L’introduzione di nuove funzionalità di monitoraggio sul luogo di lavoro, specialmente nel contesto delle piattaforme digitali aziendali, rappresenta uno degli ambiti più complessi e controversi del diritto alla protezione dei dati personali e delle libertà individuali sul luogo di lavoro. Recentemente, la multinazionale Microsoft ha annunciato l’implementazione di un sistema di localizzazione per il tracciamento degli utilizzatori della piattaforma Teams nel contesto lavorativo. Tale funzionalità permette, a partire da dicembre 2025, di determinare con precisione la posizione geografica del lavoratore, una funzionalità che suscita non poche perplessità sotto il profilo giuridico e delle tutele dei lavoratori nell'ordinamento giuridico italiano (Statuto dei Lavoratori).

Forse, si è raggiunto un livello di consapevolezza tale da far presumere che i grandi operatori del mercato ritenessero che gli utenti medi siano in grado di assumersi un livello di responsabilità e responsabilizzazione adeguato, conforme ai principi di consapevolezza e responsabilità stabiliti dal GDPR. Ma è così?

• Scopri come "Gestire la condivisione della posizione in Microsoft Teams" (link privo di virus)

1. La nuova funzionalità di Teams; contenuto e tecnologia impiegata

L’ innovazione più discussa consiste in un sistema capace di analizzare la connessione Wi-Fi dell’utente, andando oltre la semplice identificazione del nome della rete (SSID). In particolare, il sistema utilizzerà anche l’indirizzo IP assegnato al dispositivo del dipendente, elemento che consente di individuare con maggiore precisione la locazione fisica del lavoratore all’interno di uno o più edifici aziendali. Questa tecnologia di “localizzazione indiretta” si basa dunque sull’associazione tra la connessione alla rete e la presenza fisica, senza ricorrere a sistemi di geolocalizzazione in tempo reale e senza intrusivi strumenti di tracciamento attivo come GPS.

Il tutto, tuttavia, richiederà un esplicito consenso da parte del lavoratore, che dovrà attivare manualmente la condivisione della propria posizione nelle impostazioni di sistema operativo, situazione che, come vedremo, suscita dubbi circa le modalità di esercizio del diritto alla privacy e alla tutela dei dati.

Negli ultimi mesi si registra un costante richiamo all’obbligo, a carico dei datori di lavoro, di “informare” gli utenti, ovvero i propri dipendenti, circa le modalità di trattamento dei dati personali.

Invero, il consenso dell’interessato non viene prestato dall'utente / dipendente direttamente al datore di lavoro, bensì a Microsoft, quale titolare del trattamento ai sensi della propria policy privacy. Di conseguenza, ogni singolo applicativo o strumento informatico, il cui funzionamento eccede l’ambito dei trattamenti di titolarità da parte dell’organizzazione, dovrebbe essere correttamente informato alle persone interessate. Tuttavia, tale impostazione non corrisponde alla prassi attuale e alla normativa applicabile, poiché il tracciamento e la localizzazione effettuati da Teams, a partire da dicembre 2025, non sono, in prima istanza, finalità propria dell’organizzazione che utilizza tale strumento. Diversamente sarebbe, invece, se tale funzionalità venisse istituzionalizzata e fosse obbligatoria per policy aziendale.

2. La nuova funzionalità di Teams: contenuto e tecnologia impiegata

Fin qui, tutto ok! I datori di lavoro possono dire: "finché ho il consenso dell'utente, dov'è la violazione o il trattamento eccessivo o illegittimo?".

Malgrado le rassicurazioni di Microsoft in merito alla volontarietà e alla modalità di attivazione del sistema, la percezione condivisa tra gli esperti di diritto e le associazioni di categoria è che la funzionalità possa rappresentare uno strumento di sorveglianza sostanzialmente invasivo, destinato a mutare la natura del rapporto di lavoro in una forma di monitoraggio costante e potenzialmente inesplorata (anche con il consenso dell'utente).

La questione non è soltanto di ordine tecnico-legale, ma anche etico, poiché il mero fatto di poter risalire alla presenza di un dipendente in ufficio, anche senza geolocalizzazione attiva, può essere interpretato come un’ingerenza eccessiva nella sfera personale, inducendo stress, ansia e senso di controllo.

3. La nuova funzionalità di Teams; contenuto e tecnologia impiegata

In ambito europeo, la materia è regolata dagli artt. 5 e ss. del Regolamento UE 2016/679 (GDPR), che impongono il rispetto dei principi di liceità, correttezza, trasparenza e minimizzazione dei dati. In particolare, l’art. 5 stabilisce che i dati personali devono essere trattati in modo lecito, secondo finalità determinate, esplicite e legittime, e compatibili con il consenso degli interessati.

Il trattamento di dati di localizzazione richiede, ai sensi dell’art. 6 GDPR, un’idonea base giuridica e l’applicazione di misure tecniche e organizzative adeguate a garantire la sicurezza e l’integrità della gestione dei dati. La raccolta e l’utilizzo dei dati di posizione devono essere strettamente necessari per le finalità dichiarate, e non devono mai eccedere i limiti della proporzionalità.

Le autorità di controllo, come l'European Supervisory Authority e l'Autorità Garante italiana, hanno già evidenziato in passato come il "potenziale" monitoraggio dei lavoratori debba essere realizzato con particolare cautela, garantendo la trasparenza, rispettando il principio di minimizzazione e tutelando i diritti soggettivi degli interessati in virtù delle relative autorizzazioni dell'ispettorato del lavoro competente o delle rappresentanze sindacali. L’attività di tracciamento senza adeguata base giuridica può configurare una violazione degli obblighi di legge e comportare sanzioni anche di entità rilevante.

