lavoratore, un limite ribadito anche nell’analisi dell’European Data Protection Board.

La biometria di inferenza

Analisi comportamentali basate su micro-espressioni o toni vocali rientrano in una sfera giuridicamente più complessa, soprattutto se riconducibili a dati sanitari sensibili (come specificato all’art. 4 n. 15 GDPR). Gli sviluppi dell’AI permettono inoltre la creazione di profili che possono influenzare decisioni importanti riguardanti promozione, assunzione o performance evaluation.

Nel Regolamento AI Act (2024/1689), questi sistemi sono definiti “a alto rischio” se operano in ambiti come:

    • selezione e reclutamento;
    • valutazione di performance;
    • assegnazione di compiti;
    • gestione del personale e promozione;
    • cessazione del rapporto.

Implicazioni del Regolamento AI Act

I sistemi di AI applicati a scenari lavorativi e basati su dati biometrici rientrano quasi sempre dentro la categoria ad alto rischio, richiedendo:

    • sistema di gestione del rischio (art. 9 AI Act);
    • governance dei dati (art. 10);
    • documentazione tecnica (art. 11);
    • registrazione logica (art. 12);
    • trasparenza verso gli utenti (art. 13);
    • controllo umano effettivo (art. 14).

Questi aspetti indicano che l’obbligo di conformità non è più limitato ai principi della privacy ma si estende al design e alla governance tecnologica.

Rischi e limiti etici

L’art. 5 dell’AI Act vieta forme di AI che manipolino comportamenti in modo subliminale o sfruttino vulnerabilità psicologiche. L’utilizzo di sistemi di emotion AI per valutazioni di natura psicologica potrebbe appartenere a questa area sensibile, anche se non vi rientra sempre in modo automatico.

Casi Internazionali

Il recente “Biometric Processing Privacy Code 2025” introdotto in Nuova Zelanda rappresenta un nuovo paradigma: un codice specificamente dedicato alla biometria. Tra le norme principali:

    • necessità e proporzionalità rafforzate;
    • notifiche dettagliate pre-trattamento;
    • limitazione della fase di conservazione dei dati;
    • vincoli severi sull’uso di sistemi di inferenza emotiva.

Questo modello neozelandese non deve essere visto solo come un singolo sistema, ma come un indicatore di tendenza globale: la tecnologia non va solo regolamentata per protezione dei dati, ma in relazione al potere che esercitano e al rapporto che hanno con i lavoratori.

I principi GDPR applicabili

L’art. 5 del GDPR richiede principi fondamentali come:

    • minimizzazione dei dati;
    • trasparenza e correttezza;
    • limitazione del trattamento;
    • sicurezza;
    • limitazione della conservazione.

Inoltre, l’Art. 88 del Regolamento UE permette agli Stati membri di adottare normativa più rigorosa in ambiti lavorativi, a condizione di non violare i parametri UE.

Obblighi per le aziende

Prima di implementare tecnologie come l’emotion AI o sistemi di biometria avanzati, una società deve:

    • mappare la finalità specifica del sistema;
    • valutare, in base all’Art. 35 GDPR, i rischi relativi alla discriminazione o errori algoritmici;
    • verificare se applica il principio dell’Art. 22 GDPR, garantendo controlli umani in caso di decisioni automatizzate;
    • assicurare una supervisione umana non formale ma reale, conforme all’Art. 14 AI Act;
    • ristringere la conservazione dei dati come da Art. 5 GDPR.

L’evoluzione della responsabilità tecnologica

L’applicazione di tecnologie basate su biometria di inferenza non è solo un tema tecnico o legale, ma una scelta di governance organizzativa. La capacità di un sistema di leggere microespressioni o tono della voce può portare all’ottimizzazione della productivité, ma potrebbe anche alimentare tensioni, conflitti sindacali e una sensazione di controllo invasivo tra dipendenti.

La tendenza internazionale, come dimostrato dall’esempio neozelandese, indica una crescente attenzione al bilanci