Il recente provvedimento del Garante per la protezione dei dati personali del 13 marzo 2025 ha stabilito che i datori di lavoro non possono geolocalizzare i dipendenti in smart working, imponendo una sanzione di 50.000 euro a un’azienda che monitorava circa cento lavoratori durante l’attività in modalità agile. Questa decisione rappresenta un punto di svolta significativo nella regolamentazione del lavoro da remoto, stabilendo limiti chiari tra il diritto al controllo datoriale e la tutela della privacy dei lavoratori.
Il Caso e la Decisione del Garante
Il provvedimento n. 135/2025 del Garante della Privacy è stato emanato a seguito di un reclamo presentato da una dipendente e di una segnalazione dell’Ispettorato della Funzione Pubblica. L’istruttoria ha rivelato che l’azienda in questione svolgeva un monitoraggio sistematico della posizione geografica dei propri dipendenti in smart working mediante procedure di controllo mirate.
Il meccanismo di controllo prevedeva che i dipendenti, selezionati a campione, venissero contattati telefonicamente dall’Ufficio controlli con la richiesta di attivare la geolocalizzazione del dispositivo (PC o smartphone), effettuare una timbratura tramite un’apposita applicazione denominata “Time Relax”, e dichiarare via e-mail il luogo in cui si trovavano fisicamente in quel momento. Successivamente, l’azienda verificava la corrispondenza tra la posizione rilevata e l’indirizzo dichiarato nell’accordo individuale di smart working, avviando eventuali procedimenti disciplinari in caso di discrepanze.
L’obiettivo dichiarato da parte dell’azienda era quello di accertare la corrispondenza tra la posizione effettiva del lavoratore e l’indirizzo indicato nell’accordo individuale di lavoro agile.
Il Garante ha stabilito che tale sistema di controllo è privo di un’idonea base giuridica, comportando interferenze ingiustificate nella vita privata dei dipendenti e violazioni multiple del Regolamento Europeo sulla protezione dei dati e del Codice Privacy italiano.
Fondamenti Giuridici del Divieto di Geolocalizzazione
La decisione del Garante si basa su un quadro normativo articolato che include diverse disposizioni a tutela della privacy e della dignità dei lavoratori:
Principi del GDPR e Normativa sulla Privacy
Il provvedimento richiama esplicitamente l’articolo 5 del GDPR, in particolare i principi di:
- Liceità, correttezza e trasparenza (art. 5, par. 1, lett. a)
- Minimizzazione dei dati (art. 5, par. 1, lett. c), stabilendo che la geolocalizzazione costituisce una raccolta di dati non limitata né pertinente rispetto alla finalità di gestione del rapporto di lavoro in modalità agile
- Esattezza dei dati (art. 5, par. 1, lett. d)
Inoltre, viene fatto riferimento all’articolo 6 del GDPR sulla liceità del trattamento, evidenziando come nessuna delle basi giuridiche previste possa legittimare tale forma di controllo.
Normativa sul Lavoro Agile
La legge n. 81 del 22 maggio 2017, che regola il lavoro agile in Italia, definisce questa modalità lavorativa come caratterizzata da flessibilità sia temporale che spaziale. In particolare:
- L’articolo 18 stabilisce che il lavoro agile è una modalità di esecuzione del rapporto subordinato “senza precisi vincoli di orario o di luogo di lavoro”
- L’articolo 21 richiama espressamente i limiti, le condizioni e le procedure di garanzia dell’articolo 4 della legge 300/1970 (Statuto dei lavoratori)
Tutela della Dignità e Libertà del Lavoratore
Il Garante sottolinea che l’articolo 115 del Codice Privacy prevede che “nell’ambito del rapporto di lavoro domestico del telelavoro e del lavoro agile il datore di lavoro è tenuto a garantire al lavoratore il rispetto della sua personalità e della sua libertà morale”. Questo principio viene considerato incompatibile con sistemi di geolocalizzazione continua.
Limiti al Controllo Datoriale nel Lavoro Agile
Il provvedimento chiarisce i confini entro cui può esercitarsi il controllo datoriale nel contesto del lavoro agile:
Finalità Legittime di Controllo
L’utilizzo di strumenti tecnologici da cui derivi la possibilità di controllare a distanza l’attività dei lavoratori può avvenire esclusivamente per:
- Esigenze organizzative e produttive
- Sicurezza del lavoro
- Tutela del patrimonio aziendale
Queste finalità devono sempre rispettare le garanzie procedurali stabilite dall’articolo 4, comma 1, della legge 300/1970 (Statuto dei lavoratori).
