Testo dell'articoloVigente
Art. 4 L. 300/1970 Statuto Lavoratori — Impianti audiovisivi e altri strumenti di controllo
In vigore dal 20/05/1970
1. Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale. ((In mancanza di accordo, gli impianti e gli strumenti di cui al primo periodo possono essere installati previa autorizzazione delle sede territoriale dell'Ispettorato nazionale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali, della sede centrale dell'Ispettorato nazionale del lavoro. I provvedimenti di cui al terzo periodo sono definitivi.))
2. La disposizione di cui al comma 1 non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze.
3. Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d'uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196 .
Stesso numero, altri codici
- Art. 4 D.Lgs. 504/1995 — Abbuoni per perdite, distruzione e cali
- Articolo 4 L. 184/1983: Provvedimenti e durata dell'affidamento familiare
- Art. 4 Reg. (UE) 2024/1689 — Alfabetizzazione in materia di IA
- Art. 4 Cod. Amb. — Finalità
- Art. 4 D.Lgs. 148/2015 — Durata massima complessiva
- Art. 4 D.Lgs. 159/2011 — Soggetti destinatari
Commento
L'articolo 4 dello Statuto è, insieme all'articolo 8, la norma di apertura della disciplina italiana sulla protezione della riservatezza nel rapporto di lavoro. La versione originaria del 1970, costruita attorno al divieto pressoché assoluto di controlli a distanza, ha resistito per decenni adattandosi via via all'evoluzione tecnologica grazie a interventi giurisprudenziali e a una prassi interpretativa molto attenta della Cassazione e del Garante. Con il Jobs Act del 2015 il legislatore ha riscritto la norma riconoscendo apertamente che gli strumenti tecnologici di controllo sono ormai parte integrante dell'organizzazione del lavoro, ma vincolando il loro impiego a tre cardini: finalità tipiche (organizzative, di sicurezza, di tutela del patrimonio), procedura collettiva o autorizzatoria preventiva, informazione adeguata al lavoratore. La struttura tripartita è oggi il banco di prova di qualsiasi sistema di videosorveglianza, geolocalizzazione, monitoraggio della posta elettronica, badge biometrici, sistemi di tracciamento delle attività su pc.
Sul piano del coordinamento normativo, l'articolo 4 si integra inscindibilmente con il GDPR e con il Codice Privacy nazionale (D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018). Il Garante ha ribadito in più provvedimenti che la liceità del trattamento di dati personali ricavati da strumenti di controllo presuppone la legittimità dello strumento stesso ai sensi dello Statuto: se manca l'accordo sindacale o l'autorizzazione INL, anche il trattamento è illecito ai sensi dell'articolo 6 del GDPR. Particolarmente significativi sono il provvedimento del 13 maggio 2021 sui metadati della posta elettronica aziendale (con la successiva revisione del 6 giugno 2024) e i provvedimenti sui sistemi di geolocalizzazione GPS e di videosorveglianza in ambito lavorativo, che impongono al datore l'adozione di valutazioni di impatto (DPIA) ex articolo 35 GDPR quando il sistema può comportare un elevato rischio per i diritti e le libertà dei lavoratori.
Il dialogo con la giurisprudenza CEDU è essenziale. Nella sentenza Bărbulescu c. Romania la Grande Camera ha affermato che la lettura della corrispondenza elettronica del dipendente da parte del datore richiede una preventiva, trasparente informazione sulle modalità di controllo e una rigorosa valutazione di proporzionalità tra il fine perseguito e la lesione della vita privata. Nella decisione López Ribalda c. Spagna è stato ribadito che la videosorveglianza occulta sul luogo di lavoro può essere ammissibile soltanto in presenza di sospetti gravi, specifici e circoscritti, e a condizione che le modalità del controllo siano ridotte al minimo necessario. La Corte di cassazione italiana ha recepito questi principi distinguendo i controlli difensivi «in senso stretto», rivolti ad accertare condotte illecite specifiche, dai controlli difensivi «in senso lato», che presuppongono comunque la procedura ex articolo 4 (Cass. sez. lav. 02/05/2017 n. 10636 e successive).
