— in particolare nello Statuto dei Lavoratori (L. 20 maggio 1970, n. 300) — e nel diritto dell’Unione europea, attraverso il Regolamento (UE) 2016/679 (GDPR), che ha introdotto una nuova architettura dei diritti in materia di protezione dei dati personali.La giurisprudenza di legittimità e quella europea hanno nel tempo affinato questo bilanciamento, chiarendo che il potere di controllo datoriale, pur legittimo nella sua essenza, deve essere esercitato secondo criteri di necessità, proporzionalità, trasparenza e correttezza, al fine di evitare una degenerazione in forme di sorveglianza indiscriminata e lesive della dignità personale del prestatore.

I poteri datoriali e la funzione del controllo. Il potere di controllo è espressione diretta del potere direttivo e organizzativo che l’art. 2104 c.c. riconosce al datore di lavoro, nonché del potere disciplinare ex art. 2106 c.c. Esso si colloca in posizione intermedia tra i due, fungendo da strumento funzionale al mantenimento dell’ordine e dell’efficienza aziendale. La Corte di Cassazione ha più volte ribadito che tale potere non può essere inteso in senso assoluto, ma va esercitato nel rispetto dei principi di buona fede e correttezza (artt. 1175 e 1375 c.c.) e nel quadro dei limiti derivanti dalla tutela della persona del lavoratore (Cass., sez. lav., 23 febbraio 2012, n. 2722). Sotto il profilo sostanziale, la giurisprudenza distingue tra: controlli difensivi (finalizzati alla tutela del patrimonio aziendale o alla prevenzione di illeciti); controlli diretti sull’esecuzione della prestazione lavorativa. Solo i primi possono, in circostanze eccezionali, giustificare modalità di vigilanza più penetranti, purché rispettose delle condizioni poste dall’art. 4 dello Statuto e dai principi del GDPR.

I controlli diretti e la trasparenza interna (artt. 2 e 3 Stat. Lav.).  L’art. 3 dello Statuto dei Lavoratori impone la preventiva comunicazione ai dipendenti dei nominativi e delle mansioni del personale addetto alla vigilanza .La Cassazione ha chiarito che la mancata comunicazione determina l’illegittimità dell’attività di controllo e, conseguentemente, l’inutilizzabilità delle risultanze ai fini disciplinari (Cass., sez. lav., 9 aprile 2002, n. 5022).Tale previsione realizza il principio di trasparenza, oggi rafforzato anche dall’art. 5, par. 1, lett. a) del GDPR, che impone un trattamento dei dati «lecito, corretto e trasparente».

In ambito aziendale, la vigilanza può essere delegata a preposti o dirigenti, ma non può essere affidata a soggetti estranei se non nei limiti stabiliti dagli artt. 2 e 4 dello Statuto.Le guardie giurate, ad esempio, possono operare unicamente per la tutela dei beni aziendali, senza ingerirsi nell’attività produttiva (Cass., sez. lav., 8 maggio 1986, n. 3093). L’uso di agenzie investigative è ammesso solo in casi eccezionali, quando vi siano fondati sospetti di comportamenti illeciti potenzialmente dannosi per l’impresa. La giurisprudenza, a partire da Cass. 23 luglio 2015, n. 20440, e Cass. 1° luglio 2011, n. 13789, ha riconosciuto la legittimità dei controlli “difensivi” in senso stretto, cioè volti a verificare condotte estranee all’esecuzione della prestazione ma potenzialmente lesive del patrimonio o dell’immagine aziendale. È invece illegittimo ogni controllo occulto volto a verificare la diligenza lavorativa in senso ordinario. L’uso di investigatori in tal senso violerebbe l’art. 4 dello Statuto e comporterebbe l’inutilizzabilità delle prove acquisite.

I controlli tecnologici e l’art. 4 dello Statuto dei Lavoratori. L’art. 4, come modificato dal D.lgs. n. 151/2015 (Jobs Act), rappresenta oggi la norma cardine in materia di controlli a distanza. La disposizione distingue due piani: Impianti audiovisivi e altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, installabili solo per esigenze organizzative e produttive, di sicurezza o di tutela del patrimonio aziendale, previo accordo sindacale o autorizzazione dell’Ispettorato Territoriale del Lavoro; Strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e strumenti di registrazione degli accessi e delle presenze, che possono invece legittimamente comportare raccolta di dati, purché nel rispetto dell’informativa e del GDPR.

La Cassazione, con sentenza n. 50919/2019, ha sottolineato che la procedura sindacale o amministrativa è condizione di legittimità del controllo e non mera formalità. In assenza di accordo o autorizzazione, le immagini o i dati raccolti non possono essere utilizzati a fini disciplinari, salvo che il controllo sia stato attivato per esigenze “difensive” non preordinate alla sorveglianza dell’attività lavorativa (Cass., sez. lav., 17 luglio 2018, n. 17723).

