Studio Legale Di Biase

Sorveglianza digitale in azienda: senza fondato sospetto preventivo, i dati tecnologici sui dipendenti non possono fondare né il licenziamento né il risarcimento

Immagine estratta dal sito https://www.magnific.com/it


Il caso

Con ordinanza n. 7514, pubblicata il 29 marzo 2026, la Sezione Lavoro della Corte Suprema di Cassazione ha rigettato il ricorso proposto da una società datrice di lavoro avverso la sentenza della Corte d’Appello di Milano che aveva a sua volta confermato la pronuncia di primo grado di rigetto delle domande risarcitorie avanzate dalla medesima società nei confronti di alcuni propri dipendenti.

La vicenda trae origine da condotte tenute dai lavoratori e ritenute dalla società lesive dell’obbligo di fedeltà e causative di discredito verso un primario cliente. A sostegno delle proprie pretese risarcitorie, il datore di lavoro aveva prodotto registrazioni di telefonate effettuate, a quanto risulta dagli atti, su disposizione aziendale. Entrambi i giudici di merito avevano escluso la valenza probatoria di tali registrazioni, ritenendole acquisite in contrasto con l’art. 4 della Legge n. 300/1970 (Statuto dei Lavoratori), nella versione novellata dal d.lgs. n. 151/2015, quale controllo ex post dell’attività dei dipendenti.

Il quadro normativo: l’art. 4 dello Statuto dei Lavoratori e la distinzione tra controlli a distanza e controlli difensivi

Il fulcro della controversia risiede nell’interpretazione dell’art. 4 St. lav., norma cardine in materia di controllo tecnologico dei lavoratori, la quale subordina l’utilizzo di impianti audiovisivi e altri strumenti dai quali possa derivare il controllo a distanza all’accordo sindacale o all’autorizzazione dell’Ispettorato del lavoro, e impone che i lavoratori siano informati delle modalità d’uso degli strumenti e delle politiche di controllo adottate.

La giurisprudenza di legittimità, a partire dalla sentenza n. 25732/2021 — richiamata come leading case anche nell’ordinanza in commento — ha elaborato una distinzione di sistema tra due categorie concettualmente distinte:

  • i controlli a distanza “ordinari”, finalizzati alla tutela del patrimonio aziendale e riguardanti tutti i dipendenti o gruppi di dipendenti nello svolgimento della prestazione lavorativa, i quali ricadono pienamente nell’ambito applicativo dell’art. 4 St. lav. e devono essere realizzati nel rispetto di tutte le relative garanzie procedurali;
  • i controlli difensivi “in senso stretto”, diretti ad accertare specificamente condotte illecite ascrivibili — sulla base di concreti indizi — a singoli dipendenti, anche se attuati nel corso della prestazione di lavoro, i quali si collocano al di fuori del perimetro applicativo dell’art. 4, purché ricorrano precise condizioni.

Il principio di diritto: quando il controllo difensivo è lecito

La Corte ribadisce e consolida il principio enunciato in Cass. n. 25732/2021, secondo cui i controlli tecnologici difensivi sono consentiti esclusivamente ove finalizzati alla tutela di beni estranei al rapporto di lavoro o a prevenire comportamenti illeciti, in presenza di un fondato sospetto circa la commissione di un illecito e, soprattutto, a condizione che riguardino dati acquisiti successivamente all’insorgere del sospetto medesimo.

Il requisito temporale riveste, nell’impianto argomentativo della Corte, carattere assolutamente non derogabile.:

Il datore di lavoro può lecitamente raccogliere informazioni utilizzabili soltanto a partire dal momento in cui si è cristallizzato il fondato sospetto nei confronti del singolo lavoratore: non prima.

Tale limitazione non è meramente formale, ma risponde all’esigenza di garantire un corretto bilanciamento tra le esigenze di protezione degli interessi aziendali e le imprescindibili tutele della dignità e della riservatezza del lavoratore, valori costituzionalmente e convenzionalmente protetti.

Il divieto di legittimazione retroattiva: un principio senza eccezioni

Il profilo più rilevante — e di maggiore impatto pratico — dell’ordinanza in commento concerne l’irretroattività della legittimazione del controllo difensivo. La Corte afferma con nettezza che non è possibile rendere retroattivamente lecito un comportamento che tale non era al momento in cui fu tenuto.

Ciò significa, in concreto, che non assume alcuna rilevanza il fatto che i dati tecnologici siano stati materialmente estratti dai sistemi informatici aziendali solo successivamente al sorgere del sospetto, o addirittura dopo la cessazione del rapporto di lavoro. Ciò che conta è il momento in cui i dati sono stati originariamente acquisiti e le modalità con cui tale acquisizione è avvenuta: se in quel momento non sussisteva ancora un fondato sospetto, ovvero l’acquisizione è avvenuta in violazione dell’art. 4 St. lav., la prova è da ritenersi inutilizzabile.

Il divieto di utilizzo dei dati trattati illecitamente: un principio cardine tra Statuto dei Lavoratori e GDPR

«I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati.» (Cass. n. 18168/2023, richiamata da Cass. ord. n. 7514/2026)

Questo principio — enunciato con la forza di una regola assoluta e priva di deroghe — rappresenta il secondo pilastro su cui si regge l’intera architettura argomentativa dell’ordinanza in commento.