Il comma 2 dell'articolo 4 è quello più discusso. La nozione di «strumenti utilizzati dal lavoratore per rendere la prestazione» è stata oggetto di numerosi pronunciamenti del Garante e della Cassazione: vi rientrano pc, tablet, smartphone aziendali, applicativi gestionali; non vi rientrano i software o gli add-on installati con la finalità prevalente di sorveglianza (per esempio keylogger, spyware, sistemi di registrazione dello schermo) che, anche se «girano» sul pc del lavoratore, restano soggetti alla procedura del comma 1. Anche i sistemi di rilevazione delle presenze e degli accessi sono esclusi dalla procedura, ma soltanto se limitati alla registrazione di ingresso e uscita; se invece consentono il tracciamento continuativo degli spostamenti interni o l'integrazione con sistemi di valutazione delle performance, tornano nel perimetro del comma 1.
Il comma 3 disciplina l'utilizzabilità dei dati raccolti. La condizione di utilizzabilità «a tutti i fini connessi al rapporto di lavoro» (inclusi i fini disciplinari) è la previa adeguata informazione del lavoratore sulle modalità d'uso degli strumenti e sull'effettuazione dei controlli, nel rispetto del Codice Privacy e del GDPR. La giurisprudenza ha precisato che l'informazione deve essere preventiva, chiara, completa e formalizzata in una policy aziendale conoscibile e accessibile: l'omissione comporta l'inutilizzabilità delle prove raccolte e l'illegittimità di sanzioni disciplinari fondate su quei dati. Sul piano sanzionatorio, la violazione dell'articolo 4 può integrare il reato di cui all'articolo 38 dello Statuto, oltre alle sanzioni amministrative previste dal GDPR (fino al 4% del fatturato globale) e ai possibili profili penali ex articoli 615-bis e 617-quater del codice penale. Nei casi più complessi (controllo della posta, geolocalizzazione, sistemi di intelligenza artificiale predittiva) la valutazione di liceità richiede assistenza legale qualificata e l'eventuale parere preventivo del Garante.
Prassi e linee guida
· Indicazioni operative su installazione e utilizzo di impianti audiovisivi di controllo
Ispettorato Nazionale del Lavoro
La circolare fornisce indicazioni agli uffici territoriali per il rilascio di provvedimenti autorizzativi ex art. 4 L. 300/1970, distinguendo i casi in cui occorre accordo sindacale o autorizzazione INL da quelli in cui gli strumenti sono esclusi dall'obbligo perché funzionali alla prestazione lavorativa. Chiarisce le finalità ammissibili (esigenze organizzative, sicurezza, tutela patrimonio) e le procedure istruttorie applicabili.
Leggi il documento su www.ispettorato.gov.it· Geolocalizzazione mezzi RENTRI e applicazione art. 4 St. Lav.
Ispettorato Nazionale del Lavoro
L'INL chiarisce che i sistemi GPS installati sui mezzi per ottemperare all'obbligo legale di tracciabilità rifiuti (RENTRI, D.M. 59/2023) non rientrano nell'ambito applicativo dell'art. 4 St. Lav., in quanto imposti direttamente dalla norma. Se però i dati di geolocalizzazione vengono utilizzati anche per finalità ulteriori (organizzazione turni, vigilanza autisti, tutela del patrimonio), scattano le garanzie procedurali dell'art. 4, comma 1.
Leggi il documento su www.ispettorato.gov.it· Illiceità controllo accessi parcheggio incrociati con timbrature Alitalia
Garante per la protezione dei dati personali
Il Garante ha ritenuto illecito il trattamento effettuato da Alitalia, che aveva incrociato i dati di accesso al parcheggio aziendale con le timbrature per accertare violazioni d'orario, senza fornire un'informativa chiara e dettagliata ai lavoratori. Il provvedimento ordina la cessazione del trattamento dei dati acquisiti tramite il sistema di parcheggio, ribadendo che anche per i rilevatori di presenze modificati per finalità di controllo occorre rispettare l'art. 4 St. Lav.
