Controllo a distanza dei lavoratori

L'art. 4 comma 1 dello Statuto dei Lavoratori disciplina gli strumenti dai quali deriva la possibilita di controllo a distanza dell'attivita dei lavoratori (Categoria C): per questi e obbligatorio l'intero iter autorizzativo. L'art. 4 comma 2 esclude dall'obbligo di accordo/autorizzazione solo gli strumenti strettamente funzionali alla prestazione lavorativa (con nesso funzionale evidente, Trib. Torino 19/9/2018) e quelli di registrazione accessi/presenze.

La classificazione richiede attenzione: uno smartphone non e un unico strumento indivisibile - ogni componente (telefono, GPS, app installate) va valutato separatamente (Trib. Milano 24/10/2017). I sistemi GPS sono generalmente considerati un elemento aggiunto e non strettamente necessario alla prestazione, quindi soggetti alla procedura completa (Garante, Provv. 138/2017; Circolare INL 2/2016).

Il DPO deve essere consultato obbligatoriamente nella fase di definizione della metodologia DPIA (art. 35 par. 2 GDPR). Il coordinamento riguarda tre aspetti: la scelta della metodologia (esistono strumenti gratuiti come il software CNIL, disponibile anche in italiano); l'individuazione del soggetto responsabile della conduzione; la definizione delle misure tecniche e organizzative per ridurre i rischi del trattamento.

Un vantaggio operativo spesso trascurato: i risultati della DPIA possono essere utilizzati durante la negoziazione dell'accordo sindacale. L'art. 35 par. 9 GDPR prevede infatti la possibilita di raccogliere le opinioni degli interessati o dei loro rappresentanti, rendendo la DPIA uno strumento utile anche nella fase di confronto con RSA/RSU.

Il Garante Privacy ha inserito il trattamento effettuato attraverso strumenti di controllo ex art. 4 SL nell'elenco dei trattamenti soggetti a DPIA obbligatoria (All. 1, Provv. 11/10/2018 n. 467). La valutazione deve descrivere il trattamento, valutarne necessita e proporzionalita, identificare i rischi specifici per i lavoratori e definire le misure di mitigazione. Deve essere condotta prima dell'avvio del trattamento.

L'assenza di DPIA e sanzionata pesantemente: nel caso ARSAC (Provv. 135/2025) il Garante ha irrogato EUR 50.000 per un'app di geolocalizzazione usata nello smart working senza DPIA, chiarendo che l'accordo sindacale da solo e necessario ma non sempre sufficiente a garantire la liceita del trattamento. Senza DPIA i dati raccolti sono inoltre inutilizzabili a fini disciplinari.

La consultazione preventiva e obbligatoria quando la DPIA evidenzia rischi che il titolare non riesce a mitigare adeguatamente con le misure individuate. Il Garante ha 8 settimane per fornire il proprio parere scritto (prorogabili di ulteriori 6 settimane per casi complessi). Durante l'attesa il trattamento non puo essere avviato.

La consultazione e vivamente consigliata anche nei casi borderline, in particolare per trattamenti particolarmente invasivi come AI di monitoraggio; biometrica comportamentale; geolocalizzazione continua. Ottenere un parere favorevole del Garante rafforza significativamente la posizione del titolare in caso di contenzioso o ispezione successiva.

L'art. 32 GDPR richiede misure adeguate al livello di rischio. Per i sistemi di controllo a distanza le misure tipiche includono: limitazione degli accessi ai dati di monitoraggio ai soli soggetti autorizzati; policy di retention con termini definiti e giustificati; cifratura dei dati in transito e a riposo; log degli accessi al sistema di monitoraggio con conservazione protetta.

Le carenze nelle misure di sicurezza sono oggetto di sanzioni rilevanti. Nel caso Regione Lombardia (Provv. 243/2025) il Garante ha irrogato EUR 50.000 per la raccolta di log di navigazione internet senza garanzie adeguate, ordinando l'anonimizzazione dei log relativi ai tentativi di accesso a siti bloccati, la cifratura dei nomi dei dipendenti e la riduzione del periodo di conservazione.

