Un recente provvedimento sanzionatorio del Garante per la protezione dei dati personali nei confronti di un’azienda che geolocalizzava i propri dipendenti in smart working segna un importante punto di svolta nel dibattito sulla sorveglianza digitale dei lavoratori.
La peculiarità del caso risiede nel fatto che l’azienda riteneva di essere in regola avendo ottenuto l’approvazione dai sindacati per l’utilizzo della piattaforma di tracciamento. Questa convinzione si è rivelata, però, un errore di valutazione particolarmente oneroso.
Indice degli argomenti
Il caso in esame e la normativa sul lavoro agile
In particolare, il Garante privacy ha inflitto una sanzione di 50.000 euro a una società in house della Regione Calabria per l’uso illecito di un sistema di geolocalizzazione, che – in momenti specifici e a campione – rilevava la posizione geografica di circa 100 dipendenti.
L’intervento è scaturito dal reclamo di una dipendente dell’ARSAC (Azienda Regionale per lo Sviluppo e i Servizi in Agricoltura) e da una successiva segnalazione del Dipartimento della Funzione Pubblica.
Il caso evidenzia le criticità nell’uso della geolocalizzazione nel lavoro agile e le crescenti tensioni tra le esigenze organizzative dei datori di lavoro e il rispetto della normativa sulla protezione dei dati personali, in un contesto – quello del lavoro agile – ancora in via di consolidamento.
La sanzione non rappresenta un episodio isolato, ma un chiaro monito anche per tutte le organizzazioni che utilizzano strumenti di controllo senza garantire adeguata tutela dei dati personali e dei diritti fondamentali dei lavoratori, sanciti dalla Costituzione, dallo Statuto dei Lavoratori e dal GDPR.
La disciplina sul lavoro agile
Il lavoro agile, disciplinato dalla Legge 22 maggio 2017, n. 81, è una forma di lavoro subordinato che consente al dipendente maggiore flessibilità in termini di orario e luogo della prestazione, adattandosi alla natura delle mansioni e agli obiettivi da raggiungere. L’art. 18, comma 1, della legge prevede che l’attività lavorativa sia svolta per fasi, cicli e obiettivi, senza precisi vincoli di tempo e luogo.
In questo contesto, il controllo dell’adempimento può avvenire mediante strumenti non invasivi, come la redazione di report periodici, documenti di sintesi da parte del lavoratore o incontri nei giorni di presenza in sede.
Sebbene il lavoro agile implichi un ampliamento dell’autonomia del dipendente, il datore di lavoro può comunque utilizzare strumenti tecnologici per il controllo a distanza, ma esclusivamente per finalità legittime, come esigenze organizzative, produttive, di sicurezza sul lavoro o di tutela del patrimonio aziendale.
Tali strumenti devono rispettare le garanzie previste dalla normativa vigente, in particolare dall’art. 4 della Legge 20 maggio 1970, n. 300 (Statuto dei Lavoratori), che limita il controllo a distanza a casi specifici e richiede adeguate tutele per il lavoratore.
Il reclamo
La dipendente ha denunciato che, durante alcuni controlli interni, le è stato richiesto di effettuare una doppia timbratura tramite la piattaforma “Time Relax”, che prevedeva anche il monitoraggio della sua posizione GPS.
La localizzazione rilevata risultava essere distante fino a 50 km rispetto a quella indicata nel contratto di lavoro agile.
L’uso dei dati GPS ha avviato un procedimento disciplinare, che è stato successivamente sospeso in seguito all’intervento del Garante, il quale ha evidenziato la discordanza tra quanto dichiarato dalla dipendente e quanto rilevato dal sistema.
La dipendente ha contestato vari aspetti, tra cui la mancanza di un’informativa adeguata ai sensi dell’articolo 13 del GDPR, la scarsa trasparenza nel trattamento dei suoi dati e l’uso della geolocalizzazione a fini disciplinari, ritenuto in contrasto con l’articolo 4 dello Statuto dei Lavoratori.
La difesa dell’azienda
Nella sua difesa, la società ha specificato che il sistema di geolocalizzazione non prevedeva un monitoraggio continuo dei dipendenti, ma veniva attivato esclusivamente al momento della timbratura, durante la fascia oraria di contattabilità, e solo con il consenso dell’interessato.
L’azienda ha sottolineato che non c’era alcuna conservazione continua dei dati GPS né un controllo sistematico. Le verifiche, infatti, venivano effettuate in modo casuale e a campione, senza configurare una forma di sorveglianza sistematica e generalizzata sui dipendenti.
La società ha inoltre evidenziato che il trattamento dei dati era stato disciplinato da accordi sindacali e integrato nel Regolamento sul lavoro agile, che era stato approvato anche all’interno del PIAO (Piano Integrato di Attività e Organizzazione) dell’ente.
Infine, durante l’istruttoria, l’ente ha comunicato di aver disattivato la funzione di geolocalizzazione in autotutela e di aver avviato un percorso di adeguamento alla normativa sulla protezione dei dati personali.
Il valore (nullo) dell’accordo sindacale
Il Garante per la protezione dei dati personali ha chiarito che l’impiego della geolocalizzazione per monitorare la prestazione lavorativa dei dipendenti non è giustificabile nemmeno in presenza di accordi sindacali.
In altre parole, un simile controllo eccede i limiti posti dalla normativa vigente e dalle garanzie costituzionali a tutela della privacy e della dignità del lavoratore.
Nel caso in esame, l’utilizzo della geolocalizzazione ha violato i principi di necessità, proporzionalità e minimizzazione previsti dal GDPR. Infatti, il tracciamento della posizione non può essere adottato in modo indiscriminato, se non è strettamente necessario e giustificato da finalità specifiche e legittime, soprattutto quando rischia di invadere la sfera privata del dipendente.
