Microsoft ha lanciato una nuova funzionalità in Teams: l’etichetta “In ufficio”, un sistema che aggiorna automaticamente lo stato del lavoratore quando il dispositivo si connette alla rete Wi-Fi aziendale. L’obiettivo dichiarato è favorire la collaborazione ibrida e ottimizzare la gestione degli spazi, integrandosi con servizi come Microsoft Places per il desk booking e la pianificazione delle presenze, ma molti temono che teams possa diventare uno strumento di geolocalizzazione.

Come funziona la "geolocalizzazione" di Teams ?

In realtà non viene utilizzato il GPS né un tracciamento continuo: il rilevamento si basa esclusivamente sulla connessione a reti registrate come “ufficio” o su periferiche fisse (dock, monitor). Questo approccio riduce il rischio che teams possa comportare una geolocalizzazione invasiva, ma consente comunque di dedurre la presenza fisica del dipendente in sede.

Quali sono i vantaggi?

La funzione promette di semplificare l’organizzazione degli spazi e migliorare la collaborazione tra team distribuiti. In un contesto di lavoro ibrido, sapere chi è in ufficio può agevolare riunioni in presenza e ridurre inefficienze logistiche.

I rischi per la privacy e la normativa italiana

Nonostante la semplicità tecnica, il dato “in ufficio” non è neutrale: può influire sulla valutazione delle performance e trasformarsi in uno strumento di controllo implicito. In Italia, il GDPR e lo Statuto dei lavoratori impongono regole stringenti:

• Il trattamento deve essere proporzionato, necessario e basato su una finalità chiara.
• Il consenso del lavoratore non è sufficiente, essendo considerato non libero.
• Se il dato può essere usato per monitorare la condotta, è obbligatorio un accordo sindacale o l’autorizzazione dell’Ispettorato del Lavoro (art. 4 Statuto).
• È richiesta una DPIA (Valutazione d’impatto sulla protezione dei dati) per prevenire abusi e definire limiti rigorosi.

E come si comporta il resto del mondo?

In Unione Europea l’approccio non è molto lontano da quello italiano.

• Francia (CNIL): Approccio molto garantista. Qualsiasi sistema che monitori spostamenti o comportamenti operativi deve essere trasparente e proporzionato. Sono vietati strumenti invasivi come keylogger o geolocalizzazione continua.
• Germania: Regole ancora più restrittive. Ogni forma di controllo deve essere concordata con i consigli di fabbrica (Betriebsrat) e negoziata collettivamente. La dignità del lavoratore è costituzionalmente protetta.
• Spagna: Consente più margine, ma impone comunicazione preventiva, indicazione chiara della finalità e rispetto del diritto alla disconnessione.
• Portogallo: la normativa  è avanzata ed è vietato qualsiasi controllo remoto non dichiarato durante il telelavoro, con sanzioni severe per pratiche sproporzionate.

Mentre fuori dall’Europa lo scenario è radicalmente differente e cresce la legittimazione degli strumenti tecnologici come mezzi ordinari di gestione del personale:

• Stati Uniti: Prevale la libertà contrattuale. Il datore può introdurre sistemi anche invasivi purché dichiarati nel contratto o nel manuale aziendale. Non esistono tutele paragonabili al GDPR.
• Canada: Posizione intermedia. Il monitoraggio è ammesso se ragionevole, necessario e proporzionato.
• Australia e Nuova Zelanda: Approccio basato su trasparenza piena e comunicazione preventiva, con attenzione al concetto di “reasonable expectation of privacy”.

