Il 13 marzo 2025 il Garante, Presidente Pasquale Stanzione e Relatore Guido Scorza, ha adottato il Provvedimento 10128005, che ribadisce alcuni punti fermi essenziali in materia di trattamento dei dati dei lavoratori e di rapporti tra datori di lavoro e lavoratori e le loro organizzazioni sindacali.
Indice degli argomenti
Controllo a distanza e lavoro agile: il caso ARSAC
Il Provvedimento è particolarmente corposo e richiama un numero significativo di articoli del GDPR e di pronunce precedenti del Garante italiano e di quello europeo.
Il punto di maggior interesse riguarda il fatto che viene censurato e sanzionato dal Garante l’utilizzo da parte dell’ARSAC (Agenzia Regionale calabrese per lo sviluppo e per i servizi in agricoltura) di forme di controllo a distanza per verificare, in conformità all’accordo individuale sottoscritto dalla dipendente reclamante con ARSAC, la compatibilità della posizione geografica di una dipendente (nel caso la ricorrente) che stava svolgendo la sua prestazione lavorativa in modalità agile.
Più specificamente l’accordo tra dipendente e Anarc prevedeva la possibilità che Anarc potesse chiedere alla dipendente di avvalersi, su richiesta dell’Azienda stessa, della piattaforme Time Relax per effettuare una timbratura in uscita e una in entrata, finalizzate entrambe a consentire a Anarc di verificare la compatibilità della posizione geografica dalla quale la dipendente (reclamante) stava svolgendo la sua prestazione professionale con quanto indicato nell’accordo individuale in materia di lavoro agile sottoscritto dall’Azienda e dalla dipendente stessa.
Modalità e motivazioni del controllo a distanza
Nel provvedimento sono puntualmente indicate le modalità del controllo e i limiti relativi all’uso dei dati rilevati da parte di Anarc. L’Azienda peraltro sottolinea che tali controlli sono finalizzati essenzialmente a esigenze organizzative, produttive e di sicurezza sul lavoro e non a finalità disciplinari.
Ha chiarito infatti Anarc che il provvedimento disciplinare, nei confronti della reclamante poi sospeso, era stato adottato non a causa e in conseguenza della visione della posizione geolocalizzata ma per il fatto che la dipendente stessa aveva detto al telefono di non trovarsi nel luogo originariamente comunicato nell’ intesa.
Anarc sottolinea inoltre che il provvedimento disciplinare è stato successivamente revocato.
Anarc ribadisce anche che l’impiego della geolocalizzazione è previsto e attivato per fornire ai lavoratori maggiori garanzie nell’ambito del lavoro agile, “in particolare la possibilità di usufruire di permessi di servizio per lo svolgimento di attività presso altre Amministrazioni o per motivi personali”.
Di conseguenza, questa sembra la posizione Anarc, la base giuridica del controllo consiste sia nell’intesa sottoscritta con la dipendente sia nel ricorrere di oggettive ragioni al rispetto o alla verifica delle quali il controllo a distanza è finalizzato.
Basi giuridiche per il controllo a distanza dei lavoratori
Con riferimento all’oggetto del ricorso il Garante sottolinea innanzitutto che il trattamento di dati personali dei lavoratori da parte del datore di lavoro è consentito solo in presenza di una idonea base giuridica e sempre che il trattamento sia necessario per adempiere a specifici obblighi o compiti derivanti dalla disciplina di settore, nonché quando il trattamento “è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”.
Il Garante peraltro ammette che in tale quadro al trattamento di dati personali effettuato nell’ambito di un contratto di lavoro basato sulla flessibilità spazio-temporale, sulla valutazione per obiettivi e sulla conciliazione della vita lavorativa con quella privata, trovano applicazione le basi giuridiche richiamate nel provvedimento stesso e che spesso “ricorrono tipicamente in ambito lavorativo”.
Limiti normativi al controllo a distanza nel rapporto di lavoro
Tuttavia, sottolinea il Garante, il “datore di lavoro deve rispettare le norme nazionali che includono misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati in particolare per quanto riguarda la trasparenza del trattamento e i sistemi di monitoraggio sul posto di lavoro”
Inoltre, e questo è un punto importante forse poco sottolineato nella parte motiva del Provvedimento, il datore di lavoro deve sempre rispettare le norme nazionali che “includono misure adeguate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati in particolare per quanto riguarda la trasparenza del trattamento e i sistemi di monitoraggio sul posto di lavoro”.
