Malattia professionale e prescrizione: non basta la diagnosi, serve la consapevolezza del nesso causale
La Cassazione Sezione Lavoro chiarisce quando inizia a decorrere il termine prescrizionale per il risarcimento del danno da tecnopatia: la sola conoscenza della malattia non è sufficiente Un bracciante agricolo si ammala di microcitoma polmonare metastatico dopo dieci anni di lavoro a contatto con sostanze nocive. Muore nel 2011. I suoi eredi — il coniuge e due figli — decidono di agire in giudizio contro la società datrice di lavoro per ottenere il risarcimento del danno patrimoniale e non patrimoniale conseguente a quella che ritengono, e che poi viene accertata essere, una malattia professionale. La richiesta stragiudiziale è inoltrata nel giugno del 2020. Sia il Tribunale in primo grado sia la Corte d’Appello di Roma rigettano la domanda, ritenendo che il diritto si fosse prescritto: il dies a quo della prescrizione decennale veniva individuato nella data della diagnosi della patologia, avvenuta il 18 gennaio 2009, con la conseguenza che al momento della messa in mora stragiudiziale il termine era già abbondantemente decorso. Con l’ordinanza n. 14269/2026, la Sezione Lavoro della Corte di Cassazione ha ribaltato questa impostazione, cassando la sentenza d’appello e rinviando il giudizio alla Corte territoriale in diversa composizione. La questione giuridica: quando comincia a decorrere la prescrizione? Il tema affrontato dall’ordinanza è uno dei più delicati del diritto del lavoro e della responsabilità civile in materia di malattie professionali: quando inizia a decorrere il termine di prescrizione del diritto al risarcimento del danno? La risposta a questa domanda non è banale, perché le malattie da lavoro — a differenza degli infortuni — hanno spesso un’eziologia opaca, una genesi che si manifesta nel tempo, talvolta confondibile con patologie di diversa origine. Il codice civile, agli artt. 2935 e 2946, stabilisce che la prescrizione decorre dal momento in cui il diritto può essere fatto valere e che il termine ordinario è di dieci anni. La Corte d’Appello aveva applicato questi principi in modo formalistico, identificando il dies a quo con la diagnosi clinica della malattia: saputo di essere malato, il lavoratore aveva il diritto di agire, e da quel momento il termine aveva preso a decorrere. Il principio ribadito dalla Cassazione: conoscenza della malattia non equivale a conoscenza della sua origine professionale La Cassazione ha ritenuto questa impostazione errata, richiamando il proprio orientamento già espresso con Cass. n. 13806/2023. Il principio è netto: in materia di malattia professionale, la prescrizione del diritto al risarcimento non può decorrere dalla mera diagnosi della patologia, ma richiede che il soggetto abbia acquisito — o avrebbe potuto ragionevolmente acquisire — la consapevolezza del nesso eziologico tra la malattia e l’inadempimento del datore di lavoro. In altri termini, non è sufficiente sapere di essere malati: occorre sapere, o poter sapere, che quella malattia dipende dalle condizioni di lavoro. Questo secondo elemento di conoscenza — il collegamento causale tra patologia e ambiente professionale — può emergere da presunzioni gravi, precise e concordanti, ovvero da fatti esterni certi che consentano di inferire l’origine professionale della malattia: un verbale INAIL di accertamento della tecnopatia, il riconoscimento di una rendita per malattia professionale, una consulenza tecnica. Nel caso esaminato, tanto il lavoratore quanto i suoi familiari erano convinti che la causa della malattia fosse il fumo di sigarette, e solo con il provvedimento INAIL del 24 ottobre 2022 — che riconosceva la natura professionale della patologia e disponeva la decorrenza della rendita vitalizia dal 27 agosto 2011 — gli eredi avevano acquisito compiuta consapevolezza del nesso causale. Era dunque da quel momento, e non dalla diagnosi del 2009, che il termine prescrizionale avrebbe dovuto iniziare a decorrere. L’errore del giudice di merito: la valutazione dei documenti INAIL La Corte d’Appello aveva anche trascurato di esaminare due documenti decisivi: il verbale collegiale INAIL del 21 marzo 2022 di accertamento della tecnopatia e la lettera dell’ente del 24 ottobre 2022 di riconoscimento della rendita. Tali atti erano stati depositati proprio a seguito di un’ordinanza istruttoria della stessa Corte territoriale, eppure non ne era stata valutata la rilevanza ai fini della decorrenza della prescrizione. La Cassazione ha censurato questa omissione come violazione degli artt. 2935 e 2946 c.c., rilevando che quei documenti avrebbero reso evidente che la conoscenza del nesso causale era maturata soltanto nel 2022, e avrebbero imposto il rigetto dell’eccezione di prescrizione. Le implicazioni pratiche: cosa cambia per lavoratori ed eredi