IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore l'avv. Guido Scorza;

PREMESSO

1. Introduzione.

Il presente provvedimento ha ad oggetto il reclamo proposto dalla Sig.ra XX il XX, come successivamente integrato in data XX, e la segnalazione presentata, nelle more dell’attività istruttoria già avviata a fronte del predetto reclamo, il XX dal Dipartimento della Funzione Pubblica della Presidenza del Consiglio dei Ministri, entrambi riguardanti il trattamento, da parte dell’Azienda regionale per lo sviluppo e per i servizi in agricoltura (di seguito, anche “ARSAC” o “Azienda”), dei dati relativi alla geolocalizzazione del personale che presta la propria attività lavorativa in modalità agile.

1.1. Il reclamo

In particolare, con il predetto reclamo, l’interessata, dipendente dell’Azienda, ha lamentato presunte violazioni in materia di protezione dei dati personali con riferimento allo svolgimento di taluni controlli, effettuati dall’Azienda nei giorni XX e XX, per verificare la compatibilità della posizione geografica dalla quale la reclamante stava svolgendo la propria prestazione lavorativa in modalità agile rispetto a quanto indicato nell’accordo individuale in materia di lavoro agile sottoscritto tra la stessa e l’Azienda.

Più nello specifico, dal reclamo e dalla documentazione ad esso allegata emerge, in particolare, che:

- nell’ambito dei predetti controlli, “si è chiesto al dipendente, al fine di effettuare la verifica riguardo alla postazione di lavoro per il lavoro agile, che la stessa avrebbe dovuto effettuare: una timbratura sulla piattaforma TIMERELAX sia in uscita che in entrata, la dipendente ha effettuato le seguenti timbrature: alle ore 09.29 in uscita e alle ore 09.30 in rientro, successivamente è stato chiesto di inviare una mail con riferimento al controllo effettuato in lavoro agile, all'indirizzo di posta elettronica istituzionale del [dipendente incaricato di svolgere il controllo]” (cfr. relazione dell’Azienda denominata Relazione Controllo Lavoro Agile n. XX del XX);

- “dal controllo effettuato la geolocalizzazione, anche se a volte le mappe utilizzate non sono del tutto aggiornate, risultava non compatibile con quanto dichiarato e concesso nel contratto di lavoro agile stipulato con ARSAC. Dalla timbratura di controllo la dipendente è risultata presente in Piazzale […], mentre la località più vicina, richiesta nel contratto di Lavoro Agile, risulta essere Via […] che dista dal punto georeferenziato circa 40-50 Km. La stessa dipendente nella telefonata di controllo […] ha subito accennato alla incongruenza della posizione” (cfr. relazione dell’Azienda denominata Relazione Controllo Lavoro Agile n. XX del XX);

- “altra incongruenza rilevata, nel monitoraggio effettuato dal [dipendente incaricato di svolgere il controllo] il giorno XX in cui la dipendente risulta nuovamente in lavoro agile, riguarda la timbratura in entrata, effettuata dalla dipendente mediante smartphone, che viene geolocalizzata [… presso …], che dista circa 5 km dalla località più vicina comunicata nel contratto, Via […]” (cfr. relazione dell’Azienda denominata Relazione Controllo Lavoro Agile n. XX del XX);

- alla reclamante è stato contestato un addebito disciplinare sul presupposto della asserita “inosservanza nei tempi e nelle modalità delle procedure previste dal regolamento inerente lo svolgimento della prestazione lavorativa in modalità agile” e della rilevata “discordanza tra l'ubicazione dichiarata e la geolocalizzazione accertata dall'Ufficio Ispettivo nell'espletamento delle verifiche” (cfr. nota di contestazione dell’addebito disciplinare, dell’XX);

- “l’ARSAC chiede ai dipendenti di segnalare lo svolgimento dell'attività lavorativa in modalità agile mediante pc o smartphone [… per il tramite dell’applicazione] Time Relax [… la quale] richiede al momento dell'accesso di abilitare il servizio di localizzazione […], ed una volta acconsentito alla localizzazione resta in attesa del segnale GPS […], per poi infine localizzare erroneamente la posizione […] al momento della timbratura. Quanto descritto avviene sia per la timbratura in entrata che per la timbratura in uscita” (cfr. nota del XX);

- “nessuna informativa, però, fu fornita alla dipendente sul trattamento dei dati personali che sarebbe stato effettuato dal datore di lavoro” (cfr. nota del XX).

