AI Act 2025 per ATS e HR come mettersi in regola

AI Act e funzioni HR cosa cambia da subito

La gestione del talento in Europa entra in una fase di responsabilità nuova. Con l AI Act le soluzioni di selezione del personale basate su intelligenza artificiale e gli ATS dotati di screening algoritmico vengono inquadrati in classi di rischio e sottoposti a obblighi precisi. L impatto è concreto già nel 2025 con i divieti che scattano dopo sei mesi dall entrata in vigore e con obblighi progressivi per i sistemi a rischio elevato. Il Consiglio dell Unione ha confermato la tempistica graduata e l inclusione dell impiego in ambito alto rischio fonte. Per le Direzioni HR significa riprogettare processi di selezione e valutazione con trasparenza tracciabilità e misure di tutela ex ante.

L AI impiegata per l assunzione la promozione o la valutazione dei lavoratori è classificata ad alto rischio nell AI Act. È un punto essenziale già consolidato negli atti del Parlamento europeo fonte. Tradotto in pratica gli ATS con ranking automatico dei curriculum i sistemi che stimano l idoneità o valutano test cognitivi devono rispettare requisiti di qualità dei dati log tracciabili documentazione tecnica supervisione umana e robustezza. Inoltre alcune pratiche sono vietate tra cui il riconoscimento delle emozioni in contesti lavorativi e scolastici come indicato dal Parlamento europeo fonte.

Classi di rischio e inquadramento degli strumenti HR

Quattro livelli e dove si collocano gli ATS

• Rischio minimo funzioni statistiche descrittive strumenti di reportistica tradizionale che non incidono su decisioni individuali. Adempimenti minimi.
• Rischio limitato interfacce conversazionali che informano chiaramente l utente di interagire con una macchina e che non automatizzano decisioni. Obblighi di trasparenza. Indicazioni della Commissione europea disponibili qui fonte.
• Alto rischio sistemi che influenzano l accesso all occupazione e la gestione dei lavoratori. Rientrano ATS con scoring automatico filtri di screening predittivo videoanalisi per valutazione dei candidati test automatizzati con esiti decisivi. Scattano requisiti stringenti e possibile marcatura CE da parte dei fornitori.
• Pratiche vietate social scoring generalizzato categorizzazioni biometriche basate su dati sensibili e riconoscimento delle emozioni in ambito di lavoro e istruzione. Devono essere disattivate e rimosse.

Una lezione resta attuale il caso Amazon del 2018 in cui un sistema sperimentale di screening penalizzava i curriculum femminili portando all abbandono del progetto fonte Reuters. La prevenzione del bias non è un optional ma un requisito legale e reputazionale.

Log e tracciabilità cosa registrare e come governarlo

L AI Act prevede per i sistemi ad alto rischio la registrazione automatica degli eventi per consentire audit e analisi di affidabilità. Questa disciplina dialoga con il principio di responsabilizzazione del GDPR articolo 5 paragrafo 2 che impone la prova della conformità fonte.

Eventi da registrare in un ATS con AI

• Versione del modello e data di rilascio compresi eventuali aggiornamenti o ri addestramenti.
• Fonte e stato dei dati caratteristiche considerate dal modello set di addestramento riferimenti alle politiche di data governance del fornitore.
• Input esatti inviati al modello per esempio testo del job post campi del curriculum risposte ai test e prompt in caso di sistemi generativi.
• Output punteggi ranking spiegazioni fornite al selezionatore confidenza dell algoritmo.
• Interventi umani override commenti e decisioni finali con indicazione della persona responsabile.
• Eventi di rischio errori del modello incidenti di sicurezza feedback dei candidati reclami e contestazioni.
• Esiti di processo shortlist inviti a colloquio proposte di assunzione rifiuti.

Governance dei log e retention

• Conservazione allineare la durata dei log ai tempi di prescrizione e difesa in giudizio e ai principi di minimizzazione. Definire tempi distinti per candidati assunti e non assunti.
• Accessi profilare permessi a ruoli HR legali IT e audit. Ogni consultazione deve lasciare traccia.
• Esportabilità verificare che il fornitore consenta export leggibile e firmato digitalmente o con hash per garantire integrità probatoria.
• Test periodici pianificare audit trimestrali sui log per individuare drift di performance o pattern di bias.

DPIA e basi giuridiche come evitare errori costosi

Molti trattamenti in ambito HR richiedono la Valutazione di Impatto sulla Protezione dei Dati ai sensi dell articolo 35 GDPR. La lista dei criteri del Gruppo di Lavoro ex articolo 29 indica tra i rischi la valutazione o scoring l uso di dati di persone vulnerabili tra cui i lavoratori e le decisioni automatizzate fonte EDPB WP248 rev 01.