L’ordinanza n. 14269/2026 ha un impatto concreto e rilevante per chiunque si trovi — direttamente o come erede — nella posizione di far valere un diritto risarcitorio da malattia professionale. Il punto di partenza da cui calcolare il termine prescrizionale non è la data della diagnosi clinica, ma il momento in cui il malato o i suoi aventi causa hanno acquisito — o avrebbero potuto ragionevolmente acquisire — la consapevolezza del collegamento tra la malattia e le condizioni di lavoro. Questo principio tutela chi, come nel caso esaminato, ignora in buona fede l’origine professionale della propria patologia: una persona convinta di essersi ammalata per abitudini di vita non può essere gravata dalla decorrenza di un termine prescrizionale rispetto a un diritto che non sa ancora di avere. Per gli eredi, la questione si proietta ulteriormente: il procedimento amministrativo INAIL di riconoscimento della tecnopatia e della rendita acquista un rilievo fondamentale non solo previdenziale, ma anche civile, potendo rappresentare il momento a partire dal quale il termine prescrizionale inizia concretamente a decorrere e potendo altresì produrre effetti interruttivi della prescrizione stessa. Per i datori di lavoro e i loro difensori, la pronuncia segnala che l’eccezione di prescrizione in materia di malattia professionale richiede un’analisi scrupolosa della documentazione medica e previdenziale e non può fondarsi sulla sola data diagnostica risultante dalla cartella clinica. Conclusione: la prescrizione non può colpire chi non sa Il principio affermato — e consolidato — dalla Cassazione risponde a una logica di giustizia sostanziale: il termine di decadenza del diritto non può decorrere prima che il titolare di quel diritto sia ragionevolmente in grado di esercitarlo. Nelle malattie professionali, spesso silenti per anni e riconducibili a cause multiple, la conoscenza della diagnosi è solo il
Mobbing o esercizio del potere direttivo? La Cassazione indica come distinguerli
L’ordinanza n. 12915/2026 della Sezione Lavoro chiarisce i confini tra legittima direzione aziendale e condotta persecutoria: un discrimine che può fare la differenza in giudizio. Immaginate un lavoratore dipendente di un’azienda sanitaria pubblica convinto di essere vittima di un sistematico disegno persecutorio da parte dei propri superiori: addebiti disciplinari che ritiene pretestuosi, pressioni organizzative che vive come angherie, una quotidianità lavorativa che percepisce come un assedio continuo alla propria dignità professionale. Decide di rivolgersi al giudice e chiede il risarcimento del danno da mobbing per oltre duecentocinquantamila euro. Sia il Tribunale sia la Corte d’Appello di Napoli gli danno torto. Ricorre quindi in Cassazione, nella convinzione che i giudici di merito abbiano mal interpretato le norme a tutela del lavoratore. La Sezione Lavoro della Corte di Cassazione, con ordinanza n. 12915/2026, pubblicata il 6 maggio 2026, dichiara il ricorso inammissibile e, nel farlo, offre una riflessione preziosa su uno dei nodi più delicati del diritto del lavoro: dove finisce il potere di direzione del datore di lavoro e dove comincia l’illecito persecutorio? Che cos’è il mobbing e perché è così difficile da provare Il termine “mobbing” — mutuato dalla psicologia del lavoro e ormai entrato nel lessico giuridico corrente — indica un insieme sistematico di comportamenti ostili, reiterati nel tempo, posti in essere dal datore di lavoro o da colleghi nei confronti del lavoratore, con l’effetto e spesso con l’intenzione di isolarlo, umiliarlo o spingerlo alle dimissioni. Dal punto di vista giuridico, il fondamento normativo principale si rinviene nell’art. 2087 c.c., che obbliga il datore di lavoro ad adottare tutte le misure necessarie a tutelare l’integrità fisica e la personalità morale del lavoratore. A questa disposizione si affiancano, nel caso di danno già prodotto, le norme generali sulla responsabilità civile: l’art. 2043 c.c. per la responsabilità extracontrattuale e l’art. 2049 c.c. per la responsabilità del datore di lavoro per i fatti illeciti dei propri dipendenti. La difficoltà pratica sta nella prova. Il lavoratore che invoca il mobbing deve dimostrare non solo i singoli episodi lesivi, ma anche — e questo è il punto più arduo — la loro valenza complessiva come espressione di un intento persecutorio. Un singolo richiamo disciplinare, una modifica delle mansioni, un cambio di turno: ciascuno di questi atti può essere perfettamente legittimo se considerato isolatamente. È l’insieme sistematico, orientato a un preciso scopo lesivo, che può trasformarlo in condotta mobbizzante. Il confine mobile tra direzione e persecuzione La Corte d’Appello di Napoli, nel provvedimento sottoposto a scrutinio di legittimità, aveva osservato che le condotte lamentate dal lavoratore non