Telecamere, GPS sui veicoli aziendali, software di monitoraggio della navigazione internet, sistemi di rilevazione degli accessi. Le tecnologie che le aziende usano per tenere traccia dell’attività dei propri dipendenti sono sempre più diffuse – e sempre più nel mirino del Garante per la protezione dei dati personali.

Solo nell’ultimo anno l’Autorità ha sanzionato una società di autotrasporti per l’uso illecito di un sistema GPS sui veicoli dei dipendenti (Provv. Garante n. 7 del 16.01.2025), un ente pubblico per aver geolocalizzato i lavoratori in smartworking senza le dovute garanzie (Provv. Garante n. 135 del 13.03.2025), la Regione Lombardia per aver raccolto i log di navigazione internet dei dipendenti senza accordo sindacale (Provv. Garante n. 243 del 29.04.2025) e una società agricola multinazionale per aver controllato lo stile di guida dei dipendenti tramite telematica satellitare (Provv. Garante n. 755 del 18.12.2025). Sanzioni tra 50.000 e 120.000 euro, in tutti i casi per violazioni che si potevano evitare con una corretta impostazione preventiva.

Questa guida illustra i passaggi obbligatori da seguire prima di attivare qualsiasi sistema di monitoraggio sui lavoratori.

1. Il quadro normativo: due livelli che si applicano insieme

I controlli a distanza sui lavoratori sono disciplinati da due normative distinte, che devono essere rispettate entrambe e in modo cumulativo.

Il primo livello è l’art. 4 della L. 300/1970 (Statuto dei lavoratori), che fissa le condizioni alle quali il datore di lavoro può installare strumenti tecnologici che consentono – anche solo potenzialmente – di controllare l’attività dei dipendenti. La norma distingue tra tipologie diverse di strumenti e prevede requisiti procedurali differenti per ciascuna.

Il secondo livello è il GDPR (Reg. UE 2016/679) e il D.Lgs. 196/2003 (Codice Privacy), che disciplinano il trattamento dei dati personali raccolti attraverso questi strumenti. Il collegamento tra i due livelli è esplicito: l’art. 114 del Codice Privacy stabilisce che il rispetto dell’art. 4 dello Statuto dei lavoratori è condizione di liceità del trattamento ai sensi dell’art. 88 del GDPR. Violare lo Statuto significa violare anche il GDPR, con le relative conseguenze sanzionatorie.

Non è quindi sufficiente avere l’accordo sindacale se l’informativa ai dipendenti è carente. Non è sufficiente un’informativa corretta se manca l’accordo sindacale dove la legge lo richiede. I due livelli vanno soddisfatti insieme.

2. La distinzione che cambia tutto: strumento di controllo o strumento di lavoro?

Prima di qualsiasi altra valutazione, occorre capire in quale categoria rientra lo strumento che si intende installare. Da questa classificazione dipende l’intero percorso da seguire.

L’art. 4 della L. 300/1970 distingue tre categorie.

Strumenti di controllo in senso stretto

Rientrano in questa categoria gli strumenti installati dal datore di lavoro che consentono la registrazione dell’attività dei lavoratori: impianti di videosorveglianza, sistemi di geolocalizzazione GPS, dispositivi di telematica satellitare. Per questi strumenti l’installazione richiede il soddisfacimento di due requisiti cumulativi (art. 4, c. 1, L. 300/1970):

  • requisito sostanziale: l’uso deve essere giustificato da esigenze organizzative e produttive, di sicurezza sul lavoro o di tutela del patrimonio aziendale
  • requisito procedurale: prima dell’installazione il datore di lavoro deve stipulare un accordo con le rappresentanze sindacali aziendali (RSA o RSU), oppure – in assenza di rappresentanze o in caso di mancato accordo – ottenere l’autorizzazione dell’Ispettorato Territoriale del Lavoro competente

Strumenti per rendere la prestazione lavorativa

Sono gli strumenti assegnati al lavoratore per svolgere il proprio lavoro: PC, smartphone, tablet, software gestionali, piattaforme di videochiamata come Teams o Zoom, casella di posta elettronica aziendale. Per questi strumenti non è richiesto il preventivo accordo sindacale né l’autorizzazione amministrativa (art. 4, c. 2, L. 300/1970). Restano però fermi tutti gli obblighi di informativa e di trattamento dei dati previsti dal GDPR.

Strumenti di registrazione degli accessi e delle presenze

Badge elettronici, tornelli, sistemi di timbratura che registrano l’orario di ingresso e di uscita dal luogo di lavoro. Anche questi sono esonerati dall’obbligo di accordo sindacale, a condizione che la loro funzione si limiti alla registrazione della presenza. Se il sistema va oltre – tracciando gli spostamenti del lavoratore all’interno dell’azienda o raccogliendo dati sulle pause, sui permessi e sulle interruzioni – può rientrare nella prima categoria e richiedere le garanzie procedurali previste per gli strumenti di controllo.

