In sintesi
- L'art. 114 richiama l'art. 4 dello Statuto dei Lavoratori (L. 300/1970, come modificato dal Jobs Act 2015) per la disciplina dei controlli a distanza.
- I controlli sono ammessi solo per esigenze organizzative, produttive, di sicurezza del lavoro o di tutela del patrimonio aziendale.
- Richiedono accordo sindacale o, in difetto, autorizzazione dell'INL.
- Gli strumenti utilizzati per la prestazione (PC, smartphone aziendali) non richiedono accordo ma necessitano di adeguata informativa.
- I dati raccolti possono essere usati anche a fini disciplinari solo se conformi a privacy e Statuto.
- Il provv. Garante 13 luglio 2016 e successivi hanno consolidato la prassi.
Testo dell'articoloVigente
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
1. Resta fermo quanto disposto dall’articolo 4 della legge 20 maggio 1970, n. 300, in materia di controllo a distanza dei lavoratori.
Stesso numero, altri codici
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Commento
Il rinvio all'art. 4 Statuto: integrazione tra privacy e diritto del lavoro
L'art. 114 del Codice Privacy svolge una funzione di rinvio normativo: per la disciplina dei controlli a distanza nei rapporti di lavoro si applicano le disposizioni dell'art. 4 della L. 300/1970 (Statuto dei Lavoratori), come modificato dal D.Lgs. 151/2015 (Jobs Act). La norma integra privacy e diritto del lavoro: i controlli tecnologici non sono ammessi se non in presenza delle condizioni dell'art. 4, e — in ogni caso — devono rispettare i principi del GDPR (proporzionalità, minimizzazione, trasparenza).
Il nuovo art. 4 Statuto post-Jobs Act
Il D.Lgs. 151/2015 ha riformulato l'art. 4 Statuto distinguendo due categorie di strumenti: a) strumenti dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori (telecamere, software di monitoraggio, geolocalizzatori): ammessi solo per esigenze organizzative, produttive, di sicurezza del lavoro o di tutela del patrimonio, previo accordo sindacale con la RSU/RSA o, in mancanza, autorizzazione della sede territoriale dell'INL; b) strumenti utilizzati per rendere la prestazione lavorativa (PC, smartphone aziendali) e strumenti di registrazione degli accessi e delle presenze: ammessi senza accordo sindacale, ma con adeguata informativa al lavoratore.
L'informativa come condizione di liceità
L'art. 4, comma 3, Statuto richiede che le informazioni raccolte tramite gli strumenti del comma 1 e del comma 2 siano utilizzabili a tutti i fini connessi al rapporto di lavoro "a condizione che sia data al lavoratore adeguata informazione delle modalità d'uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal Codice in materia di protezione dei dati personali". L'informativa privacy deve specificare: tipologia di strumenti utilizzati, scopi del trattamento, modalità di controllo, conservazione dei dati, soggetti che accedono, diritti dell'interessato.
Strumenti tipici e disciplina applicativa
Tipici strumenti soggetti all'art. 4, comma 1, sono: telecamere di videosorveglianza in azienda; software di monitoraggio email e navigazione internet; geolocalizzatori GPS su veicoli aziendali; sistemi di logging dell'attività su PC. Strumenti tipici del comma 2 (per la prestazione): smartphone aziendale, PC, badge di accesso, sistemi di firma elettronica. Il provvedimento del Garante 13 luglio 2016 ha consolidato la distinzione e fornito linee guida per la posta elettronica e l'uso di internet sul lavoro.
Il controllo difensivo e i limiti
Una questione delicata è il "controllo difensivo": il datore di lavoro può attivare controlli specifici e mirati quando ha fondato sospetto di illecito del dipendente (furto, frode informatica). La Cassazione (Cass. civ. n. 18302/2014 e n. 23381/2023) ha chiarito che il controllo difensivo è ammesso anche senza preventivo accordo sindacale, purché: a) sussista un sospetto concreto di illecito; b) il controllo sia mirato e proporzionato; c) non si trasformi in monitoraggio sistematico. Il Garante (provv. 22 settembre 2022) ha ribadito questo equilibrio.
Sanzioni e tutela giurisdizionale
La violazione dell'art. 114 e dell'art. 4 Statuto comporta: a) sanzione amministrativa privacy ex art. 166 del Codice; b) sanzione penale lavoristica ex art. 38 Statuto (ammenda o arresto fino a un anno); c) inutilizzabilità a fini disciplinari dei dati raccolti illecitamente; d) risarcimento del danno al lavoratore. Il giudice del lavoro può ordinare la cessazione del controllo illecito (art. 28 Statuto: condotta antisindacale). L'INL e il Garante cooperano nelle ispezioni, scambiandosi segnalazioni.