presentavano i caratteri della persecuzione illegittima: gli addebiti disciplinari non risultavano assolutamente insussistenti né evidentemente sproporzionati, e non emergeva alcun elemento sintomatico che consentisse di ravvisarvi un carattere meramente pretestuoso o discriminatorio. Al contrario, i giudici di merito avevano concluso che i provvedimenti datoriali erano riconducibili all’esercizio legittimo dei poteri di direzione e organizzazione, funzionale alle esigenze di un servizio sanitario che, per sua natura, non può tollerare interruzioni o carenze. Questo passaggio è di grande rilevanza pratica. Il giudice di merito non si è limitato ad affermare in astratto la legittimità del potere direttivo: ha verificato in concreto che i singoli provvedimenti, anche considerati uno per uno, non mostravano quella connotazione lesiva e degradante che è il tratto distintivo del mobbing. La domanda che ogni giudice deve porsi è, in sostanza, questa: l’atto del datore di lavoro trova una spiegazione razionale nelle esigenze organizzative dell’impresa, o la sua unica giustificazione plausibile è quella di mortificare il lavoratore? Se la risposta è la prima, siamo nell’area del lecito; se è la seconda, si apre lo spazio per il risarcimento. Perché il ricorso in Cassazione era destinato a fallire Il lavoratore aveva censurato la sentenza d’appello denunciando la violazione di numerose disposizioni: gli articoli 2, 3, 32 e 35 della Costituzione, a presidio della dignità della persona e del diritto alla salute, e gli articoli 2087, 2043 e 2049 del codice civile, oltre all’art. 1218 c.c., che disciplina la responsabilità contrattuale per inadempimento. Si trattava, in apparenza, di motivi di diritto, come richiede l’art. 360, primo comma, n. 3 c.p.c. per il ricorso per cassazione. La Corte ha però rilevato che dietro il paravento della violazione di legge si celava in realtà una richiesta di rivalutazione del merito: il ricorrente chiedeva sostanzialmente alla Cassazione di sostituire il proprio giudizio sui fatti a quello dei giudici di merito, senza indicare alcun errore di diritto commesso dalla Corte territoriale nel ricondurre i fatti accertati alle norme invocate. Questo è un vizio tipico e ricorrente nel contenzioso lavoristico: si lamenta la violazione dell’art. 2087 c.c. non perché il giudice ne abbia travisato il contenuto precettivo, ma perché si ritiene che avrebbe dovuto valorizzare diversamente le prove. La Cassazione ha ribadito — richiamando orientamento consolidato — che la valutazione delle prove è riservata al giudice di merito e non può essere rimessa in discussione in sede di legittimità, a meno che non emerga un vizio logico o giuridico nell’iter argomentativo della sentenza impugnata. Sul secondo motivo, relativo all’art. 1218 c.c. e alla ripartizione dell’onere della prova, la Corte ha osservato che la sentenza impugnata aveva accertato in positivo la legittimità delle condotte datoriali, sicché l’argomento del lavoratore — secondo cui egli avrebbe assolto il proprio onere probatorio e spettava al datore dimostrare la propria correttezza — era smentito dai fatti così come ricostruiti in giudizio. Cosa impara il lavoratore e cosa impara il datore di lavoro Per il lavoratore che intende far valere in giudizio una situazione di mobbing, questa pronuncia conferma alcune regole fondamentali. Non è sufficiente percepire soggettivamente le condotte datoriali come ostili: occorre raccogliere prove concrete dei singoli episodi, documentarne la sistematicità e la reiterazione nel tempo, e soprattutto individuare elementi obiettivi che rivelino l’intento persecutorio, ossia la finalità di ledere la dignità o la salute del lavoratore al di là di qualsiasi razionale interesse organizzativo. Un provvedimento disciplinare formalmente regolare, anche se vissuto come ingiusto, non diventa automaticamente atto di mobbing per il solo fatto che il lavoratore
Sicurezza sul lavoro e responsabilità del datore: il DVR incompleto condanna anche per la mancata formazione
La Cassazione conferma che omettere la valutazione di un rischio equivale a non formare il lavoratore su quel rischio: le due condotte sono facce della stessa medaglia Un amministratore unico di una società, nella sua qualità di datore di lavoro, veniva condannato per il reato di lesioni personali gravi ai sensi dell’art. 590-bis, commi 1, 2 e 3, cod. pen., a seguito di un infortunio occorso a un proprio dipendente mentre utilizzava una sega circolare a banco: il lavoratore, perdendo la presa durante l’operazione di taglio di una tavola di legno, impattava la mano destra contro la lama riportando l’amputazione parziale del terzo dito. La condanna si fondava su due addebiti colposi distinti: la redazione di un documento di valutazione dei rischi (DVR) incompleto — privo di qualsiasi riferimento