In sostanza, ribadisce con chiarezza il Garante, non può esservi intesa o accordo tra datori di lavoro e lavoratori che superi le norme nazionali, modificando in tal modo la gerarchia delle fonti.
Dunque, i provvedimenti adottati dal titolare non possono basarsi unicamente o prevalentemente sull’intesa col lavoratore assunta come base normativa legittima ma devono essere conformi a quanto previsto dalla legislazione vigente e in particolare dal GDPR.
Protezione dei dati e controllo a distanza: normative complementari
Pertanto, occorre che il datore di lavoro rispetti il principio di protezione dei dati “fin dalla progettazione” e “per modalità predefinita”, adottando “misure tecniche e organizzative adeguate alle disposizioni codicistiche”.
In sostanza, come sottolinea il Garante stesso nel Provvedimento in commento, “l’intersezione normativa tra la disciplina in materia di protezione dei dati personali e quella in materia di controllo a distanza dell’attività lavorativa, sebbene risulti idonea ad assicurare una tutela rafforzata del lavoratore, evidenza la complementarietà tra due corpi normativi che restano tra loro autonomi e distinti. Ciò comporta che il datore di lavoro, titolare del trattamento, oltre alla normativa di settore applicabile, deve sempre rispettare i principi di protezione dei dati personali”.
Gli accordi sindacali non bastano per legittimare il controllo a distanza
Inoltre, per essere ancora più chiaro, il Garante afferma anche che l’eventuale presenza di un accordo con le rappresentanze sindacali in merito all’impiego di un determinato sistema che comporta trattamento di dati personali di lavoratori costituisce infatti condizione necessaria, ma non sempre sufficiente, per assicurare la complessiva liceità del trattamento e il rispetto dei principi per la protezione dei dati personali”.
Inoltre, la base giuridica del trattamento deve essere idonea al sistema delle fonti dell’ordinamento costituzionale dello Stato membro.
Nel caso italiano la disciplina di protezione dei dati personali “rientra tra le materie di competenza statale esclusiva e la stessa deve rispettare “specifici requisiti” sia in materia di qualità della fonte, sia in termini di proporzionalità dell’intervento regolatorio rispetto alle finalità che si intendono perseguire”.
In particolare, sottolinea il Garante, l’adozione di forme di controllo a distanza non può basarsi solo o prevalentemente sull’intesa con le organizzazioni sindacali o gli interessati ma deve rispettare i principi fondamentali previsti dal GDPR e dalla legislazione di settore in merito alla valutazione di impatto, alla tutela dei dati per impostazione predefinita e alla rinuncia di forme di controllo invasive della dignità dei lavoratori o comunque sproporzionate rispetto alle finalità perseguite e come tali incompatibili col GDPR.
La tutela dei dati personali come diritto costituzionale non negoziabile
La motivazione del provvedimento è ancora lunga e complessa ma quanto finora richiamato consente già di comprendere molto bene l’importanza generale del provvedimento che va molto oltre il caso di specie.
Tale importanza consiste essenzialmente nell’affermare con forza il prevalere della normativa legislativa statale in materia di protezione dati su qualunque intesa o accordo sindacale, o stipulato con singoli lavoratori, che sia con questa in contrasto.
Riafferma inoltre che, specialmente in materia di localizzazione e attività connesse con la localizzazione resta principio fondamentale non superabile, e non nella diponibilità degli accordi sindacali, quello della valutazione di proporzionalità e necessità tra intervento adottato e finalità perseguita: principio questo che, come il Garante ripete più e più volte, costituisce un baluardo essenziale, proprio in materia di trattamenti di localizzazione, della dignità e della tutela dei diritti fondamentali dei lavoratori, come tale non negoziabile tra le parte né potenziale oggetto di trattativa né sindacale né tra datori di lavoro e lavoratori.
Ovviamente il provvedimento, proprio per la sua analiticità e complessità presenta molti altri aspetti importanti che qui si sono solo accennati.
Non c’è dubbio, però, che il cuore di questo provvedimento, che meriterà di essere analizzato e sviluppato ben più di quanto qui fatto, sta proprio nel considerare la tutela dei dati personali anche dei lavoratori un campo di disciplina squisitamente di livello statale e di rango costituzionale, per questo sottratto anche a ogni trattativa sindacale che voglia, magari in modo inconsapevole, forzare la tutela che il livello della fonte competente e i principi di ragionevolezza e congruità delle misure di localizzazione costituiscono a garanzia non solo della protezione dei dati dei lavoratori ma anche dei principi costituzionali fondamentali che li riguardano.
