Il Garante per la protezione dei dati personali è intervenuto nei confronti di un ente pubblico regionale, in seguito a un reclamo presentato da una dipendente e a una segnalazione del Dipartimento della Funzione Pubblica. Entrambe le segnalazioni riguardavano l’uso, da parte dell’ente, di sistemi di geolocalizzazione per controllare i lavoratori in smart working tramite l’applicazione “Time Relax”.

In particolare, l’ente richiedeva ai dipendenti in lavoro agile di effettuare timbrature in entrata e uscita tramite dispositivi elettronici, abilitando la localizzazione, per verificare la compatibilità della posizione effettiva con quanto previsto negli accordi individuali. In almeno un caso, tali informazioni sono state utilizzate per avviare un procedimento disciplinare nei confronti della persona interessata.

Ecco i dettagli sulla decisione del Garante in  merito.

Smart working e geolocalizzazione: le violazioni evidenziate dal Garante

Il Garante ha riscontrato nell'attività del ente  numerose violazioni della normativa in materia di protezione dei dati personali, in particolare del Regolamento (UE) 2016/679 (GDPR) e del Codice Privacy (D.lgs. 196/2003). Le principali criticità sono:

• Illiceità del trattamento dei dati

Il monitoraggio della posizione geografica dei lavoratori risultava finalizzato a verificare il rispetto delle condizioni dell’accordo di lavoro agile, rappresentando un controllo diretto dell’attività lavorativa. Tale finalità non è ammessa dalla legge e contrasta con i principi di proporzionalità e rispetto della libertà morale del lavoratore.

• Assenza di base giuridica idonea

L’ente ha giustificato il trattamento facendo riferimento a una propria delibera e a un accordo con i sindacati. Tuttavia, secondo il Garante, questi atti non bastano a legittimare il trattamento. Inoltre, il consenso del lavoratore, richiesto dall’app per attivare la localizzazione, non è considerato valido in ambito lavorativo a causa dello squilibrio tra le parti.

• Violazione dei principi di minimizzazione e finalità

La raccolta sistematica di coordinate GPS eccedeva quanto strettamente necessario per la gestione del rapporto di lavoro, comportando un’intrusione nella sfera privata non giustificata.

• Informativa carente

I documenti aziendali non contenevano tutte le informazioni previste dall’art. 13 del GDPR. I lavoratori non erano adeguatamente informati su come e perché venivano trattati i loro dati di geolocalizzazione.

• Assenza di valutazione d’impatto

L’ente non aveva effettuato la valutazione preventiva dei rischi sui diritti e le libertà delle persone interessate, nonostante il trattamento implicasse un elevato grado di rischio.

• Uso improprio a fini disciplinari

I dati geolocalizzati sono stati utilizzati per avviare un procedimento disciplinare, anche se successivamente sospeso. Secondo il Garante, questo utilizzo era illecito, essendo basato su dati raccolti per altre finalità e comunque senza una base giuridica adeguata.

La decisione e i limiti alla sorveglianza sul lavoro agile

l Garante ha  quindi dichiarato illecito il trattamento e ha comminato una sanzione amministrativa pecuniaria di 50.000 euro. Ha inoltre disposto la pubblicazione dell’ordinanza sul proprio sito istituzionale per ragioni di trasparenza e funzione deterrente, data la gravità della condotta e il numero significativo di lavoratori coinvolti.

L’ente, da parte sua, ha dichiarato di aver interrotto il trattamento contestato e disattivato la funzione di geolocalizzazione dell’applicazione, adottando misure correttive in autotutela.

Il provvedimento ribadisce il  principio cardine  generale per cui il controllo dell’attività lavorativa deve avvenire nel rispetto dei diritti fondamentali dei lavoratori, senza trasformarsi in sorveglianza invasiva.

Il datore di lavoro può ricorrere a strumenti tecnologici solo se strettamente necessari per finalità organizzative, produttive, di sicurezza o tutela del patrimonio, e comunque solo in forma indiretta e limitata. Ogni trattamento di dati personali deve poggiare su basi giuridiche solide, essere proporzionato e preceduto da un’attenta valutazione dei rischi.

Va anche sottolineato  il principio  dell’inadeguatezza del consenso del lavoratore come fondamento giuridico nei rapporti di lavoro, riaffermando l’esigenza di tutele rafforzate nei contesti contrattuali asimmetrici come quello tra dipendente e datore pubblico o privato.