ai pericoli connessi all’uso della sega circolare a banco — e la mancata formazione del lavoratore su quella specifica lavorazione. Dopo la conferma della condanna da parte della Corte d’appello di Trieste, l’imputato proponeva ricorso per cassazione articolando due motivi. La Quarta Sezione Penale della Suprema Corte, con la pronuncia n. 10956/2026, li rigettava entrambi. Il DVR incompleto come condotta omissiva: la contestazione «commissiva» e quella «omissiva» sono la stessa cosa Il primo nodo giuridico affrontato dalla Corte attiene al principio di correlazione tra imputazione e sentenza, sancito dagli artt. 521 e 522 cod. proc. pen. La difesa eccepiva che l’imputato fosse stato condannato per una condotta omissiva — l’aver omesso di valutare il rischio e di formare il lavoratore — mentre l’imputazione descriveva una condotta commissiva: la redazione di un DVR incompleto. La Cassazione respinge la tesi con un ragionamento lineare ma di grande rilevanza pratica: affermare che il datore di lavoro ha redatto un documento di valutazione dei rischi incompleto, in quanto non contemplante il rischio da sega circolare a banco, equivale in tutto e per tutto ad affermare che ha omesso di valutare quel rischio. Si tratta, precisa il Collegio, della medesima condotta osservata da due diversi angoli prospettici, ma pur sempre identica nei suoi elementi soggettivi e oggettivi. Il principio di correlazione — lo ricorda la Corte richiamando un orientamento consolidato — non ha carattere formale o meramente letterale: la sua funzione è garantire il diritto al contraddittorio e l’esercizio effettivo del diritto di difesa. Ne discende che la violazione non è configurabile in astratto, ma solo quando l’imputato sia stato concretamente colto di sorpresa, ovvero posto per la prima volta di fronte a un fatto radicalmente nuovo senza aver avuto alcuna possibilità di difendersi (Cass. pen. Sez. 5, n. 30387/2025; Sez. 4, n. 18366/2024; Sez. 3, n. 24932/2023). La mancata formazione come conseguenza inevitabile dell’omessa valutazione del rischio Con un passaggio ancora più significativo per le ricadute pratiche, la Corte affronta la questione relativa alla condanna per la mancata formazione del lavoratore, profilo che non era espressamente menzionato nel capo di imputazione originario. La Cassazione conferma che neppure su questo punto si realizza alcuna violazione del principio di correlazione. Il ragionamento è rigoroso: se il datore di lavoro avesse correttamente adempiuto all’obbligo previsto dall’art. 28, comma 2, lett. a), del D.Lgs. n. 81/2008 — il decreto che disciplina la salute e la sicurezza nei luoghi di lavoro e che impone la valutazione di tutti i rischi per la sicurezza dei lavoratori — avrebbe inevitabilmente individuato il rischio da taglio connesso alla sega circolare a banco. Questa individuazione avrebbe a sua volta comportato l’obbligo di formare il lavoratore sulla corretta procedura di utilizzo di quello specifico e pericoloso strumento. Dunque, la mancata formazione non è un addebito autonomo e sorprendente, ma la diretta e prevedibile conseguenza dell’omissione già contestata: il nesso tra i due profili di colpa è logico, prima ancora che giuridico. Il nesso causale tra omissioni datoriali e infortunio Il secondo motivo di ricorso investiva il nesso di causalità tra la condotta del datore di lavoro e l’evento lesivo, censurando la motivazione come apparente. La difesa sosteneva che l’infortunio non fosse riconducibile all’uso scorretto della sega, ma a fattori del tutto peculiari: una menomazione fisica del lavoratore — l’assenza dell’ultima falange del mignolo — che aveva lasciato un lembo di guanto libero, poi risucchiato dalla lama. Secondo questa tesi, né il DVR incompleto né la mancata formazione avevano contribuito causalmente all’evento. La Cassazione non condivide la ricostruzione. Le sentenze di merito — che costituiscono una doppia conforme, leggibile come unico corpo decisionale (Cass. pen. Sez. 2, n. 6560/2021; Sez. 2, n. 37295/2019) — avevano accertato in modo convincente che l’infortunio si era verificato nella fase di lavorazione e non in quella di recupero del pezzo, come dimostrato dalla posizione della cuffia di protezione. Il vero antecedente causale era la mancanza di distanza adeguata tra le mani del lavoratore e la lama rotante, in violazione della procedura di utilizzo dell’attrezzo — procedura che il lavoratore non conosceva proprio perché non era mai stato formato. La menomazione fisica e il tipo di guanto erano elementi irrilevanti, perché il contatto non sarebbe avvenuto se le mani fossero rimaste a distanza di sicurezza tramite il corretto uso dello spingipezzi. La catena causale era dunque integra: omessa valutazione del rischio → mancata formazione → uso scorretto della sega → infortunio. Le implicazioni pratiche per