Privacy

ART.
4 STATUTO LAVORATORI E
NORMATIVA PRIVACY
Bilanciamento tra potere di controllo e utilizzo dei dati

raccolti e tutela della riservatezza del lavoratore
Lavoro, Diritto D’Impresa e Rapporti con la PA

CONTROLLI A DISTANZA
art. 4 commi 1, 2, 3 l. 300/1970 Testo vigente
1. Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di
controllo a distanza dell’attività dei lavoratori possono essere impiegati
esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e
per la tutela del patrimonio aziendale e possono essere installati previo accordo
collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze
sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in
diverse province della stessa Regione ovvero in più Regioni, tale accordo può essere
stipulato dalle associazioni sindacale comparativamente più significative sul piano
nazionale. In mancanza di accordo, gli impianti e gli strumenti di cui al primo periodo
possono essere installati previa autorizzazione della sede territoriale dell’Ispettorato
nazionale del lavoro o, in alternativa, nel caso di imprese con unità produttive
dislocate negli ambiti di competenze di più sedi territoriali, della sede centrale
dell’Ispettorato nazionale del lavoro. I provvedimenti di cui al terzo periodo sono
definitivi.
Lavoro, Diritto d’Impresa e Rapporti con la PA 2
art. 4 commi 1, 2, 3 l. 300/1970 Testo vigente
2. La disposizione di cui al comma 1 non si applica agli strumenti utilizzati dal

lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione
degli accessi e delle presenze.
3. Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini

connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata
informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli
nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196.

art. 4 comma 1, l n. 300/1970
❑ Impianti audiovisivi e gli altri strumenti da cui derivi

anche la possibilità del controllo a distanza dei
lavoratori
impiego esclusivamente per
✓ esigenze organizzative e produttive

✓ sicurezza del lavoro
✓ tutela del patrimonio aziendale

CONDIZIONI PER L’INSTALLAZIONE
✓previo accordo con RSU o RSA

✓impresa plurilocalizzata (stessa Regione o più Regioni)
possibilità di stipula dell’accordo collettivo

con le associazioni sindacali
comparativamente più rappresentative sul
piano nazionale

in mancanza di accordo
✓previa autorizzazione dell’ITL
✓in alternativa per l’impresa plurilocalizzata in ambiti di

competenza di più ITL, previa autorizzazione INL

art. 4 comma 2, l n. 300/1970
❑ Strumenti
✓ utilizzati dal lavoratore per rendere la prestazione lavorativa

✓ di registrazione degli accessi e delle presenze
no verifica sussistenza finalità predeterminate
no accordo sindacale né autorizzazione amministrativa

art. 4 comma 3, l n. 300/1970
❑ utilizzabilità delle informazioni raccolte ai sensi dei

commi 1 e 2
a tutti i fini connessi al rapporto di lavoro

art. 4 comma 3, l n. 300/1970
Condizioni di utilizzo delle informazioni
❑ Adeguata informazione al lavoratore
✓ delle modalità d’uso degli strumenti

✓ delle modalità di effettuazione dei controlli
❑ Rispetto della disciplina Privacy

Grazie per l’attenzione
Legale, Diritto d’Impresa e Rapporti con la PA

Rubina Nolli
VIDEOSORVEGLIANZA
23 febbraio 2021

ISTANZA ALL’ISPETTORATO DEL LAVORO
PROCEDURA E CONTENUTO
Legale, Diritto d’Impresa e Rapporti con la PA 12

ISTANZA ALL’ISPETTORATO
SINTESI
• Compilazione in ogni parte del modulo INL

• Allegazione di una relazione tecnica, a firma del legale rappresentante, relativa a:
➢ Esigenze di carattere organizzativo e produttivo, sicurezza sul lavoro, tutela del
patrimonio aziendale
➢ Modalità di funzionamento, conservazione e gestione dei dati, in particolare:
✓ Caratteristiche tecniche delle telecamere
✓ Modalità di funzionamento del dispositivo di registrazione
✓ Numero dei monitor di visualizzazione e loro posizionamento
✓ Fascia oraria di attivazione dell’impianto
✓ Tempi di conservazione delle immagini
✓ Specifiche modalità di funzionamento del sistema di videosorveglianza
• Marca da bollo da Euro 16,00
PROCEDURA
SINTESI
• A seguito della presentazione della istanza, segue solitamente un accesso

ispettivo
• Termine di 60 giorni per l’adozione del provvedimento da parte dell’Ispettorato
• NO silenzio assenso – Interpello Min. Lav. n. 3/2019
• Provvedimento dell’Ispettorato è definitivo

ISTRUTTORIA DELLE DOMANDE ALL’ISPETTORATO
CIRCOLARE INL N. 5 DEL 19 FEBBRAIO 2018
• Oggetto di istruttoria: effettiva sussistenza delle ragioni legittimanti

• NO valutazione di aspetti tecnici particolari
Eventuali condizioni poste per l’utilizzo devono essere necessariamente correlate

alla specifica finalità individuata nell’istanza
• La ripresa dei lavoratori, di norma, deve avvenire in via incidentale o

occasionalmente
MA
Se funzionale alle ragioni indicate, è possibile inquadrare direttamente il
lavoratore senza introdurre condizioni, quali, «l’angolo di ripresa» o «l’oscuramento
del volto»
• NON è fondamentale precisare numero e luogo di posizionamento delle
telecamere
• La ragione indicata nell’istanza non può essere modificata nel tempo
• In caso di modifica delle ragioni è necessaria una nuova istanza
• L’attività di controllo è legittima se funzionale all’interesse dichiarato
• I eventuali controlli ispettivi successivi all’autorizzazione verificheranno che la
modalità di utilizzo degli strumenti di controllo sia conforme e coerente alle finalità
dichiarate.

CAUSALE: TUTELA DEL PATRIMONIO AZIENDALE
«PATRIMONIO AZIENDALE»
è concetto ampio che necessita di attenta valutazione

FATTISPECIE A)
Dispositivi collegati ad impianti antifurto – Nota INL n. 229/2017
➢ Sono soggetti alla preventiva procedura di accordo con RSA o RSU o all’autorizzazione
dell’Ispettorato
➢ Sono legittimi ai sensi dell’art. 4, comma 1, Stat. Lav.
➢ In caso di attivazione esclusivamente ad impianto di allarme inserito: NO controllo
preterintenzionale
➢ Inesistente attività istruttoria, quindi, celere approvazione della istanza
CAUSALE: TUTELA DEL PATRIMONIO AZIENDALE
FATTISPECIE B)
Dispositivi operanti in presenza di personale aziendale
➢ Rispetto dei principi di legittimità e determinatezza del fine perseguito
➢ Rispetto dei principi di proporzionalità, correttezza e non eccedenza
➢ Gradualità nell’ampiezza e tipologia di monitoraggio
➢ Carattere residuale dei controlli più invasivi
➢ Possibilità di utilizzo in presenza di specifiche anomalie e comunque a seguito

dell’esperimento di misure preventive meno limitative
➢ Considerazione anche dell’intrinseco valore e agevole asportabilità dei beni

CAUSALE: SICUREZZA DEL LAVORO
CIRCOLARE INL N. 302 DEL 18 GIUGNO 2018
«SICUREZZA AZIENDALE»
➢ Evidenza delle ragioni di natura prevenzionistica
➢ Allegazione di documentazione a supporto
Estratto del DVR dal quale risulti, in stretta connessione teleologica, la necessità
dell’installazione dell’impianto come misura necessaria ed adeguata per ridurre i
rischi di salute e sicurezza
NB: se non aggiornato, il DVR deve essere previamente aggiornato

SISTEMI DI VIDEOSORVEGLIANZA
• Tecnologie IP, che consentono il trasferimento di dati video e audio in formato

digitale da un PC all’altro, con impianti a circuito chiuso, collegato a intranet
aziendale o via internet a postazione remota
• Visione da postazione remota: autorizzabile se sussistono le ragioni giustificatrici
tuttavia
➢ Accesso da remoto ad «immagini in tempo reale»: autorizzabili solo in casi
eccezionali e debitamente motivati
➢ Accesso a «immagini registrate» sia «in loco» che da remoto: tracciamento dei log
di accesso per un periodo non inferiore a sei mesi. Non più necessario il sistema a
«doppia chiave fisica o logica»
• Perimetro spaziale: luoghi di svolgimento attività in modo saltuario o occasionale
• NO istanza per zone estranee alle pertinenze della azienda

TEMPI DI CONSERVAZIONE DEI DATI
Linee Guida Garante Privacy del 08 aprile 2010

➢ Periodo limitato a poche ore, o al massimo 24 ore
➢ Sono fatte salve particolari esigenze in relazione a festività o chiusura uffici
➢ Per attività particolarmente rischiosa o per peculiari esigenze tecniche, è
ammesso un tempo di conservazione più ampio, non oltre la settimana
➢ Per specifiche esigenze di sicurezza, per durata superiore alla settimana, verifica
preliminare al Garante
➢ Cancellazione automatica dei dati anche con sovrascrittura
➢ In caso di cancellazione manuale, provvedere nel più breve tempo possibile

TEMPI DI CONSERVAZIONE DEI DATI
Linee Guida 3/2019 Comitato Europeo per la Protezione dei Dati

FAQ n. 5 Garante Privacy del 01 dicembre 2020
➢ Conservazione delle immagini per il tempo necessario rispetto alle finalità per le quali sono
acquisite
➢ Principio di responsabilizzazione del titolare del trattamento
➢ Il titolare del trattamento individua i tempi, tenuto conto del contesto, delle finalità del
trattamento, del rischio per i diritti e libertà delle persone fisiche, fatte salve specifiche norme
di legge
➢ Per motivi di sicurezza e protezione del patrimonio, solitamente, è possibile individuare
eventuali danni in uno o due giorni
➢ Cancellazione entro pochi giorni preferibilmente con meccanismi automatici
➢ Per tempistiche superiori a 72 ore necessaria approfondita argomentazione
➢ Eventuale prolungamento a fronte di espressa richiesta di Autorità Giudiziaria (FAQ N. 6)
CAMBIO DI TITOLARITA’ DELL’IMPRESA
NOTA INL N. 1881 DEL 25 FEBBRAIO 2019
Cambio della titolarità dell’impresa che ha installato impianti audiovisivi già

oggetto di autorizzazione da parte dell’Ispettorato del Lavoro
• Il mero subentro di un nuovo soggetto non integra di per sé profili di illegittimità

