I controlli difensivi nel rapporto di lavoro: fondato sospetto, limite temporale e bilanciamento costituzionale

Con la sentenza n. 32283 depositata l’ 11 dicembre 2025 della Corte di Cassazione – Sezione Lavoro si è consolidato un orientamento giurisprudenziale di rilievo in tema di controlli difensivi esercitati dal datore di lavoro per l’accertamento di condotte illecite attribuibili a singoli dipendenti, anche tramite strumenti tecnologici, e la conseguente utilizzabilità delle informazioni raccolte ai fini disciplinari e di legittimazione del licenziamento. Il relativo contesto normativo si intrecciano la disciplina statutaria dei controlli a distanza, le norme codicistiche in materia di obblighi del lavoratore, la protezione dei dati personali e i principi convenzionali in tema di tutela della vita privata. Per cui vi è sempre la necessità di un bilanciamento tra l’esigenza dell’imprenditore di organizzare e vigilare sull’attività produttiva, anche al fine di prevenire e reprimere comportamenti illeciti e dall’altro, la tutela della dignità, della libertà e della riservatezza del lavoratore, soggetto strutturalmente debole nel sinallagma contrattuale.

La decisione, pur risolvendosi in una declaratoria di inammissibilità del ricorso per ragioni processuali, offre l’occasione per ribadire alcuni punti cardine dell’elaborazione giurisprudenziale recente: la necessità di un fondato sospetto, la delimitazione temporale del controllo, la proporzionalità dell’ingerenza e il rispetto della disciplina in materia di protezione dei dati personali.

Il rilievo della pronuncia risiede sia nella distinzione tra diverse tipologie di controllo datoriale che nella precisa definizione dei presupposti di legittimità, ancorati alla tutela della dignità e riservatezza del lavoratore (art. 8 CEDU) e alla necessità di bilanciamento tra interessi contrapposti, valorizzata dalla giurisprudenza nazionale e sovranazionale.

Inquadramento normativo: art. 4 Statuto dei Lavoratori e disciplina privacy

Il riferimento normativo imprescindibile in materia di controlli a distanza resta l’art. 4 della Legge 20 maggio 1970 n. 300, profondamente modificato dall’art. 23 del d.lgs. 15 giugno 2015, n. 151. La disposizione, nella sua formulazione originaria, esprimeva un’impostazione fortemente restrittiva, vietando l’uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori, salvo accordo sindacale o autorizzazione amministrativa.

La riforma del 2015 ha superato il modello del divieto, introducendo una disciplina autorizzatoria e funzionale. L’attuale comma 1 consente l’installazione di impianti audiovisivi e altri strumenti dai quali derivi anche la possibilità di controllo a distanza, purché ricorrano esigenze organizzative e produttive, di sicurezza del lavoro o di tutela del patrimonio aziendale, e previo accordo collettivo o autorizzazione dell’Ispettorato nazionale del lavoro. Il comma 2 esclude dall’ambito applicativo della procedura gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e quelli di registrazione degli accessi e delle presenze. Il comma 3 stabilisce che le informazioni raccolte sono utilizzabili a tutti i fini connessi al rapporto di lavoro, a condizione che sia stata fornita adeguata informazione sulle modalità d’uso degli strumenti e di effettuazione dei controlli, nel rispetto della disciplina in materia di protezione dei dati personali.

La riforma ha dunque spostato l’asse della tutela dal divieto assoluto alla regolazione procedurale e informativa, valorizzando il principio di trasparenza e integrando la disciplina lavoristica con quella in materia di privacy. Tuttavia, la norma non contempla espressamente la figura dei controlli difensivi mirati all’accertamento di specifiche condotte illecite del lavoratore, lasciando uno spazio interpretativo che la giurisprudenza ha progressivamente riempito.

Art. 4 della Legge 20 maggio 1970, n. 300 (Statuto dei Lavoratori)

L’articolo cardine della disciplina sui controlli a distanza e l’uso degli strumenti tecnologici nel rapporto di lavoro è l’art. 4 della legge n. 300/1970, come modificato dal d.lgs. 15 giugno 2015, n. 151. La norma, nella versione vigente ratione temporis nella sentenza in esame, prevede:

“Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale…”

(art. 4, comma 1, L. n. 300/1970)

Il comma 2 esclude l’applicazione dell’art. 4 agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa. Il comma 3, invece, dispone l’utilizzabilità delle informazioni raccolte, a condizione che sia stata data adeguata informazione ai lavoratori sulle modalità d’uso e di controllo, nonché nel rispetto della disciplina privacy.