datori di lavoro e professionisti La pronuncia n. 10956/2026 offre indicazioni di grande rilievo operativo per chiunque rivesta la qualifica di datore di lavoro o si occupi di salute e sicurezza nei luoghi di lavoro. In primo luogo, il DVR deve essere completo e specifico: non è sufficiente un documento generico che elenchi i rischi comuni a tutte le lavorazioni. Ogni mansione, ogni attrezzatura e ogni lavorazione specifica deve essere analizzata singolarmente. La lacuna nella valutazione non è una mera irregolarità formale, ma produce effetti a cascata su tutti gli obblighi connessi: dalla formazione alla sorveglianza sanitaria, fino all’adozione dei dispositivi di protezione individuale. In secondo luogo, il nesso tra DVR e formazione non è uno slogan: è un vincolo giuridico e causale riconosciuto dalla Cassazione. Il datore che omette di valutare un rischio non
GPS sui mezzi aziendali e privacy dei dipendenti: scatta l’obbligo di notifica al Garante anche senza sistemi automatici
La Cassazione chiarisce che basta la possibilità di risalire indirettamente all’identità del lavoratore per far scattare gli obblighi di legge in materia di protezione dei dati personali La geolocalizzazione dei veicoli aziendali è uno strumento sempre più diffuso nel settore del trasporto merci su strada. Ottimizzare i percorsi, ridurre i costi, proteggere il patrimonio aziendale: le ragioni che spingono le imprese ad adottare sistemi GPS sono molteplici e comprensibili. Ma quando a bordo di quei veicoli siedono i dipendenti, il discorso si complica. Entra in gioco il diritto alla privacy dei lavoratori, e con esso una serie di obblighi normativi che l’imprenditore non può ignorare. Con l’ordinanza n. 3462/2026, la Prima Sezione Civile della Corte di Cassazione ha fissato un principio di grande rilievo pratico: l’obbligo di notificazione al Garante per la protezione dei dati personali sussiste anche quando il sistema GPS non consenta di identificare il lavoratore in modo automatico, purché vi sia la concreta possibilità di risalire alla sua identità anche per via indiretta. Il caso: una società di trasporti e il sistema GPS “fornito da terzi” La vicenda trae origine da un’ordinanza-ingiunzione emessa dal Garante della Privacy nei confronti di una società esercente attività di trasporto merci su strada per conto terzi, sanzionata per non aver provveduto alla notificazione prevista dall’art. 37, comma 1, lett. a), del d.lgs. n. 196/2003 — il cosiddetto Codice della Privacy nel testo vigente prima delle modifiche apportate dal d.lgs. n. 101 del 10 agosto 2018 — in relazione all’utilizzo di un sistema di geolocalizzazione installato sui propri automezzi. La società aveva opposto la sanzione sostenendo, tra l’altro, che il sistema GPS era stato sviluppato e fornito da una società terza, e che essa si era limitata a mettere a disposizione i veicoli con i rispettivi autisti. Il Tribunale di Sondrio, in prima battuta, aveva accolto questa prospettazione. La Cassazione, tuttavia, già con l’ordinanza n. 26987/2023, aveva cassato quella pronuncia stabilendo che la messa a disposizione delle credenziali di accesso ai dati di geolocalizzazione è condizione sufficiente per attribuire alla società di trasporti la qualifica di titolare del trattamento, a prescindere da chi abbia materialmente sviluppato il sistema. Nel giudizio di rinvio, il Tribunale di Sondrio aveva nuovamente accolto l’opposizione — stavolta su un diverso presupposto — ritenendo che il sistema in questione non fosse idoneo a consentire l’identificazione delle persone in modo automatico. È su questo punto che la Cassazione è tornata a pronunciarsi con l’ordinanza n. 3462/2026, demolendo definitivamente l’argomentazione del giudice di merito. Il quadro normativo: cosa prevede il vecchio Codice Privacy sull’obbligo di notificazione Prima di esaminare la soluzione della Corte, è utile inquadrare la normativa applicabile. L’art. 37, comma 1, lett. a), del d.lgs. n. 196/2003 (nel testo anteriore alla riforma del 2018) imponeva al titolare del trattamento di notificare al Garante il trattamento di dati personali quando riguardasse, tra l’altro, “dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica”. In sostanza, chiunque intendesse trattare dati di localizzazione tramite reti elettroniche — come appunto il GPS — era tenuto a darne preventiva comunicazione all’Autorità garante. La norma prevedeva alcune eccezioni: con propria delibera n. 1 del 31 marzo 2004, il Garante aveva sottratto all’obbligo di notificazione i trattamenti di dati geografici di mezzi di trasporto effettuati “esclusivamente a fini di sicurezza del trasporto”. Nel caso in esame, però, il sistema GPS era stato installato per scopi del tutto diversi — sicurezza del patrimonio aziendale, riduzione dei costi, localizzazione delle merci — e dunque l’esonero