Il tema del controllo sul lavoratore agile è – almeno da quando è stata introdotta la relativa disciplina di legge – uno dei più delicati e discussi. La L. 81/2017 dedica uno specifico articolo a questo argomento, l’art. 21, stabilendo che le modalità di “esercizio del potere di controllo del datore di lavoro sulla prestazione resa dal lavoratore all’esterno dei locali aziendali” devono essere oggetto dell’accordo scritto di smart working e devono rispettare le previsioni dello Statuto dei lavoratori in materia di controlli a distanza contenute nell’art. 4 della L. 300/70. Lo stesso art. 21 della L. 81/2017 sottolinea anche che l’accordo di smart working deve specificare quali condotte, tenute dal lavoratore agile all’esterno dei locali aziendali, debbano considerarsi vietate e possano dare luogo all’applicazione di sanzioni disciplinari.

Il lavoro agile prevede, quale suo elemento costitutivo, “il possibile utilizzo di strumenti tecnologici per lo svolgimento dell’attività lavorativa” fuori sede (così l’art. 18 della L. 81/2017); il tema del controllo sul lavoratore agile si risolve infatti spesso in una verifica sulla legittimità e sui limiti dei controlli tecnologici a distanza. Ciò significa che l’argomento è inevitabilmente intrecciato a quello sulla tutela del trattamento dei dati personali e che la normativa da tenere in considerazione non è solo quella lavoristica, ma anche quella che, per semplicità, possiamo definire come riconducibile al GDPR.

Proprio con riferimento ai controlli su lavoratori agili, ha destato interesse qualche tempo fa un provvedimento del Garante per la privacy (il provvedimento n. 135 del 13 marzo 2025), con il quale è stata sanzionata un’azienda pubblica che, tramite appositi strumenti di geolocalizzazione, monitorava i propri lavoratori in smart working al fine di verificare la corrispondenza tra la posizione geografica in cui si trovavano e il luogo di lavoro dichiarato nell’accordo individuale di lavoro agile (si veda “Vietata la geolocalizzazione dei lavoratori in smart working” del 9 maggio 2025). La geolocalizzazione avveniva solo in occasione della timbratura del lavoratore (a inizio e fine servizio) e poi a campione, previa telefonata al dipendente. In caso di discordanze tra i luoghi di lavoro concordati e quelli rilevati erano avviati procedimenti disciplinari.

I lavoratori agili di questa azienda erano consapevoli sia della possibilità di geolocalizzazione, sia del momento in cui tale geolocalizzazione veniva attivata (dato che l’attivazione richiedeva la loro collaborazione), e avevano prestato il loro consenso a tale trattamento dei loro dati personali. In precedenza, era stato inoltre concluso un accordo sindacale a norma dell’art. 4 dello Statuto dei lavoratori, con il quale le organizzazioni sindacali avevano autorizzato questo tipo di controlli a distanza.
Ciò non è tuttavia bastato a impedire la sanzione del Garante.

Il Garante per la privacy ha sostenuto che “l’intersezione normativa tra la disciplina in materia di protezione dei dati personali e quella in materia di controlli a distanza dell’attività lavorativa” non esclude che il datore di lavoro debba rispettare entrambi i corpi normativi, che restano tra loro autonomi e distinti. Ciò significa che il datore di lavoro, nella sua qualità di titolare del trattamento, deve sempre interrogarsi su quali siano i principi di protezione dei dati personali applicabili nel caso concreto e conseguentemente rispettarli. Ciò non è escluso neppure dal consenso dei lavoratori e delle organizzazioni sindacali, raccolto in un accordo concluso a norma del citato art. 4.

Nel caso specifico, nonostante il datore di lavoro avesse evidenziato come l’accertamento del rispetto del luogo di lavoro concordato con i lavoratori nell’accordo individuale di smart working fosse effettuato al solo scopo di garantire la tutela della sicurezza e della salute dei lavoratori esterni, nonché di assicurare la riservatezza delle informazioni aziendali in ambienti esterni a maggiore rischio di accesso di terzi, il Garante ha ritenuto che il trattamento effettuato fosse comunque privo di un’idonea base giuridica, fosse avvenuto in assenza di un’informativa sufficientemente specifica e in violazione dei principi di “liceità, correttezza e trasparenza”, di “limitazione delle finalità”, di “minimizzazione dei dati”, di “protezione dei dati fin dalla progettazione” (“privacy by design”) e di “protezione dei dati per impostazione predefinita” (“privacy by default”). Le violazioni sono state ritenute gravi e l’azienda ha ricevuto una sanzione di 50.000 euro.

Non è qui possibile analizzare nel dettaglio l’indicato provvedimento, che appare per molti versi suscettibile di impugnazione innanzi all’autorità giudiziaria; è però certo che questa vicenda evidenzia come anche nella gestione di un rapporto particolare come quello di lavoro agile la valutazione preventiva e specifica delle questioni relative al trattamento dei dati personali sia indispensabile e richieda ormai professionalità specifiche.