Controllo dei dipendenti nel 2026: cosa può fare l’azienda (e cosa rischia)

A cura di: BCO Consulting – team Salute e Sicurezza sul Lavoro

Norme citate: Statuto dei Lavoratori; Costituzione della Repubblica Italiana; GDPR; AI Act; Legge 132/2025.

Il controllo dei dipendenti è lecito solo per finalità organizzative, di sicurezza o di tutela del patrimonio aziendale (Art. 4, Legge 300/1970). È sempre richiesta l’autorizzazione dell’Ispettorato Nazionale del Lavoro (INL) o l’accordo sindacale (ove il sindacato sia presente). In assenza di tale adempimento, qualsiasi forma di monitoraggio – videosorveglianza, GPS, software di produttività – è illegittima e le prove raccolte sono inutilizzabili. Le sanzioni ai sensi del GDPR possono arrivare fino a 20 milioni di euro o al 4% del fatturato globale annuo.

Nel 2026, con l’entrata in piena operatività dell’AI Act europeo, il proliferare di bossware (cioè di strumenti che consentono il monitoraggio dei dipendenti) e la diffusione dello smart working ibrido, molte aziende si trovano esposte a sanzioni senza saperlo. Questo articolo analizza il controllo dei dipendenti – il quadro normativo aggiornato al 2026, con riferimento ai provvedimenti più recenti del Garante Privacy – per aiutare le PMI italiane a capire dove si trovano e dove rischiano.

1. Controllo dei dipendenti: il quadro normativo 2026 tra Statuto dei Lavoratori, GDPR e AI Act

La disciplina del controllo a distanza dei lavoratori si fonda su tre pilastri normativi che nel 2026 si sovrappongono in modo sempre più complesso. Per le PMI italiane, la conformità GDPR non è più separabile dal rispetto del diritto del lavoro e dalla governance dell’intelligenza artificiale.

Articolo 4 Statuto dei Lavoratori: cosa dice davvero sul controllo a distanza

L’Articolo 4 della Legge 300/1970 rimane il riferimento principale per le aziende italiane. Stabilisce che gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, sicurezza del lavoro e tutela del patrimonio aziendale. L’installazione richiede tassativamente un accordo sindacale o, in assenza, l’autorizzazione dell’Ispettorato Nazionale del Lavoro (INL). Senza questi passaggi, qualsiasi prova raccolta è inutilizzabile in sede disciplinare e l’imprenditore rischia sanzioni penali dirette.

Il GDPR (Regolamento UE 2016/679) impone il principio di accountability: non basta rispettare la norma, bisogna poter dimostrare di averla rispettata. Il Garante Privacy ha emesso numerosi provvedimenti nel 2026 che confermano questa linea, sanzionando aziende che raccoglievano dati dei dipendenti senza base giuridica adeguata, senza informativa o con sistemi di conservazione sproporzionati rispetto alle finalità dichiarate.

L’AI Act (Regolamento UE 2024/1689), le cui scadenze sono ora state riviste a fronte del Digital Omnibus il pacchetto normativo presentato dalla Commissione Europea.  Le scadenze per i sistemi classificati “ad alto rischio” quali i sistemi AI utilizzati per selezione del personale, valutazione delle prestazioni e gestione delle risorse umane vengono posticipate al 2 dicembre 2027. Questo include software HR con funzioni predittive, strumenti di scoring dei candidati e sistemi di monitoraggio della produttività basati su algoritmi. A questi si aggiunge la Legge italiana 132/2025, che introduce obblighi informativi specifici per i datori di lavoro che impiegano AI nei rapporti con i lavoratori.

Una consulenza privacy aziendale strutturata permette di integrare GDPR, Statuto dei Lavoratori e AI Act in un sistema di gestione unico e coerente. BCO supporta le PMI in questo percorso, evitando sovrapposizioni normative e lacune documentali che espongono l’azienda alle sanzioni del Garante Privacy.

2. Videosorveglianza dei dipendenti: cosa è lecito installare in azienda?

Nel 2026 molte aziende hanno sostituito le telecamere tradizionali con sistemi di videosorveglianza intelligente (VCA) che non si limitano a registrare, ma analizzano comportamenti, rilevano la presenza di DPI o segnalano intrusioni in tempo reale tramite algoritmi predittivi. La normativa sulla videosorveglianza dei dipendenti -Art. 4 Statuto dei Lavoratori e GDPR – si applica a tutti questi sistemi, anche quelli di nuova generazione.

