Il controllo dell’attività lavorativa è uno degli ambiti più delicati del rapporto tra impresa e dipendenti. Tra esigenze di produttività, tutela del patrimonio aziendale e diritto alla privacy, il confine tra controlli leciti e violazioni è sottile e in continua evoluzione. Conoscere regole, limiti e buone pratiche è essenziale sia per i datori di lavoro sia per i lavoratori.
Differenza tra controllo della prestazione e sorveglianza occulta
Il primo discrimine da capire è tra controllo della prestazione e sorveglianza occulta. Nel primo caso il datore verifica se il lavoratore svolge correttamente i compiti assegnati, nel rispetto dell’organizzazione aziendale e degli obiettivi produttivi. È quanto accade quando un responsabile controlla lo stato di avanzamento di un progetto, rivede un report o valuta i tempi di risposta a clienti e fornitori.
La sorveglianza occulta è altro: si tratta di monitoraggi nascosti, sistematici, spesso invasivi, che mirano a ricostruire ogni mossa del dipendente. Telecamere non segnalate, registrazione segreta delle schermate, sistemi che tracciano ogni clic o parola digitata senza informativa chiara. Sono scenari tipici dei casi finiti in tribunale.
La legge consente il controllo dell’adempimento dell’obbligazione lavorativa, ma non giustifica una raccolta generalizzata di dati di comportamento. L’equilibrio si gioca sulla proporzionalità: verificare se il lavoro è svolto sì, spiare costantemente no. Un conto è analizzare output e risultati, altro è monitorare ogni istante di navigazione web come se si avesse un cronometro sempre acceso sul polso del dipendente.
Limiti dello statuto dei lavoratori e giurisprudenza recente
Lo Statuto dei lavoratori, in particolare l’art. 4, pone da sempre limiti ai controlli a distanza. Nella formulazione aggiornata, la norma ammette strumenti dai quali possa derivare un controllo – come pc, smartphone, badge, sistemi di accesso – purché installati per esigenze organizzative, produttive, di sicurezza o tutela del patrimonio. Ma non autorizza automaticamente qualunque forma di vigilanza.
La giurisprudenza ha svolto un ruolo decisivo nel chiarire il perimetro. I giudici hanno distinto tra controlli “difensivi” diretti ad accertare condotte illecite (ad esempio furti, accessi abusivi, sabotaggi informatici) e controlli finalizzati solo a misurare la produttività quotidiana. I primi sono trattati in modo più elastico, soprattutto se circoscritti nel tempo e mirati a soggetti specifici.
Le sentenze più recenti hanno però ricordato che anche i controlli difensivi devono rispettare necessità, pertinenza e non eccedenza. Una telecamera puntata fisso su una singola postazione per mesi, senza motivo concreto, difficilmente reggerebbe a un vaglio giudiziario. In alcune decisioni su aziende del commercio e della logistica, sono stati dichiarati illegittimi sistemi troppo invasivi persino se formalmente “concordati” ma privi di adeguata informativa individuale.
Uso di software di monitoraggio e tracciamento degli elaborati
Nella pratica, i controlli moderni passano spesso da software di monitoraggio installati sui pc aziendali. Si va dai semplici log di accesso ai sistemi fino a strumenti che registrano tempi di utilizzo delle applicazioni, siti visitati, download effettuati, cronologia di modifiche ai documenti. In alcuni ambienti, come i call center o i servizi di assistenza tecnica, è normale misurare tempi di gestione delle chiamate, ticket risolti, pause.
Il problema nasce quando questi strumenti degenerano in tracking pervasivo: registrazione di screenshot periodici, keylogger, classifiche di “produttività” individuale basate sui movimenti del mouse. Tecnologie spesso vendute con slogan aggressivi, ma che difficilmente reggono un’analisi seria alla luce di Statuto e GDPR.
Un conto è avere log tecnici per garantire sicurezza informatica e tracciabilità di chi modifica un file sensibile, altro è trasformare il desktop in un reality show silenzioso. Le autorità di controllo sulla privacy, in più occasioni, hanno considerato illegittimi software che producono una profilazione dettagliata del comportamento minuto per minuto, specie se usati senza un’informativa chiara o senza alternative organizzative meno invasive.
