Lavoro e Cyber Security

Aziende: Il controllo dei lavoratori nell’era digitale.
Obblighi per le imprese e tutele per la privacy

L’evoluzione tecnologica ha messo a disposizione delle aziende strumenti di monitoraggio sempre più precisi e potenti. Sistemi di videosorveglianza avanzati, software installati sui dispositivi aziendali, meccanismi di geolocalizzazione e altre soluzioni digitali consentono oggi un controllo potenzialmente capillare dell’attività dei dipendenti. Questa possibilità, tuttavia, impone alle imprese un rigoroso rispetto delle norme a tutela della privacy e dei diritti fondamentali della persona.

Da un lato, il datore di lavoro ha il diritto – e spesso la necessità – di vigilare sull'organizzazione, la produttività, la sicurezza e la protezione del patrimonio aziendale. Dall’altro, tali controlli devono essere svolti nel pieno rispetto delle garanzie previste dallo Statuto dei lavoratori e dal GDPR, pena la totale inutilizzabilità dei dati raccolti.

Perché il tema è così rilevante

Gli strumenti digitali oggi in uso – dall’e-mail aziendale ai sistemi GPS montati sui mezzi, fino ai computer e agli smartphone assegnati al personale – rendono possibile un monitoraggio potenzialmente invasivo. Questo tocca direttamente:

  • la sfera della riservatezza individuale;
  • il corretto trattamento dei dati personali;
  • la validità delle prove raccolte a fini disciplinari.

Una gestione scorretta può generare responsabilità civili, amministrative e, in alcune circostanze, anche penali.

Quando l’assenza di adempimenti rende illegittimi i controlli

Se l’azienda non applica le procedure previste dalla legge prima di avviare qualsiasi forma di controllo a distanza, i dati raccolti:

  • non possono essere utilizzati in sede disciplinare, quindi non possono sostenere un richiamo o un licenziamento;
  • espongono il datore di lavoro a sanzioni e contenziosi;
  • possono comportare richieste risarcitorie da parte del lavoratore.

La giurisprudenza, in più casi, ha dichiarato nullo il licenziamento basato su controlli irregolari, proprio perché avvenuti senza le garanzie previste dall’art. 4 dello Statuto dei lavoratori.

Il richiamo della Cassazione

La Corte di Cassazione, con l’ordinanza n. 15391 del 3 giugno 2024, ha ribadito un principio chiave: senza informativa chiara e preventiva al dipendente, i dati raccolti tramite strumenti di lavoro o dispositivi aziendali non possono essere utilizzati contro di lui.

Nel caso specifico, l’azienda aveva analizzato:

  • i dispositivi informatici in dotazione al dipendente;
  • il sistema Telepass installato sull’auto aziendale.

Non essendo stata fornita alcuna informazione preventiva sulle modalità d’uso degli strumenti e sui possibili controlli, il licenziamento è stato annullato. L’informativa è infatti un requisito sostanziale: la sua assenza rende inutilizzabile qualsiasi elemento raccolto tramite monitoraggio.

Gli adempimenti indispensabili per il datore di lavoro

Prima di installare sistemi audiovisivi o dispositivi che consentano un controllo a distanza, l’azienda deve adempiere a quanto previsto dall’art. 4 dello Statuto dei lavoratori:

  • Sottoscrivere un accordo con le rappresentanze sindacali interne (RSU/RSA);

Oppure, in alternativa:

  • Richiedere autorizzazione all’Ispettorato Nazionale del Lavoro.

Il consenso del dipendente non può sostituire questi adempimenti, perché non è considerato libero viste le condizioni di subordinazione.

Videosorveglianza e geolocalizzazione

La normativa si applica non solo alle telecamere ma anche a:

  • sistemi GPS installati su veicoli o dispositivi aziendali;
  • software in grado di tracciare attività digitali;
  • strumenti utilizzati nei call center che associano chiamate e anagrafiche.

Solo in casi particolari – quando il sistema è strettamente necessario allo svolgimento della mansione e non consente elaborazioni ulteriori – non è richiesto l’accordo sindacale né il provvedimento autorizzativo.

I limiti ai controlli: niente monitoraggi costanti o indiscriminati

Anche quando regolarmente autorizzati, i controlli devono rispettare criteri di proporzionalità. Non sono ammessi monitoraggi:

  • continuativi;
  • generalizzati;
  • intrusivi;
  • privi di distinte finalità organizzative, produttive o di sicurezza.

L’obiettivo non deve mai essere la mera sorveglianza dei lavoratori.

Gli strumenti di lavoro: quando non servono accordi o autorizzazioni

Per gli strumenti indispensabili allo svolgimento della mansione – come computer, smartphone aziendali, tablet, badge per le presenze – non è necessario attivare la procedura sindacale o ottenere autorizzazioni.

L’Ispettorato del lavoro precisa che tali strumenti sono considerati mezzi operativi, ma il loro utilizzo deve comunque essere regolato da:

  • informativa trasparente al dipendente;
  • policy interne sull’uso corretto dei dispositivi;
  • regole sulla conservazione e protezione dei dati.

La necessità di una policy aziendale chiara

Ogni azienda dovrebbe adottare una policy interna che:

  • descriva le caratteristiche degli strumenti utilizzati;
  • spieghi come e perché possono avvenire controlli;
  • definisca tempi di conservazione e soggetti autorizzati al trattamento;
  • indichi ruoli e responsabilità ai sensi degli artt. 28 e 29 del GDPR;
  • sia consegnata al personale con prova della ricezione.

Una policy ben strutturata è uno dei principali presidi per evitare contestazioni future.

Come procedere correttamente: le azioni da compiere

Per operare in conformità al GDPR, alle linee guida del Garante e ai principi di accountability, si consiglia di seguire questo percorso operativo:

  • Valutazione d’impatto sulla protezione dei dati (DPIA) ai sensi dell’art. 35 GDPR.
  • Informativa completa al dipendente prima di avviare i controlli, con descrizione di:
    • strumenti utilizzati,
    • finalità,
    • base giuridica,
    • diritti dell’interessato.
  • Cartellonistica per la videosorveglianza, conforme alle linee guida EDPB 3/2019, posizionata in prossimità delle telecamere.
  • Regolamenti e circolari aziendali, accompagnati da sessioni di formazione periodica.
  • Nomina e istruzione delle figure autorizzate al trattamento dei dati.

Solo una gestione strutturata permette di monitorare legittimamente i lavoratori senza compromettere i loro diritti o esporre l’azienda a rischi legali.

Riferimenti

  • [1] Art. 38, L. 300/1970.
  • [2] Considerando 43, Regolamento UE 2016/679.
  • [3] INL, Circolare n. 4 del 26 luglio 2017.

Alimentato da
I cookie necessari abilitano funzionalità essenziali del sito come accessi sicuri e regolazioni delle preferenze di consenso. Non memorizzano dati personali.
Nessuno
I cookie funzionali supportano funzionalità come la condivisione di contenuti sui social media, la raccolta di feedback e l’abilitazione di strumenti di terze parti.
Nessuno
I cookie analitici tracciano le interazioni dei visitatori, fornendo dati su metriche come il numero di visitatori, il tasso di rimbalzo e le fonti di traffico.
Nessuno
I cookie pubblicitari offrono annunci personalizzati basati sulle tue visite precedenti e analizzano l'efficacia delle campagne pubblicitarie.
Nessuno
Alimentato da