Dalla sorveglianza occulta all’intelligenza artificiale: ecco cosa può (e non può) fare il datore di lavoro per monitorare i dipendenti
La digitalizzazione del lavoro e l’esplosione dello smart working hanno reso i confini tra vita lavorativa e privata sempre più labili. La scrivania di casa diventa l’ufficio, il PC personale uno strumento aziendale e la nostra presenza online un’estensione della nostra identità professionale. Questo scenario solleva interrogativi cruciali e spesso scomodi sul potere di controllo del datore di lavoro. Fino a che punto può spingersi per tutelare i propri interessi?
E dove inizia la violazione della nostra privacy? Questo articolo svela quattro sorprendenti realtà legali sul controllo dei lavoratori in Italia, basate su normative recenti e sentenze che stanno ridisegnando le regole del gioco.
1. L’inganno del falso profilo: quando il datore può creare un account fake
Sembra la trama di un film thriller, eppure è una realtà giuridica consolidata. Il datore di lavoro, in determinate circostanze, può legalmente creare un falso profilo social per verificare la condotta di un dipendente. La chiave di volta sta nel concetto di “controlli difensivi”, ovvero quei controlli non mirati a valutare la prestazione lavorativa in sé (ad esempio, la qualità del lavoro svolto), ma a tutelare il patrimonio aziendale o a prevenire illeciti.
Un caso discusso dalla Corte di Cassazione è emblematico. Con la sentenza n. 10955 del 27 maggio 2015, la Sezione Lavoro ha ritenuto legittima una pratica che, a prima vista, appare ingannevole. Un’azienda, per verificare se un dipendente utilizzasse il proprio dispositivo mobile personale durante l’orario di lavoro, ha creato un falso profilo Facebook femminile per interagire con lui e accertarne il comportamento. Il lavoratore, un operaio addetto a presse stampatrici, era già stato sorpreso in precedenza a utilizzare il telefono cellulare lontano dalla propria postazione, impedendo un intervento tempestivo su un macchinario bloccato.
La Corte ha ritenuto legittima questa pratica perché il controllo non era sulla “modalità” di esecuzione del lavoro, ma sulla sua “effettiva esecuzione”. L’azienda stava proteggendo un proprio bene, il tempo di lavoro retribuito del dipendente, da un comportamento potenzialmente illecito. Proprio per questa finalità “difensiva”, la Cassazione ha stabilito che tali controlli esulano dalle procedure di garanzia (accordo sindacale o autorizzazione dell’Ispettorato del Lavoro) previste dall’articolo 4 dello Statuto dei Lavoratori, legge n. 300/1970. Quest’ultima norma vieta l’uso di impianti audiovisivi e altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori, ma la giurisprudenza ha riconosciuto un’eccezione per i cosiddetti controlli difensivi.
Si tratta di un’interpretazione creativa e fondamentale, poiché all’epoca dei fatti la “tutela del patrimonio aziendale” non era ancora tra le finalità esplicitamente previste dalla legge per giustificare i controlli, ma un’elaborazione giurisprudenziale poi introdotta solo nel 2015 con il Jobs Act. Una possibilità contro-intuitiva, che segna un confine sottilissimo tra controllo lecito e invasione della privacy.
2. Il divieto di “spiare all’indietro”: l’azienda non può scandagliare tutta la cronologia passata
Se un datore di lavoro nutre il fondato sospetto che un dipendente stia commettendo un illecito, può avviare un controllo. Ma attenzione: non può usare questo sospetto come pretesto per scandagliare a ritroso tutta la sua attività digitale pregressa, accumulata magari per mesi o anni. Questo principio è stato sancito dalla Corte di Cassazione con la sentenza n. 25732 del 22 settembre 2021, introducendo un paletto fondamentale al potere di controllo “ex post”.
Nel caso affrontato dalla Suprema Corte, una lavoratrice era stata licenziata dopo che l’amministrazione del sistema informatico aziendale aveva eseguito un accesso al suo computer per verificare l’origine di un virus che aveva infettato la rete aziendale. Durante questo accesso erano stati rilevati numerosi siti scaricati per ragioni private e un ingente numero di accessi internet di natura ludica. La questione centrale era stabilire se il controllo fosse stato effettuato legittimamente.
La Cassazione ha chiarito che il controllo difensivo è legittimo solo se la raccolta delle informazioni inizia dopo l’insorgere del sospetto, non prima. Come afferma testualmente la sentenza: “potrà parlarsi di controllo ex post solo ove, a seguito del fondato sospetto del datore circa la commissione di illeciti ad opera del lavoratore, il datore stesso provveda, da quel momento, alla raccolta delle informazioni.” Se l’azienda ha già raccolto e archiviato i dati sulla navigazione internet del dipendente per mesi, non può improvvisamente decidere di analizzarli perché oggi sospetta qualcosa.
