CONTROLLI TECNOLOGICI, DATI DEI LAVORATORI E LIMITI AL POTERE DATORIALE: IL PROVVEDIMENTO DEL GARANTE DI 24 FEBBRAIO 2026 COME NUOVO PUNTO DI EQUILIBRIO
Il provvedimento n. 10224096 del 24 febbraio 2026 del Garante per la protezione dei dati personali rappresenta, allo stato, il più recente e significativo intervento in materia di trattamento dei dati personali dei lavoratori.
Il caso esaminato dal Garante evidenziava criticità sotto più profili: carenza di un’adeguata base giuridica del trattamento, insufficiente trasparenza nei confronti degli interessati, violazione dei principi di minimizzazione e proporzionalità e inadeguata strutturazione delle misure organizzative. Il richiamo ai principi di cui all’art. 5 GDPR non è stato meramente formale.
L’Autorità ha sottolineato che l’accountability non può ridursi a un adempimento documentale, ma implica una progettazione sostanziale del trattamento, tale da garantire che i dati raccolti siano strettamente necessari rispetto alle finalità perseguite. In altre parole, la possibilità tecnica di raccogliere dati non coincide con la legittimità giuridica del trattamento.
Nel contesto lavorativo, questa affermazione assume una portata sistemica. Il rapporto di lavoro è caratterizzato da un’asimmetria strutturale tra datore e lavoratore che incide direttamente sulla disciplina della protezione dei dati.
Il consenso del dipendente, in tale contesto, difficilmente può considerarsi liberamente prestato, di conseguenza, la base giuridica del trattamento deve essere individuata, di regola, nell’adempimento di obblighi legali, nell’esecuzione del contratto o, in via residuale, nel legittimo interesse del datore di lavoro, purché sottoposto a un rigoroso test di bilanciamento. È proprio su questo terreno che il provvedimento Garante si colloca, riaffermando la centralità del principio di proporzionalità quale criterio di valutazione della liceità del trattamento.
Il sistema normativo italiano impone, inoltre, una verifica su un duplice piano, in quanto, accanto al GDPR opera l’art. 4 della legge n. 300/1970, che disciplina gli strumenti dai quali possa derivare un controllo a distanza dell’attività dei lavoratori.
Anche qualora uno strumento sia stato legittimamente introdotto mediante accordo sindacale o autorizzazione amministrativa, ciò non esaurisce la verifica di legittimità. La conformità lavoristica non sostituisce la conformità privacy.
Il provvedimento del 2026 si inserisce precisamente in questa logica di “doppia conformità”: il trattamento deve essere compatibile sia con lo Statuto dei lavoratori sia con i principi europei di necessità, minimizzazione, trasparenza e limitazione della finalità.
L’intervento dell’Autorità si colloca in una traiettoria già delineata negli ultimi anni. Il Garante per la protezione dei dati personali aveva in precedenza sanzionato l’uso sistematico della geolocalizzazione dei dipendenti in modalità di lavoro agile, ritenendolo sproporzionato rispetto alle finalità dichiarate, così come aveva censurato l’impiego di sistemi biometrici per la rilevazione delle presenze e software di monitoraggio massivo delle attività informatiche.
In tutti questi casi, l’elemento ricorrente è la violazione del principio di minimizzazione: non tutto ciò che è tecnicamente possibile è giuridicamente lecito.
Parallelamente, anche la giurisprudenza ha contribuito a definire i confini del controllo datoriale. La Corte di Cassazione, con la sentenza n. 24204 del 29 agosto 2025, ha affermato l’inviolabilità delle comunicazioni personali del lavoratore, anche se transitanti su sistemi aziendali. La Suprema Corte ha chiarito che la mera disponibilità tecnica del dato non legittima un accesso indiscriminato, né consente automaticamente l’utilizzabilità disciplinare delle informazioni raccolte in violazione delle garanzie normative. Si tratta di un orientamento che si armonizza pienamente con la logica del GDPR e che rafforza l’idea secondo cui la dignità e la riservatezza del lavoratore costituiscono limiti strutturali all’esercizio del potere organizzativo.
