Vietata la geolocalizzazione dei dipendenti in smart working
lentepubblica.it Con il provvedimento 135 del 13 marzo 2025, il Garante per la protezione dei dati personali ha dichiarato illecita la geolocalizzazione dei dipendenti in smart working: ecco tutti i dettagli. Secondo l’Autorità è vietato il trattamento dei dati di geolocalizzazione dei lavoratori in modalità agile da parte dell’Azienda regionale per lo sviluppo e i servizi […] The post Vietata la geolocalizzazione dei dipendenti in smart working appeared first on lentepubblica.it.
lentepubblica.it
Con il provvedimento 135 del 13 marzo 2025, il Garante per la protezione dei dati personali ha dichiarato illecita la geolocalizzazione dei dipendenti in smart working: ecco tutti i dettagli.
Secondo l’Autorità è vietato il trattamento dei dati di geolocalizzazione dei lavoratori in modalità agile da parte dell’Azienda regionale per lo sviluppo e i servizi in agricoltura (ARSAC), ribadendo in modo netto i limiti all’impiego di strumenti di controllo a distanza nel contesto del lavoro agile.
Il caso ARSAC e l’uso dell’app “Time Relax”
Il procedimento trae origine da un reclamo di una dipendente dell’ARSAC, geolocalizzata tramite l’applicazione “Time Relax” nel corso della sua prestazione lavorativa in smart working. L’app, utilizzata per registrare le timbrature di entrata e uscita, raccoglieva contestualmente le coordinate GPS del dispositivo impiegato dal lavoratore, associandole al codice identificativo, alla data, all’ora e al tipo di timbratura.
L’informazione così raccolta era stata utilizzata per verificare la corrispondenza del luogo di lavoro con quanto previsto dall’accordo individuale di smart working e ha costituito la base per un procedimento disciplinare nei confronti della dipendente.
In parallelo, il Dipartimento della Funzione Pubblica ha segnalato all’Autorità la prassi potenzialmente lesiva dell’azienda, portando all’avvio dell’istruttoria del Garante.
Normativa di riferimento
Il Garante ha esaminato la vicenda alla luce della normativa in materia e in particolare:
- del Regolamento (UE) 2016/679 (GDPR), artt. 5, 6, 13, 25, 35, 88;
- del Codice Privacy (d.lgs. 196/2003), artt. 113, 114 e 115;
- dello Statuto dei Lavoratori (L. 300/1970), art. 4;
- della legge sul lavoro agile (L. 81/2017);
- delle Linee guida europee sul trattamento dei dati nel contesto occupazionale.
I punti critici rilevati dal Garante sulla geolocalizzazione dei dipendenti in smart working
Controllo a distanza non conforme all’art. 4 Stat. Lav.
L’utilizzo della geolocalizzazione per accertare il rispetto della sede dichiarata dal lavoratore non rientra nelle finalità legittime previste dalla legge (organizzative, produttive, di sicurezza, tutela del patrimonio aziendale) e costituisce un controllo diretto e mirato sulla prestazione lavorativa, vietato dalla normativa di settore. Neppure l’accordo sindacale o il regolamento interno possono derogare a questi limiti.
Violazione dei principi del GDPR
ARSAC ha trattato i dati dei dipendenti senza un’idonea base giuridica e in modo non proporzionato e non trasparente, violando i principi di:
- liceità, correttezza e trasparenza (art. 5, par. 1, lett. a),
- limitazione della finalità (art. 5, par. 1, lett. b),
- minimizzazione dei dati (art. 5, par. 1, lett. c).
Inefficacia del consenso prestato dal lavoratore
Il Garante ha chiarito che il consenso non è valido in ambito lavorativo, data la posizione di subordinazione del dipendente. La base giuridica deve derivare da obblighi normativi o da esigenze strettamente definite dalla legge.
Assenza di informativa adeguata (art. 13 GDPR)
La documentazione aziendale fornita (regolamenti, contratti) non soddisfa i requisiti dell’informativa prevista dal GDPR. Ai lavoratori non sono state comunicate in modo chiaro le finalità, le modalità e i limiti del trattamento dei dati.
Mancata valutazione d’impatto (DPIA)
Il trattamento in questione, per le sue caratteristiche e i rischi elevati, richiedeva la preventiva effettuazione di una valutazione d’impatto sulla protezione dei dati personali, omessa da ARSAC con conseguente violazione dell’art. 35 GDPR.
Trattamento eccessivo e interferenza nella vita privata
La raccolta dei dati relativi alla geolocalizzazione ha generato una interferenza sproporzionata nella sfera privata del lavoratore, specie in un contesto come lo smart working, dove la distinzione tra spazio personale e spazio lavorativo è meno marcata. In particolare, si legge nella nota del Garante che: “Le diverse esigenze di controllo dell’osservanza dei doveri di diligenza del lavoratore in smart working non possono infatti essere perseguite, a distanza, con strumenti tecnologici che, riducendo lo spazio di libertà e dignità della persona in modo meccanico e anelastico, comportano un monitoraggio diretto dell’attività del dipendente non consentito dallo Statuto dei lavoratori e dal quadro costituzionale.”
Considerazioni conclusive del Garante
In conclusione, il trattamento dei dati di geolocalizzazione operato da ARSAC è illegittimo, in quanto:
- si fondava su una finalità non lecita;
- era invasivo e sproporzionato rispetto agli scopi;
- non garantiva la protezione dei dati sin dalla progettazione (privacy by design);
- non rispettava gli obblighi informativi verso gli interessati.
Inoltre, l’Autorità ha ribadito che nessun atto amministrativo o accordo sindacale può derogare a norme di rango superiore, come il GDPR o lo Statuto dei Lavoratori.
Il testo del provvedimento del Garante
The post Vietata la geolocalizzazione dei dipendenti in smart working appeared first on lentepubblica.it.
