Il Garante Privacy, con provvedimento n. 135 del 13 marzo 2025, in tema di geolocalizzazione dei dipendenti in smartworking, ha sanzionato un’azienda per aver monitorato illegittimamente i propri dipendenti durante l’attività lavorativa svolta in modalità agile.
Dall’istruttoria è infatti emerso che tale azienda effettuava un monitoraggio dei propri dipendenti per verificare l’esatta corrispondenza tra la posizione geografica in cui si trovavano e l’indirizzo dichiarato nell’accordo individuale di smartworking, anche in base a specifiche procedure di controllo mirato.
Più nel dettaglio, il personale, scelto a campione, veniva contattato telefonicamente con la richiesta di attivare la geolocalizzazione del pc/smartphone, effettuando una timbratura con un’apposita applicazione, e di dichiarare subito dopo, tramite un’e-mail, il luogo in cui in quel preciso momento si trovava fisicamente; a tale richiesta, seguivano poi le verifiche e gli eventuali procedimenti disciplinari dell’azienda.
Assenza di idonea base giuridica per la geolocalizzazione dei dipendenti in smartworking
Il Garante ricorda che anche in caso di svolgimento della prestazione in modalità agile, l’impiego di strumenti tecnologici da parte del datore di lavoro, dai quali derivi anche la possibilità di controllare a distanza l’attività dei lavoratori, può avvenire esclusivamente per il perseguimento delle tassative finalità previste dalla legge (nel rispetto delle garanzie procedurali stabilite dall’art. 4, c. 1, L. 300/1970), ovvero:
- per esigenze organizzative e produttive
- per la sicurezza del lavoro
- per la tutela del patrimonio aziendale.
La legge sul lavoro agile (L. 81/2017), infatti, richiama espressamente i limiti, le condizioni e le procedure di garanzia dell’art. 4 citato.
Le diverse esigenze di controllo dell’osservanza dei doveri di diligenza del lavoratore non possono infatti essere perseguite con strumenti tecnologici a distanza, che, riducendo lo spazio di libertà e dignità della persona in modo meccanico e anelastico, comportino un monitoraggio diretto dell’attività del lavoratore non consentito dall’ordinamento vigente e dal quadro costituzionale.
Tali finalità non risultano, infatti, riconducibili ad alcuna delle tassative finalità selezionate dal legislatore: il controllo a distanza dell’attività lavorativa è consentito dalla legge, nel rispetto delle condizioni di garanzia ivi previste, solo incidentalmente, ossia in occasione del perseguimento di tali altre legittime finalità, così assumendo un carattere tipicamente indiretto e preterintenzionale (principio confermato dalla Cassazione con sentenza 22148/2017).
Pertanto, il perseguimento di tale finalità di controllo diretto non è ammissibile neppure in presenza di un eventuale accordo con la rappresentanza sindacale unitaria o con le rappresentanze sindacali aziendali, trattandosi di una finalità che si colloca al di fuori della cornice di garanzia delineata dalla legge e dall’assetto costituzionale interno.
Tale trattamento è quindi sprovvisto di un’idonea base giuridica, ponendosi in contrasto:
- con il principio di liceità, correttezza e trasparenza
- con l’art. 114 del Codice Privacy.
Del resto, la base giuridica non può certo ricondursi ad una norma di rango inferiore come quella dedotta dall’azienda, ovvero un atto amministrativo costituito da una deliberazione dell’ente, con, in allegato, il regolamento sul lavoro agile: gli atti amministrativi generali non possono contravvenire ovvero modificare le norme sovraordinate di riferimento, avendo un mero effetto integrativo dell’ordinamento, in base al criterio gerarchico delle fonti del diritto.
La base giuridica del trattamento deve, infatti, essere “idonea”, anche alla luce dell’assetto delle fonti dell’“ordinamento costituzionale” dello Stato membro e la stessa deve soddisfare specifici requisiti, sia in termini di qualità della fonte, contenuti necessari e misure appropriate e specifiche per tutelare i diritti e le libertà degli interessati, sia in termini di proporzionalità dell’intervento regolatorio rispetto alle finalità che si intendono perseguire (art. 6, parr. 2 e 3, lett. b), del GDPR).
