Sui controlli telematici dei lavoratori - Studio Legale Nappi e Associati

Tempo di lettura stimato:8 Minuti, 28 Secondi

Nel rapporto di lavoro, la tentazione di “vedere tutto” è antica. Oggi è soltanto più sofisticata. Chat aziendali, log di accesso, sistemi di ticketing, geolocalizzazione, videosorveglianza, strumenti di collaborazione, l’ecosistema digitale rende il controllo facile, quasi naturale. Ma la facilità non coincide con la liceità.

Nel perimetro italiano ed europeo, i controlli sui lavoratori vivono su un crinale. Da un lato, le esigenze organizzative e la tutela del patrimonio. Dall’altro, la dignità e la riservatezza della persona che lavora, presidiate anche dall’art. 8 CEDU, che, com’è noto, garantisce il diritto al rispetto della vita privata e familiare, del domicilio e della corrispondenza. La disciplina non è dunque un orpello, ma una vera e propria architettura di garanzie.

La norma-cardine resta l’art. 4 dello Statuto dei Lavoratori, come novellato dal d.lgs. 151/2015, che scandisce tre passaggi essenziali.

Il primo è la regola generale: gli impianti audiovisivi e gli “altri strumenti” dai quali derivi anche la possibilità di controllo a distanza possono essere impiegati solo per esigenze organizzative e produttive, sicurezza del lavoro e tutela del patrimonio aziendale, e richiedono accordo sindacale o, in mancanza, autorizzazione dell’Ispettorato Nazionale del Lavoro.

Il secondo è l’eccezione funzionale: la disciplina del comma 1 “non si applica” agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione di accessi e presenze.

Il terzo è la clausola di chiusura, spesso sottovalutata e invece decisiva. Le informazioni raccolte tramite strumenti di cui ai commi 1 e 2 sono utilizzabili “a tutti i fini connessi al rapporto di lavoro” solo se il lavoratore riceve adeguata informazione sulle modalità d’uso e sui controlli, e nel rispetto del Codice della Privacy (d.lgs. 196/2003).

Qui sta il punto. Non basta avere lo strumento. Serve governarlo con regole.

E qui ci viene in soccorso la recentissima pronuncia della Giurisprudenza di Legittimità (Cass., Sez. Lavoro, n. 32283/2025, pubblicata il giorno 11 dicembre 2025 – premere qui per leggere) con la quale la S.C. è intervenuta su un tema tipico dell’era digitale, la messaggistica istantanea aziendale.

Nel caso esaminato, la Corte d’Appello aveva ritenuto utilizzabili, anche a fini disciplinari, le conversazioni sulla chat “Amazon Chime”, qualificandola come strumento di lavoro ai sensi dell’art. 4, comma 2, St. lav., poiché destinata alle comunicazioni di servizio e accessibile con account aziendale. La Cassazione ha dato atto di tale ricostruzione, evidenziando che l’utilizzabilità è condizionata alle due chiavi del comma 3, ossia l’adeguata informazione e il rispetto del Codice privacy.

La Corte ha valorizzato un fatto pratico, e cioè che l’“adeguata informazione” può discendere anche dalla pubblicazione della policy sull’intranet aziendale, se accessibile a tutti e con contenuti idonei, specie quando la policy avverte espressamente della possibile utilizzazione disciplinare delle conversazioni in caso di sospetto di illecito e viene richiamata nel contratto di assunzione.

Sia chiaro, è un messaggio operativo, non un lasciapassare. La policy cioè non è un documento ornamentale, ma una vera e propria fonte di legittimazione. Se è vaga, contraddittoria o “invisibile”, il controllo diventa fragile.

Ora, è chiaro, ogni controllo, quando tratta dati personali, indipendentmente dalla fonte di legittimazione deve comunque attraversare i principi del GDPR. In materia lavoristica, e questi principi non sono astratti, ma sono il filtro che impedisce la sorveglianza pervasiva.

L’art. 5 GDPR impone, fra l’altro, liceità, correttezza e trasparenza, limitazione della finalità, minimizzazione, limitazione della conservazione, integrità e riservatezza, oltre alla responsabilizzazione del titolare, che deve poter dimostrare la conformità.

Nel mondo dei controlli interni, ciò significa una cosa molto concreta: non si “accumula” tutto perché un domani potrebbe servire. Si definiscono finalità precise, si riduce l’ampiezza del dato, si limita il tempo di retention, si proteggono i flussi, e si rende intellegibile al lavoratore che cosa accade davvero.