Monitoraggio Diretto dell’Attività Non Consentito
Il Garante ribadisce con fermezza che le esigenze di controllo dell’osservanza dei doveri di diligenza del lavoratore non possono essere perseguite mediante strumenti tecnologici a distanza che “riducono lo spazio di libertà e dignità della persona in modo meccanico e anelastico”. Tali forme di controllo comportano un monitoraggio diretto dell’attività non consentito dallo Statuto dei lavoratori e dal quadro costituzionale.
L’aspetto più significativo della decisione è che il divieto di geolocalizzazione si applica anche in presenza di un accordo con le rappresentanze sindacali o del consenso informato degli interessati, rendendo così evidente che si tratta di una limitazione assoluta che prevale sugli strumenti di flessibilità normalmente riconosciuti dal GDPR.
Sicurezza dei Dati nel Lavoro Agile: Alternative alla Geolocalizzazione
Il provvedimento del Garante non si limita a vietare la geolocalizzazione, ma offre anche indicazioni su come garantire la sicurezza dei dati nel contesto del lavoro agile:
Misure Tecniche e Organizzative
Per salvaguardare il patrimonio informativo aziendale durante lo svolgimento del lavoro agile, le aziende possono adottare:
- Virtual Private Networks (VPN) che consentono di connettersi al server del datore di lavoro in sicurezza, operando come se si fosse in sede
- Soluzioni cloud per lo stoccaggio dei dati da remoto, purché con adeguate misure di sicurezza
- Liste di controllo dell’accesso che regolano gli accessi ai sistemi informatici, stabilendo quali utenti possano accedere a specifiche tipologie di dati
Modalità di Verifica Consentite
Per verificare l’adempimento della prestazione lavorativa svolta in modalità agile, il datore di lavoro può richiedere:
- Report periodici o documenti di sintesi redatti dal lavoratore sull’attività svolta
- Momenti di confronto nei giorni di presenza in sede sugli obiettivi raggiunti in relazione a quelli assegnati
Inoltre, l’esigenza di assicurare la riservatezza e la sicurezza dei dati trattati deve essere perseguita “anzitutto impartendo specifiche istruzioni ai dipendenti autorizzati” (artt. 4, par. 10, 29, 32 par. 4 del Regolamento; art. 2-quaterdecies del Codice).
Impatto della Decisione sui Rapporti di Lavoro
Il provvedimento del Garante ha importanti conseguenze per tutti i soggetti coinvolti nei rapporti di lavoro in modalità agile:
Per i Datori di Lavoro
Le aziende devono:
- Rivedere le proprie politiche di controllo sul lavoro agile per conformarsi al divieto di geolocalizzazione
- Implementare sistemi di valutazione basati sui risultati piuttosto che sulla sorveglianza
- Adottare misure di sicurezza alternative per proteggere il patrimonio informativo aziendale
- Considerare che la violazione del divieto può comportare sanzioni significative, come dimostrato dalla multa di 50.000 euro inflitta all’azienda oggetto del provvedimento
Per i Lavoratori
Il provvedimento rafforza alcuni diritti fondamentali dei lavoratori in smart working:
- Diritto alla privacy e alla protezione dei dati personali
- Tutela della dignità e libertà morale nell’ambito del rapporto di lavoro
- Garanzia della flessibilità spaziale e temporale che caratterizza il lavoro agile
Conclusioni
Il provvedimento del Garante per la protezione dei dati personali del 13 marzo 2025 rappresenta una pietra miliare nella regolamentazione del lavoro agile in Italia. Stabilendo che la geolocalizzazione dei lavoratori in smart working non è mai consentita, nemmeno con il consenso degli interessati o accordi sindacali, l’Autorità ha tracciato un confine netto tra le legittime esigenze organizzative dell’azienda e il diritto alla privacy e alla dignità dei lavoratori.
Questa decisione sottolinea come il lavoro agile debba fondarsi su un rapporto di fiducia tra datore di lavoro e dipendente, dove il controllo si esercita principalmente attraverso la valutazione dei risultati e non tramite la sorveglianza continua dell’attività. Le imprese sono quindi chiamate a implementare modalità alternative di verifica dell’adempimento della prestazione lavorativa, basate su report e confronti periodici, insieme a misure tecniche e organizzative adeguate per garantire la sicurezza dei dati.
Il caso conferma anche l’importanza di un approccio alla protezione dei dati che tenga in considerazione non solo gli aspetti formali, ma anche l’impatto concreto che i trattamenti possono avere sui diritti e le libertà fondamentali delle persone, in particolare nel contesto lavorativo dove gli squilibri di potere possono essere significativi.
A cura di Dott.ssa Cristina Pieretti