SE
➢ Non intervengono cambiamenti dei presupposti legittimanti
➢ Non intervengono cambiamenti delle modalità di funzionamento
DIVERSAMENTE: è necessaria una nuova istanza
• Il titolare subentrante è opportuno che:

➢ Comunichi all’Ufficio che l’ha rilasciato gli estremi dell’autorizzazione
➢ Renda dichiarazione per attestare che non sono mutati né i presupposti né
le modalità di funzionamento

SINTESI DEGLI ADEMPIMENTI
IN MATERIA PRIVACY

INFORMATIVA AGLI INTERESSATI
Linee Guida 3/2019 Comitato Europeo per la Protezione dei Dati

FAQ n. 3 e 4 Garante Privacy del 01 dicembre 2020
➢ Utilizzo di un modello semplificato (informazione di primo livello)

➢ Collocazione prima dell’accesso alla zona videosorvegliata in luogo visibile
➢ Riferimenti al titolare del trattamento, finalità perseguita e al testo completo della
informativa ex art. 13 GDPR, indicando come e dove trovarla
➢ Obbligo di informativa agli interessati ex art. 13 GDPR (informazione di secondo
livello)
• Nel caso di rapporto di lavoro, precisare anche l’utilizzo dei dati ai fini disciplinari

INFORMATIVA AGLI INTERESSATI
PRIMO LIVELLO

ADEMPIMENTI ULTERIORI
• NO autorizzazione del Garante per l’installazione degli impianti (FAQ 2 01/12/20)

• Nomina per iscritto di incaricati ed eventuali responsabili del trattamento
• Delimitazione dei compiti assegnati
• Adozione di misure di sicurezza adeguate e preventive dei dati
➢ In caso di attribuzione di compiti differenziati agli operatori, stabilire diversi livelli di
visibilità e trattamento, nonché diverse credenziali
➢ In caso di conservazione delle immagini, prevedere sistemi di cancellazione
automatica
➢ Misure precauzionali in caso di manutenzione
➢ Apparati connessi a reti informatiche devono essere protetti da accessi abusivi

• Integrazione della protezione dei dati e tutela della privacy non solo nelle
specifiche di progettazione, ma anche nelle pratiche organizzative
• Eventuale valutazione di impatto sulla protezione dei dati ex art. 35, par. 1, GDPR
• Cautele in caso di sistemi di videosorveglianza integrati tra diversi soggetti,
pubblici e privati
• NO necessità del consenso del lavoratore, nel bilanciamento degli interessi
coinvolti

CASI PRATICI

VIOLAZIONE OBBLIGHI INFORMAZIONE
PROVVEDIMENTO GPDP N. 256 DEL 2020
SINTESI DEI FATTI

• Impianto di videosorveglianza installato nel 2009, integrato nel 2019, presso un hotel
• Causale: monitorare gli ospiti e motivi di sicurezza
• No registrazione immagini né audio
• Immagini visibili solo da postazione fissa
• Assenza di cartelli informativi dell’impianto
ESITO DELL’ISTRUTTORIA e DEL PROCEDIMENTO
• Accertata violazione dell’obbligo di informativa agli interessati
• Il sistema di video sorveglianza risulta essere illecito
• Emissione di ordinanza ingiunzione con sanzione di Euro 3.000,00
➢ Valutazione della condotta negligente
➢ Numero degli interessati coinvolti
➢ Assenza di precedenti specifici
➢ Cooperazione della società e condizioni economiche della stessa

VIOLAZIONE OBBLIGO INFORMAZIONE
«L’art. 4 St. Lav. stabilisce che le apparecchiature dalle quali possa derivare il
controllo a distanza del lavoratore debba essere autorizzato, e condiziona
l’utilizzabilità dei dati acquisiti all’avvenuta “adeguata informazione delle modalità
d'uso degli strumenti e di effettuazione dei controlli” nei confronti dei lavoratori. Ciò
detto, non è sufficiente per ritenere rispettata tale previsione la circostanza che i
lavoratori fossero a conoscenza della presenza di telecamere, dovendo
l’informazione essere estesa alle modalità d’uso dei dati acquisiti ivi compresa,
soprattutto, la possibilità di effettuare controlli sulla prestazione lavorativa»
Tribunale Venezia, 23/07/2020, n.198

TEMPI DI CONSERVAZIONE DELLE IMMAGINI
TEMPROVVEDIMENTO GPDP N. 39 DEL 2019
SINTESI DEI FATTI

• Impianto di videosorveglianza installato presso esercizio commerciale
• Subentro nel 2014 dell’attuale titolare, impianto installato dal precedente
• Conservazione delle immagini per un periodo, quantomeno, di 12 giorni
• Accertata violazione delle tempistiche di conservazione delle immagini
• Imputabilità al soggetto che utilizza l’impianto
• Emissione di ordinanza ingiunzione con sanzione di Euro 11.940,00
➢ Opera svolta dall’agente per eliminare le conseguenze violazione
➢ Gravità della violazione
➢ Personalità e condizioni economiche del contravventore

MANCATO RISPETTO DELLE GARANZIE ART. 4 ST. LAV.
PROVVEDIMENTO GPDP N. 230 DEL 2014
SINTESI DEI FATTI

• Impianto di videosorveglianza installato presso esercizio commerciale
• Causale: tutela del patrimonio aziendale e deterrente per commissione di illeciti
• Conservazione immagini per 7 giorni, con sovrascrittura automatica
• Cartello di avviso non conforme, precisato solo «locale videosorvegliato»
• Informativa ai dipendenti con consenso degli stessi
• Accertata assenza delle procedure ex art. 4 L. 300/1970
• Irrilevanza del consenso dei lavoratori
• Trattamento illecito dei dati a mezzo videosorveglianza
• Prescrizione di attivare entro 30 giorni le procedure ex art. 4 Stat. Lav.

UN CASO PARTICOLARE
CORTE EUROPEA DIRITTI DELL’UOMO n.8567/2019
«Non viola l'art. 8 CEDU la videosorveglianza occulta dei dipendenti giustificata dal
ragionevole sospetto di furti e dalle relative perdite economiche, tenendo conto
dell'entità e delle conseguenze della misura. I tribunali nazionali non hanno superato
il loro potere discrezionale nel bilanciare i diritti dei lavoratori e del datore di lavoro e
valutare il monitoraggio proporzionato e legittimo»
Corte europea diritti dell'uomo, 17/10/2019, n.8567
NB: art 8 CEDU relativo al rispetto della vita privata, familiare, del domicilio e
corrispondenza

IL COMMENTO DEL PRESIDENTE DEL GPDP
«La sentenza della Grande Camera della Corte di Strasburgo se da una parte giustifica, nel caso di specie, le
telecamere nascoste, dall'altra conferma però il principio di proporzionalità come requisito essenziale di
legittimazione dei controlli in ambito lavorativo.
L'installazione di telecamere nascoste sul luogo di lavoro è stata infatti ritenuta ammissibile dalla Corte solo perché,
nel caso che le era stato sottoposto, ricorrevano determinati presupposti: vi erano fondati e ragionevoli sospetti di
furti commessi dai lavoratori ai danni del patrimonio aziendale, l'area oggetto di ripresa (peraltro aperta al pubblico) era
alquanto circoscritta, le videocamere erano state in funzione per un periodo temporale limitato, non era possibile
ricorrere a mezzi alternativi e le immagini captate erano state utilizzate soltanto a fini di prova dei furti commessi.
La videosorveglianza occulta è, dunque, ammessa solo in quanto extrema ratio, a fronte di "gravi illeciti" e con modalità
spazio-temporali tali da limitare al massimo l'incidenza del controllo sul lavoratore. Non può dunque diventare una
prassi ordinaria.
Il requisito essenziale perché i controlli sul lavoro, anche quelli difensivi, siano legittimi resta dunque, per la Corte, la
loro rigorosa proporzionalità e non eccedenza: capisaldi della disciplina di protezione dati la cui "funzione sociale" si
conferma, anche sotto questo profilo, sempre più centrale perché capace di coniugare dignità e iniziativa
economica, libertà e tecnica, garanzie e doveri»
Antonello Soro, Presidente Garante Privacy

LA PIU’ RIGOROSA POSIZIONE ITALIANA
ATTENZIONE!!!
SERVE SEMPRE IL RISPETTO DELLE PROCEDURE ART. 4 STAT. LAV.
(Tribunale di Milano 13 marzo 2019, Tribunale Padova 22 gennaio 2018)

BADGE E
SISTEMI DI RILEVAZIONI DI ACCESSI
23 febbraio 2021

ACCESSI CON BADGE E
UTILIZZO DEI DATI BIOMETRICI

CONTROLLO DEGLI ACCESSI
Art. 4, comma 2, L. 300/1970
«La disposizione di cui al comma 1 non si applica agli strumenti utilizzati dal
lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli
accessi e delle presenze»
a) Non sono strumenti di controllo

b) NO previo accordo con RSU/RSA né autorizzazione dell’Ispettorato del Lavoro
SEMPRE E COMUNQUE?