Qui la giurisprudenza ha quindi costruito una distinzione delicata ma diremmo decisiva. Quella fra controlli a tutela del patrimonio “diffusi” (che impattano gruppi o la generalità dei dipendenti) e i controlli difensivi in senso stretto.

La pronuncia in commento ricorda che i controlli a difesa del patrimonio che riguardano tutti i dipendenti nello svolgimento della prestazione devono comunque rispettare tutto l’art. 4. Diverso è il controllo difensivo “in senso stretto”, diretto ad accertare condotte illecite di singoli lavoratori sulla base di concreti indizi, esso si colloca fuori dal perimetro applicativo dell’art. 4, ma deve essere mirato e soprattutto ex post, cioè attuato a seguito dell’insorgenza di un “fondato sospetto”.

La logica è di bilanciamento. La Cassazione ribadisce che il fondato sospetto è un argine temporale e spaziale, impedisce che il controllo “retroceda” sino al primo giorno di lavoro, comprimendo senza misura la sfera privata.

In pratica, la difendibilità del controllo dipende spesso da due domande semplici: quando è nato il sospetto, e quanto è stato circoscritto l’accesso ai dati?

L’art. 4, comma 3, St. lav. pretende adeguata informazione sulle modalità d’uso degli strumenti e sull’effettuazione dei controlli.

Nel caso di specie, la Corte d’Appello (come riportato) ha ritenuto adeguata la policy pubblicata in intranet e accessibile, anche perché includeva la messaggistica istantanea fra i sistemi elettronici e avvertiva del possibile utilizzo disciplinare in caso di sospetto di illecito.

Questo passaggio merita, a nostro sommesso avviso, una lettura severa. L’informazione deve essere comprensibile, trovabile, pertinente e coerente con le prassi reali. Una policy che descrive “controlli possibili” in modo indeterminato, o che promette riservatezza assoluta mentre i log vengono analizzati quotidianamente, crea un cortocircuito. E quel cortocircuito si paga.

Ora, com’è noto, il Codice della Privacy dedica un titolo specifico ai trattamenti nel rapporto di lavoro. In particolare, l’art. 111 prevede che il Garante promuova regole deontologiche per i trattamenti effettuati nell’ambito lavoristico, per le finalità di cui all’art. 88 GDPR, includendo anche modalità specifiche per le informazioni da rendere all’interessato.

Questo dato normativo è spesso trascurato nelle aziende, ma è strategico perchè indica che, nel lavoro, la trasparenza non è un “di più”. È una regola strutturale, calibrata sulla fisiologica asimmetria del rapporto.

C’è però un equivoco ricorrente, sul quale è bene spendere qualche riga, e cioè quello di credere che “privacy” significhi solo modulistica, quando in realtà, la privacy nel lavoro è anche progettazione organizzativa. È vera e propria governance.

Il GDPR infatti impone di trattare i dati in modo lecito e trasparente, di limitarli alle finalità, di garantire sicurezza e dimostrabilità. Se un’azienda installa un sistema che registra ogni micro-azione digitale, conserva tutto senza scadenza, e poi “spiega” con un paragrafo generico che potrebbero esserci controlli, sta costruendo un dispositivo di sorveglianza. Non un sistema conforme.

E qui la conseguenza non è soltanto sanzionatoria. È anche probatoria. I dati raccolti male diventano instabili nei procedimenti disciplinari e giudiziari. La sentenza allegata mostra quanto il tema dell’utilizzabilità sia centrale e come la partita si giochi sulle condizioni dell’art. 4, comma 3.

Sarebbe bene, allora, tenere a mente che controlli leciti sono controlli “misurati”, e che alla luce dei criteri sin qui visti, un controllo sostenibile, oggi, si riconosce da tre tratti:

è proporzionato, nel senso che non eccede l’obiettivo e non si trasforma in monitoraggio continuo;
è tracciabile, nel senso che esistono regole interne chiare, ruoli, autorizzazioni, registrazioni degli accessi e un perimetro di consultazione;
è spiegato, nel senso che l’informazione al lavoratore è concreta, e coincide con ciò che avviene nei sistemi.

Questa triade non è retorica, ma rappresenta l’applicazione naturale dei principi dell’art. 5 GDPR e delle condizioni dell’art. 4 St. lav.

In definitiva i controlli sui lavoratori non sono vietati. Sono regolati. E la regolazione è rigorosa, perché il potere di controllo, nel lavoro digitale, è potenzialmente illimitato. Chi progetta sistemi di controllo, quindi, deve ricordare una verità giuridica semplice, e cioè che l’efficienza tecnica non è una base giuridica. La base giuridica nasce da finalità legittime, procedure corrette, informazione adeguata, e rispetto dei principi GDPR.