Tutela dei dati personali: GDPR e Codice privacy

Al quadro normativo si innesta il Regolamento UE 2016/679 (GDPR) e il d.lgs. 30 giugno 2003, n. 196, che impongono principi di proporzionalità, minimizzazione, liceità e trasparenza nel trattamento dei dati personali, anche in ambito lavorativo (artt. 5 e 6 GDPR). Questi profili sono richiamati dalla giurisprudenza quando si discute della legittimità dei controlli difensivi e dell’utilizzabilità delle informazioni raccolte.

Art. 2104 e art. 2105 c.c.: doveri del lavoratore

La pronuncia in commento affronta anche la violazione dei doveri di diligenza e fedeltà del lavoratore (artt. 2104 e 2105 c.c.), cui può conseguire la legittimità del licenziamento disciplinare quando la condotta incriminata sia adeguatamente provata.

Il quadro costituzionale e sovranazionale

La questione coinvolge direttamente:

• art. 2 Cost. (diritti inviolabili della persona);

• art. 4 Cost. (diritto al lavoro);

• art. 41 Cost. (libertà di iniziativa economica privata).

La categoria dei “controlli difensivi”: distinzione concettuale e confini applicativi

Un aspetto di assoluta centralità nella sentenza n. 32283/2025 è la distinzione tra diverse categorie di controllo preventivo e difensivo, ormai consolidata nella giurisprudenza di legittimità.

Controlli tecnologici ordinari (art. 4 Statuto dei Lavoratori)

I controlli tecnologici rientranti nell’art. 4 concernono strumenti di controllo a distanza dell’attività lavorativa (telecamere, software di monitoraggio, ecc.) e sono soggetti alla procedura speciale di cui all’art. 4 (accordo con rappresentanze sindacali o autorizzazione dell’INL; informazione; limiti di finalizzazione). L’utilizzo di tali dati a fini disciplinari è subordinato alle condizioni del comma 3 dell’art. 4 stesso e alla disciplina privacy con riferimento anche al GDPR.

Controlli difensivi in senso stretto

La giurisprudenza più recente, ora richiamata dalla Cassazione con autorevole consolidamento in n. 32283/2025, distingue una particolare tipologia autonoma, i “controlli difensivi in senso stretto”, caratterizzati da:

1. finalità esclusiva di accertamento di condotte illecite, non riferite alla normale attività lavorativa, ma a comportamenti che possono configurare ipotesi penalmente rilevanti o fraudolente;

2. diretti a singoli e determinati dipendenti, sulla base di concreti indizi e di un fondato sospetto;

3. attuati ex post rispetto all’insorgere del sospetto, in modo coerente con il bilanciamento con la tutela della dignità e della riservatezza del lavoratore.

Tali controlli, pur svolgendosi anche durante la prestazione lavorativa e magari con strumenti tecnologici, non ricadono nel perimetro applicativo dell’art. 4 e dunque sfuggono alla relativa disciplina di installazione preventiva, purché ricorrano i presupposti delineati.

Il caso concreto della sentenza n. 32283/2025

Fatti di causa

Nel caso sottoposto all’esame della Cassazione, il dipendente (quadri tecnico) impugnava il licenziamento per giusta causa intimatogli da A.I.L. s.r.l. per violazione di obblighi di confidenzialità della selezione interna, contestazione fondata su conversazioni intercorrenti nella chat aziendale, ritenuta strumento di lavoro.

La Corte d’appello di Torino aveva confermato il giudizio di primo grado, ritenendo utilizzabili le conversazioni (in quanto strumento di lavoro ai sensi dell’art. 4, comma 2, L. n. 300/1970) e ritenendo legittimi anche i controlli difensivi condotti dalla società per accertare condotte illecite del dipendente (a seguito di fondato sospetto insorto il 30 maggio 2020).

Motivi di ricorso e doglianze

Il ricorrente impugnava la sentenza di merito sotto il profilo della violazione dei limiti dei controlli difensivi, specie in relazione all’uso di dati raccolti su conversazioni anteriori al momento del fondato sospetto, nonché alla presunta violazione dell’art. 8 CEDU, dell’art. 4 Statuto dei Lavoratori e dei principi giurisprudenziali relativi ai controlli difensivi in senso stretto.