I passaggi chiave di una DPIA efficace

• Mappare i processi dal sourcing al colloquio fino all offerta con diagrammi chiari di flussi dati basi giuridiche e soggetti coinvolti compresi i fornitori.
• Necessità e proporzionalità dimostrare che l uso dell AI riduce errori aumenta coerenza e non sostituisce totalmente il giudizio umano.
• Rischi per i diritti analizzare bias discriminazioni errori di identità esposizione di dati sensibili e opacità della decisione.
• Misure limitazione delle feature sensibili controlli di fairness come parità di opportunità per gruppi protetti spiegazioni ex ante al candidato canali di reclamo e revisione umana.
• Consultazioni coinvolgere DPO rappresentanze dei lavoratori e fornitori per allineare ruoli e responsabilità.

Basi giuridiche e diritti dei candidati

• Interesse legittimo spesso la base più idonea per lo screening ponderato da un test di bilanciamento documentato.
• Consenso raramente appropriato nel rapporto di squilibrio con candidati e dipendenti.
• Informativa linguaggio chiaro su finalità uso dell AI logiche di funzionamento principali e diritto a chiedere l intervento umano e a contestare la decisione in linea con gli articoli 13 14 e 22 GDPR.

Selezione fornitori e audit contrattuali

Molte aziende usano ATS e tool di terze parti. La conformità dipende anche da come i fornitori adempiono agli obblighi per i sistemi ad alto rischio definiti dall AI Act. Servono clausole precise e verifiche tecniche.

Clausole e verifiche indispensabili

• Classificazione il fornitore deve dichiarare per iscritto la classe di rischio dell applicazione e mettere a disposizione la documentazione tecnica richiesta dall AI Act.
• Qualità dei dati impegno a pratiche di data governance e a fornire metriche di prestazione e di equità per i principali gruppi protetti.
• Logging funzioni native di registrazione degli eventi con esportazione e controllo di integrità.
• Supervisione umana workflow che impongono il riesame umano prima di decisioni con effetti rilevanti sul candidato.
• Notifiche di incidente tempi e canali per segnalare malfunzionamenti e misure correttive con impegno al supporto negli audit.
• Trattamento dati accordo di trattamento ai sensi dell articolo 28 GDPR elenco dei subfornitori trasferimenti extra UE e misure tecniche e organizzative.

Un modello operativo in 90 giorni

Giorni 1 30 inventario e stop ai rischi non accettabili

• Censire tutti gli strumenti che toccano il recruiting e la gestione del personale.
• Disattivare funzioni vietate come il riconoscimento delle emozioni e verificare l assenza di categorie biometriche sensibili.
• Aprire il tavolo con DPO legale procurement e IT per definire la governance.

Giorni 31 60 log DPIA e policy

• Attivare i log di modello input output e override umano con retention definita.
• Condurre la DPIA con mappatura dei flussi test di bilanciamento e piano di mitigazione.
• Aggiornare informative per i candidati e le procedure di gestione dei reclami.

Giorni 61 90 audit dei fornitori e formazione

• Integrare clausole contrattuali su rischio alto logging fairness e incident response.
• Eseguire un test pilota di equità su uno o due ruoli con dati storici pseudo anonimizzati.
• Formare recruiter e HRBP su supervisione umana interpretazione dei punteggi e uso responsabile dei modelli.

Checklist pronta all uso

• Ho una mappa aggiornata dei sistemi HR che usano AI
• Per ciascun sistema ho classificato il rischio e identificato funzioni vietate
• I log raccolgono eventi di modello input output e interventi umani
• La retention dei log è definita e approvata con il DPO
• La DPIA è completata con rischi misure e parere del DPO
• Le informative ai candidati spiegano l uso dell AI e i diritti
• Esistono criteri di equità misurabili e un piano di test periodico
• I contratti dei fornitori includono documentazione tecnica e metriche
• È attiva una procedura di segnalazione incidenti e di revisione umana
• Il personale HR è formato e ha linee guida operative

Risorse utili

• Panoramica ufficiale dell approccio europeo all AI Commissione europea link
• Comunicato del Parlamento europeo sull AI Act con ambiti e divieti link
• Testo del GDPR su EUR Lex per principi e DPIA link
• Linee guida EDPB su DPIA criteri di rischio e misure link
• Esempio reale dei rischi di bias nei sistemi di selezione Reuters su Amazon link

Pubblicato da PortaleLavoro.Org | 22-12-2025 | Consigli per la tua carriera

Tags: AI Act, ATS, DPIA, GDPR, HR