Il provvedimento del Garante del 24 febbraio 2026 assume rilievo anche in una prospettiva europea più ampia, segnata dalla crescente diffusione di sistemi di gestione algoritmica del lavoro.
Software che assegnano turni, valutano performance, elaborano punteggi o supportano decisioni disciplinari pongono questioni complesse sotto il profilo della trasparenza, della spiegabilità e del rispetto dell’art. 22 GDPR in materia di decisioni automatizzate. In tale scenario, il richiamo del Garante alla necessità di una progettazione attenta e proporzionata dei trattamenti si presta a fungere da parametro anche per le future applicazioni dell’intelligenza artificiale in ambito HR.
Dal complesso delle pronunce emerge un principio unificante: il controllo è legittimo quando è necessario, proporzionato e trasparente; diventa illecito quando si traduce in una sorveglianza sistematica o in una raccolta eccedente rispetto alle finalità dichiarate. La tecnologia amplia le possibilità organizzative dell’impresa, ma non estende automaticamente il perimetro del potere datoriale.
Per le imprese, le implicazioni sono rilevanti. È necessario riesaminare i sistemi di monitoraggio in uso, verificare la coerenza tra finalità e dati effettivamente raccolti, coordinare preventivamente GDPR e art. 4 dello Statuto dei lavoratori, effettuare valutazioni d’impatto nei casi di trattamenti invasivi e documentare adeguatamente le scelte organizzative. La compliance in materia di protezione dei dati personali non rappresenta un vincolo meramente formale, ma una componente essenziale della governance aziendale e della gestione del rischio, anche reputazionale.
In questa prospettiva, il provvedimento del Garante del 24 febbraio 2026 non si limita a sanzionare una singola condotta, ma contribuisce a definire un modello di equilibrio tra potere organizzativo e diritti fondamentali. L’Autorità ribadisce che il luogo di lavoro – pur digitalizzato, interconnesso e sempre più governato da strumenti tecnologici – non può trasformarsi in uno spazio di monitoraggio permanente della persona.
Il dato personale del lavoratore non è un mero fattore produttivo, né un elemento neutro dell’organizzazione aziendale: è espressione della sua identità e della sua dignità. Per questo motivo, il trattamento deve essere progettato ex ante secondo criteri di necessità, limitazione e responsabilizzazione, e non giustificato ex post sulla base dell’utilità tecnica o dell’efficienza organizzativa.
L’evoluzione giurisprudenziale e amministrativa degli ultimi anni – dalle sanzioni in materia di geolocalizzazione e biometria fino alla pronuncia della Corte di Cassazione n. 24204/2025 sull’inviolabilità delle comunicazioni personali – converge verso un principio comune: il potere datoriale trova un limite strutturale nella tutela della riservatezza e nella protezione dei dati personali.
Nel nuovo ecosistema del lavoro digitale, la protezione dei dati personali non è un vincolo burocratico, ma il parametro attraverso cui si misura la qualità giuridica dell’impresa contemporanea.
In questo contesto, il ruolo del legale esperto in privacy diventa strategico: non solo per prevenire sanzioni, ma per progettare correttamente i sistemi di controllo e documentare in modo rigoroso le scelte organizzative. La vera differenza non sta nell’avere strumenti tecnologici avanzati, ma nel saperli utilizzare entro un perimetro giuridicamente sostenibile.
La compliance è un investimento in stabilità, reputazione e qualità dell’organizzazione. Ed è proprio nella fase preventiva, nella definizione della strategia e dell’architettura documentale, che si gioca la partita più importante.
Avv. Elisabetta Ricchiuti
MFLaw Milano
Il presente documento non costituisce un parere ed è stato redatto ai soli fini informativi dei clienti di MFLaw e dei lettori del Magazine di MFLaw. È proprietà di MFLaw e non può essere divulgato a soggetti differenti dal destinatario, senza una preventiva autorizzazione scritta.