Dal 30 maggio 2025 Meta, la società proprietaria di Facebook, Instagram e WhatsApp, inizierà a utilizzare i dati personali degli utenti per addestrare i propri sistemi di intelligenza artificiale (IA). È quanto annunciava  il Garante per la protezione dei dati personali in un comunicato di marzo 2025 invitando  tutti a informarsi e, se lo desiderano, a esercitare il diritto di opposizione entro la fine del mese.

L’utilizzo dei dati per l’IA non riguarda solo chi ha un account sui social Meta, ma potenzialmente anche chi non è iscritto, se i propri dati sono stati condivisi da altri utenti. Per questo è importante agire subito, compilando gli appositi moduli messi a disposizione online sulle piattaforme social.

Il termine si avvicina: vediamo piu in dettaglio di cosa si tratta.

Cosa farà Meta con i nostri dati

Meta ha annunciato che userà i contenuti pubblici pubblicati dagli utenti maggiorenni – come post, commenti, foto, didascalie – e anche le informazioni inserite nelle chat con i servizi di IA (ad esempio su WhatsApp), per migliorare i suoi sistemi di intelligenza artificiale. In particolare, questi dati alimenteranno strumenti come il chatbot Meta AI o i modelli linguistici come Llama.

Questo trattamento sarà basato sul “legittimo interesse” di Meta. Tuttavia, il Garante ha sottolineato che il Regolamento europeo (GDPR) riconosce agli utenti il diritto di opporsi a questo uso dei propri dati.

Il Garante ricorda anche che il diritto di opposizione non riguarda solo Meta. Anche altri sistemi di intelligenza artificiale – come quelli sviluppati da OpenAI (ChatGPT), DeepSeek o Google – possono essere soggetti alla stessa regola. È sempre possibile chiedere che i propri dati non vengano utilizzati per addestrare algoritmi.

Opposizione per l’uso dei propri dati sui sociale: cosa fare

Chi non vuole che i propri contenuti vengano utilizzati da Meta per l’IA deve compilare un modulo online che le piattaforme sono obbligate a rendere disponibili, ai seguenti link:

• Per gli utenti Facebook: Modulo opposizione Facebook
• Per gli utenti Instagram: Modulo opposizione Instagram
• Per chi non ha un account ma teme che i propri dati siano presenti: Modulo non utenti

ATTENZIONE : chi esercita l’opposizione entro fine maggio potrà impedire che tutti i propri dati personali vengano usati. 

Chi invece si oppone dopo, riuscirà a bloccare solo l’uso dei dati pubblicati dopo la data dell’opposizione. I dati già raccolti fino a quel momento resteranno a disposizione di Meta per l’addestramento dei suoi sistemi.

Va inoltre  tenuto presente che anche i dati dei non utenti e dei minori sono a rischio: anche chi non è registrato a Facebook o Instagram potrebbe vedere i propri dati coinvolti, se ad esempio appaiono in foto o testi pubblicati da altri. In questo caso si può usare il modulo per i non utenti.

Privacy dei dati e intelligenza artificiale: cosa sta facendo il Garante

Nel frattempo, l’Autorità italiana per la privacy sta collaborando con le altre autorità europee per valutare la legittimità del comportamento di Meta. 

Si punta a capire se esistano le basi legali per un uso così esteso dei dati personali, e se il diritto di opposizione sia davvero garantito in modo semplice, effettivo e completo. In particolare, è stato richiesto a Meta di chiarire anche l’uso delle immagini di minorenni postate da adulti.

In sintesi: chi utilizza Facebook, Instagram o anche solo ha la propria immagine o informazioni online, dovrebbe valutare con attenzione se desidera che i propri dati alimentino i sistemi di intelligenza artificiale. Se la risposta è no, è fondamentale agire entro fine maggio 2025.

Ricordiamo che sul tema  già nel 2023  il Garante aveva  avviato una indagine conoscitiva  e l'anno scorso ha deliberato un provvedimento sui rischi e i possibili interventi per la tutela dei dati.

Lo alleghiamo  qui per maggiore informazione: Web scraping ed intelligenza artificiale generativa: nota informativa e possibili azioni di contrasto

La Corte di Giustizia dell’Unione Europea, con Sentenza dell’11 aprile 2024, relativa alla causa C-741/21  in tema di  violazione dei  dati personali attraverso attività di  marketing diretto,  ha ritenuto responsabile il titolare aziendale del trattamento, precisando che non è rilevante che  il danno sia stato causato dall’errore del dipendente che ha violato le istruzioni ricevute.