non era invocabile. Sul versante del diritto del lavoro, occorre poi tenere presente che la localizzazione dei veicoli mediante sistemi elettronici costituisce potenzialmente una forma di controllo a distanza dell’attività dei lavoratori, con tutto ciò che ne consegue ai sensi dell’art. 4 della l. n. 300/1970 (Statuto dei Lavoratori). Questo articolo — richiamato anche dagli artt. 11, 114 e 171 del d.lgs. n. 196/2003 — subordina la legittimità di tali controlli alla previa stipula di un accordo con le rappresentanze sindacali aziendali oppure, in mancanza, all’autorizzazione dell’Ispettorato del Lavoro. Il Garante per la Privacy aveva già chiarito tutto ciò con il provvedimento n. 370 del 4 ottobre 2011, dedicato specificamente ai sistemi di localizzazione dei veicoli nell’ambito del rapporto di lavoro, sottolineando che i dati relativi all’ubicazione dei mezzi, in quanto riconducibili — anche solo indirettamente — ai lavoratori assegnatari, costituiscono dati personali e come tali devono essere trattati nel rispetto del Codice della Privacy. La questione centrale: è necessaria l’identificazione “automatica” mediante codici? Il nucleo della controversia, nel secondo giro di giudizio, si era spostato su una questione tecnica: a quali condizioni un sistema GPS è soggetto all’obbligo di notificazione al Garante? Il Tribunale di Sondrio aveva abbracciato una tesi restrittiva, sostenendo che per far scattare l’obbligo occorresse non soltanto che il sistema permettesse in astratto di risalire all’identità del lavoratore, ma che tale identificazione avvenisse in modo automatico attraverso codici, e che fosse caratterizzata dalla certezza assoluta. Poiché nel caso concreto l’eventuale riconoscimento dell’autista avrebbe richiesto un’ulteriore attività deduttiva — incrociare i dati GPS con i registri di assegnazione dei veicoli o con il cronotachigrafo — il Tribunale aveva escluso la rilevanza privacy del trattamento. La Cassazione, con l’ordinanza n. 3462/2026, ha nettamente smentito questa impostazione, definendola frutto di un’aggiunta normativa — un quid pluris — che la legge non richiede. Il ragionamento della Corte è lineare e condivisibile: ciò che determina la soggezione all’obbligo di notificazione non è la modalità con cui l’identificazione del lavoratore può avvenire, ma la mera possibilità che essa avvenga, anche per via indiretta. La circostanza che il sistema identifichi il lavoratore tramite codici automatici oppure attraverso un’attività di incrocio manuale dei dati è irrilevante: in entrambi i casi il dato di localizzazione del veicolo è potenzialmente un dato personale riferibile al dipendente, e come tale deve essere trattato. La soluzione della Corte: conta la possibilità di identificazione indiretta La Prima Sezione Civile ha chiarito che il criterio dirimente è quello già individuato dal Garante nel provvedimento del
Il Tuo Capo Ti Controlla? 4 Verità Shock Che Devi Conoscere Sul Lavoro Oggi
Dalla sorveglianza occulta all’intelligenza artificiale: ecco cosa può (e non può) fare il datore di lavoro per monitorare i dipendenti La digitalizzazione del lavoro e l’esplosione dello smart working hanno reso i confini tra vita lavorativa e privata sempre più labili. La scrivania di casa diventa l’ufficio, il PC personale uno strumento aziendale e la nostra presenza online un’estensione della nostra identità professionale. Questo scenario solleva interrogativi cruciali e spesso scomodi sul potere di controllo del datore di lavoro. Fino a che punto può spingersi per tutelare i propri interessi? E dove inizia la violazione della nostra privacy? Questo articolo svela quattro sorprendenti realtà legali sul controllo dei lavoratori in Italia, basate su normative recenti e sentenze che stanno ridisegnando le regole del gioco. 1. L’inganno del falso profilo: quando il datore può creare un account fake Sembra la trama di un film thriller, eppure è una realtà giuridica consolidata. Il datore di lavoro, in determinate circostanze, può legalmente creare un falso profilo social per verificare la condotta di un dipendente. La chiave di volta sta nel concetto di “controlli difensivi”, ovvero quei controlli non mirati a valutare la prestazione lavorativa in sé (ad esempio, la qualità del lavoro svolto), ma a tutelare il patrimonio aziendale o a prevenire illeciti. Un caso discusso dalla Corte di Cassazione è emblematico. Con la sentenza n. 10955 del 27 maggio 2015, la Sezione Lavoro ha ritenuto legittima una pratica che, a prima vista, appare ingannevole. Un’azienda, per verificare se un dipendente utilizzasse il proprio dispositivo mobile personale durante l’orario di lavoro, ha creato un falso profilo Facebook femminile per interagire con lui e accertarne il comportamento. Il lavoratore, un operaio addetto a presse stampatrici, era già stato sorpreso in