Peraltro, sottolinea il Garante, non sarebbero comunque consentiti livelli differenziati di tutela della protezione dei dati personali su base territoriale o tra i diversi contesti lavorativi pubblici e tra questi e quelli privati o, ancora, a livello di singola amministrazione, come avvenuto nel caso di specie, ove si è dato corso, peraltro, ad una disparità di trattamento a svantaggio dei soli dipendenti che fruiscono del lavoro agile.
L’inadeguatezza delle informazioni in merito al trattamento
Rileva il Garante che il regolamento sullo smartworking dell’azienda, invocato quale informativa idonea per giustificare il trattamento dei dati relativi alla geolocalizzazione, è stato in realtà redatto per assolvere ad obblighi diversi rispetto a quelli derivanti dalla disciplina in materia di protezione dei dati e non può quindi sostituirsi all’informativa che il titolare deve rendere agli interessati, prima di iniziare il trattamento, in merito alle caratteristiche essenziali del trattamento.
Ciò, allo scopo di consentire agli stessi di esser pienamente consapevoli della tipologia di operazioni di trattamento che potevano essere svolte anche attingendo, in un quadro di liceità, ai dati raccolti nel corso dell’attività lavorativa
L’azienda ha peraltro violato altresì gli artt. 5, par. 1, lett. a), e 13 del GDPR.
La valutazione d’impatto sulla protezione dei dati della geolocalizzazione dello smartworking
Si ricorda che, ai sensi dell’art. 35 del GDPR, quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento deve effettuare, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti sulla protezione dei dati personali.
Con specifico riferimento al trattamento dei dati personali effettuato dall’azienda, il trattamento dei dati raccolti tramite il sistema di localizzazione satellitare comporta rischi specifici per i diritti e le libertà degli interessati nel contesto lavorativo, in considerazione:
- della particolare “vulnerabilità” degli interessati nel contesto lavorativo
- del fatto che in tale ambito l’impiego di sistemi che possono comportare anche indirettamente il “monitoraggio sistematico”, inteso come “trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti”, può presentare rischi in termini di monitoraggio dell’attività dei dipendenti.
Per tali ragioni, ricorrendo i presupposti per lo svolgimento di una valutazione d’impatto sulla protezione dei dati personali l’azienda ha violato altresì l’art. 35 del GDPR.
La geolocalizzazione dello smartworking per finalità disciplinari
I dati dei lavoratori raccolti ai sensi dell’art. 4, c. 1 e 2, della L. 300/1970, possono essere utilizzati dal datore di lavoro per ulteriori finalità, riconducibili all’ambito della gestione del rapporto, nei limiti in cui l’originaria raccolta sia stata lecitamente effettuata, avuto riguardo alla finalità principale, originariamente perseguita, e nel rispetto dei principi generali della protezione dei dati.
Ciò anche alla luce del disposto di cui all’art. 2-decies del Codice, che prevede in via di principio l’inutilizzabilità dei dati personali raccolti e trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali.
Pertanto, considerato che i dati relativi alla localizzazione geografica dei dipendenti sono stati acquisiti dall’azienda per effettuare controlli diretti sulla posizione geografica nella quale si trovavano a svolgere la prestazione in modalità agile (trattamento non consentito dall’ordinamento), per il Garante l’uso ulteriore di tali dati per fini disciplinari:
- non è stato conforme ai principi di “liceità, correttezza e trasparenza” e al principio di “limitazione della finalità”
- è stato posto in essere in assenza di un idoneo presupposto di liceità: in violazione degli artt. 5, par. 1, lett. a) e b), e 6 del GDPR, atteso che la predetta condotta si colloca al di fuori del quadro di liceità previsto dall’art. 114 del Codice.