Best practice per un uso legittimo in Italia

Comunque conoscendo   l’approccio e i provvedimenti del Garante su questo tipo di temi , per evitare che teams sia considerato uno strumento di geolocalizzazione ci sentiamo di raccomandare alle aziende :

• Trasparenza totale: è necessario redigere una  informativa chiara e accessibile su finalità, dati raccolti, tempi di conservazione e divieto di utilizzo per scopi disciplinare.
• Minimizzazione dei dati: il principio di proporzionalità impone di raccogliere solo ciò che serve e per il tempo strettamente necessario.
• Valutare i trattamenti: è necessario valutare tipologia di dati raccolti e durata di conservazione, analizzare tutti i possibili impatti e legittimare i trattamenti attraverso una DPIA (valutazione di impatto)
• Segregazione degli accessi : definire con chiarezza chi e perché può avere accesso a quelle informazioni ed impedire usi impropri.
• Negoziazione con i lavoratori: se il dato può essere utilizzato per valutare anche indirettamente la condotta, allora siamo di fronte a un potenziale controllo a distanza. La legge italiana non concede scorciatoie e pone solo le due alternative dell’accordo sindacale o dell’autorizzazione da parte dell’Ispettorato del Lavoro.

In sintesi, la nuova etichetta può essere un valido supporto alla collaborazione, ma solo se inserita in un quadro di regole chiare e rispettose dei diritti dei lavoratori, evitando di far diventare teams uno strumento di geolocalizzazione . Il lavoro ibrido vive di fiducia: trasformare strumenti collaborativi in badge invisibili utilizzati per la valutazione delle performance dell’operatore significherebbe tradire questa filosofia.

Attenzione però anche fuori dal lavoro!

Mi collego al tema della geolocalizzazione di teams per portare alla vostra attenzione un approfondimento molto interessante di Data Room (Corriere della sera) proprio su questo argomento. In sintesi viene fuori che: 

• Con l’attivazione della localizzazione sullo smartphone, tutti i nostri spostamenti vengono registrati e archiviati
• Questi dati possono essere ceduti a terzi (compagnie assicurative, marketing, investigatori, ecc.) e trasformati in un prodotto commerciale.  

Come funziona la raccolta dei dati

• Lo smartphone determina la posizione tramite:
• GPS, celle telefoniche e reti Wi-Fi.
• Le app che abbiamo installato sul dispositivo possono includere moduli SDK che permettono ai data broker di raccogliere dati di localizzazione.
• I dati venduti contengono:
• MAID (Mobile Advertising ID), sistema operativo, ora, durata, coordinate, IP.

Questi dataset completi costano tra i 3.000 e i 5.000 dollari al mese e vengono comprati da qualsiasi tipologia di cliente che possa essere interessato (banche, assicurazioni, società di marketing, altri intermediari,ecc) e possono anche essere acquistate in collegamento ai dati anagrafici (nome, cognome, mail) aumentando il rischio di identificazione con tutto quello che ne può conseguire, come si evidenzia nell’articolo:

“I pericoli legati alla vendita dei nostri dati di posizione sono enormi. A livello personale, chiunque può acquistare la nostra routine quotidiana e usarla a fini di ricatto o stalkeraggio. A livello aziendale e statale, si aprono le porte allo spionaggio industriale e a minacce per la sicurezza nazionale, monitorando gli spostamenti di dipendenti, funzionari o militari. Un'inchiesta di le Monde ha rivelato come attraverso una nota app di fitness venivano tracciati gli spostamenti del presidente Macron, mentre una indagine recentissima condotta insieme ai colleghi belgi di L’Echo e altre testate mostra il monitoraggio di funzionari Ue fino alle loro abitazioni. “

Ma la legge non dovrebbe impedire questi trattamenti?

In Italia, la tracciatura è consentita solo con autorizzazione del giudice (artt. 167 e 167-bis del d.lgs. 196/2003). Tuttavia, il consenso rilasciato dall’utente quando installa le app, che regolarmente viene prestato in modo inconsapevole, legittima il trattamento da parte dei broker, spesso all’estero, rendendo difficile perseguirli, nonostante il GDPR  preveda espressamente che i dati personali devono essere raccolti solo per finalità esplicite e legittime. E’ quindi chiaro che i primi a dover tutelare i nostri diritti siamo proprio noi stessi e basta poco per farlo: bisogna Limitare la condivisione della posizione:

1. Impostazioni → Privacy e sicurezza → Localizzazione.
2. Per ogni app settare correttamente le logiche di condivisione della posizione sapendo che ci sono queste diverse opzioni:  Consenti solo mentre è in uso- Chiedi ogni volta - Non consentire.
3. Evitare di installare app concedendo permessi indiscriminati.