Illegittima la geolocalizzazione dei dipendenti in smart working: il recente provvedimento del Garante Privacy

03 giu 2025DirittoComments (0)

Introduzione: lavoro agile e protezione della privacy

La crescente diffusione dello smart working ha generato molteplici benefici per aziende e dipendenti, come una maggiore flessibilità organizzativa e un miglior equilibrio tra vita professionale e privata. Tuttavia, questa innovazione organizzativa comporta anche nuove sfide, specialmente per quanto riguarda la tutela della riservatezza dei lavoratori. Un recente provvedimento del Garante Privacy ha affrontato il delicato tema della legittimità della geolocalizzazione dei lavoratori durante la loro attività svolta da remoto.

L'utilizzo dell'app "Time Relax"

Il caso trattato riguarda un'Azienda Regionale. Una dipendente ha presentato reclamo contestando l’utilizzo improprio dei dati relativi alla sua posizione geografica rilevati tramite l’app "Time Relax". Tale applicazione richiedeva una timbratura digitale all’inizio e alla fine della giornata lavorativa, raccogliendo contestualmente dati sulla geolocalizzazione, con lo scopo dichiarato di verificare che il dipendente svolgesse l’attività nei luoghi concordati contrattualmente.

In seguito a un controllo effettuato dal datore di lavoro, la dipendente risultava operare da un luogo differente rispetto a quello dichiarato, circostanza che ha portato ad avviare un procedimento disciplinare.

Le criticità sollevate dal Garante Privacy

Il Garante Privacy ha evidenziato diverse criticità relative alla modalità di trattamento dei dati adottata dall’ARSAC:

  • Assenza di adeguata informativa: i lavoratori non avevano ricevuto informazioni sufficientemente dettagliate sulla raccolta e utilizzo dei dati di localizzazione.

  • Finalità illegittima: l'uso della geolocalizzazione risultava diretto e sistematico, configurando una forma di controllo vietata dalla normativa vigente.

  • Proporzionalità e minimizzazione: il trattamento dei dati era indiscriminato, superando quanto strettamente necessario per le finalità dichiarate.

  • Privacy by design e by default: non erano state adottate preventivamente misure tecniche adeguate a garantire la tutela dei dati personali dei dipendenti.

  • Mancanza di una valutazione preventiva (DPIA): l’azienda non aveva eseguito la valutazione d’impatto privacy richiesta, un passaggio fondamentale per identificare e mitigare i potenziali rischi derivanti dall'utilizzo della geolocalizzazione.

Le conclusioni del Garante Privacy: conseguenze per le aziende

Il provvedimento ribadisce con chiarezza che l’utilizzo della geolocalizzazione per verificare direttamente la prestazione lavorativa è illegittimo, a meno che non si realizzi in modo meramente occasionale e giustificato da specifiche esigenze organizzative e di sicurezza sul lavoro. Le aziende, pertanto, devono porre massima attenzione nella progettazione dei sistemi di controllo remoto, assicurando che ogni operazione avvenga nel pieno rispetto delle norme sulla protezione dei dati personali.

Le imprese sono chiamate a sviluppare procedure conformi al GDPR e alla normativa nazionale sul lavoro agile, evitando trattamenti invasivi e adottando rigorose misure di trasparenza e proporzionalità. In definitiva, questo provvedimento rappresenta un punto fermo nel chiarire i limiti entro cui si può muovere il controllo digitale dei dipendenti, garantendo il necessario equilibrio tra le esigenze aziendali e il rispetto della dignità e della riservatezza delle persone.