Leggi il documento su www.garanteprivacy.it· Raccolta e conservazione dei metadati e-mail dei dipendenti
Garante per la protezione dei dati personali
Il Garante stabilisce che la raccolta generalizzata di metadati delle e-mail dei lavoratori per periodi superiori a 7 giorni configura un controllo indiretto a distanza dell'attività lavorativa, richiedendo le garanzie procedurali dell'art. 4, comma 1, St. Lav. (accordo sindacale o autorizzazione pubblica). I datori di lavoro devono verificare che i programmi di gestione della posta consentano di disattivare o limitare la conservazione automatica dei metadati.
Leggi il documento su www.garanteprivacy.it· Illiceità videosorveglianza senza accordo sindacale presso Agenzia delle Dogane
Garante per la protezione dei dati personali
Il Garante ha dichiarato illecito il sistema di videosorveglianza installato dall'Agenzia delle Dogane-Ufficio Monopoli Campania in assenza di accordo con la rappresentanza sindacale o di autorizzazione dell'INL, come prescritto dall'art. 4, comma 1, St. Lav. Il provvedimento prescrive l'espletamento delle procedure di garanzia e la comunicazione delle iniziative adottate entro 60 giorni.
Leggi il documento su www.garanteprivacy.it· 21/07/2016
Garante per la protezione dei dati personali
Leggi il documento su www.garanteprivacy.it· 02/02/2017
Ispettorato Nazionale del Lavoro
Leggi il documento su www.ispettorato.gov.itCasi pratici
Caso 1: Videosorveglianza senza accordo sindacale: inutilizzabilità delle prove disciplinari
Un'azienda manifatturiera installa telecamere di videosorveglianza nei reparti produttivi senza stipulare l'accordo con la RSU né richiedere l'autorizzazione all'INL. Tramite le immagini scopre che un operaio sottrae materiale e procede al licenziamento per giusta causa. Il lavoratore impugna il licenziamento eccependo la violazione dell'articolo 4 dello Statuto. La giurisprudenza prevalente, sulla scia di Cass. 02/05/2017 n. 10636, ritiene inutilizzabili le prove raccolte tramite sistemi installati in violazione della procedura ex articolo 4. Il licenziamento viene quindi dichiarato illegittimo per insussistenza del fatto contestato, con applicazione dell'articolo 18 nella versione vigente per i lavoratori assunti prima del 7 marzo 2015 o del D.Lgs. 23/2015 (tutele crescenti) per i successivi.
Caso 2: GPS sul furgone: necessaria la procedura ex articolo 4 e l'informativa
Una società di trasporti installa sistemi GPS sui veicoli aziendali per monitorare in tempo reale la posizione dei furgoni, anche durante le pause. La RSA non viene informata e ai lavoratori non viene fornita un'informativa privacy specifica. Un autista, sanzionato disciplinarmente per soste prolungate, impugna il provvedimento. Il giudice, in linea con il provvedimento Garante del 24 maggio 2017, ritiene che il GPS rientri tra gli strumenti soggetti all'articolo 4 e che, in assenza di accordo sindacale o autorizzazione INL e di informativa adeguata, i dati di geolocalizzazione siano inutilizzabili. La sanzione viene annullata. Sul piano amministrativo, la società può essere sanzionata dal Garante per violazione del GDPR.