ADEMPIMENTI PRIVACY
ATTENZIONE!
Necessaria completa informativa agli interessati
(tra i vari: finalità perseguita, utilizzo anche ai fini disciplinari, modalità di trattamento,
indicazione delle cautele, tempi di conservazione dei dati, natura obbligatoria o
meno del dato, ecc)

DATI BIOMETRICI
DEFINIZIONE
«Dati ricavati da proprietà biologiche,

aspetti comportamentali, caratteristiche fisiologiche, tratti biologici o azioni ripetibili
laddove tali caratteristiche o azioni sono tanto proprie di un certo individuo quanto
misurabili, anche se i metodi usati nella pratica per misurarli tecnicamente comportano
un certo grado di probabilità»
Linee Guida in materia di riconoscimento biometrico e firma grafometrica

(Allegato del Provvedimento generale prescrittivo in tema di biometria – 12/11/2014)
ATTENZIONE!!!
VALIDE SINO AL 25 MAGGIO 2018

LINEE GUIDA GPDP IN MATERIA DI DATI BIOMETRICI 2014
• NO utilizzo generalizzato
• Consentito l’uso in caso di:
➢ Accesso fisico ad aree e locali ristrette o riservate
➢ Apertura di varchi
➢ Utilizzo di macchinari ed apparati pericolosi solo da parte di soggetti
qualificati
• Finalità del trattamento: principalmente di sicurezza, protezione patrimoniale,
tutela dell’incolumità di persone
• Non necessario il consenso degli interessati (bilanciamento di interessi
considerate le finalità)

• Cancellazione dei dati grezzi e dei campioni biometrici immediata dopo la

trasformazione in modelli biometrici
• Trasmissioni dei dati tra dispositivi di acquisizione e postazioni di lavoro rese
sicure da tecniche crittografate con utilizzo di chiavi di cifratura
• In caso di esclusiva conservazione del dato su supporto portatile (smart card):
➢ Supporto rilasciato in unico esemplare nell’esclusiva disponibilità
dell’interessato
➢ Distruzione in caso di cessazione delle finalità
➢ Protezione da accessi non autorizzati dell’area di memoria dei dati
➢ Dato biometrico è cifrato

• In caso di utilizzo di un dispositivo lettore (controller di varco):

➢ Registrazione accessi, con raccolta dei log
➢ Adozione di misure idonee per contrastare modifiche o installazioni di sistemi non
autorizzate, accessi abusivi, manomissioni
➢ Cifratura del dato biometrico
➢ Conservazione dei riferimenti biometrici per il tempo strettamente necessario
➢ Conservazione dei riferimenti biometrici separatamente dai dati identificativi
➢ Meccanismi di cancellazione automatica dei dati alla cessazione degli scopi
• È esclusa la realizzazione di archivi biometrici centralizzati
• Esonero verifica preliminare nel rispetto di quanto sopra, altrimenti la verifica è
necessaria
• Notificazione al Garante
ADEMPIMENTI PRIVACY
ATTENZIONE!
Necessaria completa informativa agli interessati
(tra i vari: finalità perseguita, utilizzo anche ai fini disciplinari, modalità di trattamento,
indicazione delle cautele, tempi di conservazione dei dati, natura obbligatoria o
meno del dato, ecc)

DAL 25 MAGGIO 2018
ATTENZIONE!!!!
PROVVEDIMENTO GPDP N. 16 DEL 14 GENNAIO 2021
(Newsletter GPDP n. 473 del 19 FEBBRAIO 2021)

ART. 9, COMMA 1, GDPR
IL TRATTAMENTO DELLE CATEGORIE PARTICOLARI DI DATI
E’ VIETATO
«È vietato trattare dati personali che rivelino l'origine razziale o etnica, le opinioni politiche,
le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati
genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi
alla salute o alla vita sessuale o all'orientamento sessuale della persona »

TRATTAMENTO DATI BIOMETRICI POST GDPR
PROVVEDIMENTO GPDP N. 16 DEL 14 GENNAIO 2021
DATI BIOMETRICI
DA SENSIBILI A CATEGORIA PARTICOLARE
TUTELA RAFFORZATA
«Il rafforzamento delle tutele dei dati biometrici previste nel Regolamento e nel Codice, come
modificato dal d.lgs. n. 101/2018, mediante l’inclusione degli stessi nelle categorie di dati particolari, al
pari dei dati sulla salute e genetici, tra quelle assistite cioè da un più elevato livello di garanzie (art. 9,
par. 2 e par 4, del Regolamento), ha riguardato in primis i presupposti giuridici che rendono leciti i
trattamenti di tali categorie di dati, prima ancora che gli aspetti di natura tecnica e le misure di
sicurezza»

NEL CONTESTO LAVORATIVO
Rilevazione delle presenze dei dipendenti e di verifica dell’osservanza dell’orario di lavoro

Possono rientrare
➢ Art. 9, comma 2, lett. b): «il trattamento è necessario per assolvere gli obblighi ed esercitare i
diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della
sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell'Unione
o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in
presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell'interessato»
ovvero
➢ Art. 9, comma 2, lett. g): «il trattamento è necessario per motivi di interesse pubblico rilevante
sulla base del diritto dell'Unione o degli Stati membri, che deve essere proporzionato alla finalità
perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e
specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato»

PRINCIPIO DELINEATO
«affinché uno specifico trattamento avente a oggetto dati biometrici possa essere
lecitamente iniziato è necessario che lo stesso trovi il proprio fondamento in una
disposizione normativa che abbia le caratteristiche richieste dalla disciplina di protezione
dei dati, anche in termini di proporzionalità dell’intervento regolatorio rispetto alle finalità che
si intendono perseguire. Ciò in quanto, la base giuridica del trattamento, per poter essere
considerata una valida condizione di liceità del trattamento, deve, tra l’altro, “persegu[ire] un
obiettivo di interesse pubblico ed [essere] proporzionato all’obiettivo legittimo perseguito”
(art. 6, par. 3, lett. b), del Regolamento)»
NB: Irrilevanza del consenso dell’interessato

DECISIONE
• Trattamento illecito
• Cancellazione dei dati entro 60 giorni
• Comunicazione al Garante, entro 30 giorni, delle iniziative per assicurare la
cessazione del trattamento
• Applicazione di sanzione pecuniaria pari ad Euro 30.000,00
➢ Errore non scusabile
➢ Sospensione tempestiva
➢ Insussistenza di precedenti

CASI PRATICI

UTILIZZO DEL BADGE ANCHE PER ALTRE FUNZIONI
CORTE APPELLO VENEZIA N. 439 DEL 2019
I FATTI DI CAUSA
➢ Dipendente munita di badge elettronico
➢ Licenziamento per avere violato per 52 volte la terza timbratura in nove mesi
➢ Badge usato per accessi e unico mezzo per pagare il pranzo, con addebito diretto
in busta paga, presso il ristorante gestito da terzi sito nel plesso aziendale
➢ Lavoratrice si difende dicendo di avere consumato veloci snack
➢ Datore accede agli orari di timbratura e costo dei pasti, e recupera dal gestore del
ristorante gli orari degli scontrini e le pietanze consumate (primi e secondi)

DECISIONE
Violazione dell’art. 4 Stat. Lav. – badge è strumento di controllo – licenziamento
illegittimo – NO reintegra ma indennità pari a 20 mensilità
Il badge assolve a tre funzioni

1) Mezzo di registrazione entrata e uscita
(legittimo)
2) Strumento di pagamento
(legittimo)
3) Consente di verificare orario di pagamento e tipologia di consumazioni
(invasivo e occulto, in quanto consente a terzi, compreso il datore, di verificare orario di
pagamento e tipologia di consumazioni, assenza di informativa)
BADGE A RADIO FREQUENZA
TECNOLOGIA RFID
➢ Tecnologia di identificazione automatica basata sulla propagazione nell’aria di

onde elettro-magnetiche, consentendo la rilevazione univoca, automatica (hand
free), massiva e a distanza di oggetti, animali e persone sia statici che in
movimento
➢ Sistema composto da un’etichetta (tag o transponder) e da un lettore (reader o
transcriever)
➢ Funziona con onde elettromagnetiche oppure onde radio

RILEVAZIONI DEL BADGE RFID
CASSAZIONE N. 9904 DEL 2016
I FATTI DI CAUSA
➢ Il lavoratore (con funzioni di controllo della manutenzione), in accordo con altri
quattro colleghi, procede a timbrature false anche per conto degli altri, con esiti di
presenze superiori al reale
➢ Badge con sistema RFID
➢ Il datore rileva anomalie per non coincidenza delle timbrature del lavoratore in
entrata e in uscita, rispetto agli effettivi orari osservati
La Corte rileva la conferma che il badge con tecnologia RFID consente la trasmissione,
mediante sistema on line, alla centrale operativa di Roma di "tutti i dati acquisiti tramite la
lettura magnetica del badge del singolo lavoratore, riguardanti non solo l'orario di
ingresso e di uscita, ma anche le sospensioni, i permessi, le pause
DECISIONE
Reintegrazione nel posto di lavoro e nelle mansioni e al pagamento, a titolo
risarcitorio, di indennità commisurata all'ultima retribuzione globale di fatto dalla data
del licenziamento a quella di effettiva reintegrazione, oltre interessi e rivalutazione
«Il sistema di controllo delle presenze del personale che consente la trasmissione, tramite
apposita tecnologia, di tutti i dati acquisiti tramite la lettura magnetica del badge in uso al
singolo lavoratore (riguardanti non solo gli orari di ingresso e di uscita, ma anche
sospensioni, permessi, pause, ecc.) realizza una modalità di controllo a distanza ai sensi
dell'art. 4 l. n. 300 del 1970, che è illegittima (con conseguente inutilizzabilità dei dati assunti
a fondamento di un licenziamento disciplinare) laddove, come nella specie, non abbia
costituito oggetto di accordo con le rappresentanze sindacali o di autorizzazione da parte
dell'autorità amministrativa»

TIMBRATURA A MEZZO APP
PROVVEDIMENTO N. 350 DEL 08 SETTEMBRE 2016
SINTESI DELLE PREMESSE

• Verifica preliminare richiesta da due agenzie di somministrazione
• Sistema di rilevazione presenze del personale in missione fuori sede
• Installazione di app sul cellulare per rilevare l’inizio e la fine dell’attività lavorativa
• App prevede l’uso di geolocalizzazione
• Finalità:
➢ snellire le procedure di gestione amministrativa del rapporto con dipendenti e
fatturazione ai clienti
➢ Semplificare e rendere più efficiente la rilevazione delle presenze
• Uso non obbligatorio dell’app
• Conservazione dei dati ai fini del rapporto di lavoro per 5 anni, e dati per fatturazione per
10 anni