Cosa può fare l’azienda:

• Utilizzare sensori per verificare che un operaio indossi il caschetto o che non entri in una zona pericolosa
• Installare telecamere per la tutela del patrimonio aziendale, previa autorizzazione INL o accordo sindacale
• Usare sistemi di accesso con badge o PIN, documentandone le finalità

Cosa NON può fare:

• Utilizzare il riconoscimento facciale per la rilevazione presenze -il Garante ha dichiarato illecita questa pratica più volte, anche nel 2026
• Analizzare tramite AI lo stato emotivo del dipendente o comportamenti personali durante l’orario di lavoro
• Attivare sistemi di monitoraggio continuativo senza accordo sindacale o autorizzazione INL, anche se motivati da esigenze di sicurezza patrimoniale

Il punto critico sul controllo dello stile di guida. Con il provvedimento n. 755 del 18 dicembre 2025, reso pubblico nella newsletter del Garante del 29 gennaio 2026, è stata comminata una sanzione di 120.000 euro a una società del settore della produzione di sementi agricole, parte di un gruppo multinazionale con capogruppo svizzera. La società aveva installato sui veicoli aziendali assegnati a cinque dipendenti un dispositivo che raccoglieva dati su tempi, chilometri, consumi e stile di guida, utilizzati per assegnare un punteggio mensile a ciascun lavoratore – il tutto in assenza delle garanzie previste dall’Art. 4 dello Statuto dei Lavoratori. Un caso che dimostra come anche strumenti apparentemente “organizzativi” possano diventare controllo illecito se non correttamente configurati e documentati.

Ogni tecnologia con potenziale di monitoraggio deve essere preceduta da una DPIA (Data Protection Impact Assessment). Non è un documento burocratico: è l’analisi dei rischi che protegge l’azienda da sanzioni che ai sensi dell’Art. 83 GDPR possono arrivare fino a 20 milioni di euro o al 4% del fatturato globale annuo.

3. Il bossware è illegale in Italia? Cosa rischiano le aziende

Il termine bossware indica quei software che tracciano sistematicamente l’attività dei dipendenti: tempi di connessione, utilizzo delle applicazioni, log di navigazione, screenshot automatici, keylogger. Dopo la diffusione dello smart working, l’adozione di questi strumenti è cresciuta rapidamente -insieme ai rischi legali per le aziende che li usano senza le dovute cautele.

In Italia, il bossware è quasi sempre illegale nelle sue forme più invasive. Il Garante Privacy e la giurisprudenza della Cassazione sono chiari: il monitoraggio dei dipendenti intenzionale, costante e sistematico della prestazione lavorativa è vietato dall’Art. 4 dello Statuto dei Lavoratori, indipendentemente dal fatto che il dipendente usi un dispositivo aziendale.

Zona vietata – strumenti sempre illeciti:

• Keylogger e software che registrano ogni tasto premuto
• Screenshot automatici dello schermo del dipendente
• Registrazione continua dell’attività su applicazioni e browser
• Analisi algoritmica della produttività oraria senza accordo sindacale

Zona grigia – leciti solo con le giuste garanzie:

• Tracciamento GPS dei veicoli aziendali (richiede informativa chiara e disattivazione fuori orario)
• Log di accesso ai sistemi informatici aziendali (solo per finalità di sicurezza informatica, con conservazione proporzionata)
• Monitoraggio dei tempi di risposta alle email aziendali (lecito solo se previsto da policy aziendale comunicata al dipendente)

Zona verde – sempre leciti:

• Monitoraggio degli obiettivi (KPI) concordati
• Sistemi di rilevazione presenze con badge o PIN
• Log di accesso per la sicurezza informatica, con retention limitata

BCO valuta la conformità dei software di gestione già in uso nelle aziende clienti, identificando i rischi latenti prima che diventino sanzioni. Un audit preventivo ha un costo infinitamente inferiore a un provvedimento del Garante.

4. Il GPS sull’auto aziendale è legale? Geolocalizzazione dipendenti e GDPR

Il monitoraggio dei mezzi aziendali tramite GPS è una necessità operativa per molte aziende di logistica, assistenza tecnica o vendita sul campo. Ma la geolocalizzazione dei dipendenti rimane uno dei trattamenti dati più invasivi e sanzionati dal Garante: il GDPR impone regole precise che molte PMI ancora ignorano.

Requisiti minimi per la legalità:

• Trasparenza: il dipendente deve sapere che il mezzo è tracciato, con notifica visibile (icona sul cruscotto o avviso sul dispositivo)
• Finalità limitata: i dati possono essere usati per la fatturazione, la sicurezza o l’ottimizzazione dei percorsi -non per cronometrare ogni sosta o valutare la velocità di esecuzione del lavoro
• Accordo sindacale o autorizzazione INL: obbligatori se il sistema consente un controllo sistematico dell’attività lavorativa

Il diritto alla disconnessione. Dal 2026 il diritto alla disconnessione è pienamente vigente. Se il dipendente utilizza l’auto aziendale anche nel tempo libero (uso promiscuo), il sistema di geolocalizzazione deve poter essere disattivato autonomamente dal lavoratore fuori dall’orario di lavoro. Non è una raccomandazione: è un obbligo.