La sentenza ha fornito inoltre chiarimenti sul diritto al risarcimento in caso di violazione del Regolamento (UE) 2016/679,  Regolamento Generale sulla Protezione dei Dati (GDPR).

Vediamo in maggiore dettaglio la vicenda e la sentenza della Corte.

Marketing diretto nonostante la revoca del consenso

Il caso specifico affrontato dalla Corte di Giustizia dell'Unione Europea (CGUE) riguardava un avvocato  tedesco che aveva revocato il proprio consenso alla ricezione di materiale pubblicitario da parte di una società che gestisce una banca dati giuridica. 

Nonostante la revoca del consenso, il ricorrente continuava a ricevere materiale pubblicitario, il che ha portato a una violazione del Regolamento Generale sulla Protezione dei Dati (GDPR).

Il ricorrente ha adito il Tribunale del Land di Saarbrücken ( Germania) per ottenere:

• il risarcimento del danno materiale, relativo alle spese sostenute per l'ufficiale giudiziario e il notaio,  e per 
•  il risarcimento per danno immateriale, affermando di aver subito una perdita di controllo sui propri dati personali.

 Ha sostenuto che tale perdita di controllo costituisse di per sé un danno immateriale, indipendentemente dalla gravità o dagli effetti ulteriori di tale perdita, sulla base del diritto garantito dall'articolo 8 della Carta dei diritti fondamentali dell'Unione europea e precisato dal GDPR.

La società imputata, per parte sua ha negato ogni responsabilità, sostenendo di aver istituito un adeguato sistema di gestione delle opposizioni al marketing diretto e attribuendo la mancata considerazione delle opposizioni del ricorrente, ipoteticamente  

• a un errore umano di un collaboratore oppure
• al fatto che sarebbe stato eccessivamente oneroso tenerne conto.

Inoltre, ha argomentato che la mera violazione di un obbligo del GDPR non costituisce automaticamente un "danno" ai sensi dell'articolo 82 del regolamento.

Il tribunale tedesco ha  quindi sollevato la questione presso la  CGUE  cercando chiarimenti sull'interpretazione di varie disposizioni del GDPR, specialmente riguardo :

• al diritto al risarcimento per danni immateriali senza la necessità di dimostrare la gravità del danno e 
• sulle condizioni di responsabilità del titolare del trattamento quando il danno è causato dall'errore di una persona sotto la sua autorità.

I chiarimenti della CGUE su risarcimento e responsabilità

 La decisione della Corte chiarisce i seguenti punti:

• Violazione e Danno Immateriale: La Corte ha stabilito che una violazione del GDPR non è di per sé sufficiente per stabilire un danno immateriale. Per avere diritto al risarcimento, l'interessato deve dimostrare di aver subito un danno immateriale reale causato dalla violazione. Non è necessario che il danno raggiunga una certa gravità, ma deve essere comunque dimostrato.
• Responsabilità del Titolare del Trattamento: In caso di violazione del GDPR causata dall'errore di un dipendente, il titolare del trattamento non può automaticamente esimersi dalla responsabilità. La Corte ha sottolineato che il titolare del trattamento deve dimostrare che l'evento dannoso non gli è in alcun modo imputabile. Non basta quindi soltanto indicare che il danno è stato causato dall'errore di un dipendente per liberarsi da ogni responsabilità.
• Calcolo del Risarcimento: I criteri previsti dall'articolo 83 del GDPR per la determinazione delle sanzioni amministrative pecuniarie non devono essere applicati nel calcolo del risarcimento per i danni ai sensi dell'articolo 82 del GDPR. Il risarcimento dovuto dovrebbe riflettere una compensazione per il danno effettivamente subito, non avendo una natura punitiva ma compensativa.

Si ribadisce  quindi la necessità che gli ordinamenti nazionali  rafforzino il diritto delle persone fisiche alla protezione dei loro dati personali, garantendo che possano ottenere un risarcimento effettivo in caso di violazione, e assicurando al contempo che i titolari del trattamento adottino misure adeguate per prevenire tali violazioni.

Il Garante per la privacy ricorda che il Regolamento per la protezione dei dati personali non consente l'utilizzo del riconoscimento facciale per controllare le presenze sul posto di lavoro in quanto viola la privacy dei dipendenti. 