1.2. La segnalazione del Dipartimento della Funzione Pubblica della Presidenza del Consiglio dei Ministri

Con segnalazione del XX, il Dipartimento della Funzione Pubblica della Presidenza del Consiglio dei Ministri ha segnalato al Garante per il tramite dell’Ispettorato per la Funzione Pubblica, nell’ambito dei propri compiti istituzionali e per i seguiti di competenza (cfr. art. 60, comma 6, del d. lgs. 30 marzo 2001, n. 165), di essere “venuto a conoscenza di pratiche che potrebbero risultare in contrasto con la normativa in materia di protezione dei dati personali poste in essere presso l’Azienda regionale per lo sviluppo dell'agricoltura calabrese (ARSAC)”.

Nel dettaglio, dalla segnalazione risulta che il predetto Dipartimento della Funzione Pubblica aveva “appreso che l’Unità di Controllo Procedimenti-Ispettorato del citato Ente effettuerebbe la localizzazione dei dispositivi (notebook e smartphone) utilizzati dai propri dipendenti nelle giornate in cui questi prestano la propria attività lavorativa in modalità di lavoro agile di cui all’art. 18 della legge 81/2017” e che “con nota del XX [… aveva già] richiesto al Commissario straordinario dell’ARSAC di fornire dettagliati e puntuali elementi in ordine alla liceità del trattamento dei dati effettuato”.

Alla luce di quanto precede, il predetto Dipartimento della Funzione Pubblica ha ritenuto di dover “provvede[re] alla trasmissione della documentazione pervenuta per le valutazioni di competenza [… del Garante], chiedendo di tenere informato […l’]Ispettorato”. 

2. L’attività istruttoria.

Nell’ambito dell’istruttoria, con nota del XX, ARSAC ha dichiarato, in particolare, che:

“il monitoraggio sull’effettivo svolgimento del lavoro in modalità agile da parte del responsabile dell’Unita di controllo procedimenti si basa su criteri concordati con la dirigenza. [… Ciò] è effettuato solo nei giorni e nella fascia oraria concessa al dipendente (cd fascia oraria di contattabilità), e con gli strumenti e le modalità necessarie a tale verifica, tra cui anche la piattaforma Time relax secondo le disposizioni contenute nel Regolamento sul lavoro agile […] adottato da codesto Ente e dal relativo contratto individuale di lavoro”;

“in particolare, il controllo del Lavoro Agile viene effettuato attraverso una chiamata diretta al dipendente da parte del responsabile dell’Unita organizzativa di controllo- Ispettivo, sempre nel rispetto della fascia oraria di contattabilità, con cui si invita lo stesso dipendente ad effettuare una doppia timbratura mediante l’applicativo Time relax, una in entrata e una in uscita, previo consenso alla geolocalizzazione, diversamente non sarebbe possibile la timbratura da remoto nell’ambito del lavoro agile; successivamente il dipendente sottoposto a controllo viene invitato ad inviare un mail in riferimento all’oggetto del controllo effettuato in lavoro agile all’indirizzo di posta elettronica istituzionale dell’Unita di Controllo, in modo tale che lo stesso lavoratore possa dichiarare il luogo esatto in cui si trova al momento dell’effettuazione delle timbrature oggetto di controllo ispettivo. Nella fase successiva il responsabile suddetto procede alla riorganizzazione delle informazioni acquisite, al fine di verificare la rispondenza tra il luogo o luoghi di lavoro indicati dal lavatore nel contratto individuale di lavoro agile rispetto a quello dichiarato nella mail e risultante nell’applicativo Time relax nel giorno e nell’orario oggetto di controllo ispettivo. Le risultanze di detta attività di controllo vengono inserite nel Verbale di Visita/Controllo Ispettivo, che, in busta chiusa sigillata, viene fatto recapitare, tramite protocollo interno all’Ente, al Direttore generale dell’A.R.S.A.C.”;

“la [… reclamante] con il citato accordo individuale ha manifestato il proprio consenso al trattamento dei dati personali da parte dell’Ente finalizzato agli adempimenti necessari per l’espletamento della procedura di partecipazione alla modalità di lavoro in smart working. Trattasi invero di un consenso informato anche in riferimento a tale specifico aspetto”;