INDICAZIONI DEL GARANTE
• Liceità del trattamento di rilevazione presenze, in linea generale
• Necessità, pertinenza e non eccedenza dei dati tratti
➢ «Privacy by design»: correttivi in ragione dei limiti di accuratezza dei sistemi di
geolocalizzazione
➢ Cancellazione delle coordinate geografiche di posizione
• Individuazione di un legittimo interesse delle società (bilanciamento di interessi)
• Autorizzazione dei tempi di conservazione
• Led che informa della attivazione della geolocalizzazione
• Impedire il trattamento di dati ultronei (traffico telefonico, sms, ecc)
• Informativa completa ai dipendenti
• Designare incaricati e responsabili del trattamento
• Adottare misure di sicurezza dei dati
NOZIONE DI TRATTAMENTO DATO BIOMETRICO
CASS. 25686 DEL 15 OTTOBRE 2018
FATTI DI CAUSA
• Rilevazione delle presenze con dati biometrici della mano
• Opposizione ad ordinanza ingiunzione del GPDP per Euro 66.000,00
• Accoglimento da parte del Tribunale di Catania
«non ogni volta che in qualunque attività vengano coinvolti dati
personali e/o biometrici delle persone si ha per ciò solo trattamento di
quei dati nei modi rilevanti per la normativa invocata…(nel caso di
specie, n.d.r.) Il dato biometrico è utilizzato come individualizzante,
ma non come identificante»
• Il lavoratore verrebbe identificato per il badge (che contiene un codice numerico associato
ai dati biometrici) e non per i dati biometrici

NOZIONE DI TRATTAMENTO DATO BIOMETRICO
CASS. 25686 DEL 15 OTTOBRE 2018
DECISIONE
Il sistema adottato dalla società comporta trattamento di dati biometrici
«Il dettato normativo espressamente considera irrilevante, ai fini della configurabilità del
trattamento di dati personali, la mancata registrazione degli stessi in apposita banca dati,
essendo sufficiente anche un'attività di raccolta ed elaborazione temporanea. Parimenti, alla
luce delle definizioni normative sopra riportate, devono ritenersi prive di incidenza le ulteriori
circostanze valorizzate dal Tribunale, attraverso il richiamo al verbale redatto dall'Ispettorato
del lavoro di Catania in data 23 giugno 2009.
Nè il fatto che il modello archiviato, realizzato attraverso la compressione dell'immagine
della mano, consista in un numero che non è di per sè correlabile al dato fisico, nè il fatto
che, partendo da detto numero, non sia possibile ricostruire l'immagine della mano in quanto
l'algoritmo è unidirezionale ed irreversibile, escludono che si versi in ipotesi di trattamento di
dati biometrici»

RILEVAZIONE PRESENZE CON IMPRONTA DIGITALE
PROVVEDIMENTO GPDP N. 357 DEL 15 SETTEMBRE 2016
SINTESI DELLE PREMESSE

• Verifica preliminare da parte di struttura ospedaliera di Salerno
• Interessati 2000 dipendenti di cui 850 con ipotesi di truffa aggravata e false
attestazioni di presenza
• Finalità di:
➢ rispetto della legalità
➢ Certezza della prestazione lavorativa
➢ Ripristinare fiducia nell’utenza per la tutela della propria salute
• Il sistema si collocherebbe nell’ambito dell’applicazioni di sanzioni disciplinari
• Responsabile della struttura spesso impegnato nella pratica medica e chiururgica
• Valutate altre misure, ma di sicura inefficacia (ad esempio tornelli)
• No memorizzazione del dato biometrico ma della sola presenza
• Volatilità del dato biometrico, che è crittografato in forma numerica ad uso eslcuivo
del lavoratore
PROVVEDIMENTO GPDP N. 357 DEL 15 SETTEMBRE 2016
DECISIONE DEL GARANTE

• Ipotesi richiesta dalla azienda è soggetto a verifica preliminare
• Il datore di lavoro è tenuto ad utilizzare strumenti meno invasivi
• Nel caso di specie, viste le premesse, il trattamento dei dati biometrici risulta
essere lecito, e idoneo a soddisfare i principi di necessità e proporzionalità rispetto
alle finalità perseguite
• Obbligo di fornire un’informativa completa ai dipendenti
• Adottare misure di sicurezza a tutela della integrità dei dati
• Garantire agli interessati l’esercizio dei propri diritti

Area Legale, Diritto d’Impresa e Rapporti con la PA

Arianna Moreschi
La Geolocalizzazione nel rapporto di lavoro
23 febbraio 2021

STRUMENTI DI LAVORO O DI CONTROLLO?
art. 4, comma 2, legge n.300/70 art.4, comma 1, legge n.300/70
NO accordo sindacale
(in mancanza)
NO autorizzazione ITL

INL - CIRCOLARE 7 NOVEMBRE 2016, N.2
STRUMENTI DI LAVORO
Apparecchi, dispositivi, apparati e congegni che siano il

mezzo indispensabile per adempiere la prestazione
lavorativa

INL – CIRCOLARE 7 NOVEMBRE 2016, N.2
SISTEMI DI GEOLOCALIZZAZIONE
elementi «aggiunti» agli strumenti di lavoro per rispondere ad esigenze

ulteriori rispetto all’adempimento della prestazione lavorativa
In casi eccezionali
Se installati allo scopo di Se installati perché richiesti da

consentire la concreta ed effettiva specifiche normative (ex: trasporto
attuazione della prestazione portavalori > euro 1.500.000,00=)
lavorativa
strumenti di lavoro

GPS SUI VEICOLI

GPS sui veicoli – Linee Guida (Provvedimento del Garante della
Privacy 4 ottobre 2011)
LICEITA’ DEL TRATTAMENTO – CONDIZIONI:
> ESIGENZE PRODUTTIVE/ORGANIZZATIVE/DI SICUREZZA DEL LAVORO:
>logistiche (istruzioni tempestive ai conducenti);
>elaborazione rapporti di guida per commisurare il tempo di lavoro del

conducente o per commisurare i costi da imputare alla clientela;
>assicurare una più efficiente gestione del parco macchine.
>RISPETTO DELL’ART.4, COMMA 1, LEGGE N.300/1970
> dalla geolocalizzazione può derivare una forma di controllo a distanza

GPS sui veicoli: Linee Guida
>DATI PERTINENTI E NON ECCEDENTI:
>ubicazione veicoli – distanza percorsa – tempi di percorrenza –carburante consumato – velocità

media del veicolo
>PRINCIPIO DI NECESSITA’:
>la posizione del veicolo non deve essere monitorata continuamente ma solo se necessario per le
finalità perseguite
>TEMPI DI CONSERVAZIONE COMMISURATI ALLE FINALITA’
>I DATI RELATIVI ALLA GEOLOCALIZZAZIONE DEVONO ESSERE TRATTATI UNICAMENTE DA

INCARICATI
>I FORNITORI DEL SERVIZIO DEVONO ESSERE DESIGNATI RESPONSABILI DEL TRATTAMENTO

GPS sui veicoli: Linee guida
INFORMATIVA AI LAVORATORI
«minima» - vetrofania con la dicitura completa (natura dei dati trattati,

«veicolo sottoposto a caratteristiche del sistema,
localizzazione» finalità)

GPS sui veicoli – applicazione dei principi generali ai casi concreti
Provvedimenti del Garante della Privacy

N.427/2018 e 396/2018
Flotta di 16 automezzi, 13 5 autoveicoli geolocalizzati

geolocalizzati
>La posizione dei veicoli è rilevata ogni 120s in

tempo reale (fermo/in movimento – velocità –ore di
guida –pause – velocità media)
>Info messe a disposizione per 365 gg

Provvedimenti del Garante della Privacy n.427/2018 e n.396/2018
VIOLAZIONE DEL PRINCIPIO DI PROPORZIONALITA’
>raccolta di info particolareggiate sui singoli veicoli ed indirettamente degli autisti con una
periodicità estremamente ravvicinata (ogni 120s)
>integrale conservazione dei dati per un esteso periodo di tempo (365 gg)
VIOLAZIONE DEL PRINCIPIO DI NECESSITA’, PERTINENZA E NON ECCEDENZA
>il sistema ha realizzato il monitoraggio continuo dell’attività del lavoratore considerando che è
stato utilizzato nella versione standard senza che fosse adottata la cd. funzione privacy
CONTROLLO DELL’ATTIVITA’ LAVORATIVA
>la raccolta sistematica dei dati di geolocalizzazione e la consultazione delle info sia in tempo
reale che attraverso report conservati per un esteso periodo (365 gg) consente il controllo
dell’attività lavorativa

Provvedimenti del Garante della Privacy n. 427/2018 e n.396/2018
NO INFO «MINIMA» (VETROFANIA)ED INFO INCOMPLETA
NO DESIGNAZIONE AD INCARICATO DEL

TRATTAMENTO DEL PERSONALE AUTORIZZATO A
COLLEGARSI ALLA PIATTAFORMA WEB
UTILIZZANDO CREDENZIALI FORNITE
DALL’AMMINISTRATORE UNICO
IL FORNITORE DEL SERVIZIO DEVE CONFIGURARE

LA VERSIONE STANDARD CON MODALITA’
PROPORZIONATE RISPETTO AL DIRITTO ALLA
RISERVATEZZA – PRINCIPIO DI MINIMIZZAZIONE DEI
DATI E PRIVACY BY DESIGN E BY DEFAULT

APP SU SMARTPHONE

App su smartphone – Provvedimenti del Garante della Privacy
n.401 e 442 del 2014 e n. 232 del 2018
Lo Smartphone è destinato a seguire la persona senza distinzione tra tempo di lavoro e di non lavoro
Il trattamento può presentare rischi specifici per la libertà e la dignità del dipendente
Non si tratta di «strumenti di lavoro» ma di «elementi aggiunti» (Provvedimento n.232/2018) – il

trattamento tramite smartphone PUO’ comportare il controllo dell’attività lavorativa
sussistenza delle esigenze Accordo sindacale o – in

organizzative, produttive, della mancanza – autorizzazione ITL
tutela del patrimonio e della
sicurezza Art.4, primo comma,
legge n.300/1970

App su smartphone: Provvedimenti del Garante della Privacy n.401 e
442 del 2014 e n.232/2018
>Principi di necessità, pertinenza e non eccedenza -NO MONITORAGGIO CONTINUATIVO DELLA

LOCALIZZAZIONE GEOGRAFICA (una periodizzazione temporale della rilevazione ogni 2 minuti, la
conservazione dei dati per 24 ore e l’accesso in tempo reale ai dati di localizzazione solo in caso di necessità
sono ritenuti conformi (Provvedimento n.232/2018)
>INFO VISIBILI ED UTILIZZABILI DALLA APP devono riferirsi unicamente ai dati di geolocalizzazione con
esclusione di DATI ULTRONEI – DATI DEL TRAFFICO TELEFONICO, SMS, POSTA ELETTRONICA
>sul dispositivo deve essere posizionata UNA ICONA che indichi che è attiva la funzione di localizzazione.
L’icona deve essere SEMPRE CHIARAMENTE VISIBILE sullo schermo anche quando l’APP lavora in
background. La funzione deve essere disattivabile durante le pause(Provvedimento n.232/2018)
>I TEMPI DI CONSERVAZIONE DEI DATI devono essere individuati considerando le finalità perseguite.
>Principio di responsabilizzazione –VALUTAZIONE AUTONOMA del trattamento dei dati da parte del
titolare (Provvedimento n.232/2018)