Quando tutto questo manca, il controllo diventa un boomerang. Silenzioso, ma devastante.

Per Approfondire:

- M. CAPECE, Controlli difensivi: illegittimo il licenziamento basato su dati acquisiti antecedentemente all’insorgere del sospetto, in Il lavoro nella giurisprudenza, n. 10, 1 ottobre 2025, p. 915; 

- A. BORDIN, L’impatto sulla SSL dei sistemi digitali “intelligenti”, in Igiene & Sicurezza del Lavoro, n. 4, 1 aprile 2025, p. I; 

- F. PEDRONI, L’interfaccia uomo-software, nuova frontiera dell’ergonomia, in Igiene & Sicurezza del Lavoro, n. 6, 1 giugno 2024, p. 315; 

- R. MORO-VISCONTI, La valutazione delle società deeptech: intelligenza artificiale, biotech, blockchain, robotica, quantum computing e altre applicazioni innovative, in Il Diritto Industriale, n. 4, 1 luglio 2023, p. 338; 

- A. CASALINO, Privacy del dirigente infedele e controlli difensivi tecnologici, in Il lavoro nella giurisprudenza, n. 8-9, 1 agosto 2022, p. 828; 

- V. MIRAGLIA, Controlli sul lavoratore - La vexata quaestio dei controlli difensivi torna nel mirino della Corte di cassazione, in Giurisprudenza Italiana, n. 5, 1 maggio 2022, p. 1185; 

- G. PAOLOANTONIO, DPI intelligenti: una nuova frontiera per la prevenzione in Igiene & Sicurezza del Lavoro, n. 3, 1 marzo 2021, p. 131; 

- M. TUFO, Potere di controllo datoriale vs. privacy del lavoratore: alla ricerca delle coordinate di ammissibilità dei controlli occulti, in Studium Iuris, n. 7-8, 1 luglio 2020, p. 846; 

- A. PIZZOFERRATO, Gli effetti del GDPR sulla disciplina del trattamento aziendale dei dati del lavoratore, in ADL - Argomenti di Diritto del Lavoro, n. 4-5, 1 luglio 2018, p. 1034; 

- V. MIRAGLIA, Controlli sul lavoratore - Il controllo a distanza dell’attività dei lavoratori: il limite invalicabile, in Giurisprudenza Italiana, n. 6, 1 giugno 2018, p. 1457; 

- M. DALLACASA, Controlli su strumenti informatici dopo la sentenza Barbulescu del 2017 della Cedu in Il lavoro nella giurisprudenza, n. 5, 1 maggio 2018, p. 437; 

- A. STIZIA, Personal computer e controlli "tecnologici" del datore di lavoro nella giurisprudenza, in ADL - Argomenti di Diritto del Lavoro, n. 3, 1 maggio 2017, p. 804; 

- A. RICCI, Il controllo informatico a distanza sul lavoratore fra giurisprudenza e Jobs Act. La web-sorveglianza nella modernità liquida (Seconda parte), in Studium Iuris, n. 4, 1 aprile 2016, p. 441.

Bio
Ultimi Post

Nicola Nappi

⚖️ Diritto commerciale, assicurativo, bancario, delle esecuzioni, di famiglia. Diritti reali, di proprietà, delle locazioni e del condominio. IT Law. a Studio Legale Nappi

*Giurista, Master Universitario di II° livello in Informatica Giuridica, nuove tecnologie e diritto dell'informatica, Master Universitario di I° livello in Diritto delle Nuove Tecnologie ed Informatica Giuridica, Corso di Specializzazione Universitario in Regulatory Compliance, Corso di Specializzazione Universitario in European Business Law, Corso di Perfezionamento Universitario in Criminalità Informatica e Investigazioni digitali - Le procedure di investigazione e di rimozione dei contenuti digitali, Corso di Perfezionamento Universitario in Criminalità Informatica e Investigazioni digitali - Intelligenza Artificiale, attacchi, crimini informatici, investigazioni e aspetti etico-sociali, Master Data Protection Officer, Consulente esperto qualificato nell’ambito del trattamento dei dati.

Ultimi post di Nicola Nappi (vedi tutti)

E-commerce: gli obblighi legali decisivi - 30 Marzo 2026
Videosorveglianza sul lavoro: gli errori che costano caro - 23 Marzo 2026
Il DPO esterno nelle PMI - 16 Marzo 2026
Data breach: cosa fare nelle prime 72 ore - 9 Marzo 2026
Privacy e imprese: il problema non è il regolamento - 2 Marzo 2026

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Per Approfondire:

Nicola Nappi

Ultimi post di Nicola Nappi (vedi tutti)

Correlati