Perché l'HR è la funzione aziendale più esposta all'AI Act
Se c'è un'area aziendale in cui l'AI Act ha un impatto diretto, concreto e immediato sulle PMI italiane, è quella delle risorse umane. Non perché i responsabili HR abbiano fatto qualcosa di sbagliato, ma perché il mercato del software HR ha integrato funzioni di intelligenza artificiale in modo pervasivo — spesso senza che i responsabili ne fossero pienamente consapevoli.
Il Regolamento UE 2024/1689 inserisce esplicitamente nell'Allegato III (sistemi ad alto rischio) i sistemi di IA usati per:
- Reclutamento e selezione del personale (incluso lo screening automatico dei CV)
- Promozione, licenziamento o variazione delle condizioni contrattuali
- Monitoraggio delle prestazioni e del comportamento dei lavoratori
- Valutazione delle competenze
Questa non è una questione di grandi multinazionali: è una questione che riguarda qualsiasi PMI che usi software HR con funzioni di intelligenza artificiale, e la maggior parte dei software moderni le include.
Quali sistemi HR rientrano nell'alto rischio
La difficoltà per i responsabili HR è che spesso i sistemi che usano non si presentano come "sistemi di IA per la selezione del personale" — sono semplicemente l'ATS (Applicant Tracking System) che usano da anni, o il software di performance management che hanno acquistato come parte di una suite HR.
Ecco i casi più comuni:
ATS con ranking automatico dei candidati
Se il vostro ATS assegna un punteggio ai candidati, ordina i CV in base a criteri algoritmici o "suggerisce" i migliori candidati — anche in modo non dichiarato — state usando un sistema ad alto rischio.
Molti ATS come Workday, SAP SuccessFactors, Greenhouse, Lever includono funzioni di questo tipo. Verificate nella documentazione o chiedete esplicitamente al vostro fornitore.
Software di analisi dei video colloqui
Piattaforme che analizzano il linguaggio del corpo, le espressioni facciali o il tono della voce durante i colloqui video per produrre valutazioni automatizzate. Questi sistemi sono tra i più problematici sotto il profilo dell'AI Act (e del GDPR).
Sistemi di performance management con AI
Software che aggregano dati di produttività, presenza, interazioni digitali e producono valutazioni automatiche delle performance. Anche se la decisione finale rimane umana, il sistema di aggregazione è ad alto rischio.
Chatbot HR per il recruiting
I chatbot che gestiscono la prima fase del colloquio (screening telefonico automatizzato, Q&A con i candidati) possono rientrare nei sistemi ad alto rischio se producono valutazioni o classificazioni dei candidati.
Gli obblighi specifici dei deployer HR
Se la vostra azienda usa uno di questi sistemi, come deployer (utilizzatore) avete obblighi specifici previsti dall'Art. 26 dell'AI Act:
1. Verificare la conformità del fornitore
Prima di tutto, dovete accertarvi che il fornitore del sistema di IA (il "provider") abbia rispettato i propri obblighi:
- Il sistema è registrato nel database EU per sistemi ad alto rischio?
- Il fornitore ha emesso la dichiarazione di conformità CE?
- La documentazione tecnica è disponibile?
- Il sistema ha superato una valutazione di conformità?
Se il vostro fornitore non sa rispondere a queste domande, avete un problema che va risolto prima dell'avvio della vigilanza.
2. Implementare la supervisione umana
L'obbligo di supervisione umana non significa che un umano "firma" il documento alla fine. Significa che:
- I responsabili delle decisioni di selezione devono realmente comprendere e valutare l'output del sistema di IA
- Non si può assumere, promuovere o licenziare qualcuno basandosi esclusivamente su un output algoritmico
- La supervisione deve essere attiva e documentata, non un passaggio formale
Pratica consigliata: implementare una procedura scritta che definisce in quali casi la raccomandazione del sistema di IA può essere seguita e in quali invece è richiesta una valutazione umana approfondita.
3. Mantenere i log delle attività
Per i sistemi ad alto rischio, l'AI Act richiede la conservazione dei log relativi alle decisioni del sistema. In ambito HR questo significa:
- Log delle valutazioni automatiche dei candidati
- Log delle modifiche ai punteggi o all'ordinamento
- Documentazione delle decisioni finali e di chi le ha prese
4. Informare i candidati e i dipendenti
Il principio di trasparenza dell'AI Act (Art. 50) impone che le persone siano informate quando sono soggette a decisioni significative prese con il supporto di sistemi di IA. In ambito HR:
- L'informativa privacy deve menzionare l'uso di sistemi di IA nelle decisioni di selezione o valutazione
- In certi casi può essere richiesto un consenso specifico
AI Act e GDPR: il doppio vincolo per l'HR
L'AI Act non sostituisce il GDPR: si aggiunge ad esso. I responsabili HR devono navigare un doppio regime normativo:
GDPR (già in vigore)
- Basi giuridiche per il trattamento dei dati dei candidati
- Diritto di accesso, rettifica, cancellazione
- Art. 22 GDPR: diritto a non essere soggetti a decisioni basate esclusivamente su trattamenti automatizzati (già applicabile!)