A questo proposito infatti è stato reso noto che sono stati emanati 5 provvedimenti sanzionatori contro altrettante aziende di igiene ambientale  riunite in associazione temporanea impegnate in siti di smaltimento rifiuti,   per trattamento illecito dei dati biometrici dei lavoratori . (Provvedimenti n. 9995680, 9995701, 9995741, 9995762, 9995785)

Vediamo di seguito i dettagli sul provvedimento più severo emanato nei confronti della capogruppo con sanzione di 70mila euro  per diverse violazioni al Regolamento.

Videsorveglianza con riconoscimento biometrico: il caso piu grave

Il Garante privacy era intervenuto a seguito dei reclami di numerosi dipendenti  di aziende attive nel settore dei servizi ambientali che segnalavano l'obbligo per l'accesso al sito di lavoro, di utilizzare un rilevatore biometrico, basato sul riconoscimento facciale.

A seguito di sopralluoghi e indagini del Nucleo speciale privacy e frodi tecnologiche della Guardia di finanza è stato accertato che  per l'attività di un gruppo di imprese in associazione temporanea operanti in vari siti di smaltimento rifiuti  la società capogruppo aveva fatto installare apparecchi biometrici di rilevamento presenze ,operanti per più di un anno.

Con memorie difensive la Società aveva dichiarato che il fenomeno dell’assenteismo, segnatamente accompagnato da timbrature fraudolente  aveva dato origine a  pesanti contenziosi in ambito  lavoristico […] che  hanno avuto esiti negativi proprio perché la società era impossibilitata a verificare con certezza l’effettivo orario di lavoro prestato in quanto venivano utilizzati fogli presenze cartacei.”;

Inoltre “la società,  sulla base della dichiarazione e certificazione di conformità dell’apparato biometrico fornita dal produttore  in cui veniva dichiarato che il dispositivo era pienamente conforme al GDPR, riteneva di potere utilizzare lo stesso ai sensi dell’art. 9 c.2, par. b. del Regolamento”  in 9 siti operativi collegati  con  il numero di 13 apparecchi utilizzati per il controllo di un totale di 218 dipendenti

La guardia di finanza segnalava  in particolare  che :

•  “gli apparati sono installati al fine di effettuare la rilevazione delle presenze tramite confronto uno a molti dell’impronta biometrica del volto dei dipendenti . La società fornitrice ha fornito il manuale di utilizzo  e un tecnico  effettuava la formazione sull’utilizzo del dispositivo al capocantiere” 
• “i dati biometrici degli interessati risiedono esclusivamente nel dispositivo e non sono accessibili da remoto, né in locale, se non per la cancellazione, che può essere effettuata solo direttamente sul dispositivo” .
• Veniva anche verbalizzato che  “probabilmente su molti dispositivi installati è stata mantenuta la password di default, presente sul dispositivo della sede principale" 
• “il dispositivo è dotato di uno speciale algoritmo per criptare i dati biometrici in modo non reversibile” (verbale cit., p. 4); 
• i    template biometrici cifrati, acquisti in fase di registrazione dei lavoratori ,   risultavano associati ai suddetti codici numerici, senza alcuna memorizzazione nel dispositivo del nome e cognome degli interessati”.

Dati biometrici : normativa e parere del Garante

Nella propria analisi l'autorità osserva  primariamente che  il trattamento di dati biometrici (di regola vietato ai sensi dell’art. 9, par. 1 del Regolamento) è consentito esclusivamente qualora ricorra una delle condizioni indicate dall’art. 9, par. 2 del Regolamento e, con riguardo ai trattamenti effettuati in ambito lavorativo, solo quando il trattamento sia “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento … in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato”

Viene riconosciuto che le finalità di rilevazione delle presenze dei dipendenti e di verifica dell’osservanza dell’orario di lavoro possano rientrare nell’ambito di applicazione dell’art. 9, par. 2, lett. b) del Regolamento, tuttavia il trattamento dei dati biometrici è consentito solo “nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri […]

Allo   stato,  l’ordinamento vigente non consente il trattamento di dati biometrici dei dipendenti per finalità di rilevazione della presenza in servizio. In particolare ricorda che il decreto legge  10/5/2023, n. 51,  con l’art. 8-ter ha prorogato al 31 dicembre 2025 la sospensione dell’installazione e utilizzazione di impianti di videosorveglianza con sistemi di riconoscimento facciale “in luoghi pubblici o aperti al pubblico, da parte delle autorità pubbliche o di soggetti privati”, ciò al fine di “disciplinare conformemente i requisiti di ammissibilità, le condizioni e le garanzie relativi all'impiego di tali  sistemi"  come già ribadito  dal Garante con i provvedimenti n. 369 2022 (doc. web n. 9832838) e n. 16  2021 (doc. web n. 9542071).