precedenza a utilizzare il telefono cellulare lontano dalla propria postazione, impedendo un intervento tempestivo su un macchinario bloccato. La Corte ha ritenuto legittima questa pratica perché il controllo non era sulla “modalità” di esecuzione del lavoro, ma sulla sua “effettiva esecuzione”. L’azienda stava proteggendo un proprio bene, il tempo di lavoro retribuito del dipendente, da un comportamento potenzialmente illecito. Proprio per questa finalità “difensiva”, la Cassazione ha stabilito che tali controlli esulano dalle procedure di garanzia (accordo sindacale o autorizzazione dell’Ispettorato del Lavoro) previste dall’articolo 4 dello Statuto dei Lavoratori, legge n. 300/1970. Quest’ultima norma vieta l’uso di impianti audiovisivi e altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori, ma la giurisprudenza ha riconosciuto un’eccezione per i cosiddetti controlli difensivi. Si tratta di un’interpretazione creativa e fondamentale, poiché all’epoca dei fatti la “tutela del patrimonio aziendale” non era ancora tra le finalità esplicitamente previste dalla legge per giustificare i controlli, ma un’elaborazione giurisprudenziale poi introdotta solo nel 2015 con il Jobs Act. Una possibilità contro-intuitiva, che segna un confine sottilissimo tra controllo lecito e invasione della privacy. 2. Il divieto di “spiare all’indietro”: l’azienda non può scandagliare tutta la cronologia passata Se un datore di lavoro nutre il fondato sospetto che un dipendente stia commettendo un illecito, può avviare un controllo. Ma attenzione: non può usare questo sospetto come pretesto per scandagliare a ritroso tutta la sua attività digitale pregressa, accumulata magari per mesi o anni. Questo principio è stato sancito dalla Corte di Cassazione con la sentenza n. 25732 del 22 settembre 2021, introducendo un paletto fondamentale al potere di controllo “ex post”. Nel caso affrontato dalla Suprema Corte, una lavoratrice era stata licenziata dopo che l’amministrazione del sistema informatico aziendale aveva eseguito un accesso al suo computer per verificare l’origine di un virus che aveva infettato la rete aziendale. Durante questo accesso erano stati rilevati numerosi siti scaricati per ragioni private e un ingente numero di accessi internet di natura ludica. La questione centrale era stabilire se il controllo fosse stato effettuato legittimamente. La Cassazione ha chiarito che il controllo difensivo è legittimo solo se la raccolta delle informazioni inizia dopo l’insorgere del sospetto, non prima. Come afferma testualmente la sentenza: “potrà parlarsi di controllo ex post solo ove, a seguito del fondato sospetto del datore circa la commissione di illeciti ad opera del lavoratore, il datore stesso provveda, da quel momento, alla raccolta delle informazioni.” Se l’azienda ha già raccolto e archiviato i dati sulla navigazione internet del dipendente per mesi, non può improvvisamente decidere di analizzarli perché oggi sospetta qualcosa. Questa regola impedisce al datore di lavoro di accumulare dati “nel caso in cui servano” per poi usarli contro il dipendente al momento opportuno. È una garanzia fondamentale che protegge la dignità e la riservatezza del lavoratore da una sorveglianza preventiva e indiscriminata, assicurando che il controllo sia una reazione a un sospetto concreto e non una caccia alle streghe retroattiva. In altre parole, il datore di lavoro non può conservare cronologie e dati per anni e poi decidere di utilizzarli quando emerge un problema: il controllo deve essere mirato, specifico e successivo all’insorgere di elementi di fatto che giustifichino l’indagine. 3. Il profilo “pubblico” ha la sua privacy: accessibile a tutti non significa utilizzabile per tutto L’idea che tutto ciò che è “pubblico” su internet sia liberamente utilizzabile da chiunque, incluso il proprio datore di lavoro, è un equivoco pericoloso. Il Garante per la Protezione dei Dati Personali ha ribadito con forza un principio cardine: la pubblicazione di informazioni su un profilo social pubblico non autorizza il loro trattamento per qualsiasi scopo. Il riferimento normativo è l’articolo 5 del Regolamento Generale sulla Protezione dei Dati (GDPR, Regolamento UE 2016/679), che sancita il “principio di finalità”. In sostanza, i dati personali devono essere raccolti per scopi determinati, espliciti e legittimi, e non possono essere successivamente trattati in modo incompatibile con tali scopi. Quando pubblichi una foto o un commento su Facebook o Instagram, la finalità è comunicativa, espressiva o di intrattenimento, non quella di essere sottoposto a una valutazione disciplinare da parte del datore di lavoro. Per poter utilizzare legalmente quei dati a fini aziendali, ad esempio per un licenziamento, il datore di lavoro deve avere una base giuridica valida ai sensi dell’articolo 6 del GDPR.
