La Newsletter dell'8-5-2025 del Garante per la protezione dei dati personali ha pubblicato nella Newsletter n. 534 dell’8-5-2025 il Provvedimento del 13-3-2025 relativamente a una situazione di geolocalizzazione di lavoratori impiegati in modalità agile.
La questione è relativa a un datore di lavoro, attraverso un applicativo nel quale il lavoratore doveva inserire dei dati e marcare entrata e uscita, tracciava la posizione del lavoratore stesso.
La procedura era stata oggetto di un accordo sindacale e resa nota e accettata dal lavoratore attraverso la sottoscrizione dell’accordo di lavoro agile.
Il parere del Garante è stato negativo e ha sanzionato il datore di lavoro. Certamente non ha giovato alla posizione datoriale il fatto che la lavoratrice interessata al ricorso sia stata sottoposta a procedimento disciplinare in quanto è stata rilevata una “discordanza tra l'ubicazione dichiarata e la geolocalizzazione accertata.
Per chi volesse approfondire, rinviamo alla lettura delle 22 pagine del provvedimento riportate nel bollettino.
Qui ci limitiamo a riportare alcune considerazioni del Garante che possono essere di utilità generale.
Il datore di lavoro aveva giustificato la procedura con la necessità di verificare che la posizione geografica dalla quale il personale si trovava a svolgere la propria prestazione lavorativa in modalità agile fosse corrispondente ad una di quelle indicate all’interno di ciascun accordo individuale in materia di lavoro agile e anche a beneficio di dichiarate esigenze organizzative e produttive, di tutela della salute e della sicurezza dei lavoratori nonché di protezione dei dati personali oggetto di trattamento per il tramite degli strumenti di lavoro.
Giustamente il Garante osserva che il lavoro agile, differentemente dallo svolgimento dell’attività lavorativa presso la sede del datore di lavoro, risulta tipicamente caratterizzata da una flessibilità che, fatta salva l’eventuale operatività di fasce di reperibilità, attiene sia al luogo sia al tempo del relativo svolgimento (art. 18, comma 1, della l. 22 maggio 2017, n. 81).
Il lavoro agile è soggetto alle regole generali in materia di impiego di strumenti tecnologici da parte del datore di lavoro, dai quali derivi anche la possibilità di controllare a distanza l’attività dei lavoratori che può avvenire esclusivamente per il perseguimento delle tassative finalità previste dalla legge, ossia “[…] per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale”, nel rispetto delle garanzie procedurali ivi stabilite (art. 4, comma 1, della l. 20 maggio 1970, n. 300). La legge sul lavoro agile, infatti, richiama espressamente i limiti, le condizioni e le procedure di garanzia dell’art. 4 della l. 20 maggio 1970, n. 300 (cfr. art. 21 della l. 22 maggio 2017, n. 81).
Le diverse esigenze di controllo dell’osservanza dei doveri di diligenza del lavoratore rientrano nelle prerogative datoriali se perseguite personalmente dal datore di lavoro o attraverso la propria organizzazione gerarchica, ma non possono essere perseguite con strumenti tecnologici a distanza, che, riducendo lo spazio di libertà e dignità della persona in modo meccanico e anelastico, comportano un monitoraggio diretto dell’attività del lavoratore non consentito dall’ordinamento vigente e dal quadro costituzionale.
Queste finalità non sono riconducibili ad alcuna delle tassative finalità indicate dal legislatore: “organizzative e produttive", "di sicurezza del lavoro" e "di tutela del patrimonio aziendale”.
Il perseguimento della finalità di controllo diretto non è ammissibile nell’ordinamento neppure in presenza di un eventuale accordo con la rappresentanza sindacale unitaria o con le rappresentanze sindacali aziendali, trattandosi di una finalità che si colloca al di fuori della cornice di garanzia delineata dalle disposizioni di settore e, più radicalmente, dall’assetto costituzionale interno, come evidenziato dalla giurisprudenza di legittimità sopra richiamata.
Ne discende che, sul piano della protezione dei dati personali, il relativo trattamento risulta sprovvisto di un’idonea base giuridica, ponendosi in contrasto con il principio di “liceità, correttezza e trasparenza” e con le disposizioni nazionali specifiche di maggior tutela fatte salve dal Regolamento, in violazione degli artt. 5, par. 1, lett. a), e 6, atteso che la predetta condotta si colloca al di fuori del quadro di liceità previsto dall’art. 114 del Codice (cfr. art. 88 del Regolamento).
L’eventuale presenza di un accordo con le rappresentanze sindacali in merito all’impiego di un determinato sistema che comporta trattamento di dati personali dei lavoratori costituisce condizione necessaria, ma non sempre sufficiente, per assicurare la complessiva liceità del trattamento e il rispetto dei principi di protezione dei dati personali.
Neanche il consenso dato dal dipendente per potere accedere alla posizione è un valido presupposto di liceità per il trattamento dei dati personali, indipendentemente dalla natura pubblica o privata del datore di lavoro.
Il Garante osserva anche che nel lavoro agile la linea di confine tra l’ambito lavorativo e professionale e quello strettamente privato non può sempre essere tracciata in modo netto e non può essere prefigurato l’annullamento di ogni aspettativa di riservatezza dell’interessato in ambito lavorativo.
Un’altra pecca del sistema informatico utilizzato è relativa alla raccolta sistematica di informazioni non necessarie in ragione delle peculiarità dello svolgimento della prestazione in modalità agile, anche in contrasto con il divieto per il datore di lavoro di raccogliere dati non pertinenti.
La legittima esigenza di assicurare anche nel caso del lavoro agile la riservatezza e la sicurezza dei dati trattati deve essere perseguita anzitutto impartendo specifiche istruzioni ai dipendenti autorizzati anche in considerazione delle misure tecniche e organizzative adottate in via generale per proteggere i dati, e non invece attraverso la geolocalizzazione del personale che presta la propria attività lavorativa in modalità agile.