26 Mag Smart working e geolocalizzazione: il recente provvedimento dell’Autorità Garante

Autori: Giovanni Cortese, Laura Senatore, Lorenzo Covello

Con il provvedimento del 13 marzo 2025[1] (il “Provvedimento”), l’Autorità Garante per la protezione dei dati personali (il “Garante”) ha dichiarato l’illegittimità del trattamento effettuato da un’azienda regionale italiana per lo sviluppo dell’agricoltura (l’“Azienda”) sui dati ottenuti dalla geolocalizzazione dei dipendenti in smart working.

Il Provvedimento trae origine da un reclamo di una dipendente e da una segnalazione dell’Ispettorato della Funzione Pubblica, che denunciavano l’utilizzo di sistemi di geolocalizzazione per verificare la corrispondenza tra la posizione geografica dei dipendenti in smart working, rilevata in tempo reale, e i luoghi dichiarati dai dipendenti negli specifici accordi di lavoro agile stipulati con l’Azienda.

All’esito dell’attività istruttoria, il Garante ha accertato diverse violazioni della normativa in materia di dati personali, in particolare dei principi di liceità, correttezza, trasparenza e limitazione della finalità, con riferimento all’uso dei dati di geolocalizzazione dei dipendenti. Ciò, nonostante l’Azienda avesse stipulato uno specifico accordo sindacale ex art. 4 dello Statuto dei Lavoratori[2] e richiesto il consenso dei dipendenti alla geolocalizzazione.

Scopriamo perché.

I fatti: il sistema di geolocalizzazione

L’Azienda utilizzava un’applicazione che, al momento della timbratura in entrata e uscita da parte del personale in smart working, e previo consenso, ne rilevava la posizione geografica in tempo reale, unitamente a data e ora dell’inizio e della fine dell’attività lavorativa. La posizione veniva poi confrontata con quella indicata nell’accordo di lavoro agile individuale per verificarne la corrispondenza.

La geolocalizzazione veniva inoltre utilizzata per controlli a campione: i dipendenti, selezionati casualmente, erano contattati durante la fascia di reperibilità e invitati a effettuare una timbratura in tempo reale. Anche in questo caso, le coordinate erano confrontate con le postazioni di lavoro dichiarate e formalizzate nell’accordo con l’Azienda. L’esito delle verifiche veniva verbalizzato e inoltrato al Direttore Generale. In alcuni casi, tali controlli costituivano la base per avviare procedimenti disciplinari.

Le violazioni contestate

L’Azienda giustificava la liceità di tale trattamento e, in particolare, l’uso di sistemi di geolocalizzazione, facendo leva su tre principali argomentazioni. Infatti, ad avviso dell’Azienda, il trattamento si fondava su una valida base giuridica in quanto:

• • • era stato stipulato uno specifico accordo con le rappresentanze sindacali per l’utilizzo di strumenti dai quali possa derivare anche un controllo a distanza dei lavoratori, come previsto dall’art. 4, comma 1, dello Statuto dei Lavoratori;
    • la base giuridica del trattamento poteva essere rappresentata dalla delibera dell’Azienda regionale con la quale si regolamentava lo smart working e si prevedeva l’utilizzo del sistema di geolocalizzazione dei dipendenti;
    • veniva, in ogni caso, richiesto il consenso dei lavoratori alla geolocalizzazione.

Il Garante ha in primo luogo chiarito che la sottoscrizione di un accordo sindacale non è sufficiente a garantire la liceità di un trattamento che comporti, anche potenzialmente, un controllo a distanza dell’attività dei lavoratori. Ai sensi dell’art. 4, comma 1, dello Statuto, tali strumenti sono ammessi solo se finalizzati a scopi tassativi: ossia “per esigenze organizzative e produttive”, “per la sicurezza del lavoro” o “per la tutela del patrimonio aziendale”. Nel caso specifico, l’Azienda non ha dimostrato che la geolocalizzazione rispondesse a tali finalità. Al contrario, lo strumento risultava destinato a verificare la presenza dei dipendenti nei luoghi dichiarati, configurando un vero e proprio controllo diretto. Nel Provvedimento in questione la natura del controllo svolto dallo strumento – non ritenuto indiretto, incidentale o preterintenzionale – costituisce la chiave di volta delle argomentazioni del Garante.  Un simile controllo diretto è ritenuto per sua stessa natura inammissibile in quanto incoerente non solo con la normativa in materia di diritto del lavoro[3], ma anche con l’assetto costituzionale interno. Tale posizione risulta ampiamente confermata sia dall’orientamento ormai consolidato dell’Autorità Garante che dalla giurisprudenza da essa richiamata[4].