4. La giurisprudenza e i precedenti di controllo digitale sul telelavoro e sulla presenza

Nel panorama europeo e nazionale, più di un caso ha sancito limiti e regole nell’uso di sistemi di monitoraggio e di localizzazione illeciti. Per esempio, nel 2024, Amazon France è stata sanzionata con 34 milioni di euro per l’utilizzo di sistemi di sorveglianza e monitoraggio eccessivi dei ritmi di lavoro, giudicati in contrasto con i principi di proporzionalità e trasparenza imposti dal GDPR. Analogo caso, è quello di H&M in Germania, multata per aver archiviato dati personali dei dipendenti senza idonea informativa o consenso.

In Italia, la giurisprudenza si è consolidata nel riconoscere che il controllo a distanza può legittimamente essere ammesso solo in determinate condizioni, e che in ogni caso deve essere preventivamente concordato con le rappresentanze sindacali e, laddove non presenti, autorizzato dall’Ispettorato del lavoro competente. Le pronunce della Corte di Cassazione e dei Tribunali del lavoro sottolineano che il rispetto del principio di proporzionalità e della tutela della dignità del lavoratore costituisce il limite invalicabile alla legittimità di qualsiasi sistema di sorveglianza.

5. La prospettiva giuridica e i limiti di legittimità del sistema Microsoft

Analizzando in via generale le nuove funzioni di Teams, si può affermare che, pur offrendo strumenti potenzialmente utili alla gestione aziendale, essi devono essere conformi ai principi cardine di proporzionalità, necessità e trasparenza. La semplice connessione alla rete Wi-Fi aziendale, senza strumenti di geolocalizzazione in tempo reale, potrebbe comunque assumere i connotati di controllo a distanza, soggetto a regole stringenti e, pertanto, soggetto a limitazioni.

Il fatto che Microsoft abbia predisposto un sistema di consenso esplicito rappresenta un passo importante, ma non è sufficiente ad eliminare i dubbi sulla loro compatibilità con le norme vigenti. In primis, occorre verificare che l’attivazione di tali funzionalità sia preventivamente autorizzata con accordo collettivo o, in mancanza, con l’autorizzazione dell’Ispettorato del lavoro, come richiesto dalla normativa italiana.

In definitiva, la legislazione italiana e europea sembrano delineare un quadro di limiti piuttosto rigorosi per l’introduzione di sistemi di monitoraggio passivi di presenza, tali che l’utilizzo di sistemi come quello proposto da Microsoft, ove si basi esclusivamente sulla connessione alla rete Wi-Fi aziendale senza strumenti di geolocalizzazione attiva, deve essere attentamente valutato nel rispetto di tali limiti. In assenza di idoneo accordo preventivo, tale sistema potrebbe configurarsi come una forma di controllo illegittima, con rischi di sanzioni amministrative e penali e di potenziali azioni risarcitorie da parte dei lavoratori.

6. Dalla responsabilità dell'Organizzazione alla responsabilizzazione dell'interessato

Nel contesto dell’implementazione di sistemi di monitoraggio e localizzazione, si verifica un mutamento nel paradigma di responsabilità, che passa dalla responsabilità dell’organizzazione - intesa quale obbligo di informare, regolamentare e vigilare sul corretto trattamento dei dati e sull’adozione di misure idonee a garantire il rispetto delle norme a tutela della privacy - alla responsabilizzazione diretta degli utenti, ossia dei soggetti che, mediante il conferimento del proprio consenso, partecipano attivamente e consapevolmente al trattamento dei propri dati personali.

In altre parole, si afferma il principio secondo cui la legittimità del trattamento dei dati di localizzazione non può fondarsi esclusivamente sulla veste di tutela e di doveri imposta dall’organizzazione, bensì richiede che gli interessati, i lavoratori, siano adeguatamente informati dai sistemi della società dell'informazione e siano in grado di esercitare un’autonoma valutazione circa la conformità delle condizioni di trattamento ai principi di legittimità e proporzionalità, manifestando un consenso libero, specifico e informato. Tale processo di responsabilizzazione individuale costituisce, dunque, un elemento fondamentali per garantire la liceità del trattamento e per evitare che l’uso di strumenti tecnologici di sorveglianza si sostituisca a una mera attività di controllo unilaterale, senza previa partecipazione e consapevolezza dei soggetti coinvolti.

7. E ora?

Di fronte a tale nuova funzionalità potrebbe essere utile "avvisare" gli utenti circa i servizi forniti dagli strumenti IT messi a disposizione dall’organizzazione. A tal fine, sebbene l’obbligo informativo non ricada direttamente sull’Organizzazione, poiché quest’ultima non tratta tali dati per finalità proprie bensì a cura di Teams, si configura una distinzione tra due ambiti:

A. Organizzazione che vuole istituzionalizzare tale nuova funzionalità

B. Organizzazione, consapevole della nuova funzionalità di Team, ma che tuttavia ritiene opportuno non adottarla. In tal caso:

✅ Avvisa i propri dipendenti della nuova funzionalità

✅Mette a disposizione tutti gli elementi necessari perché possano conoscere e comprendere come esercitare i propri diritti

Hai bisogno di consulenza? Scrivici!

Autore: Himmel Advisors S.r.l.

Immagine di copertina

Dettagli licenza: https://creativecommons.org/licenses/by-nc/4.0/

Copyright: Sharevault