Decisione della Corte di Cassazione

La Suprema Corte dichiarò il ricorso inammissibile per essere stato proposto avverso una sola delle due autonome rationes decidendi della sentenza impugnata (quella relativa ai controlli difensivi), mentre veniva trascurata la contestazione sulla qualificazione della chat come strumento di lavoro (prima ratio).

Tale decisione rimanda, implicitamente e per relationem, a un consolidato quadro di principi giurisprudenziali sulla legittimità dei controlli difensivi, richiamando le seguenti condizioni di legittimità indiscusse:

• i controlli devono essere mirati e funzioni di accertamento di illeciti individualizzati;

• devono essere effettuati ex post rispetto all’insorgere del fondato sospetto, così delimitando temporalmente l’area del controllo;

• l’uso di dati raccolti successivamente all’insorgere del sospetto è compatibile con il diritto alla riservatezza, purché sia garantito il corretto bilanciamento tra gli interessi del datore di lavoro e della dignità del lavoratore;

• tali controlli, pur essendo estranei al perimetro dell’art. 4, non devono violare la disciplina privacy (GDPR) e i principi di proporzionalità e minimizzazione del trattamento.

La costruzione giurisprudenziale dei controlli difensivi

La categoria dei controlli difensivi non nasce con la riforma del 2015, ma affonda le proprie radici in una elaborazione giurisprudenziale precedente. Già in epoca anteriore alla novella, la Corte di Cassazione aveva ammesso la legittimità di controlli occulti diretti alla tutela del patrimonio aziendale, purché non finalizzati al controllo dell’ordinaria attività lavorativa. Si ricordano, tra le altre, Cass. 3 aprile 2002, n. 4746, e Cass. 23 febbraio 2012, n. 2722.

Il momento di sistematizzazione si registra tuttavia con le sentenze 22 settembre 2021, nn. 25731 e 25732, nelle quali la Corte distingue chiaramente tra controlli a distanza dell’attività lavorativa, soggetti all’art. 4 Stat. lav., e controlli difensivi in senso stretto, diretti ad accertare condotte illecite del lavoratore. In tali pronunce si afferma che questi ultimi non rientrano nell’ambito applicativo dell’art. 4, purché siano fondati su un sospetto concreto e mirino a verificare comportamenti estranei al mero inadempimento della prestazione.

La suprema Corte con la decisione depositata il 9 dicembre 2021, n. 34092, ribadisce che il controllo difensivo deve essere mirato e non esplorativo,

I giudici di piazza Cavour, invece, con la decisione depositata il 26 giugno 2023, n. 18168, introducono un ulteriore requisito: i dati utilizzati devono essere successivi all’insorgenza del sospetto. Il tema viene ulteriormente chiarito dalla decisione della Corte di Cassazione n. 10822 depositata il 24 aprile 2025 con cui è stato dichiarato illegittimo il licenziamento fondato su controlli effettuati in assenza di un fondato sospetto. Per cui il controllo deve riguardare dati e informazioni successive all’insorgere del sospetto, a tutela dell’equilibrio con il diritto alla riservatezza. Pertanto l’assenza di un fondato sospetto rende illegittimo il licenziamento fondato sui controlli difensivi, posto in violazione dei criteri richiesti.

La sentenza n. 32283/2025 si colloca in questo solco, confermando la legittimità dei controlli difensivi in senso stretto purché rispettino tali presupposti. e ribadendo che

“… occorre distinguere tra i controlli a difesa del patrimonio aziendale che riguardano tutti i dipendenti (o gruppi di dipendenti) nello svolgimento della loro prestazione di lavoro che li pone a contatto con tale patrimonio, controlli che dovranno necessariamente essere realizzati nel rispetto delle previsioni dell’art. 4 novellato in tutti i suoi aspetti, e i ‘controlli difensivi’ in senso stretto, diretti ad accertare specificamente condotte illecite ascrivibili – in base a concreti indizi – a singoli dipendenti, anche se verificatesi durante la prestazione di lavoro; questi ultimi controlli, anche se effettuati con strumenti tecnologici, non avendo ad oggetto la normale attività del lavoratore, si situano all’esterno del perimetro applicativo dell’art. 4 (Cass. n. 25732/2021 cit., punti 31 e 32; Cass. n. 18168 del 2023, p. 7).