La distinzione non è sempre netta. Il Tribunale di Milano ha chiarito che ogni componente di uno strumento – hardware e software – va valutata separatamente: uno smartphone aziendale è al tempo stesso uno strumento di lavoro e una potenziale fonte di controllo a distanza attraverso, ad esempio, l’app di localizzazione o il GPS integrato (Trib. Milano, 24 ottobre 2017).

3. I passi concreti da seguire prima di installare lo strumento

Chiarita la categoria di appartenenza, il percorso operativo si articola in sei fasi. Alcune sono obbligatorie per tutti gli strumenti, altre solo per quelli di controllo in senso stretto.

Passo 1 – Verifica la legittimità della finalità

Qualsiasi sistema di controllo deve essere giustificato da una finalità specifica e legittima: esigenze organizzative e produttive, sicurezza sul lavoro, tutela del patrimonio aziendale. Non è sufficiente una finalità generica come “migliorare l’efficienza” o “garantire la sicurezza”. La finalità deve essere determinata, documentata e coerente con le caratteristiche concrete dello strumento che si intende adottare.

Un GPS sui veicoli di una società di trasporti ha una giustificazione organizzativa solida. Un sistema di telematica satellitare che registra lo stile di guida dei dipendenti durante i viaggi privati non ha alcuna base legittima per quella parte del trattamento, indipendentemente dalle motivazioni dichiarate a livello di gruppo (come confermato dal Provv. Garante n. 755 del 18.12.2025).

Passo 2 – Svolgi la DPIA prima di tutto

Ogni volta che un sistema tecnologico rientra nell’ambito di applicazione dell’art. 4 dello Statuto dei lavoratori – cioè ogni volta che consente anche solo potenzialmente un controllo a distanza – il datore di lavoro è tenuto a effettuare una valutazione d’impatto sulla protezione dei dati (DPIA) ai sensi dell’art. 35 del GDPR. Il Garante ha incluso esplicitamente tra i trattamenti che richiedono una DPIA i sistemi di videosorveglianza e di geolocalizzazione nell’ambito del rapporto di lavoro (Provv. Garante n. 467 del 11.10.2018).

La DPIA deve essere effettuata prima di avviare il trattamento, non dopo. Serve a valutare i rischi per i diritti e le libertà dei lavoratori e a individuare le misure di sicurezza adeguate. Ha anche un valore pratico: nella fase di negoziazione con le rappresentanze sindacali, il risultato della DPIA può essere messo a disposizione delle RSA/RSU, come previsto dall’art. 35, c. 9, del GDPR. Se dalla DPIA emergono rischi elevati che non è possibile mitigare adeguatamente, prima di procedere occorre avviare una consultazione preventiva con il Garante ai sensi dell’art. 36 del GDPR.

Passo 3 – Ottieni l’accordo sindacale o l’autorizzazione dell’Ispettorato (se necessario)

Per i sistemi di controllo in senso stretto, questo passo è obbligatorio e preliminare a qualsiasi attivazione. L’accordo sindacale si stipula con le RSA o RSU presenti in azienda. Se non esistono rappresentanze sindacali, o se la negoziazione non porta a un risultato, occorre presentare istanza all’Ispettorato Territoriale del Lavoro competente.

Un punto spesso sottovalutato: l’accordo sindacale è condizione necessaria, ma non sempre sufficiente. Il Garante ha chiarito che la presenza di un accordo non garantisce automaticamente la liceità dell’intero trattamento – devono essere rispettati anche tutti i requisiti del GDPR (Provv. Garante n. 135 del 13.03.2025). L’accordo e la compliance privacy sono due percorsi paralleli, non alternativi.

Attenzione anche al perimetro dell’accordo o dell’autorizzazione: il trattamento deve mantenersi nei limiti di quanto autorizzato. Una società di autotrasporti è stata sanzionata perché, pur disponendo di un’autorizzazione dell’Ispettorato, raccoglieva dati in modo difforme dalle prescrizioni in essa contenute, conservandoli oltre il periodo indicato e senza le misure di anonimizzazione previste (Provv. Garante n. 7 del 16.01.2025).

Passo 4 – Predisponi un’informativa adeguata ai dipendenti

L’informativa è obbligatoria per tutti gli strumenti, nessuno escluso, ed è la condizione che rende i dati raccolti utilizzabili dal datore di lavoro – anche in un eventuale procedimento disciplinare. In assenza di informativa adeguata, i dati non possono essere usati (art. 4, c. 3, L. 300/1970).

