AI Act HR & DPO 2026

AI Act per HR e DPO: Obblighi su Formazione e Supervisione Umana

Se gestisci le persone o proteggi i dati, l'AI Act ti riguarda piu di quanto sembri. I sistemi di intelligenza artificiale usati per leggere i CV, ordinare le candidature o supportare decisioni sul personale finiscono nelle applicazioni ad alto rischio del Regolamento UE 2024/1689. In questo articolo vediamo, senza legalese pesante, cosa devono presidiare concretamente HR e DPO: l'alfabetizzazione AI del personale (art. 4), la supervisione umana sui processi di selezione e il rapporto con il GDPR, in vista della vigilanza piu strutturata attesa per il 3 agosto 2026.

Mariano Matera 16 Giugno 2026 8 min lettura

Indice dei Contenuti

  1. Cosa devono presidiare HR e DPO
  2. Il ruolo del DPO sull'AI
  3. Cosa fare in pratica
  4. Domande frequenti

Cosa Devono Presidiare HR e DPO

Partiamo da un punto che spesso sfugge: l'AI Act non parla solo di chi sviluppa software. Parla anche di chi usa i sistemi AI dentro i propri processi. E i processi del personale sono in prima fila. Quando un'azienda adotta uno strumento che ordina i CV per pertinenza, suggerisce chi convocare a colloquio o supporta una valutazione di performance, sta usando un sistema che il Regolamento UE 2024/1689 colloca, in molti casi, tra le applicazioni ad alto rischio. Da qui discendono tre aree concrete da presidiare.

1. Alfabetizzazione AI del personale (art. 4)

L'art. 4 dell'AI Act, applicabile dal 2 febbraio 2025, chiede che chi adotta e usa sistemi di intelligenza artificiale disponga di un livello adeguato di competenza. Per HR questo si traduce in modo molto concreto: i recruiter e i responsabili che usano strumenti AI per la selezione devono capire cosa fa lo strumento, quali sono i suoi limiti, dove puo sbagliare e quali dati non vanno dati in pasto al sistema. Non serve un master tecnico, serve una competenza proporzionata al ruolo: saper leggere un output, dubitarne quando serve e non delegare alla macchina il giudizio.

2. Supervisione umana su screening, hiring e firing

Il cuore della parte HR e la human oversight, la supervisione umana. I sistemi che fanno screening dei CV, supportano decisioni di assunzione (hiring) o incidono sulla cessazione del rapporto (firing) non possono decidere da soli. Una persona competente deve poter intervenire, interpretare i risultati e ribaltare una scelta automatica. Attenzione: la supervisione e effettiva solo se chi seleziona sa davvero come funziona lo strumento e controlla i criteri. Uno scarto automatico di candidature, con un umano che si limita a premere "conferma", non e supervisione: e automazione travestita.

3. Trasparenza verso candidati e dipendenti

Le persone hanno diritto di sapere quando un sistema AI interviene nei processi che le riguardano. Per HR significa informare i candidati che nel percorso di selezione viene usato uno strumento di intelligenza artificiale, spiegare a grandi linee la sua logica e mantenere aperta la possibilita di un'interazione umana. La trasparenza non e un fastidio burocratico: e cio che rende difendibile il processo e che, in caso di contestazione, dimostra che l'azienda ha gestito l'AI con correttezza invece di nasconderla.

Queste tre aree non sono adempimenti separati: si tengono insieme. Un personale formato (art. 4) e la condizione perche la supervisione umana sia reale, e una supervisione reale e cio che rende la trasparenza credibile davanti a un candidato che chiede "chi ha deciso di scartarmi?".

Il Ruolo del DPO sull'AI

Chiariamo subito un equivoco frequente: il DPO non e l'autorita di vigilanza dell'AI Act, e l'AI Act non lo nomina come responsabile della conformita ai requisiti sui sistemi ad alto rischio. Ma sarebbe un errore tenere i due mondi separati, perche nella pratica si sovrappongono quasi sempre. Il motivo e semplice: quasi ogni sistema AI usato in HR tratta dati personali, e dove ci sono dati personali c'e il GDPR, e dove c'e il GDPR c'e il DPO.

