Illegittima la geolocalizzazione dei dipendenti in smart working

/in , , , /da

Con il provvedimento del 13 marzo 2025, l’Autorità Garante per la protezione dei dati personali ha sanzionato per euro 50.000 un’agenzia regionale che geolocalizzava i propri dipendenti in smart working.

Nel dettaglio, veniva effettuata una chiamata al dipendente con cui si invita lo stesso ad effettuare una doppia timbratura mediante l’applicativo dedicato, una in entrata e una in uscita, previo consenso alla geolocalizzazione. Senza il consenso alla geolocalizzazione, non era possibile la timbratura da remoto nell’ambito del lavoro agile.

In tal modo, venivano acquisite le coordinate geografiche dello smartphone o del pc del dipendente che aveva timbrato, unitamente al suo codice identificativo, alla data e all’ora della timbratura, specificando se in entrata o in uscita.

Ciò allo scopo di verificare che la posizione geografica dalla quale il personale svolgeva la propria prestazione lavorativa in modalità agile fosse corrispondente ad una di quelle indicate all’interno di ciascun accordo individuale in materia di lavoro agile.

Tuttavia, la prestazione lavorativa in modalità agile, differentemente dallo svolgimento dell’attività lavorativa presso la sede del datore di lavoro, risulta tipicamente caratterizzata da una flessibilità che, fatta salva l’eventuale operatività di fasce di reperibilità, attiene sia al luogo sia al tempo del relativo svolgimento.

Il controllo a distanza dell’attività lavorativa mediante l’utilizzo di strumentazione tecnologica da parte del datore di lavoro è consentito solo in misura meramente incidentale e preterintenzionale e dunque il trattamento dei dati finalizzato a controllare direttamente l’attività lavorativa dei singoli dipendenti evidenzia un contrasto anche con il principio di “limitazione della finalità” di cui all’art. 5, par. 1, lett. b), del GDPR (Reg. UE n. 2016/679).

L’esigenza di assicurare che la prestazione lavorativa dei dipendenti in modalità agile venisse effettivamente resa presso le sedi indicate nell’accordo di riferimento non può, infatti, giustificare ogni forma di interferenza nella vita privata.

Ancora, l’esigenza di assicurare la riservatezza e la sicurezza dei dati trattati deve essere perseguita anzitutto impartendo specifiche istruzioni ai dipendenti autorizzati, anche in considerazione delle misure tecniche e organizzative adottate in via generale per proteggere i dati, e non invece attraverso la geolocalizzazione del personale che presta la propria attività lavorativa in modalità agile.

Il trattamento effettuato, dando luogo ad una raccolta di dati non limitati né pertinenti rispetto alla finalità di gestione del rapporto di lavoro in modalità agile, si poneva altresì in contrasto con il principio di “minimizzazione dei dati” e dunque in violazione dell’art. 5, par. 1, lett. c), del GDPR.

avv. Alberto Tarlao

Segretario Regionale CIU Unionquadri

Friuli-Venezia Giulia