L’informativa deve contenere tutti gli elementi richiesti dall’art. 13 del GDPR:

  • identità e contatti del titolare del trattamento e dell’eventuale DPO
  • finalità e base giuridica del trattamento
  • categorie di destinatari dei dati
  • periodo di conservazione
  • diritti dell’interessato
  • eventuale trasferimento dei dati verso paesi extra-UE

A questi elementi vanno aggiunte indicazioni specifiche per il contesto lavorativo: le modalità di utilizzo degli strumenti assegnati, i limiti all’uso privato se previsti, le modalità e i casi in cui il datore di lavoro può effettuare controlli, chi è autorizzato a condurli e con quale grado di dettaglio.

L’informativa deve essere specifica per lo strumento e per l’azienda. Usare un documento generico di gruppo, redatto per tutte le società affiliate senza adattarlo alla realtà italiana, è uno degli errori più frequenti e più costosi: è esattamente la violazione accertata nel caso della telematica satellitare (Provv. Garante n. 755 del 18.12.2025) e in quello della geolocalizzazione dei lavoratori in smartworking (Provv. Garante n. 135 del 13.03.2025).

Passo 5 – Designa i responsabili del trattamento e aggiorna il registro

Se il sistema è gestito da un fornitore esterno – una società di noleggio con dispositivi GPS integrati, una piattaforma di monitoraggio della rete, un provider di software di produttività – occorre stipulare un accordo di responsabile del trattamento ai sensi dell’art. 28 del GDPR. Questo vale anche per le altre società del gruppo che accedono ai dati: ogni società è titolare autonoma del trattamento per i propri dipendenti, e i flussi di dati verso altri soggetti – anche interni al gruppo – devono essere disciplinati con un atto giuridico formale.

Il registro dei trattamenti (art. 30 del GDPR) deve essere aggiornato per includere il nuovo trattamento. L’obbligo si applica a quasi tutte le aziende che trattano dati dei propri dipendenti in modo non occasionale, indipendentemente dalle dimensioni.

Passo 6 – Definisci e rispetta i tempi di conservazione

I dati raccolti tramite sistemi di controllo non possono essere conservati a tempo indeterminato. Il periodo di conservazione deve essere proporzionato alla finalità dichiarata e indicato nell’informativa. Conservare i dati oltre tale periodo viola il principio di limitazione della conservazione previsto dall’art. 5, par. 1, lett. e), del GDPR. Nel caso della società di autotrasporti sanzionata a gennaio 2025, i dati GPS erano conservati per più di cinque mesi, oltre quanto consentito dall’autorizzazione dell’Ispettorato.

Metti in regola i controlli sulla tua azienda

Analisi personalizzata su strumenti, accordi e adempimenti GDPR.

4. Gli errori più comuni da evitare

La casistica dei provvedimenti del Garante degli ultimi anni individua con chiarezza gli errori che le aziende ripetono con maggiore frequenza.

Ritenere che il proprio sistema non sia un “vero” controllo. Molte aziende installano sistemi di monitoraggio convinte che, poiché non c’è geolocalizzazione in tempo reale o non ci sono telecamere visibili, non si applichi l’art. 4 dello Statuto dei lavoratori. La norma si applica a qualsiasi strumento che consenta anche solo potenzialmente un controllo: un sistema di telematica che registra frenate e accelerazioni, un software che raccoglie i metadati delle email, un badge RFID che traccia gli spostamenti interni rientrano tutti nell’ambito di applicazione.

Usare un’informativa di gruppo non adattata al contesto italiano. Le multinazionali spesso distribuiscono ai dipendenti documenti predisposti a livello centrale, validi per tutte le società affiliate. Questi documenti non soddisfano i requisiti dell’art. 13 del GDPR se non identificano con precisione il titolare del trattamento italiano, le finalità specifiche, i destinatari effettivi dei dati e la base giuridica applicabile nel contesto nazionale.

Non attivare l’accordo sindacale per i sistemi GPS. I sistemi di geolocalizzazione sono considerati strumenti aggiuntivi rispetto alla prestazione lavorativa, non funzionali al suo svolgimento, e quindi soggetti all’obbligo di accordo sindacale o autorizzazione amministrativa (Circolare INL n. 2 del 07.11.2016; Provv. Garante n. 138 del 16.03.2017). Fanno eccezione solo i casi in cui la localizzazione è tecnicamente indispensabile per svolgere la prestazione o è richiesta da norme specifiche di settore.

