Monitorare i dipendenti in smart working tramite la geolocalizzazione del dispositivo senza informativa né accordi sindacali è illegittimo. Lo ha stabilito il Garante per la protezione dei dati personali con un provvedimento che ha sanzionato l’Arsac, l’Azienda Regionale per lo Sviluppo dell’Agricoltura Calabrese, per aver raccolto e trattato in modo illecito i dati di localizzazione dei propri lavoratori. Il pronunciamento è del 13 marzo 2025 ed è destinato a fare giurisprudenza soprattutto nel rapporto tra lavoratori del comparto pubblico e le Regioni o gli enti strumentali che fanno uso di questo strumenti.

Il caso: la denuncia di una dipendente e la segnalazione al Ministero

Il caso nasce a seguito di un reclamo presentato da una dipendente e da una segnalazione inviata dal Dipartimento della Funzione Pubblica. Al centro della vicenda c’è l’utilizzo dell’applicazione “Time Relax”, introdotta dall’ente per tracciare la presenza dei lavoratori in modalità agile e verificarne la posizione rispetto alle sedi dichiarate nei singoli accordi di smart working.

Alla dipendente, secondo quanto scritto nell’istruttoria pubblicata sul sito del Garante della Privacy, era stato richiesto di timbrare il cartellino attraverso un’applicazione e di comunicare via mail l’esito del controllo. Secondo quanto scritto nell’istruttoria, le mappe non precise e non aggiornate dello strumento avrebbero individuato la lavoratrice ad una distanza di circa 5km dal luogo dichiarato all’interno del suo contratto, circostanza che ha fatto scattare “un addebito disciplinare sul presupposto della asserita “inosservanza nei tempi e nelle modalità delle procedure previste dal regolamento inerente lo svolgimento della prestazione lavorativa in modalità agile” e della rilevata “discordanza tra l'ubicazione dichiarata e la geolocalizzazione accertata dall'Ufficio Ispettivo nell'espletamento delle verifiche”.

Il Garante della Privacy: nessun tracciamento senza accordo specifico

Il provvedimento ha fatto scattare una segnalazione da parte della dipendente, scaturita in un procedimento volto a verificare eventuali illegittimità: «dalla segnalazione risulta che il predetto Dipartimento della Funzione Pubblica aveva “appreso che l’Unità di Controllo Procedimenti-Ispettorato del citato Ente effettuerebbe la localizzazione dei dispositivi (notebook e smartphone) utilizzati dai propri dipendenti nelle giornate in cui questi prestano la propria attività lavorativa in modalità di lavoro agile di cui all’art. 18 della legge 81/2017” e che “con nota del XX [… aveva già] richiesto al Commissario straordinario dell’ARSAC di fornire dettagliati e puntuali elementi in ordine alla liceità del trattamento dei dati effettuati».

L’Autorità ha ritenuto illegittimo l’intero impianto del monitoraggio attivato dall’Arsac, evidenziando una serie di criticità. In primo luogo, i dipendenti non erano stati informati in modo chiaro e completo del trattamento dei loro dati, violando l’articolo 13 del GDPR. Inoltre, la raccolta dei dati di geolocalizzazione è avvenuta senza un’adeguata base giuridica. L’ente si era affidato a una delibera interna, ritenuta dal Garante insufficiente a giustificare l’utilizzo di un sistema così invasivo.

Un aspetto rilevante riguarda anche l’assenza di un accordo sindacale o di un’autorizzazione dell’Ispettorato del Lavoro, come previsto dall’articolo 4 dello Statuto dei Lavoratori per l’uso di strumenti da cui possa derivare un controllo a distanza sull’attività lavorativa.

Una valutazione d’impatto mai fatta

Tra le irregolarità, il Garante ha sottolineato anche la mancanza di una valutazione d’impatto sulla protezione dei dati (DPIA), un obbligo previsto dal GDPR in caso di trattamenti che presentano rischi elevati per i diritti e le libertà dei soggetti interessati, come nel caso della geolocalizzazione continua. Il principio di minimizzazione è stato inoltre disatteso: la raccolta sistematica della posizione dei dipendenti è stata giudicata sproporzionata rispetto alle finalità dichiarate, contravvenendo ai criteri di necessità e adeguatezza.

L’affondo del Garante: non è possibile utilizzare i dati a fini disciplinari

Il Garante ha ricordato che i dati raccolti in violazione delle norme non possono essere utilizzati per finalità disciplinari. In altre parole, eventuali provvedimenti adottati sulla base di informazioni ottenute con Time Relax potrebbero essere contestabili. Il provvedimento rappresenta un precedente significativo per tutte le pubbliche amministrazioni e le aziende che fanno uso di strumenti di rilevazione elettronica dei lavoratori in smart working. Secondo il Garante, è fondamentale garantire un equilibrio tra esigenze organizzative e tutela della privacy, evitando derive di controllo non regolamentato. La vicenda dell’Arsac coinvolge direttamente una struttura pubblica della Regione Calabria. In un contesto dove la transizione digitale e l’adozione del lavoro agile sono in forte crescita, episodi di questo tipo mettono in luce la necessità di maggiore attenzione nella gestione dei dati dei dipendenti pubblici, sia dal punto di vista normativo che tecnologico.