La Corte di Cassazione, richiamando espressamente Cass. n. 18168/2023 e la giurisprudenza ivi indicata, fonda il divieto di utilizzo processuale sulla previsione generale di cui all’art. 11, comma 2, del d.lgs. n. 196/2003 (Codice della Privacy), norma la cui ratio è oggi integralmente recepita e rafforzata dall’art. 5 del Regolamento (UE) 2016/679 (GDPR), che sancisce i principi fondamentali applicabili a qualsiasi trattamento di dati personali. DI conseguenza:

  • se l’acquisizione dei dati tecnologici è avvenuta in un momento antecedente al sorgere del fondato sospetto nei confronti del lavoratore, tale acquisizione si è realizzata in violazione delle prescrizioni dell’art. 4 St. lav. e, contestualmente, in assenza di una base giuridica legittima ai sensi del GDPR;
  • un trattamento originariamente illecito non può essere risanato da eventi sopravvenuti — quale la successiva emersione dell’illecito del dipendente — né dalla circostanza che i dati siano stati materialmente estratti dai sistemi solo in un momento successivo (l’illiceità si radica nel momento dell’acquisizione, non in quello dell’estrazione o dell’utilizzo).
  • la sanzione che l’ordinamento appresta per tale violazione è netta e non graduabile: quei dati non possono essere utilizzati, né nel procedimento disciplinare né, a fortiori, in sede giudiziaria a sostegno di una pretesa risarcitoria.

Il raccordo sistematico con il GDPR

Il principio così affermato trova piena corrispondenza nell’impianto del Regolamento europeo. Il principio di liceità, correttezza e trasparenza (art. 5, par. 1, lett. a, GDPR) e il principio di limitazione della finalità (art. 5, par. 1, lett. b, GDPR) impongono congiuntamente che i dati siano raccolti per finalità determinate, esplicite e legittime, su base giuridica previamente identificata, e non siano successivamente trattati in modo incompatibile con tali finalità.

Nel contesto lavorativo, la base giuridica per il trattamento dei dati dei dipendenti attraverso strumenti di controllo tecnologico deve essere individuata prima e indipendentemente dalla sopravvenienza di un sospetto: essa non può essere costruita retroattivamente:

il datore di lavoro che raccoglie sistematicamente dati relativi alle comunicazioni dei propri dipendenti — ancorché con strumenti aziendali — senza rispettare le condizioni previste dall’art. 4 St. lav. e senza una valida base giuridica ai sensi del GDPR, tratta quei dati illecitamente, con la conseguenza che nessun utilizzo successivo di tali dati potrà mai essere considerato legittimo, indipendentemente dalla gravità delle condotte che si intende provare.

Un monito per la compliance aziendale

L’autorevolezza con cui la Cassazione ribadisce questo principio impone alle imprese una riflessione profonda sulle proprie prassi di gestione dei dati in ambito lavorativo. Non è sufficiente disporre di sistemi tecnologici sofisticati, né invocare generiche esigenze di tutela del patrimonio aziendale: occorre che ogni raccolta di dati personali dei dipendenti sia preceduta da una valutazione giuridica rigorosa, che tenga conto della base normativa applicabile, del momento in cui il trattamento viene avviato e delle garanzie procedurali che devono essere rispettate.

In assenza di tale rigore preventivo, i dati raccolti — per quanto potenzialmente rivelatori di condotte illecite — saranno processualmente inutilizzabili, e l’intera strategia difensiva o risarcitoria del datore di lavoro risulterà privata del suo fondamento probatorio.


CHIEDI UN ESAME GRATUITO DEL TUO CASO

ARTICOLI DAL BLOG

Avvocato Lucio Di Biase

Lucio Di Biase

Avvocato

Telefono: +39 335 325917

E-mail: info@studiolegaledibiase.it

Iscritto all’Ordine degli Avvocati di Lanciano, negli ultimi venti anni l’Avv. Lucio Di Biase ha aiutato privati, professionisti, imprese, cooperative ed enti pubblici a risolvere i più comuni problemi legali, prestando attività di consulenza e assistenza nelle principali aree del diritto civile e nel relativo contenzioso, su tutto il territorio nazionale.
Dal 2014 al 2021 è stato consulente e legale esterno dell’ Azienda Territoriale per l’Edilizia Residenziale (ATER) di Lanciano (CH) per il recupero dei crediti nei confronti degli assegnatari di alloggi di ERP a titolo di canoni di locazione degli immobili strumentali di proprietà dell’Ente e per il rilascio forzoso dei medesimi.
E’ autore di articoli di approfondimento giuridico pubblicati sul sito dello Studio, con particolare attenzione ai temi della privacy, dell’intelligenza artificiale e dell’evoluzione normativa.

Accesso agli atti amministrativi Accountability GDPR Appalto Base giuridica trattamento Colleghi di lavoro Compliance GDPR Consenso genitori Controllo lavoratori Cyberbullismo; Danni da cose in custodia Dati sanitari Deepfake Divorzio DPIA valutazione d’impatto e-mail Foto bambini online Garante privacy GDPR Informativa privacy Intelligenza Artificiale (AI) Licenziamento Mantenimento del figlio maggiorenne Minimizzazione dei dati personali Minorenni Privacy dei bambini procedimento disciplinare Protezione dei dati Prove digitali Pubblica Amministrazione Responsabilità medica Revenge Porn Rischi AI Separazione Sharenting Sinistri stradali Social Media Spese condominiali Statuto dei Lavoratori Telecamere Trasferimento dei figli minori Trattamento dei dati e consenso Trattamento dei dati personali Vendita Videosorveglianza Videosorveglianza enti pubblici