Casistica notoria e sanzioni recenti
Casi notori: a) sanzione del Garante a Telecom Italia (2023, 7 milioni di euro) per controllo a distanza non autorizzato di dipendenti; b) Cass. n. 23381/2023 sui controlli difensivi in azienda manifatturiera; c) sentenze Trib. Milano 2024 su geolocalizzazione GPS senza accordo sindacale (inutilizzabilità); d) provv. Garante 24 marzo 2022 su smart working e controllo da remoto: l'uso di software di monitoraggio della produttività (per esempio, Time Doctor, Hubstaff) richiede accordo sindacale o autorizzazione INL. Tendenza recente: rafforzamento della tutela dei lavoratori da remoto, in particolare per controlli automatizzati e AI.
L'AI Act EU e i controlli algoritmici
Il Regolamento UE 2024/1689 (AI Act) include nei sistemi ad alto rischio i sistemi di IA usati nei rapporti di lavoro: a) per la selezione del personale (CV screening, video interview con AI); b) per la valutazione della performance; c) per il monitoraggio del comportamento. L'AI Act impone: DPIA rafforzata, registrazione del sistema in banca dati EU, sorveglianza umana, trasparenza. Si combina con l'art. 114 del Codice e l'art. 4 Statuto, richiedendo accordo sindacale o autorizzazione INL per i controlli automatizzati. Entrata in vigore graduale 2025-2027, con prime sanzioni significative attese.
Prassi e linee guida
Garante per la protezione dei dati personali
Garante per la protezione dei dati personali
Leggi il documento su www.garanteprivacy.itCasi pratici
Caso 1: Tizio: videosorveglianza con telecamere
Tizio S.p.A. vuole installare telecamere in azienda. Verifica l'art. 4, comma 1, Statuto richiamato dall'art. 114: serve accordo sindacale con la RSU oppure, in mancanza, autorizzazione dell'INL. L'informativa ai lavoratori deve essere chiara. Senza queste condizioni, le immagini sono inutilizzabili a fini disciplinari (Cass. n. 23381/2023).
Caso 2: Caia: smartphone aziendale
Caia S.r.l. assegna smartphone aziendali ai dipendenti. Si applica l'art. 4, comma 2, Statuto: non serve accordo sindacale (è strumento di lavoro), ma serve informativa dettagliata sulle modalità d'uso, sui controlli effettuati, sulla conservazione dei dati. Il provv. Garante 13 luglio 2016 fornisce il modello.
Caso 3: Sempronio: sospetto frode informatica
Sempronio S.p.A. sospetta che un dipendente trasferisca dati riservati a un concorrente. Attiva un controllo difensivo mirato sulla casella e-mail. La Cassazione (n. 18302/2014, n. 23381/2023) lo ammette anche senza accordo sindacale, purché: a) sospetto concreto; b) controllo mirato; c) proporzionalità. Le evidenze sono utilizzabili nel procedimento disciplinare.
Caso 4: Commento applicativo
L'art. 114 integra il Codice Privacy con lo Statuto dei Lavoratori. La compliance richiede una mappatura iniziale: a) strumenti di controllo? -> accordo sindacale o autorizzazione INL; b) strumenti di lavoro? -> informativa dettagliata. Il controllo difensivo è ammesso ma in casi specifici. La cooperazione tra Garante e INL è una costante.
Domande frequenti
Quando posso installare telecamere in azienda?
Solo per esigenze organizzative, produttive, di sicurezza del lavoro o di tutela del patrimonio, previo accordo sindacale con la RSU/RSA o, in mancanza, autorizzazione dell'INL. È sempre necessaria informativa ai lavoratori.
Il PC aziendale richiede accordo sindacale per i controlli?
No. L'art. 4, comma 2, Statuto distingue gli strumenti per la prestazione (PC, smartphone) da quelli di controllo. Non serve accordo sindacale, ma serve adeguata informativa al lavoratore.
I dati raccolti senza accordo sindacale sono utilizzabili a fini disciplinari?
No. Sono inutilizzabili a fini disciplinari e processuali. La Cassazione e il Garante hanno ribadito questo principio in più occasioni.
Cosa è il controllo difensivo?
Un controllo mirato e specifico attivato in presenza di un sospetto concreto di illecito del dipendente. È ammesso senza accordo sindacale purché proporzionato e non sistematico (Cass. n. 18302/2014, 23381/2023).
Chi controlla l'osservanza dell'art. 114?
Garante per la privacy (sanzioni ex art. 166) e Ispettorato Nazionale del Lavoro (sanzioni lavoristiche). Le due autorità cooperano spesso, scambiandosi segnalazioni.
Vedi anche