L’Autorità Garante per la protezione dei dati personali ha recentemente comminato una sanzione di 50.000 euro ad un’azienda che ha trattato i dati relativi alla posizione geografica della generalità dei dipendenti in smart working, e successivamente ha utilizzato gli stessi a fini disciplinari in violazione della normativa privacy e giuslavoristica vigente ed applicabile.
Il Garante Privacy ha aperto l'istruttoria a seguito di reclamo presentato da una dipendente e di segnalazione da parte dell'Ispettorato della Funzione Pubblica, dai quali è emerso che l'Azienda ha chiesto ai dipendenti di segnalare lo svolgimento dell'attività lavorativa in modalità agile mediante pc o smartphone tramite lo strumento applicativo “Time Relax” che richiede il consenso al momento dell'accesso al fine di abilitare il servizio di localizzazione, e una volta acconsentita la localizzazione resta in attesa del segnale GPS, per poi infine localizzare, a volte erroneamente, la posizione al momento della timbratura. Questo processo avviene sia per la timbratura in entrata che per la timbratura in uscita. Alla dipendente reclamante è stato chiesto di fare una timbratura sulla piattaforma sia in uscita che in entrata per la verifica riguardo alla postazione di lavoro per il lavoro agile nonché di inviare una mail con riferimento al controllo effettuato all'indirizzo di posta elettronica istituzionale del dipendente incaricato di svolgere il controllo. Dal controllo effettuato, la geolocalizzazione risultava non compatibile con quanto dichiarato e permesso nel contratto di lavoro agile stipulato con l'Azienda. La stessa dipendente nella telefonata di controllo ha subito riferito l'incongruenza della posizione. Alla reclamante è stato contestato un addebito disciplinare sul presupposto della asserita «inosservanza nei tempi e nelle modalità delle procedure previste dal regolamento inerente allo svolgimento della prestazione lavorativa in modalità agile» e della rilevata «discordanza tra l'ubicazione dichiarata e la geolocalizzazione accertata dall'Ufficio Ispettivo nell'espletamento delle verifiche». Tuttavia, non è stata fornita nessuna informativa alla dipendente sul trattamento dei dati personali in oggetto. Durante l'istruttoria, l'Azienda, sia tramite scritti difensivi che in audizione ha evidenziato che: il controllo dei dipendenti che lavorano in modalità agile è stato concordato con la dirigenza secondo le disposizioni del regolamento sul lavoro agile e del contratto di lavoro individuale ed è effettuato a campione e solo in una ristretta fascia oraria (c.d. fascia oraria di contattabilità); la reclamante, avendo firmato il contratto individuale di lavoro, ha prestato il consenso al trattamento dei dati personali; l'utilizzo della piattaforma “Time Relax” e della funzione di geolocalizzazione solo ed esclusivamente ai fini della timbratura è stato approvato con accordo con le rappresentanze sindacali, nel pieno rispetto dell'articolo 4 della legge n. 300/1970 e s.m.i. (Statuto dei Lavoratori); la base giuridica del trattamento dei dati personali relativi alla posizione geografica dei lavoratori in modalità agile, che rende lecito tale trattamento è costituito, a monte, dal suddetto accordo sindacale e dalla ratifica/approvazione del regolamento aziendale sul lavoro agile; è stata fornita adeguata informazione sul trattamento dei dati personali alla reclamante e a tutti i dipendenti interessati. Inoltre, «la scelta predetta si inserisce nell'ambito dell'esercizio dei poteri datoriali di organizzazione del lavoro ove la prestazione venga eseguita dal lavoratore all'esterno dei locali aziendali e, ciò nell'ottica di garantire in primis la tutela della sicurezza e della salute del lavoratore sul luogo di lavoro anche in modalità agile. Infatti, detto applicativo non consente la conservazione delle coordinate geografiche ma consente solo, al momento della timbratura, in entrata/uscita, di rilevare la sede in cui il lavoratore autorizzato al lavoro agile si trova». La rilevazione della posizione geografica è quindi finalizzata ad un'esigenza organizzativa, produttiva e di sicurezza sul lavoro e non a scopi disciplinari. Il procedimento disciplinare è stato avviato perché la reclamante ha ammesso di non trovarsi nel luogo originariamente comunicato e in ogni caso il procedimento è stato sospeso, senza alcuna sanzione; inoltre: il trattamento dei dati personali ha coinvolto un numero limitato di dipendenti (circa 100 su 540); la funzione di geolocalizzazione è stata disattivata in autotutela ed è stato interrotto il suddetto trattamento dei dati personali per ottemperare alla normativa sulla protezione dei dati personali. Il Garante Privacy ha riscontrato e confermato la violazione dei principi di “liceità, correttezza e trasparenza”, “limitazione della finalità”, “minimizzazione dei dati”, “protezione dei dati fin dalla progettazione” e “protezione dei dati per impostazione