Il controllo dei dipendenti da parte del datore di lavoro (art. 4)

Cosa può e cosa non può controllare il datore di lavoro: le regole dell'art. 4 dello Statuto dei lavoratori, quando serve l'accordo sindacale e quando no, i controlli difensivi, il controllo di posta elettronica, videosorveglianza e GPS.
In breve — Il datore di lavoro può controllare i dipendenti, ma non liberamente: l’art. 4 dello Statuto dei lavoratori consente il controllo a distanza (telecamere, email, GPS, software di monitoraggio) solo per esigenze organizzative e produttive, sicurezza del lavoro o tutela del patrimonio, e solo previo accordo sindacale o autorizzazione dell’Ispettorato. Gli strumenti che servono soltanto a lavorare (pc, badge) sono esenti da quel passaggio, ma non dall’informativa. In ogni caso il consenso del lavoratore non basta e i controlli non possono essere generalizzati o sistematici. Fanno eccezione i “controlli difensivi”, diretti ad accertare uno specifico illecito già sospettato. Chi sbaglia rischia sanzioni fino a 20 milioni di euro e l’inutilizzabilità delle prove.
1. Cosa può controllare il datore di lavoro
Può il datore di lavoro mettere una telecamera in magazzino? Leggere la posta di un dipendente sospettato di passare informazioni a un concorrente? Installare il GPS sul furgone aziendale, o controllare a che ora si timbra il badge? Sono domande quotidiane in azienda, e la risposta non è mai un secco sì o no: dipende da quale strumento, per quale finalità e con quali garanzie.
Il punto di partenza è semplice: il datore di lavoro ha un legittimo potere di controllo — sull’organizzazione, sulla sicurezza, sul patrimonio — ma quel potere finisce dove inizia la dignità e la riservatezza del lavoratore. A tracciare il confine è l’art. 4 dello Statuto dei lavoratori (legge 300/1970), riscritto dalla riforma del 2015: è la norma che decide cosa è lecito e cosa, invece, espone l’azienda a sanzioni e rende le prove raccolte inutilizzabili.
Per orientarsi conviene tenere a mente una distinzione che regge tutto il resto: gli strumenti da cui deriva la possibilità di controllo a distanza (telecamere, GPS, software di monitoraggio) seguono regole più severe degli strumenti che servono soltanto a lavorare (il pc, lo smartphone, il badge). Vediamo entrambe le categorie — e i casi in cui il passaggio sindacale non serve.
La norma · Art. 4 Statuto dei lavoratori
Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, sicurezza del lavoro e tutela del patrimonio, previo accordo sindacale o autorizzazione dell'Ispettorato. Le informazioni raccolte sono utilizzabili a tutti i fini connessi al rapporto di lavoro (compresi quelli disciplinari) solo se è stata data al lavoratore adeguata informativa e nel rispetto del Codice privacy.
2. Il controllo a distanza: serve l’accordo sindacale o l’autorizzazione
Gli strumenti da cui derivi anche solo la possibilità di controllo a distanza dell’attività dei lavoratori — telecamere, sistemi di geolocalizzazione, software di monitoraggio — possono essere impiegati solo previo accordo con le rappresentanze sindacali aziendali o, in mancanza, previa autorizzazione dell’Ispettorato del lavoro.
L’accordo o l’autorizzazione, però, non si ottengono per il solo fatto di volerli: possono essere concessi unicamente se ricorrono specifiche esigenze — organizzative e produttive, di sicurezza del lavoro o di tutela del patrimonio aziendale — che non devono avere come finalità il controllo dei lavoratori. Il controllo dell’attività può essere soltanto un effetto potenziale e indiretto di uno strumento installato per un’altra ragione legittima; non ne può mai essere lo scopo. E quelle esigenze vanno descritte in concreto, non richiamate in astratto: è su di esse che si misura la proporzionalità dell’impianto.
Da qui due limiti trasversali, validi per ogni forma di controllo. Il consenso del lavoratore non basta: nel rapporto di lavoro esiste un’asimmetria di potere che lo rende non genuinamente libero, e il Garante lo ha più volte ritenuto una base non valida. E il monitoraggio non può essere generalizzato, sistematico o continuativo: deve restare mirato, temporaneo e giustificato da un’esigenza reale.
