Informiamo che con Provvedimento del 13 marzo 2025 (reso noto con la Newsletter dell’8 maggio u.s.), il Garante per la protezione dei dati personali ha esaminato il caso di un Titolare del trattamento che ha utilizzato un’applicazione tramite la quale, al momento della timbratura in entrata e in uscita da parte di ciascun dipendente e previo suo consenso alla geolocalizzazione, acquisiva le coordinate geografiche dello smartphone o del pc del dipendente che aveva timbrato, unitamente al suo codice identificativo, alla data e all’ora della timbratura, specificando se in entrata o in uscita.
Ciò allo scopo di verificare che la posizione geografica dalla quale il personale si trovava a svolgere la propria prestazione lavorativa in modalità agile fosse corrispondente ad una di quelle indicate all’interno di ciascun accordo individuale in materia di lavoro agile.
Il Garante ha rilevato che “anche in caso di svolgimento della prestazione in modalità agile, l’impiego di strumenti tecnologici da parte del datore di lavoro, dai quali derivi anche la possibilità di controllare a distanza l’attività dei lavoratori, può avvenire esclusivamente per il perseguimento delle tassative finalità previste dalla legge, ossia “[…] per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale”, nel rispetto delle garanzie procedurali ivi stabilite (art. 4, comma 1, della l. 20 maggio 1970, n. 300). La legge sul lavoro agile, infatti, richiama espressamente i limiti, le condizioni e le procedure di garanzia dell’art. 4 della l. 20 maggio 1970, n. 300 (cfr. art. 21 della l. 22 maggio 2017, n. 81).”
Il Garante nello specifico ha evidenziato come le diverse esigenze di controllo dell’osservanza dei doveri di diligenza del lavoratore – che pure rientrano nelle prerogative datoriali se perseguite personalmente dal datore di lavoro o attraverso la propria organizzazione gerarchica – non possono invece essere perseguite con strumenti tecnologici a distanza, che comportano un monitoraggio diretto dell’attività del lavoratore non consentito dall’ordinamento vigente e dal quadro costituzionale. Secondo il Garante tali finalità non risultano, infatti, riconducibili ad alcuna delle tassative finalità selezionate dal legislatore (“organizzative e produttive”, “di sicurezza del lavoro” e “di tutela del patrimonio aziendale”), atteso che il controllo a distanza dell’attività lavorativa è consentito dalla legge, nel rispetto delle condizioni di garanzia ivi previste, solo incidentalmente, ossia in occasione del perseguimento di tali legittime finalità, così assumendo un carattere tipicamente indiretto e preterintenzionale.
Ne discende, secondo l’Autorità, che, sul piano della protezione dei dati personali, il trattamento suddetto risultava sprovvisto di un’idonea base giuridica, ponendosi in contrasto con il principio di “liceità, correttezza e trasparenza” e con le disposizioni nazionali specifiche di maggior tutela fatte salve dal GDPR, nonché in violazione dei principi fondamentali di quest’ultimo.
A conferma dei principi sopra richiamati il Garante richiama anche la circolare n. 4/2017 dell’Ispettorato Nazionale del Lavoro e provvedimenti propri, dell’EDPB e UE.
E’ interessante notare le numerose censure del Garante, che ribadisce fra l’altro che:
- il datore di lavoro oltre alla normativa di settore applicabile, deve sempre rispettare i principi di protezione dei dati personali;
- il consenso dei dipendenti non costituisce in generale un valido presupposto di liceità per il trattamento dei dati personali;
- posto che la legge consente il controllo a distanza dell’attività lavorativa mediante l’utilizzo di strumentazione tecnologica da parte del datore di lavoro solo in misura meramente incidentale e preterintenzionale, il trattamento dei dati finalizzato a controllare direttamente l’attività lavorativa dei singoli dipendenti evidenzia un contrasto anche con il principio di “limitazione della finalità”;
- nel caso di specie risultavano anche violati il principio di proporzionalità rispetto alla finalità perseguita, di minimizzazione e di protezione dei dati “fin dalla progettazione” e “per impostazione predefinita”;
- anche nell’ambito del rapporto di lavoro agile il datore di lavoro è tenuto a garantire al lavoratore il rispetto della sua personalità e della sua libertà morale;
- nella specie non era stata effettuata neppure la valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali.
In virtù di quanto sopra, il Garante, nel rilevare l’illiceità del trattamento, ha sanzionato il Titolare irrogandogli una sanzione amministrativa di 50.000,00 Euro ed ordinandogli di disattivare la funzione di geolocalizzazione dell’applicativo in parola, nonché di sospendere un procedimento disciplinare in corso.
