Controllo del telefono aziendale: limiti legali, obblighi e rischi per l’azienda

Apr 10, 2026

Controllo telefono aziendale: cosa puoi fare davvero (e cosa rischi)
Condividi:

ontrollo del telefono aziendale: limiti legali, obblighi e rischi per l’azienda

È legale controllare un telefono aziendale? La risposta è sì, ma con condizioni precise e non negoziabili. Il tema si colloca all’intersezione tra normativa privacy e diritto del lavoro, e le aziende che lo affrontano in modo approssimativo rischiano un doppio fronte di esposizione: sanzioni dal Garante Privacy e prove inutilizzabili in sede disciplinare o giudiziaria.

Comprendere dove si trova il confine — e come operare correttamente al suo interno — è oggi più rilevante che mai, soprattutto alla luce dei recenti provvedimenti sanzionatori e della crescente diffusione di strumenti di monitoraggio digitale in azienda.

Il quadro normativo: art. 4 Statuto dei Lavoratori e GDPR

I riferimenti normativi fondamentali sono due, e devono essere letti insieme, non alternativamente.

Il primo è l’art. 4 dello Statuto dei Lavoratori (Legge 300/1970), riscritto dal D.Lgs. 151/2015 (Jobs Act). La norma stabilisce che gli strumenti dai quali può derivare anche indirettamente un controllo a distanza dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative, produttive, di sicurezza del lavoro o di tutela del patrimonio aziendale  e solo previo accordo con le rappresentanze sindacali aziendali o, in assenza di accordo, previa autorizzazione dell’Ispettorato Territoriale del Lavoro. L’obbligo vale per tutte le aziende, indipendentemente dalle dimensioni.

Il secondo è il GDPR (Regolamento UE 2016/679), che impone il rispetto dei principi di liceità, correttezza, trasparenza, minimizzazione del dato e limitazione della finalità. In Italia si integra con il Codice della Privacy (D.Lgs. 101/2018) e, più recentemente, con la Legge 132/2025, che ha introdotto obblighi informativi specifici anche in relazione all’uso di sistemi algoritmici e di intelligenza artificiale nella gestione del personale.

La domanda corretta, quindi, non è se sia possibile controllare un dispositivo aziendale. È come farlo, con quali basi giuridiche e in quali limiti.

Strumenti aziendali e controlli: una distinzione che fa tutta la differenza

Il telefono aziendale è uno strumento di lavoro fornito al dipendente, non uno strumento di sorveglianza. Questa distinzione, apparentemente ovvia, ha conseguenze giuridiche precise.

I dispositivi forniti ai dipendenti per lo svolgimento della prestazione lavorativa non sono considerati automaticamente strumenti di controllo. Tuttavia, qualora vengano utilizzati per monitorare il comportamento del dipendente — mediante software di geolocalizzazione o filtraggio delle attività — rientrano nelle previsioni dell’art. 4 e richiedono accordi sindacali o autorizzazioni specifiche.

In pratica, occorre distinguere tra due livelli di intervento profondamente diversi:

  • Controllo funzionale: verifica degli accessi ai sistemi aziendali, monitoraggio della sicurezza del dispositivo, analisi dei log in ottica cybersecurity, intervento in caso di anomalie o incidenti. Questo tipo di attività rientra generalmente nei limiti consentiti, purché documentata e coerente con policy aziendali formalizzate.
  • Controllo invasivo: accesso a comunicazioni personali, installazione di software di monitoraggio occulto, raccolta massiva di dati senza base giuridica, profilazione continuativa del comportamento del dipendente. Queste pratiche, pur tecnicamente realizzabili, sono ad alto rischio legale e possono configurare violazioni sia del GDPR che dello Statuto.

Cosa può fare concretamente l’azienda: perimetro operativo

Un’azienda che opera in modo conforme può monitorare gli accessi ai sistemi aziendali (email di lavoro, VPN, piattaforme cloud), verificare le configurazioni di sicurezza del dispositivo, analizzare traffico e log dati per rilevare anomalie, e intervenire tecnicamente in presenza di incidenti informatici o sospetti di compromissione.

Tutte queste attività devono essere documentate, circoscritte allo scopo dichiarato e coerenti con policy aziendali formalizzate e comunicate preventivamente ai lavoratori.