3. Quando l’accordo o l’autorizzazione non servono
Non tutti gli strumenti richiedono l’accordo o l’autorizzazione. L’art. 4 ne esclude espressamente una categoria: gli strumenti che il lavoratore utilizza per rendere la prestazione (il computer, lo smartphone, il tablet aziendali, i programmi di lavoro) e gli strumenti di registrazione degli accessi e delle presenze (il badge, i tornelli). Servono a lavorare, non a sorvegliare: per usarli il datore non deve concludere un accordo sindacale né chiedere l’autorizzazione all’Ispettorato.
L’esenzione, però, non è un via libera. Anche per questi strumenti resta un obbligo imprescindibile: l’informativa al lavoratore, chiara e preventiva, su come vengono utilizzati e su quali controlli possono comportare. E le informazioni così raccolte sono utilizzabili a tutti i fini connessi al rapporto — compresi quelli disciplinari — solo se quell’informativa è stata data e nel rispetto del Codice privacy. In mancanza, i dati non sono utilizzabili.
4. I controlli difensivi: l’altra eccezione
Esiste una seconda ipotesi in cui l’accordo o l’autorizzazione non servono: i cosiddetti controlli difensivi in senso stretto. La Cassazione, con la giurisprudenza più recente (tra cui l’ordinanza n. 8375/2023 in materia di videosorveglianza e la n. 18168/2023 sulla posta aziendale), ha tracciato una distinzione netta:
- i controlli a tutela del patrimonio che riguardano la generalità dei lavoratori e la loro normale attività restano soggetti all’art. 4 (accordo o autorizzazione);
- i controlli difensivi in senso stretto — diretti ad accertare uno specifico illecito già emerso, riferiti a un singolo dipendente e attivati dopo l’insorgere di un fondato sospetto — sono fuori dal campo dell’art. 4 e non richiedono accordo né autorizzazione.
Il confine è stretto: serve un fondato sospetto (non un vago timore) e il controllo deve essere proporzionato e mirato nel tempo, come ha ricordato anche la Corte europea dei diritti dell’uomo (caso López Ribalda). Entro questi limiti, le prove raccolte sono utilizzabili in sede disciplinare e giudiziale; fuori da questi limiti, la sorveglianza occulta o generalizzata è illegittima e le prove inutilizzabili.
5. Il controllo della posta elettronica aziendale
La posta elettronica è il terreno più delicato e più litigato. L’account nominativo (del tipo nome.cognome@azienda.it) è un dato personale e resta tutelato dalla riservatezza anche se usato per fini di lavoro: può essere controllato solo nel rispetto del GDPR e dell’art. 4. Diverso è il caso degli account generici e impersonali (info@, amministrazione@), non riconducibili a una singola persona, consultabili con maggiore libertà.
Il datore può accedere alla casella del dipendente solo se lo ha reso trasparente in anticipo, con un’informativa (art. 13 GDPR) che specifichi: la tipologia di controlli possibili sulla posta, in che misura possono essere svolti e con quali modalità. Anche con l’informativa, però, restano vietati i controlli generici o immotivati, quelli preventivi (prima che sorga un’esigenza concreta) e quelli sistematici (costanti o prolungati nel tempo): ogni verifica deve essere mirata, temporanea e giustificata.
Attenzione infine alla cessazione del rapporto: l’account va disattivato subito (con un messaggio automatico che indichi un contatto alternativo) e cancellato dopo un periodo breve, indicato nella policy interna. Mantenere attivo l’account personale dell’ex dipendente, o accedervi senza informativa, è una delle violazioni più sanzionate.
I casi · Sanzioni del Garante
80.000 euro (provv. 17 luglio 2024): una società aveva utilizzato le email di una dipendente in un giudizio senza averla informata su modalità, finalità e tempi di conservazione dei controlli sulla posta.
50.000 euro (ordinanza 7 aprile 2022): nessuna informativa sul trattamento dei dati della casella aziendale, in costanza di rapporto e dopo la cessazione, e mantenimento attivo dell'account personale dell'ex dipendente.
6. Il controllo tramite videosorveglianza
Le telecamere sono lo strumento di controllo a distanza per eccellenza: se possono riprendere i lavoratori — anche solo potenzialmente, o nelle aree in cui transitano — l’impianto richiede il previo accordo sindacale o l’autorizzazione dell’Ispettorato, con finalità concrete, corretta ubicazione e segnalazione. Le regole di dettaglio (istanza all’Ispettorato, contenuto dell’accordo, luoghi vietati come bagni e spogliatoi, cartelli) sono molte: le abbiamo raccolte nella guida dedicata alle telecamere sul posto di lavoro.