Poiché non ha ad oggetto una attività – in senso tecnico – del lavoratore, il controllo difensivo in senso stretto deve essere mirato ed attuato ex post, ossia a seguito del comportamento illecito di uno o più lavoratori del cui avvenuto compimento il datore abbia avuto il fondato sospetto, perché solo a partire da quel momento il datore può provvedere alla raccolta di informazioni utilizzabili (così Cass. n. 25732/2021 cit., punti 40 e 44).

I controlli difensivi in senso stretto sono quindi considerati legittimi solo ove ricorra il “fondato sospetto” del datore di lavoro circa comportamenti illeciti di uno o più lavoratori e purché il controllo riguardi dati acquisiti successivamente all’insorgere del sospetto, dovendosi assicurare un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore (v. Cass. n. 25731 del 2021; Cass. n. 25732 del 2021; Cass. n. 34092 del 2021; Cass. n. 18168 del 2023). “

Il fondato sospetto come condizione di legittimità

Il fondato sospetto costituisce l’elemento cardine della costruzione giurisprudenziale. Esso deve essere concreto, oggettivamente verificabile e riferito a un determinato lavoratore. Non è sufficiente un generico timore o una verifica esplorativa finalizzata a “cercare” eventuali irregolarità.

La giurisprudenza richiede che il sospetto sia anteriore al controllo e che trovi fondamento in elementi fattuali specifici. In mancanza di tale presupposto, il controllo si tradurrebbe in una forma di sorveglianza generalizzata, incompatibile con i principi costituzionali e convenzionali.

La sentenza n. 32283/2025 ribadisce implicitamente tale impostazione, valorizzando la circostanza che il controllo fosse stato attivato a seguito dell’emersione di elementi idonei a far sorgere il sospetto di una violazione degli obblighi di riservatezza.

La delimitazione temporale del controllo

Uno dei profili più innovativi della giurisprudenza recente è rappresentato dal limite temporale. I didici della Corte Suprema con la decisione n. 18168/2023 hanno affermato che il controllo deve riguardare dati successivi all’insorgenza del sospetto. L’analisi retroattiva indiscriminata di archivi informatici, in assenza di un previo sospetto, viola il principio di proporzionalità e si traduce in una forma di controllo permanente.

La sentenza n. 32283/2025 si pone in continuità con tale principio. La delimitazione temporale rappresenta una garanzia fondamentale nell’era della conservazione massiva dei dati, impedendo che il datore utilizzi informazioni raccolte in via generalizzata per finalità originariamente diverse da quelle difensive.

Infatti per i giudici di legittimità “da un punto di vista temporale, occorre che il controllo risulti “mirato” ovvero attuato ex post, intendendosi come tale il solo controllo effettuato «a seguito del comportamento illecito di uno o più lavoratori del cui avvenuto compimento il datore abbia avuto il fondato sospetto»; perché solo a partire da quel momento, il datore di lavoro può provvedere alla raccolta di informazioni utilizzabili e, quindi, solo a partire da quel momento una compressione della riservatezza del lavoratore può essere giustificata e dirsi legittima (cfr. Cass. n. 25732 del 22.9.2021; Cass. n. 18168 del 26/6/2023).”

Bilanciamento costituzionale

Il controllo difensivo si colloca all’incrocio tra:

• libertà di iniziativa economica (art. 41 Cost.);

• tutela della persona (artt. 2 e 3 Cost.);

• diritto al lavoro (art. 4 Cost.).

La Cassazione opera un bilanciamento in concreto, valutando:

• gravità dell’illecito;

• invasività del mezzo;

• estensione temporale del controllo;

• alternative meno intrusive.

Il bilanciamento con l’art. 8 CEDU

Il controllo difensivo incide sul diritto al rispetto della vita privata e della corrispondenza tutelato dall’art. 8 della Convenzione europea dei diritti dell’uomo. La Corte europea dei diritti dell’uomo ha elaborato un articolato test di proporzionalità nelle decisioni Bărbulescu v. Romania (5 settembre 2017) e López Ribalda and Others v. Spain (17 ottobre 2019) , richiedendo la verifica di vari fattori: informazione preventiva, estensione del controllo, grado di intrusività, legittimità dello scopo perseguito, possibilità di misure alternative meno invasive.

Per i giudici della CEDU “possono dirsi legittimi: i controlli difensivi volti ad accertare condotte illecite ascrivibili a singoli e determinati dipendenti; quelli indotti da un “fondato sospetto” di commissione di un illecito da parte di quel dipendente; quelli che abbiano ad oggetto dati raccolti ex post, purché sia assicurato un corretto bilanciamento tra le esigenze di protezione degli interessi e dei beni aziendali e la tutela della dignità e della riservatezza del lavoratore.