Il principio cardine è quello di minimizzazione del dato e limitazione della finalità: si raccoglie solo ciò che è strettamente necessario, per lo scopo per cui è stato dichiarato, e non oltre.

Attività vietate o ad alto rischio legale

Alcune pratiche restano critiche indipendentemente dalle motivazioni aziendali. L’accesso alle comunicazioni personali del dipendente — chat private, email personali, contenuti non lavorativi — non è consentito. L’installazione di software di monitoraggio occulto rappresenta una violazione grave. La raccolta massiva di dati senza base giuridica è sanzionabile dal Garante.

Il rischio non è solo normativo. I dati raccolti in modo non conforme possono risultare inutilizzabili o contestabili in sede disciplinare e giudiziaria, vanificando l’intero impianto probatorio costruito dall’azienda.

L’ultimo caso in ordine di tempo è la sanzione di 120.000 euro a una società del settore agricolo per aver monitorato lo stile di guida di cinque dipendenti tramite dispositivi installati sui veicoli aziendali, senza le necessarie garanzie normative. Un caso emblematico di come il confine tra monitoraggio legittimo e violazione possa essere attraversato anche in buona fede, con conseguenze concrete.

Gli obblighi dell’azienda: informativa, policy e accountability

Operare correttamente significa strutturare il controllo all’interno di un sistema documentato prima ancora di avviare qualsiasi attività di monitoraggio. Gli elementi fondamentali sono: un’informativa chiara e specifica consegnata ai dipendenti, che non si limiti a indicazioni generiche ma spieghi esattamente quali attività possono essere monitorate e con quali modalità; policy di utilizzo degli strumenti aziendali formalizzate e aggiornate; basi giuridiche adeguate per ogni tipologia di trattamento; misure tecniche e organizzative coerenti.

L’informativa non è adeguata quando, rivolgendosi alla generalità dei dipendenti, si limiti a prescrivere direttive generali su tutti gli strumenti impiegati, senza consentire al singolo lavoratore di capire di essere controllato. Il lavoratore deve essere informato del fatto che una sua specifica attività, come gli accessi a Internet, può essere controllata secondo modalità che consentono, ad esempio, di ricostruire la tipologia dei siti visitati e la durata degli accessi. 

In presenza di strumenti che possono generare controllo a distanza, inclusi sistemi di geolocalizzazione o software di monitoraggio avanzato, può essere necessario il coinvolgimento delle rappresentanze sindacali o l’autorizzazione dell’Ispettorato del Lavoro. Il principio di accountability impone che ogni attività sia tracciabile, giustificabile e verificabile.

Dispositivi aziendali e sicurezza informatica: un tema che va oltre la privacy

Il controllo dei dispositivi mobili ha una rilevanza diretta anche in ambito cybersecurity, che non si esaurisce nel profilo normativo. Gli smartphone aziendali sono punti di accesso a sistemi e infrastrutture, vettori di compromissione: phishing, malware, accessi non autorizzati  e elementi critici nella gestione delle identità digitali.

Per questo motivo, il monitoraggio non dovrebbe essere interpretato come controllo del lavoratore, ma come misura di protezione dell’infrastruttura aziendale. È una distinzione che cambia la logica dell’intervento: la finalità è la sicurezza dei sistemi, non la valutazione del dipendente. E questa distinzione, se ben documentata, è anche quella che regge meglio di fronte a un controllo del Garante o a una contestazione in sede giudiziaria.

Il ruolo della NIS2 nella gestione degli accessi e dei dispositivi

Per le organizzazioni soggette alla NIS2, recepita in Italia con il D.Lgs. 138/2024, la gestione degli accessi assume un ruolo centrale nell’architettura della conformità. La normativa richiede l’adozione di misure di sicurezza strutturate che includono gestione delle identità e degli accessi, protezione dei sistemi informativi e monitoraggio e rilevamento di incidenti.

In questo contesto, i dispositivi mobili aziendali rientrano tra gli elementi da presidiare in modo esplicito. La NIS2 non impone un controllo diretto sul dipendente, ma richiede un controllo strutturato e documentato sugli accessi e sugli strumenti utilizzati per raggiungere i sistemi aziendali. Per chi è ancora in fase di adeguamento, il tema dei dispositivi mobili dovrebbe essere parte integrante della roadmap, non un elemento secondario.