L'art. 4 comma 1 SL impone una procedura tassativa prima dell'installazione: (A) accordo con RSA/RSU se presenti in azienda, oppure (B) autorizzazione dell'Ispettorato Territoriale del Lavoro se le rappresentanze sono assenti o la trattativa e fallita. L'installazione senza procedura comporta responsabilita penale ex art. 38 SL e rende inutilizzabili i dati raccolti a fini disciplinari.

Le sanzioni sono consistenti e frequenti. Nel Provv. 7/2025 il Garante ha irrogato EUR 50.000 a un'azienda di trasporto per GPS installato senza informativa e senza procedura ex art. 4 SL. Nel Provv. 755/2025 la sanzione ha raggiunto EUR 120.000 per un sistema GPS che calcolava punteggi di guida mensili (driving score) senza valutazione del legittimo interesse e senza nomina dei responsabili del trattamento. La conservazione dei dati eccedeva i 13 mesi.

L'informativa deve essere preventiva, chiara e accessibile, e contenere non solo gli elementi standard del GDPR (dati raccolti; finalita; durata di conservazione; destinatari; diritti dell'interessato; dati del titolare e del DPO) ma anche le modalita d'uso dello strumento, i limiti all'uso privato, le conseguenze dell'uso improprio e le modalita di controllo adottate dal datore di lavoro.

L'assenza di un'informativa adeguata rende i dati inutilizzabili a fini disciplinari. La Cass. 25732/2021 ha chiarito che il datore che non informa sulle modalita d'uso degli strumenti informatici e conserva dati indiscriminatamente non puo invocare controlli ex post. La Cass. 10822/2025 ha confermato che le immagini di videosorveglianza non possono fondare un licenziamento se raccolte senza informativa adeguata ai lavoratori.

Il registro e obbligatorio per le organizzazioni con 250 o piu dipendenti (interpretazione estensiva che include tutti i lavoratori, anche somministrati), ma anche per quelle di dimensioni inferiori quando il trattamento non e occasionale, presenta rischi per i diritti e le liberta degli interessati, o riguarda dati di categorie particolari (art. 9 GDPR) o relativi a condanne penali. Il trattamento regolare di dati dei dipendenti tramite sistemi di monitoraggio rientra quasi sempre in questi criteri.

Il registro deve riportare per ciascun trattamento: finalita; categorie di dati e di interessati; categorie di destinatari; eventuali trasferimenti verso paesi terzi (rilevante se il fornitore del sistema e extra-UE o usa cloud non europeo); termini di cancellazione previsti; misure di sicurezza tecniche e organizzative adottate. L'assenza o l'incompletezza del registro e una violazione autonoma sanzionabile dal Garante.

La sequenza degli adempimenti non e discrezionale. Installare uno strumento di Categoria C prima di completare l'iter integra una violazione dell'art. 4 SL che comporta responsabilita penale ex art. 38 SL e rende le informazioni raccolte inutilizzabili a qualsiasi fine connesso al rapporto di lavoro, inclusi i procedimenti disciplinari (art. 4 comma 3 SL).

La Cass. 30821/2025 ha chiarito che l'uso di sistemi GPS e legittimo solo quando il controllo e mirato, proporzionato e finalizzato alla verifica di condotte illecite specifiche - mai come sorveglianza generalizzata della prestazione lavorativa. Il datore puo avvalersi di agenzie investigative, ma solo se focalizzate su comportamenti illeciti lesivi del patrimonio o dell'organizzazione aziendale, con sospetto fondato preesistente.

L'art. 35 par. 11 GDPR prevede che la DPIA sia monitorata per l'intero ciclo di vita del trattamento e rivista periodicamente. Il riesame e obbligatorio almeno annualmente, oltre che in occasione di ogni modifica dello strumento, cambiamento del contesto normativo (nuove linee guida del Garante o dell'EDPB) o in caso di data breach collegato al sistema di monitoraggio.

Il Protocollo Garante-INL rinnovato il 26 marzo 2025 (durata triennale) ha rafforzato la collaborazione tra le due autorita con ispezioni coordinate nei settori pubblico e privato, con particolare attenzione alla digitalizzazione e al lavoro agile. Questo rende ancora piu rilevante il mantenimento di una documentazione aggiornata e di un calendario di riesame formalizzato, per essere preparati a verifiche congiunte.