5. I software HR con funzioni AI sono soggetti all’AI Act? Controllo dei lavoratori e nuovi rischi

Dal dicembre 2027 (secondo le nuove scadenze proposte dal Digital Omnibus)  scattano gli obblighi operativi per i sistemi AI classificati ad alto rischio. Il controllo dei lavoratori tramite AI è ora direttamente regolato dall’AI Act: molte PMI italiane -il 16,4% delle imprese con almeno 10 addetti usa già almeno una tecnologia AI (ISTAT, dicembre 2025) -si troveranno in violazione senza saperlo.

Rientrano nell’Annex III dell’AI Act come sistemi ad alto rischio nel contesto HR:

• Software di screening CV automatico
• Sistemi di valutazione delle performance basati su algoritmi
• Strumenti di monitoraggio della produttività con scoring automatico
• Decisioni automatizzate su promozioni, turni o allocazione dei task

Gli obblighi concreti per i deployer (chi usa questi sistemi):

• Informare preventivamente i lavoratori e i loro rappresentanti sindacali prima di attivare il sistema
• Conservare i log generati dal sistema AI per almeno 6 mesi
• Garantire supervisione umana significativa nelle decisioni che impattano i lavoratori
• Condurre una valutazione dell’impatto sui diritti fondamentali (FRIA) in alcune categorie

La connessione con il GDPR e lo Statuto dei Lavoratori è diretta: un sistema AI che monitora i dipendenti senza accordo sindacale viola contemporaneamente l’AI Act, il GDPR e l’Art. 4. Il rischio sanzionatorio si moltiplica.

BCO ha già pubblicato una guida operativa su come adeguarsi all’AI Act in azienda. La conformità al nuovo regolamento non si gestisce separatamente dalla privacy dei dipendenti: sono due facce dello stesso sistema.

6. La formazione privacy dei dipendenti è obbligatoria in azienda?

Oltre il 60% dei data breach aziendali coinvolge il fattore umano come causa principale (fonte: Verizon Data Breach Investigations Report 2025). Eppure la formazione privacy dei dipendenti in azienda è ancora trattata da molte PMI come un adempimento una tantum, spesso delegato a una comunicazione interna.

Nel 2026 questa impostazione è doppiamente pericolosa.

Perché la formazione è uno scudo legale concreto:

• Validità delle prove disciplinari. Se un’azienda rileva un comportamento illecito -furto di database clienti, violazione del segreto industriale -ma non ha mai formato il dipendente sulle procedure di sicurezza, le sanzioni disciplinari possono essere annullate dal giudice del lavoro. La formazione documentata è la condizione che rende valide le contestazioni.
• Riduzione delle sanzioni del Garante. In caso di controllo ispettivo, dimostrare di aver erogato corsi con test di verifica e attestati consente di invocare la buona fede e ridurre significativamente le sanzioni pecuniarie.
• Obbligo di AI literacy dal febbraio 2025. L’AI Act ha introdotto l’obbligo di garantire ai dipendenti un livello minimo di alfabetizzazione sull’intelligenza artificiale. Chi non ha ancora avviato percorsi formativi documentati è già in violazione.
• Conseguenze per il dipendente che rifiuta. La formazione privacy è un obbligo contrattuale per il lavoratore. Il rifiuto ingiustificato di partecipare può essere oggetto di sanzione disciplinare, in quanto espone l’azienda a gravi rischi legali.

7. DPO, DPIA e regola delle 72 ore

Il Data Protection Officer (DPO). Nel 2026, molte PMI hanno compreso l’utilità di nominare un DPO anche quando non strettamente obbligatorio. Il DPO garantisce che le scelte tecnologiche della direzione non violino i diritti dei lavoratori e rappresenta l’interlocutore del Garante in caso di controllo.

La DPIA. La Valutazione d’Impatto sulla Protezione dei Dati non è solo un documento: è l’analisi che legittima l’uso di tecnologie invasive e protegge l’azienda in caso di contestazione. È obbligatoria ogni volta che si introduce un sistema di monitoraggio che potrebbe comportare rischi per i diritti e le libertà dei lavoratori.

I data breach e la regola delle 72 ore. Se un dipendente perde il portatile aziendale con dati di clienti o colleghi, l’azienda ha 72 ore per notificare l’evento al Garante. Senza una procedura chiara e personale formato a riconoscere e segnalare l’incidente, il rischio di superare i tempi è altissimo -con sanzioni automatiche che si aggiungono a quelle per la violazione in sé.