Il Garante ha inoltre escluso che la base giuridica del trattamento potesse essere rinvenuta nella delibera aziendale e nel relativo regolamento interno sul lavoro agile. A prescindere dalla qualificazione della delibera e del regolamento interno alla stregua di un atto amministrativo generale, l’Autorità ha ricordato che in ogni caso tale fonte non può avere l’effetto di modificare o derogare a norme di rango superiore, come quelle del GDPR o dello Statuto dei lavoratori. Tali atti hanno solo valore integrativo e non possono introdurre legittimazioni autonome per trattamenti di dati personali, come la geolocalizzazione, che devono invece fondarsi su basi giuridiche previste dall’ordinamento, nel rispetto dei principi di proporzionalità, necessità e delle adeguate garanzie previste dal complessivo assetto costituzionale.

In terzo luogo, il Garante ha respinto l’argomentazione secondo cui il consenso del lavoratore potesse costituire una base valida la geolocalizzazione, affermando un’interpretazione ormai consolidata sul punto[5], in base alla quale, nel contesto del rapporto di lavoro subordinato, il consenso non può considerarsi liberamente prestato, e dunque non può costituire una base giuridica idonea ai sensi dell’art. 6 del GDPR.

Oltre all’accertamento della violazione del principio di liceità, correttezza e trasparenza, del principio di limitazione della finalità, e dell’assenza di una valida base giuridica, il Garante ha rilevato ulteriori profili di illegittimità del trattamento. In particolare, le caratteristiche dell’applicazione utilizzata per la geolocalizzazione sono state ritenute sproporzionate rispetto alla finalità dichiarata, determinando una raccolta sistematica di dati non necessari, in violazione del principio di minimizzazione (art. 5, par. 1, lett. c) GDPR) e del divieto di trattare dati non pertinenti (art. 113 del Codice Privacy). L’Autorità ha inoltre accertato la mancata integrazione nel sistema di misure adeguate a garantire la protezione dei dati fin dalla progettazione e per impostazione predefinita (art. 25 GDPR), nonché l’omessa valutazione d’impatto (art. 35 GDPR). È stata anche rilevata l’inadeguatezza dell’informativa fornita ai lavoratori e l’utilizzo illecito dei dati raccolti, impiegati ai fini dell’avvio di un procedimento disciplinare, in violazione del principio di liceità e limitazione della finalità (artt. 5 e 6 GDPR) e dell’art. 2-decies del Codice, che ne vieta l’utilizzabilità.

Sulla base di quanto sopra rappresentato, il Garante ha ingiunto all’Azienda una sanzione pecuniaria pari a 50.000 euro per violazione degli artt. 5, 6, 13, 25, 35, 88 del GDPR e 113 del Codice Privacy nonché la pubblicazione del Provvedimento sul sito internet del Garante, ai sensi dell’art. 154-bis, comma 3 del Codice Privacy.

Conclusioni

Oltre a offrire indicazioni operative per i datori di lavoro, pubblici e privati, che ricorrono a strumenti tecnologici per monitorare l’attività dei dipendenti – in particolare nel contesto dello smart working – il Provvedimento del Garante ribadisce con chiarezza i limiti e le garanzie imposte dall’ordinamento a tutela della sfera personale del lavoratore, contro ogni indebita ingerenza.

L’utilizzo di tali tecnologie è ammesso solo quando effettivamente necessario per perseguire finalità legittime e tassative selezionate dal legislatore. In caso contrario, il rischio è quello di svuotare, anche inconsapevolmente, le garanzie poste dall’ordinamento a tutela della libertà e dignità del lavoratore.