App su smartphone: Provvedimenti del Garante della Privacy n.401
e 442 del 2014 e n.232/2018
Informativa puntuale che abbia ad oggetto:
la natura dei dati trattati
le caratteristiche del dispositivo
le finalità perseguite
le ipotesi in cui è consentita la disattivazione della funzione nel corso dell’orario di lavoro e le conseguenze se
viene disattivata con modalità non consentite
le condizioni in cui è consentito l’uso a fini personali e le conseguenze di eventuali abusi (Provvedimento
n.238/2018)
>Il Fornitore del Servizio deve essere designato Responsabile del Trattamento

App su smartphone – Nota INL n.9728 del 2019
FORNITORI DI SERVIZI DI TRASPORTO/CORRIERE
è possibile dotare gli addetti alle consegne di uno smartphone sul quale installare una APP?
Esigenze organizzative e produttive Esigenze di sicurezza sul lavoro

>drivers visualizzano l’ elenco delle consegne da fare; >in caso di emergenza è agevolato il
>conoscenza in tempo reale della correttezza e reperimento del corriere;
tempestività della consegna; >comunicazione da parte dei drivers di
>monitoraggio in tempo reale delle consegne/resi eventuali anomalie;
durante la giornata; >richiesta di soccorso in caso di incidenti o
>acquisizione di una prova reale in caso di controversia malori
con il cliente

Funzionamento della APP:
>scaricare sullo smartphone l’elenco delle spedizioni;
>fare apporre la firma al cliente sullo smartphone –IN QUESTO MOMENTO AVVIENE LA
GEOLOCALIZZAZIONE DEL LAVORATORE!
>conferma della consegna
>comunicazione di anomalie o richiesta di aiuto - IN QUESTO MOMENTO AVVIENE LA

GEOLOCALIZZAZIONE DEL LAVORATORE!

CONDIZIONI PER IL RILASCIO DELLE AUTORIZZAZIONI

ALLA INSTALLAZIONE DA PARTE DELLE ITL:
INFORMATIVA SCRITTA EX ART. 4, TERZO COMMA,

LEGGE N.300/1970
MODIFICHE ALLE MODALITA’ DI FUNZIONAMENTO PREVENTIVAMENTE

AUTORIZZATE EX ART.4 DELLA LEGGE N.300/1970
TRACCIAMENTO DELL’ACCESSO AI DATI E CONSERVAZIONE PER CONGRUO

TEMPO DEI LOG DI ACCESSO
CONSERVAZIONE DEI DATI PER UN PERIODO NON SUPERIORE A QUELLO

NECESSARIO PER IL RAGGIUNGIMENTO DELLE FINALITA’

DISPOSITIVI INDOSSABILI

«BRACCIALETTI ELETTRONICI» – PROVVEDIMENTO DEL 28 FEBBRAIO 2019
>rispetto art. 4, primo comma ,legge n.300/1970
>scopo principale è adempiere a quanto prescritto dal capitolato di appalto in relazione alla
consuntivazione del servizio di spazzamento urbano
Trattamento conforme al principio di necessità e proporzionalità -

- la funzione di geolocalizzazione sarà attivata per max un turno -
NECESSITA’ DI INDIVIDUARE UNA TIPOLOGIA DI DISPOSITIVO CHE ANCHE PER

CARATTERISTICHE ESTERIORI NON SIA LESIVA DELLA DIGNITA’ DEI DIPENDENTI
Valutazione di impatto sulla protezione dei dati

PROVVEDIMENTO N.364/2018
DISPOSITIVO INDOSSATO DAL LAVORATORE QUANDO OPERA IN SOLITARIA –
aree site all’interno di edifici della società non frequentate da altri lavoratori e non monitorate da telecamere
Il lavoratore attiva il dispositivo all’inizio del turno e

lo disattiva alla fine
Il lavoratore viene geolocalizzato solo quando il
dispositivo viene attivato, disattivato o quando
entra in allarme
attivazione manuale o sensore «man
automatica down»
Valutazione di impatto sulla protezione dei dati

ANALISI DI ALCUNI CASI GIURISPRUDENZIALI
Cass.Sez.Lav, 12 ottobre 2015, n.20440
>Licenziamento per giusta causa di un coordinatore di addetti alla nettezza urbana che durante l’orario di
lavoro si recava al bar, in tavole calde per conversare, ridere e scherzare.
>Il dipendente era stato controllato anche tramite GPS installato sul veicolo
IL CONTROLLO E’ LEGITTIMO
PERCHE’ DIFENSIVO
Il divieto ex art. 4 della legge n.300/1970 Il divieto ex art. 4 della legge n.300/1970 non
riguarda il controllo sui modi di adempimento riguarda il controllo su comportamenti lesivi
dell’obbligazione lavorativa del patrimonio e dell’immagine aziendale
>Comportamenti estranei alla normale
attività lavorativa, nonché illeciti<

Cass.Sez.Lav., 5 ottobre 2016, n.19922
>Licenziamento per giusta causa di un lavoratore che avrebbe registrato ispezioni non effettuate;
>GPS installato sull’autoveicolo del dipendente previo accordo sindacale;
>l’accordo sindacale prevedeva la non utilizzabilità del GPS finalizzato al controllo a distanza
Il controllo non è difensivo
GPS installato prima dell’insorgere di Utilizzo del GPS autorizzato dal

sospetti sulla persona (meccanismo sindacato per ragioni di sicurezza ma
generalizzato di controllo) non per controllo dell’attività
lavorativa
Il controllo dell’ordinaria attività lavorativa non è difensivo. E’

difensivo il controllo diretto alla tutela di beni estranei al rapporto
di lavoro

RIDERS - Sentenza n.778/2018 del Tribunale di Torino-Corte di Appello di Torino 4 febbraio 2019,
n.2 -Corte di Cassazione, Sez.Lav., 24 gennaio 2020,n.1663
>pubblicazione settimanale degli «slot» con indicazione del numero di riders necessari per coprire il ruolo
>ciascun riders può dare la propria disponibilità per coprire gli slot
>raccolte le disponibilità, il responsabile della flotta conferma tramite la piattaforma ai singoli riders
l’assegnazione del turno
>ricevuta conferma del turno, il dipendente deve recarsi all’orario di inizio del turno in una delle tre zone di
partenza, attivare l’applicativo per smartphone inserendo le credenziali (username e password) per effettuare
l’accesso e avviare la geolocalizzazione (GPS)
>il rider riceve su APP la notifica dell’ordine con indicazione e indirizzo del ristorante. Accettato l’ordine, deve
recarsi con la bicicletta al ristorante, prendere i prodotti in consegna, controllare la corrispondenza con l’ordine
e comunicare tramite APP il buon esito della verifica.

>Posizionato il cibo nel box, il rider deve consegnarlo al cliente, il cui indirizzo gli è stato nel frattempo
comunicato tramite APP
>il rider deve confermare l’avvenuta consegna
NO VIOLAZIONE ART.4
LEGGE N.300/1970
applicazione dello smartphone è utilizzata per
RENDERE LA PRESTAZIONE LAVORATIVA
NO VIOLAZIONE PRIVACY
info e consenso
NO PROVA DEL DANNO

Gli adempimenti privacy post GDPR in sintesi
(Regolamento (UE) 679/2016)
VALUTAZIONE DI IMPATTO
(solo nei casi previsti)
VALUTAZIONE AUTONOMA DA PARTE DEL TITOLARE DELLA CONFORMITA’

DEL TRATTAMENTO DEI DATI ALLA DISCIPLINA DELLA
PRIVACY(Provvedimento n.232/2018 – principio di responsabilizzazione)
NO NOTIFICA DEL TRATTAMENTO DEI DATI!
NO VERIFICA PRELIMINARE DEL TRATTAMENTO DEI DATI!
INFORMATIVA «CD. MINIMA» E INFORMATIVA COMPLETA EX ART.13
TRATTAMENTO DEI DATI DA PARTE DI SOGGETTI «AUTORIZZATI»
FORNITORE DEL SERVIZIO DESIGNATO RESPONSABILE DEL

TRATTAMENTO

Profili giuslavoristici
CONTROLLO DELL’ATTIVITA’ ELEMENTI AGGIUNTI

LAVORATIVA (art. 4, comma 1, NO STRUMENTI DI LAVORO(INL –
legge n.300/1970) CIRCOLARE N.2/2016)
ISTANZA DI
ACCORDO - in assenza - AUTORIZZAZIONE
SINDACALE ALLA ITL
NELLA RELAZIONE ALLEGATA ALL’ISTANZA DEVONO

EMERGERE CHIARAMENTE LE RAGIONI (ORGANIZZATIVE,
PRODUTTIVE, DI TUTELA DEL PATRIMONIO, DI SICUREZZA DEL
LAVORO) ALLA BASE DELLA INSTALLAZIONE DEI SISTEMI DI
GEOLOCALIZZAZIONE
FRANCESCA BOSCAINI
Posta elettronica e internet
Febbraio 2021
Area Legale e Rapporti con la PA

La posta elettronica e internet sono strumenti di lavoro?
Art. 4, cc. 2 e 3, l. n. 300/1970
«[…] La disposizione di cui al comma 1 non si applica agli strumenti utilizzati dal
lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli
accessi e delle presenze.
3. Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al
rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione
delle modalità d'uso degli strumenti e di effettuazione dei controlli e nel rispetto
di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196 […]»
Posta elettronica? Accesso a internet?
Area Legale e Rapporti con la PA 94