FAQ -Domande frequenti sul controllo dei dipendenti 2026

Posso controllare cosa scrive un dipendente su WhatsApp se usa lo smartphone aziendale? No. Anche se lo strumento è aziendale, la messaggistica privata è protetta dalla segretezza della corrispondenza (Art. 15 Costituzione). L’azienda può vietare l’uso di WhatsApp per scopi personali tramite la Digital Policy, ma non può accedere ai contenuti dei messaggi.

È legale usare software di “monitoraggio della produttività” che conta i clic del mouse? In Italia no, nella quasi totalità dei casi. Questi strumenti (bossware) realizzano un controllo intenzionale e costante della prestazione lavorativa, vietato dall’Art. 4 dello Statuto dei Lavoratori. Anche se il dipendente ha firmato una clausola di consenso, questa non è sufficiente a rendere lecito il trattamento.

Il riconoscimento facciale per timbrare il cartellino è ammesso? Solo in casi eccezionali e con base normativa specifica. Il Garante ha più volte ribadito che il riconoscimento facciale per la rilevazione presenze è illecito se esistono alternative meno invasive (badge, PIN, app con geolocalizzazione consensuale).

Cosa succede se un dipendente si rifiuta di seguire il corso sulla privacy? Il rifiuto ingiustificato può essere contestato disciplinarmente. La formazione è un obbligo contrattuale del lavoratore, derivante dalle direttive del datore di lavoro e dalla normativa vigente.

I nostri software HR con funzioni AI sono soggetti all’AI Act? Molto probabilmente sì, se valutano candidati, assegnano punteggi alle performance o supportano decisioni su promozioni e turni. Dal 2 agosto 2026 scattano gli obblighi per i sistemi ad alto rischio: documentazione, log, informativa ai lavoratori, supervisione umana.

Il GPS sull’auto aziendale è legale? Sì, ma con condizioni precise. Serve un accordo sindacale o l’autorizzazione INL, un’informativa chiara al dipendente e una finalità lecita (fatturazione, sicurezza, ottimizzazione percorsi). I dati non possono essere usati per cronometrare ogni sosta o valutare la velocità di esecuzione del lavoro. Se il veicolo è ad uso promiscuo, il dipendente deve poter disattivare il sistema fuori dall’orario lavorativo.

Cosa rischia un’azienda che usa il bossware senza autorizzazione? Rischia su tre fronti simultanei: penale (Art. 38 Statuto dei Lavoratori, reato del datore di lavoro), amministrativo (sanzioni del Garante Privacy fino a 20 milioni di euro o 4% del fatturato globale ai sensi dell’Art. 83 GDPR) e giuslavoristico (le prove raccolte illegalmente sono inutilizzabili e il licenziamento basato su di esse può essere annullato dal giudice del lavoro).

Serve un DPO nelle PMI? Non sempre è obbligatorio, ma nel 2026 è fortemente consigliato. È obbligatorio per le aziende che trattano dati su larga scala o dati particolari in modo sistematico e su larga scala. Per tutte le altre PMI, nominare un DPO -anche esterno -riduce il rischio sanzionatorio e garantisce un interlocutore qualificato in caso di controllo del Garante.

Un dipendente in smart working può essere monitorato con le stesse modalità di chi lavora in ufficio? Sì, le stesse regole si applicano. Il Garante ha confermato che anche nel lavoro agile valgono le garanzie dell’Art. 4 dello Statuto dei Lavoratori. Strumenti che tracciano l’attività online, i tempi di connessione o le applicazioni usate richiedono gli stessi presupposti legali del monitoraggio in sede: accordo sindacale o autorizzazione INL, informativa preventiva e finalità lecita.

Conclusione: conformità integrata, non a compartimenti stagni

Gestire la privacy dei dipendenti nel 2026 – inclusa quella dei lavoratori in smart working – non significa “mettersi a norma su GDPR”. Significa costruire un sistema integrato che tenga insieme Statuto dei Lavoratori, GDPR, AI Act e – per chi usa sistemi di sorveglianza industriale – DVR e medicina del lavoro.

Le PMI che affrontano la conformità GDPR in modo frammentato accumulano rischi che si sommano: una videosorveglianza senza accordo sindacale viola contemporaneamente l’Art. 4, il GDPR e, se coinvolge sistemi AI, l’AI Act. Tre violazioni, tre procedimenti, tre set di sanzioni del Garante Privacy.

BCO offre consulenza privacy aziendale per PMI: dalla redazione delle Digital Policy e delle informative per lo smart working, alla pianificazione di corsi di formazione privacy documentati (in aula fisica, virtuale o e-learning), fino alla DPIA per le tecnologie più invasive. L’obiettivo non è produrre documenti, ma costruire un sistema che funzioni – e che sia difendibile davanti al Garante, al giudice del lavoro e ai sindacati.

Contatta BCO per una verifica della conformità della tua azienda