Profili privacy e responsabilità del datore di lavoro (GDPR). Il datore di lavoro, in qualità di titolare del trattamento, deve conformarsi ai principi di liceità, minimizzazione e proporzionalità dei dati personali (artt. 5 e 6 GDPR). Il Garante per la protezione dei dati personali, con il Provvedimento generale n. 53/2018, ha precisato che qualsiasi forma di monitoraggio sistematico o preventivo della posta elettronica e della navigazione internet dei dipendenti è vietata. Ogni controllo deve essere mirato, ex post e proporzionato. Il lavoratore deve essere informato preventivamente attraverso una policy aziendale chiara, redatta ai sensi dell’art. 13 GDPR. La Corte EDU, nel noto caso Bărbulescu c. Romania (sent. 5 settembre 2017, ric. n. 61496/08), ha stabilito che il datore di lavoro deve fornire al dipendente un’informativa preventiva e dettagliata sulle modalità e sull’estensione dei controlli. In mancanza, si configura una violazione dell’art. 8 della CEDU (diritto al rispetto della vita privata).

Email aziendale e privata: limiti e responsabilità penale. Secondo la giurisprudenza interna, la corrispondenza elettronica aziendale del dipendente gode di tutela solo finché è utilizzata per scopi professionali. Il Tribunale di Milano, ord. 10 maggio 2022, ha ritenuto legittimo il controllo del datore su un account aziendale quando vi siano indizi di uso distorto o illecito. Tuttavia, l’accesso non può mai estendersi alla posta elettronica privata, protetta dall’art. 15 Cost. e dall’art. 615-ter c.p. La Cassazione penale, sent. 18 marzo 2016, n. 13057, ha qualificato l’accesso abusivo alla mail personale del lavoratore come reato di “intrusione informatica”. Da ultimo, la Cass. civ., sez. lav., 7 ottobre 2025, n. 24204, ha ribadito che l’inviolabilità del domicilio informatico personale prevale sulle esigenze datoriali, anche a fini difensivi.

Controlli su WhatsApp e social network. L’uso dei social media rappresenta una nuova frontiera dei controlli datoriali. Il datore può legittimamente utilizzare contenuti pubblicamente accessibili sui social per fondare contestazioni disciplinari (Cass., sez. lav., 10 settembre 2018, n. 21965), ad esempio per post denigratori o simulazioni di malattia.Diversamente, è illecito ogni accesso a profili privati o conversazioni riservate, anche tramite identità fittizie: i dati così ottenuti sono inutilizzabili e l’atto può integrare reato ex art. 615-bis c.p. Per quanto riguarda WhatsApp, se l’account è aziendale, il datore può verificarne l’uso secondo le regole del GDPR e previa informativa. Se, invece, è personale, ogni accesso è vietato e costituisce violazione della privacy e della corrispondenza privata.

Geolocalizzazione e strumenti mobili di lavoro. L’uso del GPS sui veicoli aziendali è stato oggetto di chiarimenti da parte dell’Ispettorato Nazionale del Lavoro (circolare n. 2/2016): tali strumenti sono considerati “aggiuntivi” e richiedono pertanto l’accordo sindacale o l’autorizzazione ex art. 4 Stat. Lav. La geolocalizzazione deve rispettare i principi di necessità e proporzionalità, come ribadito dal Garante Privacy nei provvedimenti n. 232/2018 e n. 396/2018.Il monitoraggio non può essere continuo, e il lavoratore deve essere informato mediante icona visibile o segnalazione. I dati devono essere conservati per un periodo limitato e definito.

Le app di timbratura e la geolocalizzazione delle presenze. Le moderne app di rilevazione presenze rappresentano strumenti di lavoro in senso stretto e, quindi, non richiedono accordo sindacale. Tuttavia, il loro funzionamento deve garantire: la cancellazione immediata delle coordinate GPS esatte, conservando solo luogo, data e ora della timbratura; la segnalazione visiva della localizzazione attiva; l’impossibilità tecnica di accedere ad altri dati personali presenti sul dispositivo. Tali condizioni derivano dai principi elaborati dal Garante Privacy (Provv. 12 novembre 2021 e Linee guida 2022 sul trattamento dei dati in ambito lavorativo).

Conclusioni: verso un equilibrio dinamico. Il potere di controllo datoriale non è in sé incompatibile con la tutela della privacy, ma la sua legittimità dipende da un uso mirato, proporzionato e trasparente degli strumenti di vigilanza. L’orientamento più recente della Cassazione (Cass., sez. lav., 24 maggio 2023, n. 14565) tende a riconoscere un margine di discrezionalità al datore, purché siano rispettati i principi di informazione preventiva, minimizzazione dei dati e correttezza del trattamento. In prospettiva, la sfida per le imprese e per i giuristi del lavoro sarà quella di integrare le esigenze organizzative con la salvaguardia della persona, ponendo la tecnologia al servizio — e non al dominio — della dignità del lavoratore.

Conoscere i propri diritti è importante ma, ancora di più, è esercitarli nel modo corretto. I dirigenti di Azione Sindacale Udine garantiscono ai propri iscritti una tutela gratuita, qualificata e tempi di attesa che non superano, nella peggiore delle ipotesi, le 48 ore. 

• puoi chiamarci: Linea mobile 331-7497940  

o contattarci via e-mail: azionesindacale.fvg@gmail.com