Smart working e geolocalizzazione dei dipendenti. Limiti, obblighi e sanzioni secondo il Garante Privacy

Il Garante per la protezione dei dati personali ha recentemente sanzionato un’azienda per 50.000 euro per aver geolocalizzato circa cento dipendenti in smart working, mediante un sistema di rilevazione della posizione geografica durante le timbrature in entrata e in uscita.

L’intervento del Garante è scaturito da un reclamo individuale e da una segnalazione dell’Ispettorato della Funzione Pubblica. Le attività di controllo svolte dall’azienda sono risultate non conformi al Regolamento europeo 2016/679 (GDPR) e alla normativa nazionale, evidenziando numerose violazioni in materia di trattamento dei dati personali e dei diritti dei lavoratori.

L’azienda, sulla base di un regolamento interno sul lavoro agile, adottava un’applicazione che, previo consenso espresso del lavoratore, registrava le coordinate GPS del dispositivo utilizzato al momento della timbratura. Tali dati erano confrontati con gli indirizzi indicati negli accordi individuali di lavoro agile per verificare la corrispondenza del luogo di lavoro con quanto formalmente dichiarato. Tuttavia, questa prassi è risultata sproporzionata, priva di un’adeguata base giuridica e in contrasto con il principio di minimizzazione del trattamento, determinando un’ingerenza ingiustificata nella vita privata dei dipendenti.

In particolare, l’art. 4 dello Statuto dei lavoratori (L. 300/1970), insieme agli articoli 113 e 114 del Codice privacy, impone specifiche garanzie in materia di controllo a distanza. Inoltre, l’articolo 115 del Codice stabilisce espressamente che anche in caso di lavoro agile o da remoto, il datore di lavoro deve garantire il rispetto della personalità e della libertà morale del dipendente.

Inoltre, alla luce dell’articolo 25 del GDPR, il Titolare del Trattamento deve adottare misure tecniche e organizzative adeguate sin dalla progettazione e per impostazione predefinita, al fine di trattare solo i dati strettamente necessari rispetto alle finalità perseguite, evitando la raccolta eccessiva o indebita di informazioni personali, come nel caso della geolocalizzazione continua o indiscriminata.

Nel caso analizzato, nonostante la documentazione aziendale contenesse alcuni elementi informativi sul trattamento dei dati, il Garante ha rilevato che le informative fornite non soddisfacevano i requisiti dell’articolo 13 del GDPR, risultando carenti sotto il profilo della trasparenza. Inoltre, non era stata svolta alcuna valutazione di impatto sulla protezione dei dati personali ai sensi dell’art. 35 del GDPR, nonostante l’uso di tecnologie di localizzazione potenzialmente invasive e il contesto lavorativo rendessero evidente un rischio elevato per i diritti e le libertà degli interessati.

La Corte Europea dei Diritti dell’Uomo ha chiarito in più occasioni che la protezione della vita privata, ai sensi dell’art. 8 della CEDU, si estende anche all’ambito lavorativo, in quanto luogo di espressione della personalità e delle relazioni sociali dell’individuo. Di conseguenza, anche nel lavoro agile, il lavoratore conserva un’aspettativa ragionevole di riservatezza.

La mancata valutazione d’impatto costituisce un’ulteriore violazione, come confermato dalle Linee guida WP248 e da precedenti provvedimenti del Garante, secondo cui i dipendenti rientrano tra le categorie vulnerabili di interessati, per i quali l’uso di strumenti tecnologici con finalità di monitoraggio sistematico deve essere attentamente valutato. L’adozione di tali strumenti, in assenza di garanzie adeguate, può configurare un controllo a distanza illecito.

In conclusione, il trattamento dei dati dei dipendenti nell’ambito del lavoro agile deve sempre avvenire nel rispetto dei principi fondamentali di liceità, correttezza, trasparenza, minimizzazione, limitazione della conservazione e integrità, secondo quanto previsto dall’articolo 5 del GDPR. Il datore di lavoro è tenuto a bilanciare le esigenze organizzative con i diritti dei lavoratori, evitando ogni forma di sorveglianza che possa risultare sproporzionata o lesiva della dignità personale. Solo attraverso un approccio responsabile e conforme alla normativa è possibile attuare modelli di lavoro agili realmente sostenibili e rispettosi dei diritti fondamentali.

Suggerimenti pratici per i datori di lavoro.

Di seguito riportiamo delle buone prassi utili alla corretta gestione dei dati personali dei dipendenti in materia di smart working e geolocalizzazione:

rivedere le policy aziendali sul lavoro agile, evitando forme di sorveglianza occulta o sproporzionata;
fornire informative chiare e complete sul trattamento dei dati, anche in ambito smart working;
limitare il controllo ai soli strumenti di lavoro, garantendo che non diventino strumenti di tracciamento della persona;
coinvolgere i rappresentanti sindacali e aggiornare i regolamenti interni, in linea con l’art. 4 dello Statuto dei lavoratori;
fare una valutazione d’impatto se si usano tecnologie che possono comportare rischi (es. app di localizzazione, sistemi di controllo).

Fonte: IusPrivacy.eu

Condividi:

Mi piace:

Condividi sui Social

Post correlati

Novità in arrivo su Codice01: integrazione con l’intelligenza artificiale di Jack01!

NIS2 – Importanti novità in merito alla sicurezza informatica

01 Informatica Srl: Impegno per la Trasparenza, la Sostenibilità e il Controllo Aziendale

Il nesso tra DPIA e Nomina del DPO nel GDPR – Un Approfondimento Giuridico

Formazione privacy, un obbligo di legge previsto dal GDPR

La conformità delle comunicazioni elettroniche alla normativa sulla protezione dei dati personali

Gestisci le preferenze dei cookies