Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

Smart Working e Privacy: il Garante vieta la geolocalizzazione dei dipendenti

Ci sono delle novità interessanti per quello che riguarda Smart Working e Privacy dei Dipendenti: il Garante per la protezione dei dati personali ha ribadito con forza il divieto per i datori di lavoro di geolocalizzare i propri collaboratori in smart working, comminando una sanzione di 50 000 € a un ente pubblico regionale che monitorava circa cento dipendenti tramite un’apposita applicazione.

 

Smart Working e Privacy: cosa dice la legge

Le esigenze di controllo dell’attività lavorativa in modalità agile possono essere soddisfatte esclusivamente attraverso strumenti che rispettino:

  • Statuto dei lavoratori (art. 4, legge 300/1970), che vieta impianti e apparecchiature per il controllo a distanza dell’attività dei lavoratori, salvo previo accordo con le rappresentanze sindacali;
  • Regolamento UE 2016/679 (GDPR) e Codice Privacy (D.lgs. 196/2003), che impongono principi di liceità, correttezza, trasparenza, minimizzazione e limitazione della finalità;
  • Linee guida del Garante Privacy, che escludono il consenso del lavoratore come base giuridica valida in ambito subordinato, a causa dello sbilanciamento del rapporto contrattuale.

 

Il caso concreto

L’istruttoria è stata avviata a seguito di un reclamo di una dipendente e di una segnalazione dell’Ispettorato della Funzione Pubblica. È emerso che l’Azienda Regionale per lo Sviluppo dell’Agricoltura Calabrese richiedeva ai lavoratori in smart working di effettuare, tramite l’app “Time Relax” e attivando la geolocalizzazione, timbrature in entrata e uscita tramite dispositivi elettronici, al fine di verificare la compatibilità della posizione effettiva con quanto previsto negli accordi individuali. A ciò seguivano, in caso di scostamenti, accertamenti e possibili procedimenti disciplinari nei confronti della persona interessata.

 

Violazioni riscontrate

Il Garante ha riscontrato nell’attività dell’ente numerose violazioni della normativa in materia di protezione dei dati personali, in particolare del Regolamento (UE) 2016/679 (GDPR) e del Codice Privacy (D.lgs. 196/2003). Le principali criticità sono:

 

  • Illiceità del trattamento dei dati: il monitoraggio della posizione geografica dei lavoratori risultava finalizzato a verificare il rispetto delle condizioni dell’accordo di lavoro agile, rappresentando un controllo diretto dell’attività lavorativa. Tale finalità non è ammessa dalla legge, e in particolare dall’art. 4 dello Statuto dei Lavoratori, e contrasta con i principi di proporzionalità e rispetto della libertà morale del lavoratore.

 

  • Assenza di base giuridica: l’ente ha giustificato il trattamento facendo riferimento a una propria delibera e a un accordo con i sindacati. Tuttavia, secondo il Garante, questi atti non bastano a legittimare il trattamento. Inoltre, il consenso del lavoratore, richiesto dall’app per attivare la localizzazione, non è considerato valido in ambito lavorativo a causa dello squilibrio tra le parti.

 

  • Violazione dei principi di minimizzazione e finalità: la raccolta sistematica di dati di geolocalizzazione eccedeva quanto strettamente necessario per la gestione del rapporto di lavoro, comportando un’intrusione nella sfera privata non giustificata.
  • Informativa carente: i documenti aziendali non contenevano tutte le informazioni previste dall’art. 13 del GDPR. I lavoratori non erano adeguatamente informati su come e perché venivano trattati i loro dati di geolocalizzazione.

 

  • Mancata DPIA: L’ente non aveva effettuato la valutazione preventiva dei rischi sui diritti e le libertà delle persone interessate, nonostante il trattamento implicasse un elevato grado di rischio.

 

  • Uso disciplinare dei dati: le informazioni sono state impiegate per avviare procedimenti disciplinari.  Secondo il Garante, questo utilizzo era illecito, essendo basato su dati raccolti per altre finalità e comunque senza una base giuridica adeguata.

 

La sanzione e le motivazioni

Con il provvedimento n. 135/2025 (pubblicato il 13 marzo 2025), il Garante ha irrogato la sanzione di 50 000 €, ordinandone la pubblicazione sul proprio sito a titolo di deterrente. La misura è stata motivata dalla gravità dell’intrusione nella vita privata dei lavoratori e dal numero elevato di persone coinvolte.

Il provvedimento ribadisce il principio cardine generale per cui il controllo dell’attività lavorativa deve avvenire nel rispetto dei diritti fondamentali dei lavoratori, senza trasformarsi in sorveglianza invasiva.

Il datore di lavoro può ricorrere a strumenti tecnologici solo se strettamente necessari per finalità organizzative, produttive, di sicurezza o tutela del patrimonio, e comunque solo in forma indiretta e limitata. Ogni trattamento di dati personali deve poggiare su basi giuridiche solide, essere proporzionato e preceduto da un’attenta valutazione dei rischi.

 

Implicazioni per le aziende

Questo caso offre a imprese e pubbliche amministrazioni alcuni spunti di riflessione:

  1. Governance dei dati: è fondamentale adottare policy chiare sul remote working, distinguendo tra controllo indiretto (es. risultati, obiettivi, log di sistema) e monitoraggio diretto (es. geolocalizzazione);
  2. Valutazione preventiva: ogni nuova funzione di un’app o device aziendale va sottoposta a una DPIA, coinvolgendo il DPO e, se necessario, il Garante;
  3. Informativa e trasparenza: fornire dettagli su finalità, base giuridica, categorie di dati trattati, tempi di conservazione e modalità di esercizio dei diritti;
  4. Formazione e comunicazione: sensibilizzare i dipendenti sui rischi privacy e chiarire che il consenso, in ambito di lavoro subordinato, non è mai base legittima se richiesto in posizione di squilibrio contrattuale;
  5. Accordi sindacali mirati: dove previsto dallo Statuto dei lavoratori, conciliare le esigenze organizzative con le tutele sindacali, evitando soluzioni “a forza di consenso”.

 

La pronuncia del Garante Privacy sul divieto di geolocalizzazione dei lavoratori in smart working segna un punto fermo nella tutela dei diritti fondamentali dei dipendenti. Le aziende devono ripensare le proprie strategie di controllo da remoto, puntando su misure proporzionate, trasparenti e rispettose della dignità personale, onde evitare sanzioni e preservare un clima di fiducia interno

Per affrontare correttamente le sfide dello smart working e rispettare le normative sulla privacy, è essenziale formare adeguatamente i propri collaboratori. Scopri i nostri corsi di formazione per lo smart working e contattaci per ricevere maggiori informazioni e una consulenza personalizzata sulla gestione del lavoro agile. Puoi scriverci direttamente dalla pagina dei contatti.