Il Garante Privacy su Geolocalizzazione nel lavoro agile e monitoraggio dei dipendenti

Il provvedimento del Garante Privacy del 13 marzo 2025 (premere qui per leggere) rappresenta un monito severo sull’uso distorto delle tecnologie di monitoraggio dei lavoratori. Un provvedimento che, con dovizia di motivazioni, afferma in modo inequivocabile che il controllo a distanza della posizione geografica dei dipendenti in smart working non può essere indiscriminato, né tanto meno finalizzato a verifiche disciplinari.

Il caso riguarda l’ARSAC – Azienda Regionale per lo Sviluppo dell’Agricoltura Calabrese, che aveva adottato l’applicativo “Time Relax” per rilevare, tramite GPS, la posizione dei lavoratori durante le timbrature in lavoro agile. Un sistema che, secondo quanto accertato, geolocalizzava i dipendenti all’ingresso e all’uscita dal turno, e talvolta anche nel corso di verifiche ispettive mirate.

Violazioni gravi ai principi del GDPR

Il trattamento dei dati effettuato da ARSAC ha violato numerosi principi fondamentali del Regolamento UE 2016/679, tra cui:

• liceità, correttezza e trasparenza (art. 5, par. 1, lett. a): la finalità disciplinare perseguita tramite strumenti di localizzazione non è consentita dalla normativa;
• limitazione della finalità (art. 5, par. 1, lett. b): i dati sono stati utilizzati per uno scopo diverso da quello dichiarato;
• minimizzazione dei dati (art. 5, par. 1, lett. c): è stato raccolto un quantitativo eccessivo di dati rispetto alla finalità;
• rotezione dei dati fin dalla progettazione e per impostazione predefinita (art. 25);
• obbligo di fornire un’informativa chiara e completa (art. 13);
• obbligo di valutazione d’impatto per trattamenti a rischio elevato (art. 35);
• tutela specifica nel contesto lavorativo (art. 88 e art. 113 del Codice Privacy).

Particolarmente rilevante è il rilievo circa l’utilizzo illecito della geolocalizzazione come base per un procedimento disciplinare. Il solo consenso del dipendente, peraltro espresso all’atto della timbratura, non è idoneo a legittimare il trattamento, poiché non può considerarsi libero nel contesto di un rapporto gerarchico.

Controllo a distanza: limiti e cautele

Il Garante ha ribadito un principio costante della propria giurisprudenza: qualsiasi controllo tecnologico sull’attività lavorativa, anche indiretto, deve avvenire entro i limiti di legge. In particolare, l’art. 4 dello Statuto dei Lavoratori consente l’uso di strumenti di controllo solo per esigenze organizzative e produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale.

E sempre previa informativa al lavoratore, accordo sindacale o autorizzazione dell’Ispettorato del Lavoro.

Nel caso in esame, l’utilizzo dell’app Time Relax non è stato oggetto di una valutazione d’impatto né supportato da una base giuridica valida, nemmeno attraverso un adeguato accordo sindacale. L’accordo aziendale non può mai derogare a norme di rango superiore.

Rischi di interferenza nella sfera privata

Un altro aspetto decisivo è la pericolosa sovrapposizione tra sfera lavorativa e privata nel lavoro agile. La possibilità di localizzare il dipendente fino a 50 km dal luogo dichiarato ha portato alla raccolta di dati sensibili non necessari e sproporzionati, con effetti lesivi della dignità e della riservatezza del lavoratore, come tutelati dagli articoli 8 della CEDU e 115 del Codice Privacy.

Il Garante ha infatti evidenziato che, soprattutto in contesti di smart working, la linea tra lavoro e vita privata diventa sottile e fragile, e impone cautele ulteriori.

Una sanzione esemplare, ma mitigata

L’Autorità ha irrogato una sanzione amministrativa di 50.000 euro, ritenendo la condotta grave e lesiva dei diritti fondamentali. Tuttavia, ha considerato come circostanze attenuanti:

• la sospensione del procedimento disciplinare;
• la disattivazione autonoma della funzione di geolocalizzazione;
• la collaborazione dimostrata nel corso dell’istruttoria;
• l’assenza di precedenti.

La pubblicazione del provvedimento sul sito del Garante è stata disposta come sanzione accessoria, a scopo deterrente e informativo.

Il provvedimento ARSAC segna nella disciplina del lavoro agile quei limiti invalicabili all’utilizzo della tecnologia per il monitoraggio del personale.

La geolocalizzazione non può trasformarsi in uno strumento di controllo occulto, né in una leva disciplinare surrettizia. Ogni trattamento deve essere proporzionato, lecito e giustificato da una base normativa solida.

La protezione dei dati, nel contesto lavorativo, è una garanzia sostanziale di libertà. Nessuna innovazione tecnologica può giustificare la compressione di diritti fondamentali.