La posta elettronica e internet sono strumenti di lavoro? (segue)
Nota ML del 18 giugno 2015
«[…] non possono essere considerati "strumenti di controllo a distanza" gli strumenti che
vengono assegnati al lavoratore "per rendere la prestazione lavorativa" (una volta si
sarebbero chiamati gli "attrezzi di lavoro"), come pc, tablet e cellulari […]
L'espressione "per rendere la prestazione lavorativa" comporta che l'accordo o
l'autorizzazione non servono se, e nella misura in cui, lo strumento viene
considerato quale mezzo che "serve" al lavoratore per adempiere la prestazione:
ciò significa che, nel momento in cui tale strumento viene modificato (ad esempio,
con l'aggiunta di appositi software di localizzazione o filtraggio) per controllare il
lavoratore, si fuoriesce dall'ambito della disposizione: in tal caso, infatti, da
strumento che "serve" al lavoratore per rendere la prestazione il pc, il tablet o il cellulare
divengono strumenti che servono al datore per controllarne la prestazione. Con la
conseguenza che queste "modifiche" possono avvenire solo alle condizioni ricordate
sopra: la ricorrenza di particolari esigenze, l'accordo sindacale o l'autorizzazione»

Quindi..
Art. 4, c. 1, l. Art. 4, c. 2, l.
n. 300/1970 n. 300/1970

Trib. Roma 24 marzo 2017
«[…] l'uso degli strumenti informatici deve essere assimilato ad un mero strumento di
lavoro messo a disposizione del lavoratore per rendere la prestazione; quindi i
computer, i tablet ed i cellulari devono essere considerati come i moderni attrezzi di
lavoro utilizzabili senza autorizzazione nel caso in cui vengano attribuiti al
lavoratore per rendere la prestazione lavorativa oggetto del contratto di lavoro.
Orbene, nel caso in esame, considerate le mansioni svolte dalla ricorrente (impiegata
amministrativa ), il p.c. e la casella di posta elettronica non possono che essere
considerati strumenti di lavoro necessari allo svolgimento della prestazione
lavorativa; di conseguenza, devono ritenersi non necessari gli adempimenti di
natura amministrativa e sindacale previsti dalla norma di cui all'art 4, l. n.
300/1970 […]»
Conforme: Trib. Milano 13 maggio 2019

Ma attenzione..
Trib. Torino 19 settembre 2018
«[…] pur non potendosi revocare in dubbio che il computer sia uno strumento di lavoro, è
innegabile che al suo interno vi siano componenti hardware e componenti software e
che, pertanto, in relazione a ciascuna di esse, da considerarsi quale distinto
strumento di lavoro e di potenziale controllo, sia necessario verificare la presenza del
nesso di funzionalizzazione allo svolgimento della prestazione lavorativa […]
E' evidente dunque che le componenti che generano file di log e consentono operazioni
automatiche di monitoraggio e di tracciatura degli accessi a Internet (o anche al servizio
di posta elettronica) non possono essere considerati “strumenti utilizzati dal
lavoratore per rendere la prestazione lavorativa” ai sensi dell'articolo 4 comma 2,
essendo invece riconducibili alla fattispecie degli strumenti di controllo, legittimi ai sensi
del comma 1 solo se finalizzati a realizzare una delle esigenze ivi previste (ad esempio,
la maggiore sicurezza della rete aziendale) e solo se vi è il previo accordo con le
OO.SS. o l'autorizzazione amministrativa […]»

Provvedimento del Garante del 13 luglio 2016 [5408460]
Caso: trattamento da parte di apparati e software che, in background e senza connessione con la normale attività
del lavoratore, consentono il monitoraggio, filtraggio, controllo e tracciatura costanti e indiscriminati degli
accessi a internet e alla posta elettronica
Non sono strumenti di lavoro ex art. 4, c. 2, l. n. 300/1970
«In tale nozione […] è da ritenere che possano ricomprendersi solo servizi, software o applicativi
strettamente funzionali alla prestazione lavorativa, anche sotto il profilo della sicurezza […] a titolo
esemplificativo […] il servizio di posta elettronica offerto ai dipendenti […] e gli altri servizi della rete aziendale,
fra cui anche il collegamento a siti internet. Costituiscono parte integrante di questi strumenti anche i sistemi e
le misure che ne consentono il fisiologico e sicuro funzionamento al fine di garantire un elevato livello
di sicurezza della rete aziendale messa a disposizione del lavoratore (ad esempio: sistemi di logging per il
corretto esercizio del servizio di posta elettronica, con conservazione dei soli dati esteriori, contenuti nella
cosiddetta "envelope" del messaggio, per una breve durata non superiore comunque ai sette giorni; sistemi di
filtraggio anti-virus che rilevano anomalie di sicurezza nelle postazioni di lavoro o sui server per l'erogazione
dei servizi di rete; sistemi di inibizione automatica della consultazione di contenuti in rete inconferenti rispetto
alle competenze istituzionali, senza registrazione dei tentativi di accesso).»

Art. 4, c. 1, l. n. 300/1970 Art. 4, c. 2, l. n. 300/1970
Un confine difficile da tracciare
Ma..
Con un punto fermo Con un importante riferimento
Linee guida del Garante

Art. 4, c. 3, l. n. 300/1970
del 2007

L’informazione preventiva è determinante
Trib. Vicenza 28 ottobre 2019 Trib. Milano 13 maggio 2019 Trib. Roma 13 giugno 2018
Per poter effettuare il controllo a distanza del lavoratore tramite

posta elettronica aziendale, il datore di lavoro, ai sensi dell’art.
4, l. n. 300/1970, deve dare al lavoratore adeguata
informazione delle modalità di effettuazione dei controlli,
ovvero previamente avvisare il lavoratore che la sua attività
potrebbe essere controllata mediante tale strumento e
come sarà eventualmente esperito il controllo
Conforme: Cass. civ. sez. lav. n. 26682/2017

L’informazione preventiva è determinante (segue)
Sempre Trib. Vicenza 28 ottobre 2019
«il comma 3 prevede che dev'essere fornita al lavoratore una informazione adeguata, nel senso che lo
stesso deve essere portato a conoscenza della possibilità di essere assoggettato ai controlli, anche
tecnologici, da parte del datore di lavoro. Questa informazione deve inoltre riguardare anche le modalità e
i limiti con cui essi vengono posti in essere.
L'informativa si considera adeguata se determina la consapevolezza in capo al lavoratore circa il fatto che gli
strumenti che utilizza per svolgere la propria attività lavorativa producono delle informazioni che possono
essere conosciute e utilizzate dal datore di lavoro a fini disciplinari. Di conseguenza, è da considerarsi
illecito un controllo posto in essere senza che il lavoratore sia stato preventivamente messo a conoscenza
circa la possibilità e le modalità di questi controlli.
In secondo luogo, il comma 3 prescrive il rispetto del d. lgs. n. 196/2003 (c.d. codice della privacy). Ciò
significa che il controllo, che rappresenta una fase del trattamento dei dati personali, deve rispettare i
principi dettati dalla normativa specifica prevista in materia di protezione di quei dati, ossia i principi
di liceità, di correttezza, di necessità, di determinatezza della finalità perseguita, di pertinenza, di
completezza, di non eccedenza.»

L’informazione preventiva è determinante (segue)
La conferma europea
Corte europea diritti dell’uomo sez. grande

chambre n. 61496/2017
Sussiste una violazione dell'art. 8 CEDU sul diritto al rispetto della vita
privata e della corrispondenza da parte di uno Stato le cui giurisdizioni
abbiano mancato di verificare, in una controversia relativa ad un
licenziamento per utilizzo a fini privati da parte di un lavoratore
subordinato di un servizio aziendale di posta elettronica, se il lavoratore
fosse stato preventivamente messo a conoscenza da parte del
datore di lavoro circa il controllo effettuato sull'utilizzo di tale posta e
se in ogni caso lo stesso datore di lavoro non avrebbe potuto ricorrere a
misure meno invasive del diritto al rispetto della vita privata e alla
corrispondenza del lavoratore, prima di procedere al licenziamento.

Le linee guida del 2007
Linee guida del Garante del 13

marzo 2007 [1387522]
Contesto:
Il datore di lavoro deve L’uso di internet e delle posta Le informazioni trattabili

Il datore di lavoro deve
adottare misure per elettronica possono subire possono riguardare dati
definire le modalità d’uso e Esigenza di tutelare i
assicurare la disponibilità e controlli, analisi, profilazione personali, anche sensibili, del
assicurare la funzionalità dei lavoratori interessati
l’integrità dei sistemi e integrale ricostruzione, lavoratore e di terzi,
mezzi di lavoro
informativi anche della corrispondenza identificati o identificabili

Le linee guida del 2007 (segue)

marzo 2007 [1387522]
Vietato i sistemi (hardware e software) mirati al controllo dell’utente
Ad esempio:
Lettura e registrazione sistematica Riproduzione e memorizzazione Lettura e registrazione dei caratteri

delle mail, ovvero dei dati esteriori, sistematica delle pagine web inseriti a tastiera, o con analogo
al di là di quanto tecnicamente visualizzate dal lavoratore dispositivo, dal lavoratore
necessario per svolgere il servizio
e-mail
Ovviamente, anche l’analisi occulta
dei dispositivi


marzo 2007 [1387522]
In tutti gli altri casi, in presenza di meri controlli preterintenzionali
α β γ
Adozione e pubblicizzazione di un Adozione di misure di tipo Adozione di misure di tipo
disciplinare interno organizzativo tecnologico

α
Adozione e pubblicizzazione di un
disciplinare interno
Come utilizzare gli strumenti messi a disposizione
Quali comportamenti non sono tollerati
Entro che limiti possono essere utilizzati per scopi personali

Aggiornato
Quali informazioni vengono temporaneamente memorizzate e chi può visionarle e
pubblicizzato
Tempi di conservazione
Se e in che modo vengono fatti eventuali controlli
Conseguenze per eventuali usi indebiti

β
Adozione di misure di tipo
organizzativo
Prevenire è meglio che curare..
Minimizzare il rischio di dover

intervenire con misure repressive
Valutare l’impatto che determinati Individuare preventivamente, anche Individuare l’ubicazione delle
hardware e software possono per tipologie, i lavoratori a cui postazioni di lavoro per
avere sui diritti dei lavoratori accordare l’utilizzo di posta minimizzare il rischio di impieghi
elettronica ed internet abusivi

γ
tecnologico
Per quanto riguarda la navigazione in internet
Individuare le Definire sistemi o filtri Trattare i dati in forma Limitare la Graduare i controlli
categorie di siti da che prevengano anonima, ovvero in conservazione dei
considerare determinate forma aggregata in dati per il temo
correlati e non operazioni modo da evitare strettamente
correlati con la l’immediata necessario alle
prestazione identificazione degli legittime finalità
lavorativa utenti

γ
tecnologico
Per quanto riguarda la posta elettronica
Mettere a Eventuale Definizione di sistemi Eventuale previsione, Graduare i controlli

disposizione assegnazione di per la gestione nei messaggi, che
indirizzi di posta apposito indirizzo dell’indirizzo in la corrispondenza
elettronica condivisi destinato all’uso caso di assenze, non sarà da
tra più lavoratori, esclusivamente programmate e ritenersi personale
eventualmente privato non, del lavoratore e che potrà essere
affiancati da quelli (cfr. infra) conosciuta
individuali dall’organizzazione

Corte App. Torino 27 marzo 2017
«[…] Né, infine, possono essere ignorate le “Linee guida del Garante per posta elettronica
e Internet” (adottate dal Garante per la protezione dei Dati Personali il 1°.3.2007 e
pubblicate sulla G.U. n. 58 del 10.3.2007), le quali – seppur prive di valore precettivo –
mirano a fornire indicazioni di carattere generale in relazione al trattamento di dati
personali, al fine di garantire la corretta applicazione dei principi stabiliti dal
Codice della Privacy […]»
Persuasività delle linee guida del Garante nell’interpretazione della

normativa di riferimento!

