Parliamo della sanzione a una impresa che monitorava a campione la geolocalizzazione del personale in smart working

Una società in house della Regione Calabria è stata sanzionata dal Garante Privacy per 50.000 € , nonostante la presenza di un accordo sindacale , per l’uso illecito di un sistema di geolocalizzazione, che – in momenti specifici e a campione – rilevava la posizione geografica di circa 100 dipendenti in smart working. 

L’intervento è scaturito dal reclamo di una dipendente dell’ARSAC (Azienda Regionale per lo Sviluppo e i Servizi in Agricoltura) e da una successiva segnalazione del Dipartimento della Funzione Pubblica.

La disciplina sul lavoro agile

Il lavoro agile, disciplinato dalla Legge 22 maggio 2017, n. 81, prevede che l’attività possa essere svolta senza vincoli di luogo e di tempo  e che per questo sia valutata per fasi, cicli e obiettivi, garantendo in tal modo al dipendente maggior flessibilità in termini di orario e luogo della prestazione. 

In questo contesto, il controllo dell’adempimento lavorativo può avvenire mediante strumenti non invasivi, come la redazione di report , valutazione dei target, interviste  e incontri periodici. Al datore di lavoro non è completamente vietato il ricorso a strumenti tecnologici per il controllo a distanza, ma questi devono essere strettamente legati ad esigenze organizzative, produttive, di sicurezza sul lavoro o di tutela del patrimonio aziendale e rispettare le garanzie previste dallo Statuto dei lavoratori.

Il reclamo della dipendente

La dipendente ha denunciato che, durante alcuni controlli interni, le è stato richiesto di effettuare una doppia timbratura tramite la piattaforma “Time Relax”, che prevedeva anche il monitoraggio della sua posizione GPS. Essendo la posizione registrata distante 50 km da quella prevista nell’accordo di smart working, questo ha determinato un provvedimento disciplinare, successivamente sospeso. La dipendente ha contestato a riguardo vari aspetti, tra cui la mancanza di un’informativa adeguata, la scarsa trasparenza nel trattamento dei suoi dati e l’uso della geolocalizzazione a fini disciplinari.

La difesa dell’azienda

In sua difesa la società ha dichiarato che il sistema di geolocalizzazione non effettuava un monitoraggio continuo dei dipendenti in smart working, ma veniva attivato soltanto al momento della timbratura, durante la fascia oraria di contattabilità e con il consenso dell’interessato. Inoltre non era prevista alcuna conservazione continua dei dati GPS e le verifiche venivano effettuate in modo casuale e a campione, senza configurare una forma di sorveglianza sistematica e generalizzata sui dipendenti.

In particolare poi la società ha evidenziato l’esistenza di un accordo sindacale in merito, integrato nel Regolamento sul lavoro agile, che era stato approvato anche all’interno del PIAO (Piano Integrato di Attività e Organizzazione) dell’ente.

In questo caso l’accordo sindacale non vale

Il Garante per la protezione dei dati personali ha chiarito che l’impiego della geolocalizzazione per monitorare la prestazione lavorativa dei dipendenti in smart working  non è giustificabile nemmeno in presenza di accordi sindacali.

Nel caso in esame, l’utilizzo della geolocalizzazione del personale in smart working ha violato i principi di necessità, proporzionalità e minimizzazione previsti dal GDPR. Infatti, il tracciamento della posizione non può essere adottato in modo indiscriminato, se non è strettamente necessario e giustificato da finalità specifiche e legittime, soprattutto quando rischia di invadere la sfera privata del dipendente.

L’applicazione “Time Relax” utilizzata dall’ente prevedeva il rilevamento della posizione GPS (informazione particolarmente rilevante ai fini privacy) solo al momento della timbratura. Tuttavia, anche un uso apparentemente circoscritto può risultare eccessivo se non fondato su esigenze reali e documentate.

Il principio di minimizzazione (art. 5 del GDPR) impone che i dati raccolti siano limitati a quanto strettamente necessario rispetto agli scopi perseguiti. In questo caso, l’azienda ha motivato la raccolta con la necessità di verificare che la prestazione fosse svolta nei luoghi indicati nel contratto di lavoro agile, ma questa motivazione non è risultata sufficiente a giustificare il trattamento che invece è risultato sproporzionato rispetto alla tutela dei diritti dell’interessato.  

I limiti del monitoraggio a distanza

La Legge sul lavoro agile (L. 81/2017) stabilisce che l’uso di strumenti tecnologici da parte del datore di lavoro è legittimo solo se finalizzato al raggiungimento degli obiettivi lavorativi, alla tutela della sicurezza o per esigenze organizzative specifiche. L’articolo 21 della stessa legge vieta espressamente il controllo diretto e continuo delle attività lavorative, ammettendo solamente verifiche limitate, proporzionate e basate su finalità precise.

Secondo l’Ispettorato Nazionale del Lavoro (circolare n. 4/2017), gli strumenti di monitoraggio a distanza sono legittimi solo quando servono a scopi organizzativi, produttivi o di sicurezza, e non devono tradursi in un controllo pervasivo dell’attività dei dipendenti.

Nel contesto dello smart working l’utilizzo della geolocalizzazione a fini disciplinari è particolarmente problematico. La normativa impone che ogni trattamento sia fondato su una base giuridica adeguata e su finalità chiaramente esplicitate al momento della raccolta.

Nel caso oggetto di attenzione da parte del Garante, l’azienda ha usato i dati di geolocalizzazione raccolti dall’app per avviare un provvedimento disciplinare  e contestare a una dipendente la sua effettiva presenza nel luogo indicato nel contratto di smart working. I dati GPS hanno dato avvio a un procedimento disciplinare, ma nessun interessato era stato debitamente informato in merito a questa finalità.

Lavoro agile e privacy: cosa impariamo

Questo caso mette in luce l’importanza di una regolamentazione chiara e di una gestione trasparente dei dati raccolti in ambito lavorativo.

I datori di lavoro, pur essendo legittimati a monitorare il lavoro agile per scopi organizzativi o di sicurezza, devono rispettare i limiti imposti dalla normativa in materia di protezione dei dati, evitando di fare un uso improprio dei dati personali, che potrebbe minare la fiducia tra datore di lavoro e dipendente e compromettere i diritti fondamentali dei lavoratori.

Una sentenza del genere rischia di essere un precedente importante nella più ampia riflessione del controllo tecnologico nel lavoro da remoto  che sarà sempre più complesso dovendo conciliare il potere organizzativo del datore di lavoro con la tutela della riservatezza e della dignità del lavoratore nell’era digitale.