L’Autorità Garante si è recentemente espressa relativamente al trattamento dei dati di geolocalizzazione dei dipendenti, nell’ambito del rapporto di lavoro svolto in modalità agile, per finalità disciplinari (Provvedimento n. 10128005 del 13 marzo 2025).
Nel caso in esame, la dipendente ha lamentato l’illegittimo trattamento dei propri dati personali da parte del datore di lavoro, in quanto finalizzato a verificare la corrispondenza tra il luogo di svolgimento della prestazione lavorativa e quanto indicato nell’accordo in materia di lavoro agile sottoscritto con la società.
Dall’istruttoria svolta dal Garante è emerso che tali controlli erano svolti, nell’ambito di puntuali attività di verifica, con le seguenti modalità: il responsabile dell’Ufficio aziendale preposto contattava il lavoratore (scelto su base casuale) e domandava, nel rispetto della fascia oraria di reperibilità, una timbratura tramite l’applicativo “Time relax”, previo consenso del lavoratore alla geolocalizzazione. Successivamente, il dipendente era invitato a inviare una mail al Responsabile dell’Ufficio aziendale incaricato del controllo, indicando il luogo di svolgimento della prestazione lavorativa, in modo da consentire al Responsabile preposto di verificare la corrispondenza tra quanto dichiarato dal dipendente nella mail e quanto rilevato dal sistema di geolocalizzazione.
Il Garante ha ribadito che il datore di lavoro può trattare dati personali dei lavoratori (anche particolari) solo in presenza di un’idonea base giuridica, ossia se: (i) il trattamento è necessario per la gestione del rapporto di lavoro, (ii) per adempiere a specifici obblighi derivanti dalla disciplina di settore, o (iii) quando il trattamento è “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (nell’ambito di una prestazione lavorativa in ambito pubblico).
Sotto il profilo dei controlli l’Autorità ha evidenziato come eventuali verifiche, tramite l’impiego di strumenti tecnologici, da quali derivi anche la possibilità di un controllo a distanza dei lavoratori possano svolgersi solo nel rispetto di quanto prescritto dalla normativa di settore (art. 4. comma 1, della L. n. 300 del 1970, c.d. Statuto dei lavoratori), ossia per “esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale”, previo accordo con le rappresentanze sindacali e dopo aver fornito al lavoratore informazioni adeguate in merito alle modalità d’uso degli strumenti e di effettuazione dei controlli.
Ciò premesso, l’Autorità ha ritenuto che eventuali controlli in merito all’osservanza dei doveri di diligenza da parte del lavoratore, rientrino nelle prerogative del datore di lavoro solo se svolti personalmente dal datore di lavoro o attraverso la propria organizzazione gerarchica e non possano, al contrario, essere svolti con strumenti tecnologici a distanza, che ridurrebbero lo spazio di libertà e dignità della persona, comportando un monitoraggio diretto dell’attività del lavoratore non consentito dall’ordinamento vigente.
Tale finalità di trattamento non risulta, infatti, riconducibile ad alcuna delle finalità disciplinate dal legislatore (“organizzative e produttive“, “di sicurezza del lavoro” e “di tutela del patrimonio aziendale”), atteso che il controllo a distanza dell’attività lavorativa è consentito dalla legge, nel rispetto delle condizioni di garanzia ivi previste, solo incidentalmente, ossia in occasione del perseguimento di tali legittime finalità, così assumendo un carattere tipicamente indiretto.
Nel corso del procedimento, l’Autorità Garante ha, inoltre, rilevato l’inadeguatezza delle informazioni fornite ai lavoratori sul trattamento dei propri dati personali (art. 13 del Regolamento) e il mancato svolgimento di una valutazione d’impatto del trattamento dei dati relativi alla geolocalizzazione del personale dipendente in modalità agile (art. 35 del Regolamento).
Per quanto sopra esposto, l’Autorità Garante rilevata l’illiceità del trattamento ha ingiunto alla società il pagamento di una sanzione amministrativa di euro 50.000,00.