Estendere i controlli ai lavoratori in smartworking senza le dovute garanzie. Il lavoro agile non è una zona franca. L’art. 4 dello Statuto dei lavoratori si applica anche ai lavoratori che prestano la loro attività da remoto, come espressamente richiamato dalla L. 81/2017. Geolocalizzare un dipendente in smartworking per verificare che si trovi all’indirizzo dichiarato, senza accordo sindacale e senza informativa adeguata, è una violazione piena (Provv. Garante n. 135 del 13.03.2025).

Raccogliere log di navigazione e metadati email senza accordo sindacale. I sistemi di filtraggio della navigazione internet e i programmi di gestione della posta elettronica raccolgono per impostazione predefinita una quantità significativa di dati sui dipendenti, incluse informazioni sulla loro vita privata. Raccogliere questi dati senza accordo sindacale e senza un’informativa specifica è illecito, indipendentemente dal fatto che il sistema sia già in uso da anni (Provv. Garante n. 243 del 29.04.2025).

5. Sanzioni e rischi in caso di inadempimento

Le sanzioni per i trattamenti illeciti nell’ambito dei controlli a distanza possono raggiungere, ai sensi dell’art. 83, par. 5, del GDPR, fino a 20 milioni di euro o il 4% del fatturato mondiale annuo. Nella pratica, il Garante ha applicato negli ultimi mesi sanzioni comprese tra 8.000 e 120.000 euro, calibrate su numero di dipendenti coinvolti, durata del trattamento, gravità delle violazioni e comportamento cooperativo dell’azienda durante l’istruttoria.

Ma il rischio economico non si esaurisce nella sanzione amministrativa. Un dato raccolto in violazione dell’art. 4 dello Statuto dei lavoratori non è utilizzabile in nessun procedimento disciplinare o giudiziale. Un licenziamento fondato su prove ottenute con un sistema di controllo illecito – senza accordo sindacale, senza informativa, o senza il fondato sospetto richiesto per i controlli difensivi – rischia di essere dichiarato illegittimo. La Cassazione ha ribadito questo principio di recente (Cass. civ., sez. lav., ord. n. 10822 del 24.04.2025).

Al contrario, un sistema di controllo correttamente impostato consente di utilizzare i dati raccolti per qualsiasi finalità connessa al rapporto di lavoro, compresi i procedimenti disciplinari e, nei casi più gravi, il licenziamento per giusta causa (Cass. civ., sez. I, n. 30821 del 24.11.2025).

Conclusione

Impostare correttamente un sistema di controllo a distanza non è un ostacolo all’attività aziendale: è la condizione che rende quei controlli legalmente efficaci. I passi descritti in questa guida valgono per qualsiasi strumento, dalle telecamere ai software di produttività, dai GPS ai badge RFID. La differenza tra un sistema utile e uno che espone l’azienda a sanzioni e a prove inutilizzabili sta tutta nella fase preventiva.

Metti in regola i controlli sulla tua azienda

Analisi personalizzata su strumenti, accordi e adempimenti GDPR.

  • Indice dei Contenuti

Le nostre news

Rimani informato su tutte le novità di questo affascinante mondo

Guide Legali, Privacy

Data breach GDPR: cosa fare (e cosa non fare) nelle prime 72 ore

Guide Legali, Privacy

Nomina a responsabile del trattamento e Data Processing Agreement (DPA): cos’è, cosa deve contenere e perché firmarlo bene protegge l’azienda

Contratti, Guide Legali, Privacy

Garante Privacy: vietato il controllo dello stile di guida dei lavoratori tramite telematica satellitare

Guide Legali, Privacy

Controlli a distanza sui lavoratori: la guida pratica per le aziende prima di installare qualsiasi strumento

Nuove tecnologie

Criptovalute e MiCAR: la Consob sanziona Fabrizio Corona per i memecoin $CORONA – Primo caso in Italia

Contratti, Guide Legali, Nuove tecnologie

Work for Equity: un modello di collaborazione per l’innovazione

Web3 | Blockchain | Intelligenza Artificiale  | Metaverso | NFT | Big Data | Nuove tecnologie | Contratti di impresa | Termini e Condizioni di vendita | E-Commerce |Adeguamento Privacy e GDPR | Proprietà Intellettuale | Gestione della Crisi | Tutela 360° |Web3 | Blockchain | Intelligenza Artificiale  | Metaverso | NFT | Big Data | Nuove tecnologie | Contratti di impresa | Termini e Condizioni di vendita | E-Commerce |Adeguamento Privacy e GDPR | Proprietà Intellettuale | Gestione della Crisi | Tutela 360° |

Richiedi una valutazione chiara del tuo caso.

Compila il form e ti risponderemo entro 48 ore

Cliccando sul pulsante “INVIA” confermi di aver preso visione della Privacy Policy e acconsenti al trattamento dei dati personali forniti, esclusivamente per dare seguito alla tua richiesta.