Con una notizia pubblicata ieri sul proprio sito, il Garante per la protezione dei dati personali ha reso noto di aver sanzionato – mediante il provvedimento n. 135 del 13 marzo 2025 – un’azienda che, tramite una funzionalità on line, aveva rilevato per un certo periodo di tempo la posizione geografica di circa 100 lavoratori dipendenti durante l’attività lavorativa svolta in modalità agile (smart working).

Nel dettaglio, la funzionalità in questione (denominata “Time Relax”) consentiva, al momento della timbratura in entrata e in uscita da parte di ciascun lavoratore, e previo suo consenso alla geolocalizzazione, di acquisire le coordinate geografiche dello smartphone o del pc del dipendente che aveva timbrato, unitamente al suo codice identificativo, alla data e all’ora della timbratura, specificando se in entrata o in uscita.

Inoltre, a ciò si aggiungeva un ulteriore controllo a campione che riguardava dipendenti selezionati in via casuale, i quali venivano contattati telefonicamente con la richiesta di attivare la geolocalizzazione del pc o dello smartphone e di effettuare una timbratura con un’apposita applicazione, nonché di dichiarare subito dopo, tramite un’email, il luogo in cui in quel preciso momento si trovava fisicamente. A tale richiesta, seguivano poi le verifiche e gli eventuali procedimenti disciplinari dell’Azienda.

In generale, la finalità indicata dal datore di lavoro era quella di verificare che la posizione geografica dalla quale il personale si trovava a svolgere la propria prestazione lavorativa in modalità agile fosse corrispondente ad una di quelle indicate all’interno di ciascun accordo individuale in materia di lavoro agile e, stando a quanto dichiarato dall’azienda, anche a beneficio di dichiarate esigenze organizzative e produttive, di tutela della salute e della sicurezza dei lavoratori nonché di protezione dei dati personali oggetto di trattamento per il tramite degli strumenti di lavoro.

Entrando nel merito, il Garante per la privacy ricorda che anche in caso di svolgimento della prestazione in modalità agile, l’impiego di strumenti tecnologici da parte del datore di lavoro, dai quali derivi anche la possibilità di controllare a distanza l’attività dei lavoratori, può avvenire esclusivamente per il perseguimento delle finalità tassativamente previste dalla legge, ossia per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale”. Le disposizioni di legge in materia di lavoro agile (art. 21 della L. 81/2017), infatti, richiamano espressamente i limiti, le condizioni e le procedure di garanzia previste dall’art. 4 della L. 300/70 (Statuto dei lavoratori).

Ciò premesso, nell’ordinanza in questione si osserva che le diverse esigenze di controllo dell’osservanza dei doveri di diligenza del lavoratore non possono essere perseguite – neppure mediante accordo sindacale – con strumenti tecnologici a distanza che, riducendo lo spazio di libertà e dignità della persona in modo meccanico e anelastico, comportano un monitoraggio diretto dell’attività del lavoratore non consentito dalla legge. Per il Garante, le finalità addotte dall’azienda non risultano, infatti, riconducibili ad alcuna delle citate finalità indicate dal legislatore (organizzative e produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale), poiché il controllo a distanza dell’attività lavorativa è consentito dalla legge solo incidentalmente, evitando controlli prolungati, costanti, indiscriminati e invasivi, come nel caso dell’utilizzo di una applicazione informatica finalizzata al mero controllo a distanza della prestazione lavorativa.

Pertanto, il trattamento dei dati relativi alla posizione geografica dei dipendenti effettuato tramite l’applicativo “Time Relax”, essendo direttamente preordinato al perseguimento di una finalità non ammessa e relativa alla verifica di un particolare profilo dell’attività dei lavoratori, ossia quello concernente l’osservanza dell’accordo con riferimento alla sede dello svolgimento della prestazione lavorativa in modalità agile, è da ritenersi effettuato in modo non conforme ai principi di “liceità, correttezza e trasparenza”, “limitazione della finalità”, “minimizzazione dei dati”, “protezione dei dati fin dalla progettazione” e “protezione dei dati per impostazione predefinita”, nonché in assenza di un idoneo presupposto di liceità, in violazione delle specifiche norme del regolamento Ue 679/2016 (GDPR) e dell’art. 113 del DLgs. 196/2003.
In ragione di tali elementi, il Garante ha quindi comminato nei confronti dell’azienda una sanzione amministrativa pecuniaria di importo pari a 50.000 euro.