Caso 3: Software di monitoraggio nascosto sul pc: oltre il perimetro del comma 2
Un'impresa di servizi installa di nascosto sui pc aziendali un software che registra screenshot a intervalli regolari, attività di tastiera e siti visitati. L'azienda sostiene che si tratta di strumenti utilizzati per rendere la prestazione, esclusi dall'articolo 4 comma 1 in base al comma 2. Il Garante, in applicazione delle Linee guida 2007 e dei provvedimenti successivi, ha chiarito che software con finalità prevalente di sorveglianza non rientrano nell'eccezione del comma 2 e richiedono accordo sindacale o autorizzazione INL. In assenza, il trattamento dei dati è illecito, le prove raccolte sono inutilizzabili e la società è esposta a sanzioni amministrative ai sensi degli articoli 83 e seguenti del GDPR.
Domande frequenti
Posso installare telecamere in azienda senza informare i lavoratori?
No. L'articolo 4 dello Statuto richiede sia un accordo collettivo con la RSA/RSU o l'autorizzazione dell'Ispettorato Nazionale del Lavoro, sia un'adeguata informativa preventiva ai lavoratori sulle finalità della videosorveglianza, sui tempi di conservazione delle immagini e sulle modalità di accesso ai dati. È inoltre necessaria una valutazione di conformità al GDPR e, di norma, una DPIA. L'apposizione di cartelli informativi è obbligatoria ma non sufficiente da sola: serve anche la procedura sindacale o autorizzatoria. La violazione comporta sanzioni penali ex articolo 38 dello Statuto e amministrative ex GDPR.
Il datore può leggere le e-mail aziendali del lavoratore?
Solo a condizioni stringenti. Il provvedimento del Garante del 13 maggio 2021 e la sentenza CEDU Bărbulescu c. Romania richiedono una policy aziendale preventiva, trasparente e accessibile, che chiarisca quali controlli sono effettuabili, con quale frequenza, da parte di chi e per quali finalità. La conservazione dei metadati della posta è ammessa per un periodo limitato salvo specifiche esigenze documentate. La lettura sistematica del contenuto delle e-mail è ammissibile solo per finalità tassative e proporzionate, e in genere richiede la procedura sindacale o autorizzatoria ex articolo 4.
Il GPS sull'auto aziendale rientra nell'articolo 4?
Sì, qualora consenta di tracciare in modo continuativo gli spostamenti del lavoratore. Il Garante ha più volte ribadito che la geolocalizzazione costituisce trattamento di dati personali ad alto rischio. L'installazione richiede l'accordo sindacale o l'autorizzazione INL e un'adeguata informativa ai lavoratori. Sono inoltre prescritti tempi di conservazione contenuti, accessi limitati per ruolo e la disattivazione del tracciamento al di fuori dell'orario di lavoro. La DPIA è generalmente obbligatoria per sistemi GPS sistematici.
Posso essere licenziato per ciò che ho fatto al pc, se l'azienda lo ha controllato?
Solo se il controllo è stato lecito ai sensi dell'articolo 4 e se vi era una policy aziendale preventiva che informava chiaramente del possibile monitoraggio. In assenza di adeguata informazione e di rispetto del GDPR, i dati raccolti sono inutilizzabili anche in sede disciplinare e il licenziamento è illegittimo, con conseguenze diverse a seconda dell'applicabilità dell'articolo 18 dello Statuto o del D.Lgs. 23/2015 (tutele crescenti). Nei casi controversi è opportuno rivolgersi ad assistenza legale qualificata.
Cosa succede se installo un sistema di controllo senza accordo sindacale?
Si rischia il reato previsto dall'articolo 38 dello Statuto (con pena pecuniaria o arresto fino a un anno, salvo casi più gravi), oltre alle sanzioni amministrative del GDPR che possono arrivare al 4% del fatturato globale annuo. Tutte le prove raccolte tramite il sistema illecito sono inutilizzabili: ciò significa che eventuali sanzioni disciplinari, fino al licenziamento, fondate su quelle prove sono illegittime e dichiarate tali dal giudice del lavoro. Anche sul piano civilistico è possibile il risarcimento del danno non patrimoniale al lavoratore.
Vedi anche