La mobilità come nuova dimensione del rapporto di lavoro
La mobilità è ormai una componente strutturale dell’organizzazione del lavoro. Smart working, attività sul territorio, trasferte frequenti, utilizzo di veicoli aziendali e strumenti digitali di supporto agli spostamenti hanno progressivamente superato il modello tradizionale di lavoro esclusivamente in sede.
In questo contesto, la privacy del lavoratore in movimento diventa un tema centrale di compliance e governance aziendale.
Questa evoluzione non è neutra sotto il profilo giuridico. Il dato di mobilità dei lavoratori – inteso come informazione relativa a tragitti, tempi, modalità operative e comportamenti di guida – è oggi uno dei dati personali più delicati nel contesto lavoristico. Non tanto per il singolo dato in sé, quanto per la sua capacità di incidere sulla sfera personale, sulla libertà di autodeterminazione e sulla dignità del lavoratore.
Per le aziende, la gestione della privacy nel lavoro agile e nelle trasferte non è più un tema marginale. È una questione di governance, di gestione del rischio legale e reputazionale e di sostenibilità organizzativa, che richiede una lettura coordinata di GDPR e lavoro, normativa nazionale, indicazioni delle Autorità di controllo e giurisprudenza.
In sintesi per le aziende
- Il controllo a distanza dei lavoratori non è vietato in assoluto, ma è rigidamente regolato.
- Non esiste un diritto automatico alla tracciabilità degli spostamenti per finalità organizzative.
- Il consenso del lavoratore non costituisce, nella maggior parte dei casi, una base giuridica idonea.
- GPS veicoli aziendali, sistemi di telematica e dati di pedaggio possono diventare strumenti di controllo a distanza.
- Ciò che rileva non è la tecnologia adottata, ma l’uso concreto dei dati e i loro effetti.
- Valutazioni preventive, minimizzazione e accountability sono elementi centrali di tutela.
Il quadro normativo di riferimento
L’art. 4 dello Statuto dei Lavoratori come norma cardine
L’art. 4 Statuto dei Lavoratori (legge n. 300/1970) rappresenta il fulcro della disciplina sui controlli a distanza. La norma distingue tra strumenti utilizzati dal lavoratore per rendere la prestazione e strumenti dai quali possa derivare un controllo dell’attività lavorativa.
Per questi ultimi, l’ordinamento prevede garanzie stringenti: accordo sindacale o autorizzazione dell’Ispettorato del Lavoro. Il fatto che lo strumento sia tecnologicamente evoluto o largamente diffuso non ne attenua l’impatto giuridico.
Il comma 3 dell’art. 4 introduce un presidio decisivo: anche quando lo strumento è legittimamente installato, i dati raccolti possono essere utilizzati a fini connessi al rapporto di lavoro solo se il lavoratore è stato adeguatamente informato sulle modalità d’uso degli strumenti e sull’effettuazione dei controlli, e sempre nel rispetto della normativa privacy.
Il GDPR nel contesto lavoristico
Il GDPR e lavoro si intrecciano rafforzando questo impianto attraverso i principi di liceità, correttezza, minimizzazione e proporzionalità (art. 5), imponendo al titolare del trattamento di dimostrare la necessità e la sostenibilità delle scelte adottate.
L’art. 6 individua le basi giuridiche del trattamento, mentre l’art. 88 GDPR consente agli Stati membri di introdurre norme più specifiche in ambito lavorativo. Nell’ordinamento italiano, tali norme si rinvengono negli artt. 113 e 114 del Codice privacy, che richiamano espressamente l’art. 4 dello Statuto dei Lavoratori come condizione di liceità del trattamento dei dati dei dipendenti.
Il contributo del WP29: Opinion 2/2017 (WP249)
Un riferimento centrale in materia è rappresentato dalla Opinion 2/2017 on data processing at work (WP249) del Gruppo Articolo 29, più volte richiamata anche dal Garante per la protezione dei dati personali.
L’Opinion chiarisce che, nel contesto lavorativo:
- il consenso del dipendente non può considerarsi libero a causa dell’asimmetria del rapporto;
- i trattamenti idonei a incidere sulla sfera personale del lavoratore devono essere valutati alla luce delle sue ragionevoli aspettative di riservatezza.
Le posizioni del WP29 sono state fatte proprie dall’EDPB nella continuità istituzionale successiva all’entrata in vigore del GDPR.
Base giuridica del trattamento
Perché il consenso non basta
Nel rapporto di lavoro, il consenso del lavoratore raramente rappresenta una base giuridica idonea. Il dipendente difficilmente può rifiutare o revocare il consenso senza temere conseguenze sulla propria posizione professionale.
Fare affidamento sul consenso per legittimare trattamenti legati alla geolocalizzazione dipendenti o ai dati di mobilità lavoratori espone l’azienda a un rischio elevato, soprattutto quando il trattamento è sistematico, continuativo o tecnologicamente pervasivo.
Le basi giuridiche alternative
I trattamenti devono quindi fondarsi su basi più solide:
- adempimento di obblighi di legge
- esecuzione del contratto di lavoro, nei limiti della stretta necessità
- legittimo interesse del datore di lavoro, da valutare mediante un test di bilanciamento documentato (LIA)
Smart working e lavoro da remoto
La mobilità “invisibile”
Nel lavoro agile, la mobilità non è solo fisica ma anche digitale. Accessi VPN, log di connessione e utilizzo di piattaforme collaborative possono consentire una ricostruzione indiretta dell’attività lavorativa.
