Skip to content Skip to sidebar Skip to footer
RPLT RP legalitax
RPLT RP legalitax
Close
Privacy & Data Protection

Smartworking o smart control? No del Garante Privacy alla geolocalizzazione “mascherata”

Il Garante per la protezione dei dati personali ha sanzionato ARSAC con una multa di 50.000 euro per l’uso illecito dell’app “Time Relax”, utilizzata per geolocalizzare i dipendenti in lavoro agile. Nonostante il consenso formale e un accordo sindacale, il trattamento è stato giudicato privo di una base giuridica valida e contrario ai principi di trasparenza e proporzionalità. Il caso riapre il dibattito sui confini tra organizzazione del lavoro, controllo e tutela della privacy in modalità smartworking.

Il Garante per la protezione dei dati personali (“Garante”) con il provvedimento n. 135 del 13 marzo 2025 ha accertato diverse violazioni del Regolamento (UE) 2016/679 (“GDPR”) da parte dell’ARSAC, l’Azienda regionale per lo sviluppo e i servizi in agricoltura della Calabria, in relazione al trattamento dei dati personali dei propri dipendenti relativi alla geolocalizzazione del luogo da cui prestavano l’attività lavorativa in modalità agile (di seguito “smartworking”).

Il trattamento illecito è avvenuto tramite l’app “Time Relax” che, previo consenso, localizzava e raccoglieva il dato relativo alla posizione del lavoratore. Tale dato è stato confrontato con le indicazioni fornite dal lavoratore in sede di accordo individuale relativo al lavoro da remoto e, in caso di difformità, veniva comunicato un addebito disciplinare al lavoratore.

L’origine della vicenda è duplice: il reclamo proposto da una dipendente (“l’interessata”) e la segnalazione autonoma del Dipartimento della Funzione Pubblica della Presidenza del Consiglio dei Ministri, tramite l’Ispettorato per la Funzione Pubblica che, rilevate le difformità, ha trasmesso la documentazione raccolta al Garante.

I risultati del procedimento davanti al Garante

L’ARSAC ha affermato che l’uso della geolocalizzazione avveniva solo per finalità organizzative, di sicurezza e di tutela della riservatezza -non a fini disciplinari- e che il consenso al trattamento risultava essere stato acquisito in modo informato e documentato sia nell’accordo individuale che tramite l’interfaccia dell’applicativo. La funzione di localizzazione, inoltre, era attiva solo in fase di timbratura in entrata e in uscita (non durante l’intero orario lavorativo) e non permetteva la memorizzazione continua delle coordinate geografiche. L’ARSAC ha anche precisato che l’impiego di Time Relax era stato approvato mediante accordo sindacale, in conformità con l’art. 4 dello Statuto dei lavoratori, e integrato nel Regolamento aziendale del lavoro agile e nel PIAO (Piano Integrato di Attività e Organizzazione). L’accesso ai dati era limitato a soggetti interni con compiti di gestione del personale e ai responsabili designati, inclusa la ditta proprietaria della piattaforma in qualità di responsabile del trattamento.

L’ARSAC ha ribadito anche che la procedura era trasparente, proporzionata e fondata su una base giuridica interna (atto amministrativo generale e accordo sindacale), assicurando ai dipendenti informazioni adeguate ai sensi dell’art. 13 GDPR e dell’art. 4, comma 3, dello Statuto dei lavoratori. Ha infine sottolineato che il sistema, oltre a registrare la presenza, offriva garanzie aggiuntive per i lavoratori (ad esempio, per fruire di permessi di servizio o personali) e che i controlli ispettivi erano rari, casuali e assimilabili a quelli effettuati sul personale in presenza.

A seguito di tali risultanze, il Garante ha avviato formalmente un procedimento sanzionatorio, ritenendo che ARSAC avesse violato la normativa sul trattamento dei dati personali dei propri dipendenti.

Nel corso dell’audizione, ARSAC ha sostenuto che il procedimento disciplinare – attualmente sospeso- fosse scaturito da un controllo a campione condotto sul 20% del personale in smartworking, e non dall’uso dei dati di geolocalizzazione. Secondo ARSAC, l’iniziativa disciplinare era dovuta alla dichiarazione telefonica della dipendente, poi seguita da una comunicazione formale circa la propria presenza presso un bed & breakfast.

ARSAC ha sostenuto di aver agito nel rispetto dell’art. 4 dello Statuto dei lavoratori, trattando i dati di localizzazione per esigenze organizzative e di sicurezza, non per finalità disciplinari. Ha inoltre precisato che la geolocalizzazione ha interessato circa 100 dipendenti su 540, ed è stata in seguito disattivata. Il trattamento fondato su una delibera interna approvata anche con il supporto del Responsabile della protezione dei dati (DPO), mirava a facilitare l’erogazione di permessi e garantire la corretta esecuzione del lavoro agile, senza conservare dati dettagliati, oltre a quelli relativi alla sede, data e orario della timbratura.

Infine, ARSAC ha dichiarato di aver volontariamente interrotto il trattamento contestato e di aver avviato un percorso di adeguamento alla normativa, sottolineando adi aver operato nel rispetto del principio di trasparenza e in presenza di un accordo sindacale.

Le motivazioni del Garante

Il Garante ha chiarito che il datore può legittimamente trattare i dati dei dipendenti -inclusi quelli appartenenti a categorie particolari- solo se dispone di un’idonea base giuridica, anche in caso di smartworking, e nel rispetto delle tutele previste dallo Statuto dei lavoratori. Il datore di lavoro deve rispettare le garanzie previste a livello nazionale a tutela della dignità, della libertà e della riservatezza dei lavoratori, specie per quanto concerne l’uso di strumenti di controllo anche nell’ambito dello smartworking.

Il Garante e l’Ispettorato del Lavoro hanno più volte chiarito che controlli prolungati, costanti e indiscriminati, anche se solo potenzialmente realizzabili con strumenti digitali, risultano illegittimi. Non è sufficiente, ai fini della liceità, il mero consenso del lavoratore: nel contesto del rapporto di lavoro, il consenso non può considerarsi libero né valido. Allo stesso modo, atti amministrativi generali come le delibere aziendali non possono derogare alla normativa specifica applicabile, né introdurre presupposti autonomi di liceità del trattamento.

Nel caso di specie, la geolocalizzazione tramite Time Relax è risultata illegittima: il trattamento non era fondato su una base giuridica valida e violava i principi di liceità, correttezza, trasparenza e limitazione della finalità. Il controllo, basato su un sistema tecnologico di timbratura associato alla posizione geografica, ha finito per assumere una finalità ispettiva non consentita, operando in difetto di una valida base giuridica e in contrasto con l’art. 114 del Codice Privacy e con l’art. 88 del GDPR.

La sanzione del Garante

Il Garante ha quindi dichiarato l’illiceità del trattamento dei dati di geolocalizzazione effettuato da ARSAC tramite l’applicativo Time Relax, utilizzato per monitorare la posizione di circa 100 dipendenti in smartworking e per avviare un procedimento disciplinare, in violazione del GDPR e del Codice privacy. Nonostante l’azienda abbia successivamente disattivato la funzione di geolocalizzazione e sospeso il procedimento disciplinare, il Garante ha ritenuto la violazione grave, anche per l’interferenza indebita nella sfera privata dei lavoratori. Alla luce della cooperazione mostrata da ARSAC, dell’assenza di precedenti e del coinvolgimento del DPO, è stata applicata una sanzione pecuniaria di 50.000 euro. È stata inoltre disposta la pubblicazione dell’ordinanza sul sito del Garante, vista la rilevanza della violazione.

Hide comments

Leave a comment

You May Also Like

Privacy & Data Protection
Sperimentazione clinica e riutilizzo dei dati
NIS 2 cybersecurity
Privacy & Data Protection
NIS 2 – cybersecurity rafforzata e focus sulla supply chain: la sfida italiana
Privacy & Data Protection
Linee Guida dell’EDPB sul targeting degli utenti di social media: ruoli e responsabilità

La “Certificazione B Corporation” è un marchio che viene concesso in licenza da B Lab, ente privato no profit, alle aziende che, come la nostra, hanno superato con successo il B Impact Assessment (“BIA”) e soddisfano quindi i requisiti richiesti da B Lab in termini di performance sociale e ambientale, responsabilità e trasparenza.

Si specifica che B Lab non è un organismo di valutazione della conformità ai sensi del Regolamento (UE) n. 765/2008 o un organismo di normazione nazionale, europeo o internazionale ai sensi del Regolamento (UE) n. 1025/2012.

I criteri del BIA sono distinti e autonomi rispetto agli standard armonizzati risultanti dalle norme ISO o di altri organismi di normazione e non sono ratificati da parte di istituzioni pubbliche nazionali o europee.