L’utilizzo del dato biometrico nel contesto dell’ordinaria gestione del rapporto di lavoro  non è dunque conforme ai principi di minimizzazione e proporzionalità del trattamento.

II Garante precisa che  per gli stessi fini  sul luogo di lavoro avrebbero potuto essere adottate misure utili allo scopo ma meno invasive per i diritti degli interessati (es. controlli automatici mediante badge, verifiche dirette, etc.).

In secondo luogo il Garante ricorda che il datore di lavoro, inoltre, è tenuto ad applicare i principi generali del trattamento, in particolare quelli di liceità, correttezza e trasparenza, minimizzazione, integrità e riservatezza dei dati  . 

La società ha operato invece senza rispettare il principio di trasparenza,  che prevede l’obbligo di indicare ai propri dipendenti  quali siano le caratteristiche essenziali dei trattamenti di dati effettuati  nonché degli strumenti attraverso i quali  sono effettuati.

Ancora,  è stato violato l'obbligo di indicare il responsabile del trattamento dei dati personali , che era affidato alla società fornitrice dei dispositivi

Infine, la circostanza che il produttore e il fornitore dei dispositivi di riconoscimento facciale avessero prodotto una “dichiarazione e certificazione di conformità non può far venir meno la responsabilità della Società, considerato che il titolare del trattamento, alla luce di quanto stabilito dall’art. 5, par. 2, del Regolamento, in base al c.d. principio di responsabilizzazione, “è competente per il rispetto [dei principi generali del trattamento] e in grado di comprovarlo”.

Controllo biometrico lavoratori: le conclusioni del Garante privacy

In conseguenza di queste risultanze la società capogruppo è stata sanzionata con ammenda di 70mila euro  considerando, a sfavore della Società,

1. la natura della violazione che ha riguardato i principi generali e le condizioni di liceità del trattamento e il trattamento di dati particolari,
2.   la durata della violazione che si è protratta per più di un anno e il numero significativo degli interessati coinvolti;
3.  con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare, è stata presa in considerazione la condotta della Società e il grado di responsabilità della stessa che non si è conformata alla disciplina in materia di protezione dei dati relativamente a una pluralità di disposizioni;

Invece, a favore della Società, si è tenuto conto della cooperazione con l’Autorità di controllo e della decisione di sospendere le attività di trattamento dopo l’inizio delle attività ispettive.

E' stata aggiornata e resa disponibile dal Garante privacy  una nuova edizione della "Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali"(QUI IL TESTO)  che era stata inizialmente pubblicata nel 2018.

 Si tratta di una pubblicazione illustrata,  di facile consultazione  per  enti pubblici e privati,  rivolta in particolare alle piccole e medie imprese che hanno meno strumenti per gestire gli adempimenti  in tema di trattamento dei dati personali, rispetto alle grandi società.

I contenuti della guida privacy 2023 

 Oltre a fornire tutti i riferimenti normativi sulla materia, la Guida  chiarisce i principali aspetti che imprese e soggetti pubblici devono tenere presenti per dare piena attuazione al Regolamento per il rispetto della privacy, fornendo anche consigli pratici su : 

•  diritti dell’interessato 
• doveri dei titolari; 
• trasparenza sull’uso dei dati personali
• liceità del loro trattamento.

Attenzione particolare è dedicata  inoltre  a:

• informativa privacy agli interessati
• notifica delle violazioni al  Garante privacy 
• designazione del Responsabile della protezione dei dati
• trasferimento dei dati personali  in altri Paesi

Il Garante ricorda anche che con il GDPR la  gestione della privacy  è  diventata parte integrante delle attività di un’organizzazione, per la quale i titolari devono adottare comportamenti proattivi e attività dimostrabili, finalizzati al rispetto della normativa.

I nuovi diritti in materia di privacy

 Va anche sottolineato come il Regolamento Ue  679 2016 ha introdotto anche nuovi diritti riconosciuti alle persone,  tra i quali si segnalano 

1. la possibilità di  trasferire i propri dati da un titolare del trattamento a un altro, compresi i social network ("diritto alla portabilità"), 
2. l diritto all’oblio, cioè il diritto di non veder riproposte informazioni personali quando non sono più necessarie rispetto alle finalità per le quali sono state raccolte.

La pubblicazione è disponibile  anche sul sito del Garante  all'indirizzo www.gpdp.it.