Dove AI Act e GDPR si incontrano

  • Base giuridica e informative: usare l'AI nella selezione richiede una base giuridica del trattamento e informative aggiornate verso candidati e dipendenti. E terreno classico del DPO.
  • DPIA: i sistemi di selezione automatizzata spesso richiedono una valutazione d'impatto sulla protezione dei dati. Il DPO la guida o la supervisiona.
  • Decisioni automatizzate (art. 22 GDPR): il candidato ha diritto a non essere sottoposto a decisioni basate unicamente su un trattamento automatizzato. Si lega direttamente alla supervisione umana richiesta dall'AI Act.
  • Registri dei trattamenti: i sistemi AI vanno censiti nel registro ex art. 30 GDPR, con finalita, categorie di dati e tempi di conservazione.

In altre parole, il DPO diventa un alleato naturale di HR nella gestione dell'AI. Tiene i registri, aiuta a mappare quali trattamenti automatizzati esistono in azienda, verifica che le informative dicano la verita su come l'AI interviene e raccorda i requisiti di trasparenza dell'AI Act con quelli, gia noti, del GDPR. Molti dei controlli che l'AI Act chiede sui sistemi HR sono, nei fatti, controlli che un buon DPO gia conosce: cambia il vocabolario, non la sostanza del rigore.

La sintesi pratica e questa: HR sa cosa serve al processo di selezione, il DPO sa come trattare i dati in modo lecito. Far dialogare le due funzioni fin dalla scelta dello strumento AI evita di scoprire a cose fatte che il sistema appena introdotto profila candidati senza una base giuridica solida o senza informarli.

Cosa Fare in Pratica

Tutto questo puo sembrare astratto finche non lo si traduce in azioni. Ecco un percorso pragmatico che HR e DPO possono avviare insieme, senza panico e senza trasformarlo in un progetto infinito. L'obiettivo e arrivare alla vigilanza del 3 agosto 2026 potendo dimostrare diligenza, non accumulare carta fine a se stessa.

1

Mappa i sistemi AI usati nei processi del personale

Elenca dove l'AI interviene davvero: screening CV, ranking candidati, chatbot di recruiting, strumenti di valutazione, funzioni AI dentro l'HR software che gia usi. Per ciascuno annota chi lo usa, quali dati tratta e quale decisione supporta. E il punto di partenza condiviso tra HR e DPO.

2

Forma chi usa l'AI, in modo documentabile

Recruiter, hiring manager e chiunque tocchi questi strumenti deve avere una formazione proporzionata al ruolo: cosa fa il sistema, dove sbaglia, come riconoscere un bias, quali dati non inserire. La formazione va lasciata tracciabile, con un attestato di partecipazione e un registro delle attivita, cosi da poter dimostrare l'alfabetizzazione richiesta dall'art. 4.

3

Definisci una policy di supervisione umana e uso accettabile

Metti per iscritto chi controlla gli output, come si interviene su una decisione automatica, cosa il sistema non puo decidere da solo e quali dati sono vietati. Una policy chiara trasforma la supervisione umana da principio astratto a procedura che chiunque, in caso di verifica, puo seguire e dimostrare.

4

Aggiorna informative e registri con il DPO

Insieme al DPO, allinea le informative ai candidati e ai dipendenti sull'uso dell'AI, verifica le basi giuridiche, valuta se serve una DPIA e censisci i sistemi nel registro dei trattamenti. E qui che AI Act e GDPR si saldano in un unico flusso di lavoro, evitando documenti che si contraddicono.

Una nota onesta: nessuno di questi documenti, preso da solo, e una formula magica e nessuna norma impone uno specifico corso. Ma messi insieme costruiscono l'audit-readiness, cioe la capacita di mostrare a un'autorita, a un cliente o a un candidato che l'azienda usa l'AI con criterio. Se vuoi inquadrare meglio l'art. 4 e il quadro completo, ho approfondito tutto nella pagina dedicata all'alfabetizzazione AI e nel corso AI Act.