(…)

l’attività di controllo è legittima solo se verte su informazioni riferite a fatti avvenuti a partire dal momento in cui il datore di lavoro ha l’esigenza di accertare la commissione di un illecito e non su informazioni che si riferiscono ad un periodo antecedente.

Precisa che l’insorgenza di un fondato sospetto rileva sia in relazione al tempo sia in relazione allo spazio: il fondato sospetto, infatti, non solo individua il momento a decorrere dal quale il controllo può essere attuato, ma circoscrive anche l’ambito della raccolta delle informazioni.

Il tutto per evitare, nel rispetto «della (…) vita privata e familiare, del (…) domicilio e della (…) corrispondenza» sancito dall’art. 8 CEDU, che l’area del controllo difensivo del datore di lavoro si estenda a ritroso magari sino al primo giorno di lavoro. “

La giurisprudenza italiana recepisce tali criteri, integrando il parametro interno con quello convenzionale. Il giudice nazionale è chiamato a operare un bilanciamento in concreto tra l’interesse del datore alla tutela del patrimonio e alla repressione di illeciti e il diritto del lavoratore alla riservatezza.

Il rapporto con il GDPR

Il controllo difensivo implica un trattamento di dati personali ai sensi dell’art. 4 del Regolamento UE 2016/679. Ne consegue l’applicazione dei principi di liceità, correttezza, trasparenza, minimizzazione e limitazione della finalità (art. 5 GDPR), nonché la necessità di individuare una base giuridica del trattamento (art. 6).

Nel contesto lavorativo, la base giuridica è spesso individuata nel legittimo interesse del datore di lavoro (art. 6, par. 1, lett. f), che tuttavia richiede un bilanciamento documentato con i diritti e le libertà fondamentali dell’interessato. L’art. 88 GDPR consente agli Stati membri di prevedere norme più specifiche per garantire la tutela dei diritti e delle libertà dei lavoratori.

La disciplina privacy introduce un livello ulteriore di controllo, imponendo al datore obblighi di accountability, documentazione e valutazione preventiva dei rischi.

La prova disciplinare e l’inutilizzabilità

Se il controllo è effettuato in violazione dei presupposti delineati dalla giurisprudenza, la prova raccolta è inutilizzabile ai fini disciplinari. Cass. n. 10822/2025 ha chiarito che l’assenza di un fondato sospetto rende illegittimo il licenziamento fondato sui dati così acquisiti.

Si configura, in tal modo, un principio di inutilizzabilità probatoria analogo, per certi versi, a quello elaborato in ambito penale. Il licenziamento disciplinare, pur non essendo una sanzione penale, presenta un carattere afflittivo tale da giustificare un elevato livello di garanzie.

Prospettive comparate ed evoluzione tecnologica

Il panorama europeo evidenzia una tendenza convergente verso modelli fondati su proporzionalità e fondato sospetto. In Francia, il Code du travail richiede informazione preventiva e rispetto della proporzionalità. In Germania, il Bundesarbeitsgericht esige un sospetto concreto per i controlli occulti. In Spagna, la giurisprudenza costituzionale ha recepito i criteri della Corte EDU.

L’evoluzione tecnologica, con l’introduzione di sistemi di intelligenza artificiale e monitoraggi algoritmici, pone nuove sfide. Il sospetto non può essere generato automaticamente da un algoritmo senza verifica umana. La dimensione predittiva dei sistemi digitali rischia di alterare la logica ex post del controllo difensivo, trasformandolo in un meccanismo di prevenzione permanente.

Conclusioni

La sentenza n. 32283/2025 consolida un sistema fondato su cinque pilastri: fondato sospetto, individualizzazione del controllo, delimitazione temporale, proporzionalità e rispetto della disciplina privacy. Il controllo difensivo emerge come potere eccezionale, legittimo solo in presenza di rigorosi presupposti e soggetto a un bilanciamento multilivello tra norme interne e convenzionali.

Il diritto vivente ha costruito una disciplina articolata e sofisticata, capace di adattarsi alla trasformazione digitale. Tuttavia, la complessità crescente del contesto tecnologico rende auspicabile un intervento legislativo organico che recepisca e sistematizzi i principi elaborati dalla giurisprudenza, trasformandoli in regole positive chiare e prevedibili, in grado di garantire certezza del diritto e tutela effettiva dei diritti fondamentali nel luogo di lavoro.