Questa regola impedisce al datore di lavoro di accumulare dati “nel caso in cui servano” per poi usarli contro il dipendente al momento opportuno. È una garanzia fondamentale che protegge la dignità e la riservatezza del lavoratore da una sorveglianza preventiva e indiscriminata, assicurando che il controllo sia una reazione a un sospetto concreto e non una caccia alle streghe retroattiva. In altre parole, il datore di lavoro non può conservare cronologie e dati per anni e poi decidere di utilizzarli quando emerge un problema: il controllo deve essere mirato, specifico e successivo all’insorgere di elementi di fatto che giustifichino l’indagine.
3. Il profilo “pubblico” ha la sua privacy: accessibile a tutti non significa utilizzabile per tutto
L’idea che tutto ciò che è “pubblico” su internet sia liberamente utilizzabile da chiunque, incluso il proprio datore di lavoro, è un equivoco pericoloso. Il Garante per la Protezione dei Dati Personali ha ribadito con forza un principio cardine: la pubblicazione di informazioni su un profilo social pubblico non autorizza il loro trattamento per qualsiasi scopo.
Il riferimento normativo è l’articolo 5 del Regolamento Generale sulla Protezione dei Dati (GDPR, Regolamento UE 2016/679), che sancita il “principio di finalità”. In sostanza, i dati personali devono essere raccolti per scopi determinati, espliciti e legittimi, e non possono essere successivamente trattati in modo incompatibile con tali scopi. Quando pubblichi una foto o un commento su Facebook o Instagram, la finalità è comunicativa, espressiva o di intrattenimento, non quella di essere sottoposto a una valutazione disciplinare da parte del datore di lavoro.
Per poter utilizzare legalmente quei dati a fini aziendali, ad esempio per un licenziamento, il datore di lavoro deve avere una base giuridica valida ai sensi dell’articolo 6 del GDPR. Spesso si invoca il “legittimo interesse” a proteggere l’azienda, previsto dall’articolo 6, paragrafo 1, lettera f) del Regolamento. Tuttavia, questa base giuridica non è automatica: richiede una valutazione di bilanciamento (LIA, Legitimate Interest Assessment), documentata e trasparente, tra i propri interessi e i diritti e le libertà fondamentali del lavoratore.
Senza aver condotto e formalizzato questo bilanciamento, il datore di lavoro non può usare i tuoi post o le tue foto come prova in un procedimento disciplinare. I dati raccolti sarebbero illeciti e, di conseguenza, inutilizzabili secondo quanto previsto dall’articolo 2-quaterdecies del Codice della Privacy (Decreto Legislativo n. 196/2003, come modificato dal Decreto Legislativo n. 101/2018). Questo significa che anche se hai pubblicato volontariamente una foto o un commento su un social network con impostazioni pubbliche, il datore di lavoro non può semplicemente appropriarsene per sanzionarti disciplinarmente senza aver rispettato i principi del GDPR.
4. Il cavallo di Troia dell’intelligenza artificiale: quando il PC diventa uno strumento di controllo
L’articolo 4 dello Statuto dei Lavoratori opera una distinzione fondamentale: da un lato gli “strumenti di lavoro” come PC, tablet e smartphone, la cui installazione non richiede accordi sindacali; dall’altro gli “strumenti di controllo”, che necessitano di un accordo preventivo con le rappresentanze sindacali aziendali o di un’autorizzazione dell’Ispettorato del Lavoro. Per anni, il PC aziendale è stato pacificamente considerato uno “strumento di lavoro”. Ma l’Intelligenza Artificiale sta cambiando le carte in tavola.
Quando su un normale PC aziendale viene installato un software di intelligenza artificiale, come un copilota, un sistema di analisi delle performance basato su algoritmi di machine learning o un tool di tracciamento delle attività digitali, quel PC può trasformarsi. Da semplice “strumento di lavoro” diventa uno “strumento dal quale derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori”, come recita il nuovo testo dell’articolo 4, comma 1, dello Statuto dei Lavoratori (modificato dal Decreto Legislativo n. 151/2015, articolo 23).
Questa riclassificazione non è un dettaglio tecnico: fa scattare l’obbligo, per l’azienda, di seguire la procedura di garanzia prevista per gli strumenti di controllo. In concreto, il datore di lavoro deve raggiungere un accordo collettivo con le rappresentanze sindacali aziendali o, in mancanza, ottenere l’autorizzazione dalla sede territoriale dell’Ispettorato Nazionale del Lavoro. Solo dopo aver completato questa procedura può legittimamente utilizzare i dati raccolti attraverso questi sistemi.
Questa interpretazione è cruciale perché impedisce una sorveglianza occulta e continua. Inoltre, il nuovo Regolamento europeo sull’Intelligenza Artificiale (AI Act, Regolamento UE 2024/1689) classifica questi sistemi come ad “alto rischio” quando usati per monitorare, valutare o classificare i lavoratori. Tale classificazione non è casuale: deriva dal loro potenziale impatto sui diritti fondamentali, dalla loro capacità di generare esiti discriminatori e dalla loro incidenza sulla dignità umana.
