Smart working: vietato geolocalizzare i dipendenti
Sanzioni per le aziende che geolocalizzano i dipendenti in smart working, procedura priva di basi giuridiche secondo il Garante Privacy: tutte le regole.
Il Garante per la protezione dei dati personali ha sanzionato un’azienda pubblica rea di aver geolocalizzato i suoi lavoratori in smart working senza un’adeguata base giuridica e senza informativa, causando così grave interferenza nella vita privata dei dipendenti, oltre che violazione del Regolamento UE 2016/679 (il GDPR) e del Codice Privacy italiano (Dlgs 196/2003).
Garante Privacy: niente geolocalizzazione nel lavoro agile
Il personale a campione veniva contattato telefonicamente dall’ufficio con l’invito ad attivare la geolocalizzazione del pc o smartphone, dichiarando il luogo fisico ed effettuando una timbratura attraverso una App ad hoc. In sintesi, contravviene a quanto previsto dallo Statuto dei Lavoratori, dalla Costituzione e dalle leggi sulla Privacy il datore di lavoro che geolocalizza i dipendenti in smart working, rilevandone la posizione per verificare la corrispondenza con l’indirizzo dichiarato nell’accordo individuale. Secondo il Garante, che ha precisato quanto segue:
Le diverse esigenze di controllo dell’osservanza dei doveri di diligenza del lavoratore in smart working non possono infatti essere perseguite, a distanza, con strumenti tecnologici che, riducendo lo spazio di libertà e dignità della persona in modo meccanico e anelastico, comportano un monitoraggio diretto dell’attività del dipendente non consentito dallo Statuto dei lavoratori e dal quadro costituzionale.
Le regole per il controllo a distanza dei lavoratori in Smart Work
Il datore di lavoro può utilizzare strumenti tecnologici di controllo dipendenti solo se necessario per motivi organizzativi, produttivi e di sicurezza, e comunque solo in forma indiretta e strettamente limitata. Ogni trattamento di dati personali deve invece trovare riscontro su basi giuridiche, essere proporzionato alle sue finalità ed essere preceduto da una precisa informativa al lavoratore, nonché ad una specifica valutazione dei rischi.
Prendendo ad esempio il caso sanzionato, il sistematico controllo a distanza dei dipendenti in lavoro agile rischia di GDPR e Codice Privacy in base ai seguenti punti.
Liceità del trattamento e principio di proporzionalità
La geolocalizzazione utilizzata per verificare il rispetto delle condizioni dell’accordo di smart working si trasforma di fatto in un controllo diretto sull’attività lavorativa. Questo tipo di trattamento è vietato, perché contrario ai principi di proporzionalità e rispetto della libertà del lavoratore.
Base giuridica e consenso
Il trattamento dei dati personali non può essere basato soltanto su una delibera interna e su un accordo sindacale. Inoltre, il consenso fornito dai lavoratori tramite app non è considerato valido in ambito lavorativo, data la posizione di subordinazione.
Principi di minimizzazione e finalità
La raccolta sistematica delle coordinate GPS supera quanto necessario alla gestione del rapporto di lavoro, configurando un’invasione non giustificata nella sfera privata del lavoratore.
Informativa completa
I documenti aziendali devono contenere tutte le informazioni previste dall’art. 13 del GDPR. I dipendenti devono essere precedentemente informati in modo trasparente sulle finalità e sulle modalità del trattamento dei dati di localizzazione.
Valutazione d’impatto preventiva
Un trattamento che implica rischi elevati per i diritti e le libertà delle persone deve essere preceduto da una valutazione d’impatto sulla protezione dei dati (DPIA), obbligatoria in casi di trattamenti sistematici e intrusivi.
Utilizzo lecito e senza fini disciplinari
Usare i dati di geolocalizzazione per avviare un procedimento disciplinare è illecito, perché in questo caso risultano raccolti per finalità diverse e senza una base giuridica idonea.