predefiniti”, nonché l'assenza di idonea base giuridica, in violazione degli articolo 5, par. 1, lett. a), b) e c), 6, 13, 25, 35 e 88 GDPR e dell'articolo 113 del Codice Privacy in quanto: il trattamento dei dati relativi alla posizione geografica del personale dipendente, essendo finalizzato al perseguimento di una finalità non ammessa dalla disciplina di settore in quanto volto al controllo di un profilo dell'attività dei lavoratori; il rispetto dell'accordo con riferimento alla sede della prestazione lavorativa in modalità agile è stato effettuato in violazione dei requisiti normativi di cui sopra. Difatti, il perseguimento della già menzionata finalità di controllo diretto non è permesso dall'attuale quadro normativo neppure in presenza di un accordo sindacale, trattandosi di una finalità ultroneo e non rientrante tra quelle legittimate; il trattamento dei dati finalizzato a monitorare direttamente l'attività lavorativa dei singoli dipendenti è in contrasto anche con il principio di “limitazione della finalità” di cui all'articolo 5, par. 1, lett. b), del GDPR in quanto il medesimo controllo a distanza è legittimo solo se effettuato in misura “meramente incidentale e preterintenzionale”; il trattamento dei dati personali è stato effettuato in presenza di inadeguata informativa in quanto il regolamento sul lavoro agile dell'Azienda non include tutti gli elementi essenziali prescritti dall'articolo 13 del GDPR e non può sostituirsi all'informativa che il titolare deve fornire agli interessati; non è stata effettuata la valutazione d'impatto del trattamento dei dati relativi alla geolocalizzazione del personale dipendente in modalità agile come richiesto dall'art 35 del GDPR; l'ulteriore utilizzo dei dati relativi alla localizzazione geografica della reclamante per scopi disciplinari viola i principi di “liceità, correttezza e trasparenza” e “limitazione della finalità”, e non è supportato da idonea base giuridica, in violazione degli articolo 5, par. 1, lett. a) e b), e 6 del GDPR, atteso che la predetta condotta si colloca al di fuori del quadro di liceità previsto dall'articolo 114 del Codice Privacy. Difatti, il datore di lavoro può utilizzare i dati personali dei lavoratori per ulteriori finalità riconducibili al contesto lavorativo solo nei casi in cui l'originaria raccolta sia stata lecitamente effettuata, anche tenuto conto «del contesto in cui i dati personali sono stati raccolti, in particolare relativamente alla relazione tra l'interessato e il titolare del trattamento», «delle possibili conseguenze dell'ulteriore trattamento previsto per gli interessati» nonché «dell'esistenza di garanzie adeguate». Il Garante Privacy ha quindi inflitto una sanzione amministrativa pecuniaria di 50.000 euro, avendo ritenuto alto il livello di gravità delle non conformità da parte titolare del trattamento, tenuto conto che: il trattamento dei dati personali inerenti a un centinaio di dipendenti si è protratto per un arco considerevole di tempo; il titolare del trattamento ha effettuato un controllo finalizzato a monitorare l'attività del lavoratore al di fuori delle ipotesi legittimate dalla disciplina di settore applicabile; il trattamento dei dati personali, pur non coinvolgendo dati di categoria particolare ai sensi dell'articolo 9 del GDPR, ha comunque avuto ad oggetto informazioni molto sensibili, quali la posizione geografica dei lavoratori in smart working, ivi inclusa la stessa reclamante, determinando altresì un'interferenza nella sfera privata degli stessi. Ciò nonostante, il Garante Privacy ha tenuto in debita considerazione le seguenti circostante attenuanti: il titolare ha collaborato con il Garante Privacy durante tutta l'istruttoria e ha disattivato la funzione di geolocalizzazione dell'applicativo “Time Relax” nonché disposto la sospensione del procedimento disciplinare a carico della reclamante; Il titolare non ha commesso precedenti violazioni. l'adozione dell'applicativo “Time Relax” è stata condivisa con il DPO dell'Azienda. Alla luce di quanto sopra, il provvedimento reitera principi generali espressi in diverse decisioni dal Garante Privacy ed evidenzia l'importanza del rispetto della disciplina in materia dei dati personali anche in ambito lavorativo. Il Garante Privacy ha altresì sottolineato che si applicano le medesime basi giuridiche previste dal GDPR (articolo 6 par. 1, lett. c) ed e), articolo 9, par.1, ivi incluso articolo 2-ter Codice Privacy) anche ai trattamenti di dati personali svolti nell'ambito dell'esecuzione del contratto di lavoro subordinato in modalità agile e che il datore di lavoro è rispettivamente tenuto a: «garantire al lavoratore il rispetto della sua personalità e della sua libertà morale” ai sensi dell'articolo 115 del Codice Privacy»; «rispettare, in ogni caso, i principi in materia di protezione dei dati personali», come previsto dall'articolo 5 del GDPR.
Provvedimento del 13 marzo 2025, n. 135