Se il lavoratore è assente?
Assunzione del lavoratore..
..per svolgere l’attività lavorativa, si rende necessario l’utilizzo

della posta elettronica
Assegnazione dell’indirizzo
Attenzione
nome.cognome@azienda.com
Il lavoratore è temporaneamente assente..
..nel frattempo nome.cognome@azienda.com?

Se il lavoratore è assente? (segue)
Linee guida del 2007
Agire preventivamente, prevedendo (nella policy aziendale)

soluzioni adeguate ai vari scenari, distinguendo tra:
Assenze programmate Assenze non programmabili
Messaggi di risposta automatica che Intesa con il lavoratore per individuare

informino dell’assenza e che indichino un collega fiduciario, autorizzato ad
i recapiti dei diversi soggetti da accedere all’account per inoltrare al
contattare, ovvero altri canali per titolare del trattamento le
contattare l’organizzazione comunicazioni rilevanti per l’attività
lavorativa
Verbale delle operazioni Notifica al lavoratore

Cosa fare della mail aziendale quando il rapporto cessa
Assunzione del lavoratore..
..per svolgere l’attività lavorativa, si rende necessario l’utilizzo

della posta elettronica
Assegnazione dell’indirizzo
Attenzione
nome.cognome@azienda.com
Il rapporto di lavoro termina..
..che fine fa nome.cognome@azienda.com?

Cosa fare della mail aziendale quando il rapporto cessa (segue)
Provvedimento del Garante del 4

dicembre 2019 [9215890]
Ferma la centralità della preventiva informativa ai dipendenti circa i

trattamenti effettuati e connessi all’utilizzo della posta elettronica
In caso di cessazione del

rapporto, il datore di lavoro deve
Nelle more, prevedere

Predisporre dei sistemi che
Disattivare sistemi automatici che
impediscano la lettura delle
tempestivamente avvisino dell’imminente
mail in entrata sull’account
l’account di posta disattivazione ed evidenzino
elettronica di posta elettronica in
i diversi indirizzi alternativi a
disattivazione
cui scrivere
Il semplice reindirizzamento non è sufficiente!


Alberto Bertella
La DPIA, un adempimento trasversale
Febbraio 2021

Cosa è?
Art. 35 GDPR
La valutazione sulla protezione dei dati è una procedura

preliminare al trattamento dei dati che
Valutando la necessità del Valutando la proporzionalità Valutando i rischi del

trattamento del trattamento trattamento
Conduce ad approntare le misure idonee ad

affrontare i rischi del trattamento
N.B.: non coincide con la valutazione del livello di

sicurezza di cui all’art. 32 GDPR

Quando deve essere fatta?
Quando il trattamento può presentare un rischio

elevato per i diritti e le libertà delle persone fisiche
Linee guida WP29 del 4 ottobre 2017
1 • Trattamenti valutativi o di scoring, compresa la profilazione
2 • Decisioni automatizzate che producono significativi effetti giuridici
3 • Monitoraggio sistematico
4 • Trattamento di dati sensibili, giudiziari o di natura estremamente personale
5 • Trattamento di dati personali su larga scala
6 • Creazione di corrispondenze o combinazione di insiemi di dati
7 • Dati relativi ad interessati vulnerabili
8 • Utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative
9 • Trattamenti che, di per sé, potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio/contratto

Quando deve essere fatta? (segue)
Provvedimento del Garante dell’11

ottobre 2018 [9058979]
Visti i criteri
3 – Monitoraggio 7 – Dati relativi a 8 – Uso innovativo o applicazione

sistematico interessati vulnerabili di nuove soluzioni tecnologiche
od organizzative
Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi

tecnologici (anche con riguardo a sistemi di videosorveglianza e di
geolocalizzazione) dai quali derivi la possibilità di effettuare un
controllo a distanza dell’attività dei dipendenti

Come farla?
Linee guida WP29 del 4 ottobre 2017
N.B.: il metodo
concretamente applicato Descrizione del
può variare, nel rispetto trattamento Contesto
previsto
dei criteri indicati
nell’allegato 2 delle linee Monitoraggio e
Valutazione della
necessità e della
riesame
guida proporzionalità
Misure previste
Documentazione per dimostrare la
Trattazione dei rischi conformità Valutazione dei rischi
Misure previste Valutazione dei

per affrontare i rischi per i diritti e
rischi per le libertà

Gli strumenti per farla
Autorità francese per la protezione Garante della privacy italiano

dei dati personali
Applicativo
https://www.cnil.fr/fr/outil-pia-telechargez-et-
installez-le-logiciel-de-la-cnil
Percorso guidato per la realizzazione di una DPIA
N.B.: concepito soprattutto per le PMI, non costituisce uno standard

valido per qualsiasi situazione di trattamento

La (eventuale) consultazione preventiva
Art. 36 GDPR
Se, nonostante la valutazione di impatto, il titolare non riesce ad individuare

misure sufficienti per ridurre i rischi a un livello accettabile
Consultazione preventiva del Garante
Riscontro entro 8 settimane (prorogabile di ulteriori 6)

Possibilità di esercitare i poteri, anche d’indagine, di cui all’art. 58 GDPR
Esito positivo Esito negativo


Alberto Bertella
SANZIONI E PROFILI PENALI
Approdi Giurisprudenziali
Valenza probatoria dei dati raccolti
23 febbraio 2021

Violazione delle disposizioni relative ai controlli a distanza
LA VIOLAZIONE DELLE DISPOSIZIONI

RELATIVE AI CONTROLLI A DISTANZA
Area Legale, Diritto d’impresa e Rapporti con la PA 126

L’ipotesi di reato
Art. 171 Codice Privacy (D. Lgs. 196/2003)
« la violazione delle disposizioni di cui [all’ articolo] 4, comma 1, (…) della legge 20
maggio 1970, n. 300, è punita con le sanzioni dell’articolo 38 della medesima legge.
la violazione della disposizione comporta il realizzarsi di un’ipotesi di reato

L’ipotesi di reato
La descrizione della fattispecie è data dall’art. 4, comma 1, della L. 300/1970.
Quando si consuma il reato?
➢ l’installazione di strumenti di controllo – impiegati esclusivamente per esigenze

organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio
aziendale- da cui derivi un possibile controllo a distanza dei lavoratori
➢ non vi sia accordo con le rappresentanze sindacali o non vi è l’autorizzazione

dell’Ispettorato del Lavoro

Consumazione del reato
È penalmente rilevante anche la sola potenzialità del controllo a distanza dei dipendenti
(c.d. reato di pericolo)
Pertanto
➢ Non è necessaria la funzionalità dell’impianto né il concreto utilizzo dello stesso per la

consumazione del reato: «…integra il reato anche la potenziale idoneità della
strumentazione prescelta dal datore di lavoro…». (Cass. Pen. sez. III n. 4331/2014, n.
45198/2016)
➢ È rilevante la condotta anche laddove le telecamere siano «finte». (Nota n.

11241/2016 del Ministero del Lavoro)

Consumazione del reato
Il consenso dei lavoratori può sostituire l’accordo sindacale o l’autorizzazione ITL?

NO
Nonostante una sentenza isolata che propende per una soluzione favorevole
Il consenso del lavoratore NON svolge funzione esimente nel caso di assenza
dell’accordo sindacale o dell’autorizzazione dell’ITL
(tra le tante: Cass. Pen. sez. III n. 22148/2017, n. 50919/2019)

Condotta antisindacale
Se il datore di lavoro NON rispetta l’obbligo del preventivo accordo
è ravvisabile, altresì, una condotta antisindacale reprimibile ai sensi dell’art. 28 della L.

300/1970
« (…) Il comportamento illegittimo (…) si è verificato in occasione e per effetto della mera
installazione dell'impianto senza il preventivo assenso di detti organi sindacali, e cioè,
per la semplice violazione dell'obbligo legale del datore di lavoro a misurarsi con questi
ultimi sulla opportunità dell'installazione (…)»
(Cass. Sez. Lav. 9211/1997)

I controlli difensivi
I CONTROLLI DIFENSIVI
I controlli del datore di lavoro se diretti ad accertare comportamenti illeciti e lesivi del
patrimonio e dell’immagine aziendale
ESULANO
dall’ambito di applicazione dell’art. 4 dello Statuto dei lavoratori e delle relative garanzie
previste in particolare se disposti ex post
(tra le tante: Cass. Sez. Lav. n. 13266/2018 e n. 10636/2017)

I controlli difensivi
(Cass. Pen. Sez. III 3255/2020)
Anche in assenza di accordo o autorizzazione
NON si configura il reato SE
➢ l’impianto di controllo a distanza sia strettamente funzionale alla tutela del patrimonio
aziendale;
➢ il suo utilizzo non implichi un significativo controllo sull'ordinario svolgimento

dell'attività lavorativa dei dipendenti, o debba restare necessariamente 'riservato' per
consentire l'accertamento di gravi condotte illecite degli stessi.

