Smart working e controllo dei lavoratori: il caso ARSAC e i limiti della geolocalizzazione
Il crescente utilizzo del lavoro agile nella pubblica amministrazione e nel settore privato ha posto nuove sfide in materia di protezione dei dati personali. Il Provvedimento n. 135 del 13 marzo 2025 del Garante per la protezione dei dati personali, relativo all’ARSAC (Agenzia Regionale per lo Sviluppo e i Servizi in Agricoltura della Calabria), segna un punto di svolta nel dibattito sul controllo dei lavoratori in smart working.
L’Autorità ha dichiarato illecito il trattamento dei dati effettuato dall’Ente, che monitorava i dipendenti tramite un sistema di geolocalizzazione continua, finalizzato alla verifica della presenza in servizio e della produttività.
Il sistema di monitoraggio adottato da ARSAC
L’Ente aveva introdotto una piattaforma digitale, denominata Time Relax, per gestire le attività di lavoro agile. Il sistema tracciava in modo costante la posizione geografica del lavoratore, registrando orari, accessi, disconnessioni e altre informazioni sull’attività svolta.
Sebbene l’obiettivo fosse garantire la corretta esecuzione della prestazione, il Garante ha ritenuto che tale modalità di controllo fosse invasiva e sproporzionata, violando i principi di liceità, correttezza e minimizzazione previsti dal GDPR e dall’art. 114 del Codice Privacy, che richiama l’art. 4 dello Statuto dei Lavoratori.
Le valutazioni del Garante Privacy
Secondo l’Autorità, la geolocalizzazione continua dei dipendenti configura una forma di controllo a distanza vietata, salvo che ricorrano le condizioni previste dalla legge e siano rispettate adeguate garanzie.
- L’accordo sindacale o individuale non può, da solo, legittimare un trattamento che comporti un controllo massivo;
- È indispensabile una base giuridica adeguata (art. 6 GDPR) e un’informativa trasparente che indichi finalità e tempi di conservazione;
- Il trattamento deve essere necessario e proporzionato rispetto alle finalità perseguite, evitando modalità eccessivamente intrusive.
Il Garante ha quindi rilevato che la geolocalizzazione adottata non rispondeva a finalità di sicurezza o tutela del patrimonio, ma si traduceva in un controllo generalizzato dei comportamenti dei lavoratori.
I principi europei: trasparenza e proporzionalità
Le conclusioni dell’Autorità italiana trovano riscontro nel Parere 2/2017 (WP249) del Gruppo di Lavoro Articolo 29, oggi Comitato Europeo per la Protezione dei Dati (EDPB). Il documento ribadisce che, anche nel contesto lavorativo, il datore di lavoro deve rispettare i principi di necessità, minimizzazione e proporzionalità del trattamento.
In particolare, il WP249 sottolinea che:
- i controlli devono essere limitati e giustificati da esigenze reali e documentabili;
- i lavoratori devono ricevere una informativa trasparente sul tipo di dati trattati e sulle modalità di monitoraggio;
- in presenza di trattamenti ad alto rischio, è obbligatoria una valutazione d’impatto (DPIA).
Nel caso ARSAC, tali requisiti non risultavano rispettati, poiché la finalità di verifica dell’attività lavorativa avrebbe potuto essere perseguita con strumenti meno invasivi (ad esempio, report di attività o sistemi di autocertificazione).
La decisione e le conseguenze per l’Ente
Il Garante ha dichiarato illecito il trattamento dei dati personali dei lavoratori, ordinando all’Ente di cessare il monitoraggio e di conformarsi alle disposizioni del GDPR. È stata inoltre irrogata una sanzione di circa 50.000 euro, in ragione del numero di dipendenti coinvolti e della gravità della violazione.
Il provvedimento ha un valore esemplare per tutte le amministrazioni pubbliche e i datori di lavoro: l’uso di tecnologie di controllo deve avvenire nel rispetto dei diritti e delle libertà fondamentali dei dipendenti.
Indicazioni operative per enti e datori di lavoro
Alla luce di questo caso, prima di introdurre strumenti di monitoraggio dei lavoratori, è necessario:
- effettuare una valutazione d’impatto (DPIA) sul trattamento dei dati;
- limitare la raccolta alle informazioni strettamente necessarie alle finalità dichiarate;
- garantire una informativa chiara e accessibile ai dipendenti;
- coinvolgere il Data Protection Officer (DPO) nella progettazione del sistema;
- preferire soluzioni meno intrusive e non basate su geolocalizzazione continua.
Un controllo conforme alla normativa è quello che bilancia efficienza organizzativa e rispetto della dignità personale del lavoratore.
Conclusioni
Il provvedimento ARSAC ribadisce un principio fondamentale: nel lavoro agile, la privacy del lavoratore non può essere sacrificata alle esigenze di produttività. La tecnologia deve essere uno strumento di fiducia e collaborazione, non di sorveglianza.
Per le pubbliche amministrazioni e le imprese, ciò significa adottare modelli di smart working “a prova di privacy”, nei quali i controlli siano proporzionati, trasparenti e rispettosi dei diritti individuali.
Il nostro Studio offre consulenza legale in materia di trattamento dei dati e adeguamento al GDPR.
