I controlli troppo invasivi sulla vita privata del dipendente in malattia violano il GDPR
I controlli troppo invasivi nella vita privata del lavoratore violano i principi di proporzionalità e minimizzazione prescritti dalla normativa in materia di privacy.
Il principio è stato ribadito dalla Cassazione, Sezione Lavoro, con l'ordinanza n. 23578 del 20 agosto 2025, con cui è stata confermata l’illegittimità del licenziamento disciplinare intimato a un lavoratore, con qualifica di dirigente.
Nel caso in esame, al dipendente assente per malattia era stato contestato di non avere rispettato varie volte l'obbligo di garantire la reperibilità nelle fasce orarie stabilite dalla legge e dalla contrattazione collettiva.
La violazione era stata accertata attraverso un controllo operato da parte di un’agenzia investigativa incaricata dal datore di lavoro.
La Corte d’Appello aveva ritenuto il licenziamento nullo in quanto "privo di giusta causa e della c.d. giustificatezza". In particolare, i giudici avevano accolto il motivo di reclamo con cui il dirigente aveva lamentato la "inutilizzabilità del report dell'agenzia investigativa ai fini della prova del fatto contestato nella lettera di addebito disciplinare".
Secondo la Corte territoriale, il controllo era stato posto in essere al di fuori dei presupposti di legittimità, perché la società datrice di lavoro non aveva né allegato né provato circostanze oggettive tali da configurare un fondato o ragionevole sospetto di illecito commesso o in corso di commissione da parte del lavoratore, sussistente prima dell'avvio del controllo.
La sentenza di merito aveva ritenuto che i controlli effettuati fossero troppo invasivi rispetto alla vita privata del lavoratore, non giustificati al momento in cui erano stati avviati e attuati in modo eccessivo, senza rispettare i principi di proporzionalità e necessità previsti dalla legge.
In tale contesto, non era possibile configurare come prove (nemmeno come prove atipiche) elementi conoscitivi acquisiti in violazione di diritti fondamentali, come il diritto alla protezione dei propri dati personali.
Il datore di lavoro aveva però fatto ricorso in Cassazione, contestando la sentenza d’appello sotto vari profili, tra i quali la relativa nullità per omessa o contraddittoria motivazione nonché per violazione ed erronea applicazione degli artt. 2094, 2086, 2104 e 2106 del Codice Civile nonché delle norme del CCNL applicabile.
In particolare, la società ricorrente sosteneva la proporzionalità dell’attività investigativa in relazione al sospetto di condotta fraudolenta nonché l’infondatezza delle doglianze sulla violazione della privacy, trattandosi di attività svolte in luoghi pubblici e in orari di reperibilità.
La Suprema Corte ha giudicato infondati i motivi di ricorso, considerato che la sentenza impugnata era conforme ai principi espressi dalla medesima Cassazione in tema di controlli difensivi, richiamando sul punto le motivazioni già espresse nella sentenza n. 18168 del 2023, nella quale viene evidenziato che il datore di lavoro può effettuare controlli, anche tecnologici, per proteggere beni aziendali o prevenire illeciti, ma solo se ha un sospetto fondato e se il controllo è proporzionato e rispetta la dignità e la privacy del lavoratore.
Inoltre, i dati raccolti devono essere successivi al momento in cui nasce il sospetto.
La Cassazione ha inoltre sottolineato come, indipendentemente dal fatto che il controllo potesse essere qualificato come “difensivo”, la doglianza sollevata non avrebbe comunque potuto condurre all’annullamento della sentenza impugnata, ritenendo che il datore di lavoro avesse adottato "una interpretazione eccessiva mente rigorosa del 'sospetto' necessario per l'avvio di un controllo", quando invece sarebbe sufficiente "un sospetto o una mera ipotesi" di illiceità del comportamento tenuto dal dipendente.
Respinta anche la tesi di violazione e/o falsa applicazione del Provvedimento n. 60 del 6 novembre 2008 del Garante della Privacy in quanto integrativo del Regolamento UE 2016/679 (GDPR), ritenendo i "controlli certamente invasivi sul piano della vita privata del lavoratore" in quanto il datore di lavoro li aveva "disposti in violazione dei principi di proporzionalità e minimizzazione".
Come ricordato dalla giurisprudenza, "in nessun caso può essere giustificato un sostanziale annullamento di ogni forma di garanzia della dignità e riservatezza del lavoratore" (Cassazione 25732/2021).
Anche nel caso di controllo difensivo "in senso stretto" lecito, occorre comunque sia "assicurato un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore".
Ebbene, nel caso esaminato, il giudizio di invasività si fondava sul fatto che il controllo fosse stato effettuato per ben 16 giorni, seppure non continuativi, durante il periodo natalizio, includendo anche le giornate di Natale e Santo Stefano, nonché la fine e l’inizio dell’anno. Il pedinamento era avvenuto su strade pubbliche e all’interno di locali aperti al pubblico, come ristoranti, ma aveva coperto quasi integralmente il tempo in cui il lavoratore si trovava fuori casa, anche dalle 7 del mattino fino alla sera oltre le 20, andando quindi ben oltre le fasce orarie di reperibilità previste per la malattia.
Inoltre, il controllo aveva coinvolto non solo i familiari che erano con il dirigente (in particolare, il figlio), ma anche i terzi che via via aveva incontrato in quel periodo.
Per contro, al datore di lavoro sarebbe bastato richiedere una visita fiscale all'INPS, richiesta che avrebbe consentito di verificare l'eventuale violazione delle fasce di reperibilità.