- DPIA (Data Protection Impact Assessment) per trattamenti ad alto rischio
AI Act (in applicazione progressiva)
- Obblighi aggiuntivi per sistemi di IA ad alto rischio
- Supervisione umana documentata
- Log delle attività del sistema
- Informativa sull'uso di sistemi di IA nel processo decisionale
Un'area critica di sovrapposizione: i candidati hanno già oggi il diritto di richiedere una revisione umana di decisioni automatizzate che li riguardano (GDPR Art. 22). L'AI Act rafforza questo diritto e lo estende con obblighi processuali a carico del datore di lavoro.
Cosa deve fare concretamente un responsabile HR adesso
Passo 1: Censire i sistemi di IA in uso in HR
Elencate tutti i software che la vostra funzione HR utilizza e identificate quelli che includono funzioni di intelligenza artificiale. Chiedete al fornitore una descrizione delle funzioni di IA incluse nel prodotto.
Passo 2: Classificare i rischi
Per ogni sistema identificato, valutate se rientra nelle categorie ad alto rischio dell'Allegato III. Se avete dubbi, consultate un esperto.
Passo 3: Aggiornare l'informativa privacy
Verificate con il DPO (o con il vostro consulente privacy) che le informative rivolte a candidati e dipendenti menzionino l'uso di sistemi di IA nelle decisioni HR.
Passo 4: Implementare procedure di supervisione
Definite per iscritto come vengono usati gli output dei sistemi di IA nelle decisioni HR: chi li riceve, cosa fa con essi, in quali casi si discosta e come documenta la decisione finale.
Passo 5: Formare il team HR
La formazione AI Literacy per la funzione HR deve andare oltre il livello base: i responsabili HR devono comprendere il funzionamento dei sistemi che usano, i loro limiti, i possibili bias e le implicazioni normative.
Passo 6: Verificare i contratti con i fornitori
Controllate se i contratti con i fornitori di software HR disciplinano le responsabilità relative all'AI Act. Chi è responsabile della conformità? Il fornitore fornisce la documentazione tecnica richiesta?
Il bias nell'IA e l'HR: un rischio sottovalutato
Uno dei problemi meno discussi ma più concreti dell'uso di IA nel recruiting è il bias algoritmico: i sistemi di IA imparano dai dati storici, e se quei dati riflettono discriminazioni passate (es. assunzioni prevalentemente maschili per certi ruoli), il sistema può perpetuarle e amplificarle.
L'AI Act considera il bias un rischio specifico dei sistemi ad alto rischio e richiede ai provider di adottare misure di data governance e testing per identificarlo e mitigarlo. Come deployer, avete però anche una responsabilità propria: monitorare i risultati del sistema nel tempo e segnalare eventuali output discriminatori al fornitore.
Praticamente: analizzate periodicamente i dati aggregati sulle selezioni effettuate con il supporto dell'IA. Se riscontrate pattern anomali (es. sistematicamente meno candidature di certe nazionalità o generi vengono promosse allo step successivo), investigate e intervenite.
Il calendario degli obblighi per l'HR
| Data | Obbligo |
|---|---|
| 2 febbraio 2025 | Divieto sistemi a rischio inaccettabile (es. monitoraggio emotivo sui lavoratori in servizio). AI Literacy obbligatoria per il personale (Art. 4). |
| 2 agosto 2025 | Obblighi per sistemi GPAI (modelli AI per uso generale come GPT-4) |
| 2 agosto 2026 | Applicazione piena obblighi per sistemi ad alto rischio. Vigilanza delle autorità. |
La scadenza del 2 agosto 2026 è quella più rilevante per i sistemi HR ad alto rischio. Ma la formazione e la documentazione vanno costruite ora, non a luglio 2026.
Come Digityze supporta i team HR
Digityze ha sviluppato un percorso specifico per le funzioni HR che vogliono essere conformi all'AI Act:
Workshop HR & AI Act (4 ore): formazione specifica per responsabili HR e recruiting, con focus sui sistemi ad alto rischio, gli obblighi di supervisione e la gestione del bias.
AI Audit HR: analisi dei sistemi di IA in uso nella funzione HR, classificazione del rischio e gap analysis rispetto agli obblighi dell'AI Act.
Supporto alla policy e alle informative: aggiornamento delle informative privacy e redazione di procedure operative per l'uso dei sistemi di IA nelle decisioni HR.
Contattaci per una call gratuita per capire come strutturare la compliance HR nella tua azienda.
Hai trovato utile questo articolo? Valuta quanto sei pronto per l'AI Act con il nostro test gratuito.