Il trattamento dei dati personali – in particolare nel contesto del lavoro agile – richiede una particolare attenzione.
Se da un lato la flessibilità del lavoro da remoto consente di svolgere le attività al di fuori dei locali aziendali, dall’altro la raccolta di informazioni sensibili come la posizione geografica deve essere condotta nel rispetto dei principi di liceità, correttezza e trasparenza, evitando intrusioni sproporzionate nella vita privata del lavoratore.
L’applicazione “Time Relax” utilizzata dall’ente prevedeva il rilevamento della posizione GPS solo al momento della timbratura. Tuttavia, anche un uso apparentemente circoscritto può risultare eccessivo se non fondato su esigenze reali e documentate.
La Corte Europea dei Diritti dell’Uomo ha più volte affermato che la tutela della vita privata si estende anche all’ambiente di lavoro (ad esempio, nelle sentenze Niemietz c. Germania, Copland c. Regno Unito, Barbulescu c. Romania), ribadendo che ogni forma di monitoraggio deve essere bilanciata con i diritti del lavoratore.
Il principio di minimizzazione (art. 5 del GDPR) impone che i dati raccolti siano limitati a quanto strettamente necessario rispetto agli scopi perseguiti. In questo caso, l’azienda ha motivato la raccolta con la necessità di verificare che la prestazione fosse svolta nei luoghi indicati nel contratto di lavoro agile.
Tuttavia, questa finalità non è sufficiente a giustificare una misura così invasiva come il tracciamento della posizione, che entra in conflitto con i diritti fondamentali garantiti dalla normativa europea e nazionale.
I limiti del monitoraggio a distanza
La Legge sul lavoro agile (L. 81/2017) stabilisce che l’uso di strumenti tecnologici da parte del datore di lavoro è legittimo solo se finalizzato al raggiungimento degli obiettivi lavorativi, alla tutela della sicurezza o per esigenze organizzative specifiche.
L’articolo 21 della stessa legge vieta espressamente il controllo diretto e continuo delle attività lavorative, ammettendo solamente verifiche limitate, proporzionate e basate su finalità precise.
La giurisprudenza della Corte di Cassazione, nella sentenza n. 22148/2017, ha ribadito che il controllo costante e sistematico delle prestazioni lavorative è contrario ai principi di dignità e libertà personale, configurandosi come una violazione della normativa sul lavoro e della privacy del lavoratore.
Nel contesto del lavoro agile, l’utilizzo della geolocalizzazione per il monitoraggio continuo e indiscriminato dei dipendenti solleva problematiche serie. L’uso di tale tecnologia deve essere strettamente funzionale agli obiettivi aziendali e limitato nella misura in cui non violi la privacy e i diritti fondamentali del lavoratore.
La Legge sul lavoro agile consente al datore di lavoro di monitorare i lavoratori a distanza, ma solo in modo limitato e motivato.
In particolare, l’impiego della geolocalizzazione per il controllo della prestazione lavorativa deve avvenire nel rispetto dei principi di proporzionalità e necessità, come stabilito dal GDPR.
Il trattamento dei dati personali, e in particolare quelli relativi alla posizione geografica, deve essere adeguatamente giustificato da esigenze reali e deve rispettare le normative in materia di privacy e diritto del lavoro.
Lavoro agile e privacy: la posizione dell’INL
Secondo l’Ispettorato Nazionale del Lavoro (circolare n. 4/2017), gli strumenti di monitoraggio a distanza sono legittimi solo quando servono a scopi organizzativi, produttivi o di sicurezza, e non devono tradursi in un controllo pervasivo dell’attività dei dipendenti.
Nel contesto del lavoro agile, l’utilizzo della geolocalizzazione a fini disciplinari è particolarmente problematico. La normativa impone che ogni trattamento sia fondato su una base giuridica adeguata e su finalità chiaramente esplicitate al momento della raccolta.
Nel caso oggetto di attenzione da parte del Garante, l’azienda ha usato i dati raccolti dall’app per contestare a una dipendente la sua effettiva presenza nel luogo indicato nel contratto di lavoro agile. I dati GPS hanno dato avvio a un procedimento disciplinare, poi sospeso, in seguito alla verifica della discordanza tra quanto dichiarato dalla dipendente e quanto rilevato dal sistema.
Tuttavia, l’uso dei dati per scopi diversi da quelli originariamente previsti costituisce una violazione dei principi di liceità e minimizzazione.
Lavoro agile e privacy: cosa impariamo
Questo caso mette in luce l’importanza di una regolamentazione chiara e di una gestione trasparente dei dati raccolti in ambito lavorativo.
I datori di lavoro, pur essendo legittimati a monitorare il lavoro agile per scopi organizzativi o di sicurezza, devono rispettare i limiti imposti dalla normativa in materia di protezione dei dati, evitando di fare un uso improprio dei dati personali, che potrebbe minare la fiducia tra datore di lavoro e dipendente e compromettere i diritti fondamentali dei lavoratori.
In assenza di un’idonea base giuridica, come quella prevista per i trattamenti disciplinari, l’uso dei dati per tali scopi rischia di risultare illecito, con conseguenti sanzioni per l’azienda.
Resta però centrale una riflessione più ampia sul limite del controllo tecnologico nel lavoro da remoto, e il provvedimento potrebbe rappresentare un precedente importante, utile a chiarire come conciliare il potere organizzativo del datore di lavoro con la tutela della riservatezza e della dignità del lavoratore nell’era digitale.
