Il Garante per la protezione dei dati personali, con il provvedimento n. 135 del 2025, ha chiarito che i datori di lavoro non possono geolocalizzare i dipendenti che lavorano da remoto. A seguito di questa violazione, un’azienda è stata sanzionata con una multa di 50.000 euro per aver tracciato la posizione geografica di alcuni lavoratori in modalità agile.

Le verifiche svolte hanno evidenziato che il personale, selezionato a campione, veniva contattato telefonicamente e invitato ad attivare la geolocalizzazione di computer o smartphone. A questi lavoratori veniva inoltre chiesto di effettuare una timbratura tramite una specifica applicazione e di dichiarare via e-mail il luogo esatto in cui si trovavano in quel momento. Tutto questo avveniva senza che l’azienda avesse fornito un’adeguata informativa e senza che fosse stato individuato un fondamento giuridico conforme alla normativa vigente.

Il Garante ha ribadito che il controllo a distanza dei lavoratori è consentito solo nel rispetto delle garanzie previste dallo Statuto dei lavoratori e dal Regolamento europeo sulla protezione dei dati personali (GDPR), e deve rispondere a esigenze concrete come la sicurezza o la tutela del patrimonio aziendale. Non è legittimo utilizzare strumenti di localizzazione per verificare genericamente la presenza o l’ubicazione dei dipendenti durante lo svolgimento dello smart working. Neppure il consenso, se richiesto ai lavoratori, può essere considerato una base valida per trattamenti così invasivi, a causa del disequilibrio esistente nel rapporto di lavoro.

L'Autorità ha inoltre rilevato l'assenza di una valutazione d'impatto sulla protezione dei dati, obbligatoria in caso di trattamenti che comportano rischi elevati per i diritti e le libertà delle persone coinvolte. Il provvedimento rappresenta un ulteriore richiamo per le imprese a rispettare i limiti previsti dalla legge nell’uso delle tecnologie di controllo, anche quando il lavoro si svolge fuori dai locali aziendali.