“l’applicativo Time relax si presenta tecnicamente come una piattaforma di geolocalizzazione quanto alle sole operazioni di rilevazione della presenza (timbratura), il cui impiego è stato a monte ratificato a mezzo di accordo con le rappresentanze sindacali, nel pieno rispetto dell’art. 4 della L. 300/1970 e s.m.i., giusto verbale di riunione delegazione dell’XX […] in cui si è approvato il “Regolamento aziendale del lavoro agile” […] incluso l’utilizzo della funzione di geolocalizzazione solo ed esclusivamente ai fini della timbratura. […] L’utilizzo della piattaforma Time relax come sistema di verifica per l’effettuazione del lavoro agile è stato poi inserito nella sezione “Lavoro agile del PIAO periodo XX” […]”;

“la base giuridica del trattamento dei dati personali relativi alla posizione geografica dei lavoratori in modalità agile, che rende lecito tale trattamento è costituito, a monte, dal cit. accordo sindacale dell’XX di cui al prot. A.R.S.A.C. n. XX […] di ratifica/approvazione del “Regolamento aziendale sul lavoro agile”” (v. anche verbale-accordo integrativo del XX)”;

“a tal fine il dipendente, per la propria tutela, nei giorni autorizzati al lavoro agile, è tenuto a registrare la propria presenza sull’applicativo “time relax” compreso la richiesta e fruizione di eventuali permessi personali [… ] . Tale procedura, come già evidenziato e documentato, è stata seguita anche in relazione alla richiesta di lavoro agile avanzata dalla [… reclamante] nel XX e reiterata per l’annualità XX, giusto accordo individuale allegato, dal quale si evince chiaramente come la stessa [… reclamante] abbia manifestato all’uopo idoneo consenso informato al trattamento dei dati anche con riferimento alla geolocalizzazione”;

“alla [… reclamante], come a qualsiasi altro dipendente interessato, è stata data adeguata informazione, ex art. 13 del Regolamento, anche considerato quanto previsto dall’art. 4, comma 3, della legge 20 maggio 1970, n. 300”;

“la scelta predetta si inserisce nell’ambito dell’esercizio dei poteri datoriali di organizzazione del lavoro ove la prestazione venga eseguita dal lavoratore all'esterno dei locali aziendali e, ciò nell’ottica di garantire in primis la tutela della sicurezza e della salute del lavoratore sul luogo di lavoro anche in modalità agile, conformemente alle prescrizioni di cui alla L. 81/2017 e S.m.i., e, contestualmente, la tutela della riservatezza dei dati, cui il dipendente pubblico è tenuto alla luce del D.P.R. n. 62/2013 e s.m.i. e dal Codice di comportamento A.R.S.A.C. vigente. Infatti, detto applicativo non consente la conservazione delle coordinate geografiche ma consente solo, al momento della timbratura, in entrata/uscita, di rilevare la sede in cui il lavoratore autorizzato al lavoro agile si trova. Si specifica che non vengono effettuate altre rilevazioni durante l’orario di servizio all’infuori del già citato controllo ispettivo, che in ogni caso — si ribadisce —è del tutto ipotetico e casuale, ed è effettuato mediante avviso telefonico che precede la timbratura di verifica. Detto controllo, in ragione della sua casualità, è in tutto e per tutto assimilabile a quello svolto abitualmente dal servizio ispettivo sul personale in presenza”;

“l’applicativo “Time relax” richiede necessariamente, previa sua installazione sul dispositivo informatico prescelto dal lavoratore, l’accesso protetto da “USERNAME E PASSWORD”, che sono comunicati dal dipendente sulla email in fase di registrazione al sistema. Effettuato il login, l’app presenta al lavoratore una schermata in cui compare il nome e cognome che è stato registrato in modo che il lavoratore è messo nella condizione di poter confermare la propria identità e lo informa di eventuali richieste di giustificativi, richieste di timbrature, messaggi e informazioni sui saldi a scalare. A questo punto il lavoratore potrà decidere se effettuare la timbratura geolocalizzata. In fase di accesso alla funzione di timbratura, l’App Time Relax richiede il consenso al dipendente per potere accedere alla posizione. Dato il consenso, solo a quel punto, l’app inizia la ricerca della posizione. Verificata la posizione, il lavoratore può decidere il momento in cui effettuare la timbratura, selezionando il verso (inizio o termine dell’attività). Solo ed unicamente a questo punto l’App richiede allo smartphone le coordinate geografiche della posizione in cui si trova e le trasmette al sistema di raccolta delle timbrature unitamente al codice identificativo del lavoratore, al verso di timbratura e alla data e ora di effettuazione. […]. All’interno di Time Relax i dati sono disponibili ai dipendenti che già svolgono le attività di gestione ed amministrazione del personale, oltre ai superiori gerarchici di ciascun dipendente. In specie, i soggetti che hanno accesso ai dati del lavoro in modalità agile sono: il Dirigente, la postazione di timbratura, la Ditta proprietaria della piattaforma Time relax nella qualità del suo Responsabile del trattamento dei dati […] e il responsabile del servizio ispettivo […]”.