Lo smart working e la privacy restano strettamente connessi: il Garante ha chiarito che il lavoro agile non legittima un ampliamento dei controlli. Restano vietati monitoraggi massivi, continuativi o occulti.
Trasferte, attività sul territorio e veicoli aziendali
Quando il dato logistico diventa dato comportamentale
I dati raccolti durante le trasferte – tempi di percorrenza, chilometraggi, tratte – nascono per finalità organizzative o amministrative, ma possono consentire, se utilizzati in modo esteso, una ricostruzione delle abitudini del lavoratore.
Il Garante ha più volte chiarito che tali informazioni costituiscono dati personali a tutti gli effetti e devono essere trattate nel rispetto dei principi di necessità, proporzionalità e limitazione della conservazione.
Geolocalizzazione e GPS
I limiti tracciati dal Garante
La geolocalizzazione dipendenti tramite GPS veicoli aziendali configura, nella maggior parte dei casi, una forma di controllo a distanza dei lavoratori.
Il Garante ha più volte richiamato, nei provvedimenti in materia di localizzazione dei veicoli aziendali, il rischio di un controllo massivo e prolungato incompatibile con l’art. 114 del Codice privacy e con l’art. 4 dello Statuto dei Lavoratori.
L’uso di sistemi GPS è quindi ammissibile solo se strettamente necessario, temporalmente limitato e accompagnato dalle garanzie procedurali previste dalla normativa lavoristica.
Telematica satellitare e sistemi di scoring
Il provvedimento del Garante (dicembre 2025, docweb 10213711)
Un recente provvedimento del Garante ha affrontato l’utilizzo di sistemi di telematica satellitare finalizzati alla valutazione dello stile di guida dei dipendenti mediante attribuzione di punteggi e livelli di rischio.
L’Autorità ha ritenuto che la raccolta sistematica dei dati, l’elaborazione di indicatori comportamentali e la loro conservazione prolungata integrassero una forma di controllo indiretto sull’attività lavorativa, in assenza delle garanzie previste dall’art. 4 Statuto dei Lavoratori.
Il provvedimento ribadisce che anche dati tecnici o apparentemente neutri possono assumere rilievo lavoristico e privacy se utilizzati per valutare il comportamento o la prestazione del dipendente.
Telepass e dati di pedaggio
Il ruolo della Corte di Cassazione
Il tema Telepass e controllo lavoratori è stato affrontato dalla Corte di Cassazione, da ultimo con l’ordinanza n. 15391 del 3 giugno 2024.
La Corte ha chiarito che i dati di pedaggio possono consentire un controllo a distanza postumo dell’attività lavorativa. Tali dati possono essere utilizzati a fini connessi al rapporto di lavoro solo se ricorrono le condizioni dell’art. 4, comma 3, ossia se il lavoratore è stato adeguatamente informato sulle modalità d’uso degli strumenti e sull’effettuazione dei controlli, oltre al rispetto della normativa privacy.
In difetto di tali condizioni, i dati risultano inutilizzabili a fini disciplinari.
Controllo a distanza: una lettura unitaria
GPS, telematica satellitare e dati di pedaggio rappresentano manifestazioni diverse di un medesimo rischio: il controllo indiretto del lavoratore attraverso i dati di mobilità del lavoratore stesso.
Il discrimine non è la tecnologia adottata, ma la capacità dei dati di incidere sulla valutazione del comportamento o della prestazione lavorativa.
DPIA e accountability
Governare il rischio della mobilità
Nei casi di trattamenti sistematici o tecnologicamente complessi, la DPIA mobilità aziendale rappresenta uno strumento centrale di governo del rischio.
La valutazione d’impatto consente alle aziende di mappare i flussi di dati di mobilità, individuare i rischi specifici e definire misure di mitigazione adeguate, dimostrando l’accountability dell’organizzazione.
Best practice operative
- Valutare preventivamente se uno strumento possa determinare un controllo a distanza dei lavoratori
- Attivare le garanzie ex art. 4 Statuto dei Lavoratori quando necessario
- Individuare correttamente la base giuridica del trattamento
- Limitare accessi e tempi di conservazione dei dati
- Documentare le scelte (LIA, DPIA mobilità aziendale, policy interne)
Conclusione
La mobilità non giustifica il controllo
La mobilità del lavoratore non riduce le tutele, ma ne accresce la complessità. Il dato di spostamento è oggi un dato ad alto impatto, che richiede scelte consapevoli, proporzionate e documentate.
Le indicazioni del Garante e della Corte di Cassazione convergono su un punto chiave: non è la tecnologia in sé a essere vietata, ma l’uso sproporzionato, opaco o non garantito dei dati che essa produce.
Per le aziende, governare correttamente la privacy del lavoratore in movimento significa ridurre il rischio sanzionatorio, rafforzare la compliance e costruire un modello organizzativo solido e difendibile nel tempo.
Quanto sei in regola con la normativa sulla privacy?