IL DATORE RISPONDE PER L’INFORTUNIO DEL LAVORATORE IMPRUDENTE?
Tempo di lettura: 3 minuti Non era ancora scattato l’orario di lavoro, ed un feroce incendio si era sviluppato nell’azienda agricola: le fiamme avevano già avvolto la struttura e si stavano propagando rapidamente all’allevamento in cui erano ricoverati moltissimi pulcini di tacchino. Sul posto erano giunte le forze dell’ordine, che avevano intimato a tutti i presenti di allontanarsi immediatamente dal fabbricato, cosa che aveva prontamente fatto anche il titolare dell’azienda. Uno degli operai, invece, era salito su di un “bobcat”, deciso ad entrare nell’allevamento per provare a recuperare i pulcini, prima che venissero uccisi dalle fiamme. Incurante degli ordini dell’ordine di fermarsi, rivoltogli dal maresciallo dei carabinieri, il dipendente si era perciò lanciato, sul mezzo meccanico, all’interno dell’allevamento, ma poco dopo una violenta fiammata aveva avvolto il bobcat, ferendo a morte il suo conducente. Per l’accaduto, il titolare dell’azienda si era visto contestare la violazione di molteplici norme anticendio, tra le quali la omessa nomina del responsabile del servizio di prevenzione degli incendi, e la mancata formazione dei dipendenti per il caso di propagazione del fuoco sul luogo di lavoro. Inoltre, il Pubblico Ministero aveva contestato al datore di lavoro il reato di omicidio colposo, per non aver predisposto tutte le misure di prevenzione idonee a garantire che il lavoratore fosse adeguatamente informato sulle manovre da evitare e sui comportamenti da tenere in circostanze come quella che si era verificata. Il tribunale aveva poi mandato assolto l’imputato, sul presupposto che le violazioni delle norme antincendio non potevano aver causato o agevolato la morte del lavoratore; di diverso avviso invece la Corte di Appello, che aveva ribaltato la decisione, condannando il titolare dell’azienda sul presupposto che la predisposizione di misure adeguate, alle quali i dipendenti sarebbero stati tenuti ad uniformarsi, avrebbe potuto scongiurare l’evento. La vicenda è giunta così all’esame della Corte di Cassazione, alla quale è toccato il compito di chiarire se, a prescindere dalla predisposizione o meno di adeguate misure di prevenzione degli infortuni, il datore di lavoro risponda penalmente di tutti gli infortuni originati dal comportamento di un lavoratore, anche se impulsivo ed imprevedibile. Nel caso di specie, infatti, pur in assenza della nomina di un responsabile della prevenzione o di una adeguata formazione dei lavoratori, il dipendente aveva disatteso il preciso ordine di allontanarsi dal luogo, rivoltogli anche dal maresciallo dei carabinieri intervenuti, e si era lanciato invano nell’incendio, nel tentativo di porre in salvo i pulcini ricoverati nell’allevamento. La Corte romana, con la sentenza n. 39616 del 20 ottobre 2022, ha annullato la sentenza di condanna del datore di lavoro, rinviando il processo alla Corte di Appello, in diversa composizione, per la celebrazione di un nuovo processo di secondo grado per i fatti di causa. Per i giudici di legittimità, la responsabilità penale del datore di lavoro non sussiste quando il comportamento del dipendente, nello svolgimento delle sue mansioni, sia del tutto eccezionale ed imprevedibile, e cioè si concretizzi in una condotta abnorme e radicalmente lontano da tutte le ipotizzabili scelte possibili del lavoratore nella esecuzione del lavoro. Ricordando anche altre pronunce simili, la Cassazione ha concluso che il comportamento che risulti negligente, imprudente ed imprevedibile, da parte del lavoratore, pur se posto in essere nell’ambito delle mansioni che gli sono state affidate, costituisce la concretizzazione del cosiddetto “rischio eccentrico”, che esclude la responsabilità del datore, quale garante della sicurezza dei propri sottoposti. Solo quando si verifichi questa ipotesi, infatti, è del tutto ragionevole dedurre che nemmeno la puntuale e meticolosa predisposizione di tutti i presidi preventivi, compresa la formazione del personale e la designazione del responsabile della prevenzione, potrebbero scongiurare il verificarsi dell’evento dannoso – nel caso di specie mortale – a carico del lavoratore.