Dall’analisi del Provvedimento emergono alcuni principi operativi fondamentali che i datori di lavoro devono tenere in considerazione:

1. 1. 1. Valutazione integrata della liceità del trattamento: nel valutare la liceità dei trattamenti dei dati personali dei dipendenti, il datore di lavoro deve considerare congiuntamente i principi del GDPR, la normativa in materia di diritto del lavoro e i principi costituzionali a tutela della libertà e della dignità del lavoratore (artt. 2, 3, e 41 Cost.). È fondamentale tenere conto dell’ampia giurisprudenza del Garante e della giurisprudenza di legittimità, che forniscono gli strumenti per valutare il corretto equilibrio tra esigenze organizzative e diritti fondamentali del lavoratore.
      2. Controllo “diretto” non consentito: anche in presenza delle garanzie previste dall’art. 4, comma 2, dello Statuto dei lavoratori (accordo sindacale o autorizzazione dell’Ispettorato del Lavoro), il datore può utilizzare strumenti tecnologici solo per le finalità tassativamente indicate dalla legge (esigenze produttive, sicurezza, tutela del patrimonio aziendale) e a condizione che il controllo sia indiretto, incidentale o preterintenzionale. Un controllo diretto, sistematico o mirato sull’attività lavorativa resta comunque inammissibile.
      3. Controllo “diretto” e smart working: l’uso di strumenti che consentono di localizzare il dipendente in tempo reale durante l’orario di lavoro costituisce un controllo diretto dell’attività lavorativa. Tali strumenti non sono ammessi neanche se previsti da un accordo sindacale, a meno che non rispondano alle finalità tassative previste dall’art 4 dello Statuto dei Lavoratori e siano utilizzati in modo tale da consentire solo un controllo indiretto.
      4. Consenso non idoneo: il consenso del dipendente alla geolocalizzazione, anche se formalmente acquisito, non può essere considerato una base giuridica valida nel contesto di un rapporto di lavoro subordinato, dato il naturale squilibrio di potere tra le parti.
      5. Non basta una delibera interna: regolamenti aziendali, atti interni o delibere non possono derogare alle norme di rango superiore del nostro ordinamento. L’introduzione di strumenti di controllo deve sempre rispettare le norme costituzionali che mirano a tutelare la libertà e dignità dei lavoratori e i principi previsti dal GDPR e dal Codice Privacy, e le disposizioni dello Statuto dei Lavoratori da quest’ultimo richiamate.
      6. DPIA obbligatoria e misure di privacy by design/by default: prima di implementare sistemi che consentono un controllo anche solo potenziale dei dipendenti, è necessario effettuare una valutazione d’impatto sulla protezione dei dati (DPIA) e consultare il DPO, a norma dell’art. 35 GDPR, nonché adottare misure adeguate by design e by default, a norma dell’art. 25 GDPR.
      7. Informativa trasparente e uso limitato dei dati: i lavoratori devono essere adeguatamente informati sul trattamento dei dati, ai sensi dell’art. 13 del GDPR. In ogni caso, il trattamento deve essere proporzionato, pertinente e strettamente necessario.

[1] Autorità Garante per la protezione dei dati personali, provvedimento n. 135 del 13 marzo 2025 (doc. web n. 10128005), https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/10128005.

[2] L. 20 maggio 1970, n. 300, ss.mm.ii > https://www.gazzettaufficiale.it/atto/vediMenuHTML?atto.dataPubblicazioneGazzetta=1970-05-27&atto.codiceRedazionale=070U0300&tipoSerie=serie_generale&tipoVigenza=originario 

[3] Come è noto, per effetto del rinvio contenuto nell’art. 114 del Codice Privacy (cfr. art. 88 del GDPR), l’osservanza degli artt. 4 e 8 dello Statuto dei Lavoratori costituisce condizione di liceità del trattamento.

[4] Cfr. par. 4.2. del Provvedimento, https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/10128005.

[5] Cfr., tra i tanti, Autorità Garante per la protezione dei dati personali, provvedimento n.16 del 14 gennaio 2021 (doc. web n. 9542071), https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9542071.