Il tema della tutela della privacy dei lavoratori dalle ingerenze del datore di lavoro è particolarmente delicato, a maggior ragione alla luce del rapido sviluppo della tecnologia, che consente forme di controllo sempre più incisive. 

In tale quadro, di recente, il Garante per la protezione dei dati personali ha ribadito i confini dei poteri di controllo del datore di lavoro, multando un’azienda per 50.000 euro per aver usato in modo scorretto i dati di geolocalizzazione dei dipendenti in smart working.

I fatti

L’azienda multata aveva chiesto ai lavoratori agili di registrare l’inizio e la fine dell’orario di lavoro attraverso una piattaforma chiamata “Time Relax”, che utilizza il GPS per localizzare l’utente nel momento della timbratura. Tuttavia, questi dati sono stati poi utilizzati anche per finalità disciplinari, cioè per verificare se i lavoratori si trovassero effettivamente nei luoghi comunicati all’azienda come sede di lavoro.

Il caso è nato da un reclamo di una dipendente, affiancato da una segnalazione dell’Ispettorato della Funzione Pubblica. A seguito di controlli, è emersa una discrepanza tra la posizione GPS rilevata e quella che la lavoratrice aveva dichiarato quale luogo di svolgimento delle prestazioni lavorative. In base a ciò, l’azienda ha avviato un procedimento disciplinare nei suoi confronti.

La posizione dell’azienda sul perché della geolocalizzazione dei dipendenti in smart working 

L’azienda ha sostenuto la piena legittimità della propria condotta, dal momento che:

• Il controllo era previsto dal regolamento interno sul lavoro agile e dall’accordo sindacale.
• I dipendenti erano stati informati del funzionamento dell’app.
• I dati servivano solo per timbrare, non per controllare l’attività lavorativa.
• La geolocalizzazione non veniva registrata in modo permanente.
• Il sistema era stato usato su un numero limitato di lavoratori (100 su 540).

In ogni caso, dopo l’apertura dell’istruttoria da parte dell’Ispettorato della Funzione Pubblica, l’azienda ha disattivato la funzione di localizzazione e sospeso il procedimento disciplinare.

Le conclusioni del garante sulla geolocalizzazione

Nonostante le motivazioni addotte dall’azienda a sostegno della pretesa legittimità del proprio operato, il Garante ha riscontrato diverse violazioni del Regolamento europeo sulla privacy (GDPR) e del Codice Privacy italiano, in particolare:

• I dati sono stati usati per finalità non legittime, come il controllo diretto dell’attività lavorativa, che la legge consente solo in casi eccezionali e con precise garanzie.
• Non era stata fornita un’adeguata informativa ai dipendenti sul trattamento dei dati.
• Mancava una valutazione dei rischi legati all’uso della geolocalizzazione (valutazione d’impatto, obbligatoria per trattamenti potenzialmente invasivi).
• La finalità dichiarata (timbratura) non giustificava l’uso dei dati per controllare il comportamento dei lavoratori, nemmeno in presenza di un accordo sindacale.
• Secondo il Garante, la raccolta e l’uso della posizione GPS, anche se non riguardava dati “sensibili” in senso stretto, incideva comunque sulla sfera privata dei lavoratori.

Quali sono state le attenuanti riconosciute dal garante? 

Nella determinazione della sanzione, considerando comunque “l’alto livello di gravità” di tale condotta, il Garante ha ritenuto riconosciuto anche alcune circostanze favorevoli all’azienda:

• Ha collaborato durante l’istruttoria.
• Ha interrotto volontariamente il trattamento dei dati contestati.
• Non aveva precedenti violazioni.
• L’applicativo era stato introdotto con la consulenza del responsabile per la protezione dei dati (DPO).

In ragione di tali circostanze, la sanzione irrogata all’azienda è stata contenuto in € 50.000,00. Tuttavia, oltre ai profili prettamente sanzionatori, il provvedimento ribadisce un principio importante e avente portata generale: anche nel contesto lavorativo, il trattamento dei dati personali deve rispettare pienamente le regole del GDPR. 

Cosa ci dice questa decisione del Garante per la Privacy sulla geolocalizzazione? 

Il datore di lavoro ha il dovere infatti di garantire la dignità e la libertà morale del dipendente, da attuarsi anche attraverso il rispetto dei principi di trasparenza, pertinenza e proporzionalità nell’uso dei dati personali. 

Abbiamo già trattato del tema della privacy nei luoghi di lavoro in un nostro precedente articolo, relativo alla disciplina giuridica dei controlli a distanza sui lavoratori da parte del datore di lavoro

Con il recente provvedimento, il Garante ha confermato che non è vietato raccogliere dati per organizzare il lavoro agile, ma è fondamentale farlo con modalità corrette, informative chiare e nel rispetto dei limiti imposti dalla legge, trattandosi in ogni caso di un accertamento che deve tener conto delle specificità del caso concreto.