Vuoi formare HR e DPO sull'uso corretto dell'AI?

Corso di alfabetizzazione AI (art. 4 AI Act) erogato da chi i sistemi AI li costruisce davvero. Online e in presenza a Torino. Attestati, registro e policy inclusi.

Scopri il corso e richiedi un preventivo

Domande Frequenti su AI Act, HR e DPO

L'AI Act riguarda davvero la funzione HR?

Si. I sistemi di intelligenza artificiale usati per il reclutamento, la selezione, lo screening dei CV, la valutazione delle candidature e le decisioni che incidono sul rapporto di lavoro rientrano tra le applicazioni ad alto rischio del Regolamento UE 2024/1689. Per HR questo significa due cose: il personale che usa questi strumenti deve avere un livello adeguato di alfabetizzazione AI (art. 4, applicabile dal 2 febbraio 2025) e le decisioni non possono essere lasciate alla sola macchina, ma richiedono una supervisione umana effettiva.

Cosa significa supervisione umana nello screening dei CV?

Significa che una persona competente deve poter capire come funziona lo strumento, interpretarne gli output, intervenire e ribaltare una decisione automatica. Non basta che un umano clicchi "conferma" alla fine: la supervisione e effettiva quando chi seleziona sa che lo strumento puo escludere candidati validi o introdurre bias, controlla i risultati e mantiene la decisione finale in capo a se. Uno scarto automatico di CV senza che nessuno verifichi i criteri non e supervisione umana.

Che ruolo ha il DPO rispetto all'AI in azienda?

Il DPO non e l'organo di vigilanza dell'AI Act, ma i due piani si incontrano. Quasi ogni sistema AI usato in HR tratta dati personali, quindi entra nel perimetro del GDPR: il DPO presidia base giuridica, informative, valutazione d'impatto sulla protezione dei dati (DPIA) e il diritto del candidato a non essere sottoposto a decisioni unicamente automatizzate (art. 22 GDPR). In pratica il DPO aiuta a mappare i trattamenti, tenere i registri e raccordare i requisiti di trasparenza dell'AI Act con quelli del GDPR.

Cosa devono fare in pratica HR e DPO entro il 3 agosto 2026?

Arrivare in stato di audit-readiness: mappare i sistemi AI usati nei processi del personale, formare in modo documentabile chi li utilizza, definire una policy di supervisione umana e di uso accettabile, aggiornare informative e registri dei trattamenti, e tenere traccia scritta (attestato di partecipazione, registro formativo). L'obiettivo non e accumulare carta, ma poter dimostrare di aver agito con diligenza quando, dal 3 agosto 2026, la vigilanza sull'AI Act sara piu strutturata.

Per HR e DPO l'AI Act non e un tema da rimandare al reparto legale: tocca processi quotidiani come la lettura dei CV e la selezione delle persone. Le tre leve sono chiare, l'alfabetizzazione del personale ex art. 4, la supervisione umana effettiva e la trasparenza, e il raccordo con il GDPR le tiene insieme attraverso il DPO. Affrontarle con ordine, prima della vigilanza del 3 agosto 2026, non e burocrazia difensiva: e il modo per usare l'AI nella gestione delle persone senza tradire la fiducia di candidati e dipendenti.

Mariano Matera

Consulente AI e Sviluppatore Software | Torino

Costruisco sistemi AI per aziende italiane e formo i team che li usano, HR e DPO compresi. Approccio pragmatico: niente allarmismi normativi, niente buzzword. Spiego cosa dice davvero l'AI Act e cosa conviene fare, con la formazione documentabile e la supervisione umana come strumenti di gestione del rischio, non come bollino.

Approfondimenti Correlati

AI Act

Alfabetizzazione AI: l'art. 4 spiegato

Cosa prevede l'obbligo di alfabetizzazione AI, a chi si applica e come affrontarlo in modo proporzionato, anche per i team HR.
Formazione

Corso AI Act: alfabetizzazione documentabile

Formazione AI con attestato, registro e policy inclusi. Online e in presenza a Torino, da chi i sistemi AI li costruisce.
Scrivimi su WhatsApp