Per un approfondimento sugli obblighi aggiornati è possibile consultare l’articolo di Alchimie Digitali.

Quando il monitoraggio ordinario non basta: la verifica tecnica strutturata

In alcuni scenari il monitoraggio ordinario è insufficiente. È il caso di sospetti fondati di uso improprio del dispositivo, possibili fughe di dati, accessi non autorizzati, comportamenti anomali difficilmente ricostruibili con gli strumenti standard, o situazioni in cui sia necessaria una ricostruzione tecnica degli eventi a fini disciplinari o giudiziari.

In questi contesti è necessario intervenire con attività di digital forensics specifiche, che consentano di acquisire dati in modo tecnicamente e giuridicamente corretto, analizzare le evidenze digitali senza alterarle, e ricostruire le dinamiche di utilizzo del dispositivo in modo difendibile davanti a un giudice.

La distinzione è cruciale: un’analisi tecnica svolta senza le necessarie garanzie procedurali, anche se tecnicamente accurata, può rendere inutilizzabili le evidenze raccolte. La correttezza tecnica e quella normativa devono procedere insieme, non in sequenza.

Controllo, sicurezza e conformità: tre dimensioni che non possono essere separate

Il controllo dei dispositivi aziendali non è un’attività isolata da gestire caso per caso. Richiede un sistema coerente che integri esigenze organizzative, tutela dei dati personali e sicurezza informatica in un unico framework documentato.

Un approccio non strutturato espone l’azienda a un rischio duplice: legale, in caso di violazioni normative sanzionate dal Garante o contestate in giudizio; operativo, in caso di incidenti informatici gestiti senza le procedure e le evidenze necessarie. Le due dimensioni si alimentano a vicenda, e ignorarle entrambe o affrontarle separatamente è la principale causa di esposizione.

Consulenza tecnica e perizia digitale per aziende

Per le imprese che devono gestire controlli su dispositivi aziendali in modo tecnicamente corretto e normativamente difendibile, offriamo supporto in tutte le fasi: dall’acquisizione forense delle evidenze all’analisi, fino alla redazione di perizie utilizzabili in sede disciplinare o giudiziaria.

Correttezza tecnica e conformità normativa non sono due percorsi separati. Noi li gestiamo insieme.

Parla con un perito digitale

Le domande più frequenti sul controllo del telefono aziendale

È sempre necessario informare il dipendente prima di effettuare controlli?

Sì. L’informativa preventiva è un elemento essenziale per la liceità del trattamento. Un avviso verbale generico non è sufficiente: la comunicazione deve essere specifica sulle tipologie di attività che possono essere monitorate.

È possibile controllare un dispositivo aziendale senza il consenso del dipendente?

Sì, se esiste una base giuridica adeguata — come l’interesse legittimo o la necessità contrattuale — ma non è mai possibile operare senza informativa. Il consenso non è l’unica base giuridica disponibile, ma l’assenza di informativa è sempre una violazione.

I dati raccolti durante un controllo possono essere usati in sede disciplinare?

Solo se acquisiti nel rispetto delle normative applicabili — GDPR, Statuto dei Lavoratori, e con le necessarie autorizzazioni ove richieste. Evidenze raccolte in modo non conforme rischiano di essere dichiarate inutilizzabili.

Serve l'accordo sindacale anche per le piccole aziende?

Sì. L’obbligo di accordo sindacale — o in alternativa l’autorizzazione dell’Ispettorato del Lavoro — vale per tutte le aziende indipendentemente dalle dimensioni, ogni volta che si installano strumenti da cui può derivare un controllo a distanza.

La NIS2 impone controlli sui dispositivi dei dipendenti?

Non in modo diretto. Ma richiede una gestione strutturata e documentata degli accessi e degli strumenti che interagiscono con i sistemi aziendali — e i dispositivi mobili rientrano esplicitamente in questo perimetro.

Quando è necessario un perito digitale per l'analisi del dispositivo?

Ogni volta che l’analisi tecnica è destinata a produrre evidenze utilizzabili in un procedimento disciplinare o giudiziario. In questi casi, la catena di custodia dei dati e la correttezza metodologica dell’acquisizione sono determinanti per la validità probatoria.

Condividi: