Smart working e divieto di geolocalizzazione dei dipendenti

A cura di:
Dott. Guido Lepore 

Il datare di lavoro può geolocalizzare il lavoratore in smart working? E quale valore giuridico ha l’accordo stipulato con le rappresentanze sindacale?

Con il provvedimento n. 135 del 13 marzo 2025 [doc. web n. 10128005] (pubblicato lo scorso 8 maggio), il Garante ha dato una propria risposta ai questi interrogativi, precisando come il datore di lavoro non possa geolocalizzare i dipendenti in smart working, in quanto ciò costituirebbe un controllo diretto dell’attività lavorativa vietato dall’art. 4 dello Statuto dei Lavoratori, anche in presenza di un Accordo sindacale.

La vicenda

Con reclamo rivolto all’Autorità Garante, una dipendente dell’Azienda regionale per lo sviluppo e per i servizi in agricoltura (ARSAC) della regione Calabria aveva denunciato presunte violazioni in materia di protezione dei dati personali, con riferimento all’attività di geolocalizzazione compiuta dal datore di lavoro durante lo svolgimento della prestazione lavorativa in modalità agile (c.d. smart working).

Nello specifico, al momento della stipula dell’accordo individuale di smart working, ai dipendenti dell’ARSAC veniva richiesto di dichiarare il luogo da cui avrebbero svolto l’attività lavorativa. Quindi, in maniera del tutto casuale, i lavoratori venivano contattati telefonicamente dal responsabile dell’unità organizzativa ed invitati ad effettuare una timbratura digitale mediante l’applicativo Time Relax, tramite cui veniva acquisita la loro posizione in tempo reale. Non appena terminata la timbratura, i lavoratori dovevano dichiarare al datore di lavoro, a mezzo e-mail, la loro esatta posizione. In questo modo, l’azienda confrontava la posizione dichiarata dal dipendente con quella rilevata dall’applicativo Time Relax e verificava eventuali discrepanze.

La vicenda in questione prendeva origine, per l’appunto, della discordanza rilevata dalla Società tra l’ubicazione dichiarata dalla reclamante e la geolocalizzazione accertata dell’Ufficio Ispettivo nell’espletamento delle verifiche, presupposto sulla base del quale la Società aveva aperto nei confronti della dipendente un procedimento disciplinare.

Interpellata dal Garante Privacy, l’ARSAC dichiarava che l’impiego di detto sistema di geolocalizzazione era necessario per esigenze organizzative e produttive e di sicurezza del lavoro, e che il medesimo era stato ratificato a mezzo di accordo con le rappresentanze sindacali, in conformità con l’art. 4 dello Statuto dei Lavoratori. In aggiunta, i singoli dipendenti avevano prestato il proprio consenso (nell’ambito dell’accordo individuale di smart working) alla raccolta della loro posizione.

Con riferimento, poi, alle dinamiche del controllo effettuato, la Società dichiarava che la geolocalizzazione avveniva in maniera totalmente causale ed era limitata a specifiche fasce orarie preventivamente dichiarate (al pari di un controllo effettuato dal personale di vigilanza in presenza); il dato della geolocalizzazione del lavoratore, inoltre, veniva rilevato solamente per compiere la timbratura e quindi immediatamente cancellato. Infine, l’ARSAC eccepiva che la contestazione disciplinare era fondata sulla discrepanza fra il luogo comunicato dalla reclamante a mezzo e-mail e quello dichiarato nell’accordo individuale di smart working: dunque, il dato della geolocalizzazione non era stato utilizzato per la finalità disciplinari.

La posizione del Garante Privacy

All’esito dell’istruttoria, l’Autorità Garante rilevava come il controllo operato dalla Società non fosse propriamente giustificato da “esigenze organizzative e produttive” e di “sicurezza del lavoro”, come dalla stessa dichiarato.

Infatti, l’art. 4 dello Statuto dei Lavoratori – precisa il Garante – ammette il controllo dell’attività lavorativa solo incidentalmente, ovvero in ragione delle finalità tassativamente previste (“esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale”) assumendo, quindi, un carattere tipicamente indiretto e preterintenzonale.

Al contrario, nel caso in esame l’attività condotta dalla Società rappresentava un monitoraggio mirato sulle modalità di svolgimento della prestazione lavorativa, in quanto finalizzato a verificare l’osservanza del dovere di diligenza, da parte dei lavoratori, con specifico riferimento al rispetto della posizione dichiarata.

Proseguiva l’Autorità Garante ribadendo come tale controllo diretto sul lavoratore, severamente vietato nel nostro ordinamento, non è ammissibile nemmeno in presenza di un eventuale accordo con le rappresentanze aziendali (né, tantomeno, in forza del consenso prestato dai singoli dipendenti).

Il Garante Privacy appurava pertanto come il trattamento dei dati personali condotto dalla Società si collocasse al di fuori del perimetro di legittimità di cui all’art. 4 dello Statuto dei Lavoratori, e, pertanto, fosse da ritenersi illecito in quanto sprovvisto di una idonea base giuridica, oltre ad essere condotto in violazione del principio di limitazione di finalità di trattamento (data la finalità diversa rispetto a quella indicata dalla legge).

Conclusioni

Il provvedimento analizzato dimostra come, nonostante l’art. 4 dello Statuto dei Lavoratori sia una norma oramai consolidata nel nostro ordinamento, ancora oggi vi sia ancora una sostanziale incertezza, fra gli operatori del settore, con riferimento sia alle finalità autorizzative di un controllo a distanza sui lavoratori, sia alle tipologie di controllo consentite.

Il caso in esame evidenzia poi in particolare come tale considerazione riguardi anche e soprattutto le rappresentanze sindacali, le quale per prime dovrebbero conoscere e comprendere pienamente la normativa di settore, al fine di garantire la migliore tutela dei diritti dei lavoratori.