7. La geolocalizzazione (GPS)
La geolocalizzazione di veicoli o dispositivi aziendali tramite GPS è un controllo a distanza a tutti gli effetti e rientra pienamente nell’art. 4: richiede quindi accordo sindacale o autorizzazione dell’Ispettorato, oltre all’informativa ai lavoratori.
È ammessa solo per finalità legittime — sicurezza dei lavoratori, esigenze organizzative e logistiche, tutela del patrimonio aziendale — e mai con l’obiettivo di sorvegliare in modo continuo gli spostamenti della persona. Il tracciamento deve restare proporzionato: attivo quando serve alla finalità dichiarata (per esempio durante il servizio) e non oltre, con tempi di conservazione dei dati di posizione limitati. Un GPS acceso in modo permanente, che segue il dipendente anche fuori dall’orario o senza una reale necessità, è illegittimo.
8. Come ti assiste lo Studio Legale Calzoni
Il controllo dei dipendenti è legittimo solo dentro un sistema di garanzie trasparenti: informative corrette, accordo o autorizzazione dove servono, e una policy aziendale sull’uso degli strumenti informatici che definisca modalità di controllo e tempi di conservazione. Gestito in modo approssimativo, espone l’azienda a sanzioni gravi e rende le prove inutilizzabili.
Lo Studio Legale Calzoni offre assistenza GDPR alle imprese: predisponiamo informative e policy su misura, gestiamo le istanze all’Ispettorato e gli accordi sindacali, e affianchiamo il datore nella corretta impostazione dei controlli — dalla posta elettronica alla videosorveglianza — riducendo il rischio legale.
Domande frequenti
Cosa può controllare il datore di lavoro dei dipendenti? Può verificare la prestazione e tutelare organizzazione e patrimonio, ma non liberamente: il controllo a distanza (telecamere, email, GPS) è consentito solo per esigenze organizzative e produttive, sicurezza del lavoro o tutela del patrimonio, previo accordo sindacale o autorizzazione dell’Ispettorato e con informativa. Sono vietati i controlli generalizzati e sistematici.
Quando non serve l’accordo sindacale o l’autorizzazione? Per gli strumenti che servono a rendere la prestazione (pc, smartphone, programmi di lavoro) e per i sistemi di registrazione degli accessi e delle presenze (badge): l’art. 4 li esenta dall’accordo e dall’autorizzazione, ma resta obbligatoria l’informativa al lavoratore. Anche i controlli difensivi in senso stretto sono fuori dall’art. 4.
Il datore può leggere le email aziendali dei dipendenti? Solo in casi mirati e se lo ha reso trasparente in anticipo con un’informativa che indichi tipologia, misura e modalità dei controlli. Sono vietati i controlli generici, preventivi o sistematici. L’account nominativo è un dato personale tutelato.
Cosa sono i controlli difensivi? Sono i controlli diretti ad accertare uno specifico illecito già emerso, riferiti a un singolo dipendente e attivati dopo un fondato sospetto. La Cassazione li colloca fuori dall’art. 4: non richiedono accordo né autorizzazione, purché proporzionati. I controlli generalizzati a tutela del patrimonio restano invece soggetti all’art. 4.
Il consenso del lavoratore basta a legittimare il controllo? No. Nel rapporto di lavoro il consenso non è considerato liberamente prestato per l’asimmetria di potere e non è una base valida. Servono l’accordo sindacale o l’autorizzazione dell’Ispettorato e l’informativa.
Il datore può geolocalizzare i dipendenti con il GPS? Solo per finalità legittime (sicurezza, logistica, tutela del patrimonio), con accordo o autorizzazione e informativa, senza un tracciamento continuo della persona oltre quanto necessario. Il GPS è un controllo a distanza soggetto all’art. 4.
I contenuti di questa pagina si riferiscono a fattispecie generali e non possono in alcun modo sostituire il contributo di un avvocato. Per ottenere un parere legale in ordine alla questione giuridica che interessa è possibile richiedere una consulenza, oppure fissare un appuntamento. Gli autori declinano ogni responsabilità per errori od omissioni, nonché per un utilizzo improprio o non aggiornato delle presenti informazioni.