La qualifica di “alto rischio” impone alle aziende ulteriori e stringenti obblighi. Tra questi, la necessità di effettuare valutazioni d’impatto sui diritti fondamentali, garantire la trasparenza degli algoritmi utilizzati, assicurare una supervisione umana significativa sulle decisioni prese dall’IA e implementare misure tecniche e organizzative per ridurre i rischi di discriminazione. In pratica, la macchina non può prendere decisioni lesive della persona senza un controllo umano consapevole e informato.
Implicazioni pratiche: cosa significa tutto questo per te
Per i lavoratori, queste quattro realtà giuridiche hanno conseguenze concrete e immediate. Innanzitutto, è fondamentale essere consapevoli che il datore di lavoro può, in determinate circostanze, controllare la tua attività online, anche attraverso metodi che potrebbero sembrare ingannevoli come i falsi profili social. Tuttavia, questi controlli devono rispettare precisi limiti legali: devono essere mirati, successivi a un fondato sospetto e finalizzati a tutelare il patrimonio aziendale, non a sorvegliare indiscriminatamente la prestazione lavorativa.
Per le aziende, il messaggio è altrettanto chiaro. I controlli difensivi sono uno strumento legittimo, ma non una carta bianca per violare la privacy dei dipendenti. Ogni controllo deve essere proporzionato, documentato e rispettoso della dignità del lavoratore. L’utilizzo di sistemi di intelligenza artificiale richiede particolare attenzione: non basta installarli sui computer aziendali, occorre seguire le procedure previste dalla legge e dal GDPR, pena l’inutilizzabilità dei dati raccolti e potenziali sanzioni amministrative pesanti da parte del Garante per la Protezione dei Dati Personali.
Un esempio concreto può chiarire meglio questi principi. Immagina di lavorare come impiegato in un’azienda e di avere un profilo Facebook pubblico dove condividi foto delle tue vacanze. Se pubblichi una foto che ti ritrae in spiaggia durante un giorno in cui hai comunicato di essere in malattia, il datore di lavoro potrebbe essere tentato di utilizzarla come prova di un comportamento scorretto. Tuttavia, non può semplicemente scaricare la foto e avviare un procedimento disciplinare: deve prima verificare di avere una base giuridica valida secondo il GDPR, documentare il bilanciamento tra il proprio interesse e i tuoi diritti fondamentali e rispettare tutti i principi di protezione dei dati. In mancanza di questi passaggi, la foto non potrebbe essere utilizzata legittimamente.
Analogamente, se l’azienda installa un software di intelligenza artificiale che monitora la tua produttività analizzando quante email invii, quanti documenti modifichi e quanto tempo passi su ogni applicazione, questo non può essere fatto di nascosto. Il software di IA trasforma il PC in uno strumento di controllo, rendendo obbligatorio l’accordo sindacale o l’autorizzazione dell’Ispettorato del Lavoro. Senza questi passaggi, i dati raccolti sono illegittimi e non possono essere utilizzati contro di te.
Conclusioni: dove finisce il controllo e inizia la sorveglianza?
Le quattro realtà che abbiamo esplorato, dal controllo tramite falsi profili alla rivoluzione portata dall’intelligenza artificiale, disegnano un quadro complesso e in continua evoluzione. La tecnologia sta costantemente ridisegnando il delicato equilibrio tra le legittime esigenze di tutela aziendale e i diritti fondamentali dei lavoratori alla dignità e alla riservatezza.
Le regole esistono e sono precise: i controlli difensivi sono leciti ma devono essere mirati, successivi a un fondato sospetto e proporzionati; non si può utilizzare qualsiasi informazione pubblica senza rispettare i principi del GDPR; l’intelligenza artificiale richiede procedure di garanzia specifiche. Tuttavia, la loro applicazione è in continua evoluzione, richiedendo consapevolezza sia da parte delle aziende che dei dipendenti.
La domanda che resta aperta è tanto semplice quanto fondamentale: in un mondo sempre più connesso, dove finisce il legittimo controllo e inizia l’indebita sorveglianza? La risposta non è mai univoca, ma dipende dalle circostanze concrete, dal rispetto delle procedure legali e dal bilanciamento tra interessi contrapposti. E la tua azienda, è trasparente su come e perché ti controlla?
Se hai dubbi sul confine tra controllo legittimo e violazione della privacy, o se ritieni di essere stato oggetto di controlli illegittimi da parte del tuo datore di lavoro, il nostro studio è a disposizione per una consulenza personalizzata. La tutela dei tuoi diritti in ambito lavorativo richiede competenza specifica e aggiornamento costante sulle evoluzioni giurisprudenziali e normative.