Informativa privacy
Cosa succede se NON si consegna adeguata informativa ai fini PRIVACY o i dati

sono conservati più a lungo di quanto necessario per le finalità per i quali sono acquisiti?
SANZIONE AMMINISTRATIVA
Fino a 20.000.000,00 €
o
per le imprese, fino al 4% del fatturato mondiale dell’esercizio precedente, se superiore
(artt. 5, 13 e 83 Regolamento UE 2016/679)

Utilizzabilità dei dati raccolti
UTILIZZABILITÀ DEI DATI RACCOLTI

CONDIZIONE DI ACCESSO AI DATI
Art. 4, comma 3, L. 300/1970
«Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi
al rapporto di lavoro a condizione che (i) sia data al lavoratore adeguata informazione
delle modalità d'uso degli strumenti e di effettuazione dei controlli e (ii) nel rispetto di
quanto disposto dal decreto legislativo 30 giugno 2003, n. 196 [Codice Privacy] .»

Le immagini raccolte, nel rispetto dell’art. 4 L. 300/1970 possono essere utilizzate come
MEZZO DI PROVA
➢ sia per formare il convincimento del Giudice in sede processuale
➢ sia per i provvedimenti presi nei confronti del lavoratore

Nota del Ministero del Lavoro 18 giugno 2015
I dati raccolti NON sono utilizzabili a nessun fine, nemmeno disciplinare
QUANDO
➢ non vi è l’accordo sindacale o l’autorizzazione amministrativa
➢ Il lavoratore non sia adeguatamente informato dell’esistenza e le modalità d’uso degli

strumenti di controllo
➢ per quanto attiene gli strumenti di lavoro, che non venga data informazione circa le
modalità di effettuazione dei controlli
➢ I controlli vadano in contrasto con la disciplina Privacy

Le eccezioni
Quindi i dati raccolti in VIOLAZIONE di quanto disposto dall’art. 4 L. 300/1970 rientrano

nella categoria delle cosiddette PROVE ILLECITE e quindi inammissibili come mezzi
istruttori?
NON SEMPRE
«eccezioni giurisprudenziali»

Utilizzabilità dei controlli difensivi in sede penale
Sono utilizzabili, in sede penale, i risultati delle riprese attuate per controllare il
patrimonio aziendale messo a rischio dal comportamento dei lavoratori.
(tra le tante: Cass. II Sez. Pen. n. 2890/2015 e Cass. V Sez. Pen. n. 34842/2011)

Utilizzabilità delle risultanze dei controlli difensivi in sede civile
I controlli difensivi sono quei controlli diretti ad accertare i comportamenti illeciti dei
lavoratori e non riguardando l’esatto adempimento delle obbligazioni nascenti dal
rapporto di lavoro
SONO UTILIZZABILI le risultanze che riguardino l’illecito del dipendente, un attentato al

patrimonio del datore di lavoro e comportamenti lesivi dell’immagine aziendale
(Cass. Sez. Lav. N. 2722/2012, n. 22662/2016 e n. 26682/2017)
Le risultanze dei «controlli difensivi» NON SONO UTILIZZABILI per contestare al

lavoratore la violazione di un obbligo di diligenza.
(Cass. Sez. Lav. n. 4375/2010, Trib. Torino n. 1664/2018)

Sanzioni e Procedura
LE SANZIONI
E
LA PROCEDURA

Le sanzioni e la procedura
Sanzioni
Art. 38 Statuto dei lavoratori (L. 300/1970)
➢ Le violazioni sono punite, salvo che il fatto non costituisca più grave reato, con
l’ammenda da euro 154 a euro 1.549 o con l’arresto da 15 giorni a un anno.
➢ Nei casi più gravi le pene dell’arresto e dell’ammenda sono applicate congiuntamente
➢ Quando, per le condizioni del reo, l’ammenda stabilita dal primo comma può
presumersi inefficace anche se applicate nel massimo, il giudice ha facoltà di
aumentarla fino al quintuplo.

La procedura amministrativa
D. Lgs 758/1994
Verifica da parte dell’Ispettorato Territoriale del Lavoro
Costatazione della violazione delle disposizioni ex art. 4 L. 300/1970
Viene impartita una prescrizione e assegnato un termine congruo per adempiere

L’Ispettorato Territoriale del Lavoro
nell’ambito dell’attività di Polizia Giudiziaria
comunica il fatto alla Procura della Repubblica per l’iscrizione di ipotesi di reato

Verifica dell’adempimento da parte dell’ITL

entro 60 giorni dalla fissazione dei termine per adempiere
Se l’esito della verifica, circa la prescrizione impartita, è POSITIVO?
Il trasgressore è ammesso al pagamento della sanzione amministrativa (in forma ridotta,

un quarto del massimo dell’ammenda - art. 21 D. Lgs 758/1994)
Comunicazione, da parte dell’ITL, al Pubblico Ministero dell’adempimento affinché si

proceda alla richiesta di estinzione del reato

Parere del Ministero del Lavoro n. 11241/2016
Ammissione al pagamento in forma ridotta
SE
nelle more dell’adempimento alla prescrizione dovesse interviene l’accordo sindacale o

l’autorizzazione dell’ITL

Se l’esito del controllo da parte dell’Ispettorato è

NEGATIVO
o perché non è stato posto o perché l’adempimento non è

in essere alcun adempimento valutato come adeguato
L’Ispettorato ne dà comunicazione al Pubblico Ministero che darà seguito all’azione

penale.

L’oblazione in sede processuale
Nel caso in cui non si venga ammessi al pagamento in forma ridotta per esito negativo
della verifica?
Ulteriore possibilità di oblazione in sede penale ai sensi dell’art. 162 bis c.p.
(c.d. oblazione facoltativa)
➢ Pagamento di una somma pari ad un quarto del massimo dell’ammenda (art. 23 D.

Lgs. 758/1994)
➢ Presuppone la valutazione del giudice circa la gravità del reato e all’eliminazione delle
conseguenze dannose o pericolose dello stesso

La violazioni «più gravi»
Nel caso delle violazioni astrattamente ritenute più gravi

(art. 38, comma 2, L. 300/1970)
non sarà possibile godere dei benefici del pagamento in forma ridotta né dell’oblazione ai
sensi dell’art. 162 bis c.p.
(art. 19 del D. Lgs 758/1994 e 162 bis c.p.)


Nicola Antonelli

Privacy

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Privacy

Caricato da

Copyright:

Formati disponibili

ART.

Bilanciamento tra potere di controllo e utilizzo dei dati

Lavoro, Diritto D’Impresa e Rapporti con la PA

2. La disposizione di cui al comma 1 non si applica agli strumenti utilizzati dal

3. Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini

Lavoro, Diritto d’Impresa e Rapporti con la PA 3

❑ Impianti audiovisivi e gli altri strumenti da cui derivi

✓ esigenze organizzative e produttive

Lavoro, Diritto d’Impresa e Rapporti con la PA 4

✓previo accordo con RSU o RSA

possibilità di stipula dell’accordo collettivo

Lavoro, Diritto d’Impresa e Rapporti con la PA 5

✓previa autorizzazione dell’ITL

✓in alternativa per l’impresa plurilocalizzata in ambiti di

Lavoro, Diritto d’Impresa e Rapporti con la PA 6

✓ utilizzati dal lavoratore per rendere la prestazione lavorativa

no verifica sussistenza finalità predeterminate

no accordo sindacale né autorizzazione amministrativa

Lavoro, Diritto d’Impresa e Rapporti con la PA 7

❑ utilizzabilità delle informazioni raccolte ai sensi dei

a tutti i fini connessi al rapporto di lavoro

Lavoro, Diritto d’Impresa e Rapporti con la PA 8

Condizioni di utilizzo delle informazioni

❑ Adeguata informazione al lavoratore

✓ delle modalità d’uso degli strumenti

❑ Rispetto della disciplina Privacy

Lavoro, Diritto d’Impresa e Rapporti con la PA 9

Legale, Diritto d’Impresa e Rapporti con la PA

Legale, Diritto d’Impresa e Rapporti con la PA

Legale, Diritto d’Impresa e Rapporti con la PA 12

• Compilazione in ogni parte del modulo INL

• A seguito della presentazione della istanza, segue solitamente un accesso

Legale, Diritto d’Impresa e Rapporti con la PA 14

• Oggetto di istruttoria: effettiva sussistenza delle ragioni legittimanti

Eventuali condizioni poste per l’utilizzo devono essere necessariamente correlate

• La ripresa dei lavoratori, di norma, deve avvenire in via incidentale o

Legale, Diritto d’Impresa e Rapporti con la PA 16

è concetto ampio che necessita di attenta valutazione

➢ Rispetto dei principi di proporzionalità, correttezza e non eccedenza

➢ Gradualità nell’ampiezza e tipologia di monitoraggio

➢ Carattere residuale dei controlli più invasivi

➢ Possibilità di utilizzo in presenza di specifiche anomalie e comunque a seguito

➢ Considerazione anche dell’intrinseco valore e agevole asportabilità dei beni

Legale, Diritto d’Impresa e Rapporti con la PA 18

NB: se non aggiornato, il DVR deve essere previamente aggiornato

Legale, Diritto d’Impresa e Rapporti con la PA 19

• Tecnologie IP, che consentono il trasferimento di dati video e audio in formato

Legale, Diritto d’Impresa e Rapporti con la PA 20

Linee Guida Garante Privacy del 08 aprile 2010

Legale, Diritto d’Impresa e Rapporti con la PA 21

Linee Guida 3/2019 Comitato Europeo per la Protezione dei Dati

Cambio della titolarità dell’impresa che ha installato impianti audiovisivi già

• Il mero subentro di un nuovo soggetto non integra di per sé profili di illegittimità

• Il titolare subentrante è opportuno che:

Legale, Diritto d’Impresa e Rapporti con la PA 23

Legale, Diritto d’Impresa e Rapporti con la PA 24

Linee Guida 3/2019 Comitato Europeo per la Protezione dei Dati

➢ Utilizzo di un modello semplificato (informazione di primo livello)

Legale, Diritto d’Impresa e Rapporti con la PA 25

Legale, Diritto d’Impresa e Rapporti con la PA 26

• NO autorizzazione del Garante per l’installazione degli impianti (FAQ 2 01/12/20)

Legale, Diritto d’Impresa e Rapporti con la PA 27

Legale, Diritto d’Impresa e Rapporti con la PA 28

Legale, Diritto d’Impresa e Rapporti con la PA 29