Informativa preventiva, accordi sindacali e ruolo del GDPR
Il nodo centrale è la trasparenza. Qualunque sistema che comporti un potenziale controllo dell’attività deve essere comunicato al lavoratore con un’informativa preventiva, chiara e comprensibile. Non basta un riferimento generico nel regolamento interno: servono indicazioni su quali dati vengono raccolti, per quali finalità, per quanto tempo e chi potrà accedervi.
Per gli strumenti di controllo a distanza, la legge richiede inoltre, salvo casi specifici, un accordo sindacale o l’autorizzazione dell’ispettorato del lavoro. In assenza, i dati raccolti rischiano di essere inutilizzabili anche in sede disciplinare. Questo aspetto a volte viene sottovalutato dalle aziende più piccole, che installano sistemi di videosorveglianza pensando solo alla sicurezza dei locali.
Il GDPR ha aggiunto un ulteriore livello: il principio di accountability obbliga il datore a documentare le scelte, misurare i rischi per i diritti dei lavoratori e adottare misure adeguate. In certi contesti è prudente redigere una valutazione d’impatto (DPIA), ad esempio per sistemi di controllo particolarmente innovativi o estesi. Non è burocrazia fine a sé stessa: è il modo per dimostrare che l’azienda ha riflettuto seriamente sulla proporzionalità dei controlli.
Conservazione, accesso e audit sui file prodotti internamente
Ogni attività lavorativa genera file interni: documenti, fogli di calcolo, presentazioni, codice sorgente, tracciati di database. Questi elaborati restano normalmente di proprietà dell’azienda, che ha il diritto di conservarli, accedervi e organizzarli, anche dopo la cessazione del rapporto. Ma non tutto ciò che è tecnicamente possibile è automaticamente legittimo.
Il datore dovrebbe definire policy di conservazione: tempi diversi per tipologia di file, regole su backup, cancellazione, archiviazione. Una raccolta illimitata e indistinta, specie se contiene dati personali di clienti o dipendenti, contrasta con i principi di limitazione della conservazione e minimizzazione. Sul piano pratico, molti reparti IT mantengono copie di sicurezza per anni “perché non si sa mai”, senza una vera giustificazione.
Rilevante anche il tema degli audit interni sui file. Controllare chi ha aperto, modificato o copiato un documento critico può essere necessario per prevenire fughe di dati o uso indebito di know-how aziendale. Ma gli audit dovrebbero essere mirati, documentati e basati su regole note in anticipo. Monitoraggi massivi su ogni file toccato da ciascun dipendente, magari usati poi per giudicare la resa individuale, sfociano facilmente in una sorveglianza non più difensiva ma sistematica.
Best practice per un controllo proporzionato e trasparente
Per muoversi in modo equilibrato, molte aziende adottano un vero e proprio framework di controllo interno. Alcune linee guida sono ricorrenti. Prima di introdurre un nuovo strumento, si verifica se esistono soluzioni organizzative meno intrusive: ad esempio, obiettivi chiari e indicatori di performance basati sui risultati, invece che sul monitoraggio minuto per minuto della presenza al pc.
Altro punto chiave è la separazione dei ruoli: chi gestisce i sistemi tecnici (spesso l’IT) non dovrebbe avere piena libertà di visionare i dettagli dell’attività dei singoli, se non nei casi autorizzati e tracciati. L’accesso ai log sensibili va regolato con profili differenziati e registrazione di chi entra, quando e perché.
Sul piano comunicativo, funzionano molto meglio politiche chiare che spiegano finalità e limiti dei controlli, magari discusse con RSU o rappresentanze dei lavoratori. Nei contesti ad alta specializzazione – studi professionali, società di consulenza, team di sviluppo software – spesso è sufficiente un controllo centrato su qualità degli output e rispetto delle deadline, lasciando la massima autonomia sui tempi di lavoro. All’opposto, nei ruoli ripetitivi di linea o di magazzino, un minimo di tracciamento operativo può essere necessario ma sempre con regole semplici, comprensibili e non punitive.