Con nota del XX, l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi nell’ambito dell’attività istruttoria, ha notificato ad ARSAC, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento. Ciò in quanto il trattamento dei dati relativi alla posizione geografica della generalità dei dipendenti in lavoro agile e il successivo utilizzo degli stessi per avviare un procedimento disciplinare a carico della reclamante risultavano essere avvenuti in violazione degli artt. 5, par. 1, lett. a), b) e c), 6, 13, 25, 35 e 88 del Regolamento e degli artt. 113 e 114 del Codice.

Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).

Con nota del XX, ARSAC, nel manifestare la volontà di essere audita dall’Autorità ai sensi dell’art. 166, comma 6, del Codice e nel riservarsi di produrre ulteriore documentazione difensiva, comprensiva altresì degli elementi di cui all’art. 83 del Regolamento, richiesti dall’Autorità con la predetta XX, ha rappresentato che “in data XX è stata disattivata, in autotutela, la funzione “geolocalizzazione” della piattaforma di “timbratura” TIMERELAX”.

In occasione dell’audizione, tenutasi in data XX, ARSAC ha dato lettura della documentazione difensiva poi trasmessa con nota del XX, dalla quale risulta, tra l’altro, che:

- “il procedimento disciplinare (allo stato sospeso) nei riguardi della dipendente […] ha avuto inizio da un controllo a campione effettuato sulla base delle linee guida del servizio ispettivo dell’ARSAC, su una percentuale pari al 20% dei dipendenti in lavoro agile […]. La dipendente, all’atto del controllo, ha accennato a una incongruenza circa il luogo di espletamento dell’attività lavorativa in modalità agile. Il luogo risultava diverso rispetto ai tre indicati nel contratto sottoscritto”; “il dato relativo alla geolocalizzazione non è stato valutato ai fini dell’intero procedimento poiché la stessa dipendente ha dichiarato […] di trovarsi in un posto diverso rispetto a quelli indicati nel suo contratto di lavoro agile”;

- “il contratto sottoscritto dalla dipendente prevedeva l’espletamento della prestazione lavorativa in […] luoghi […] che non corrispondono a quello in cui si trovava la dipendente all’atto del controllo […]”; “la dipendente dichiara di aver espletato la propria prestazione lavorativa in un “bed&breakfast […], comunicando al proprio responsabile tale divergenza soltanto il XX”;

- “il divieto, ai sensi dell’art. 4, Stat. lav., dell'uso di apparecchiature per finalità di controllo a distanza dell'attività dei lavoratori, è stato rispettato dall’ARSAC, in quanto il controllo della geolocalizzazione era finalizzato a un’esigenza organizzativa, produttiva e di sicurezza sul lavoro (la dipendente si trovava a decine di chilometri di distanza dal punto comunicato in sede autorizzativa del lavoro agile) e non a finalità disciplinari, tanto è vero che il procedimento disciplinare si è attivato non a causa della visione della posizione geolocalizzata (come sostiene la dipendente nella denuncia) ma per il fatto che l’interessata ha detto, al telefono, di non trovarsi nel luogo che aveva originariamente comunicato, e comunque tale procedimento è stato sospeso e l’interessata non avuto alcuna sanzione”;

-  “il trattamento dei dati personali [… in questione ha riguardato] un numero limitato di dipendenti (circa 100 su 540)”; “la stessa funzione di geolocalizzazione è stata disattivata ad XX”;

- “il trattamento dei dati tramite la timbratura virtuale doveva includere la geolocalizzazione sulla base legale dell’atto amministrativo generale [Deliberazione ARSAC n. XX del XX] ai sensi dell’art. 2-ter, commi 1 e 1-bis, del D.lgs. n. 196/2003 ss.mm.ii.  [… come] condiviso con il Responsabile Protezione Dati interno allora nominato. L’impiego della geolocalizzazione […] consentiva al datore di lavoro di verificare che il lavoratore svolgesse la propria attività nella sede appropriata […]. Veniva comunque conservato soltanto il dato relativo alla sede di lavoro e quello relativo all’ingresso e uscita. L’impiego della APP Time Relax con funzione di geolocalizzazione è stato attivato con la sola finalità di fornire ai lavoratori maggiori garanzie nell’ambito del lavoro agile, in particolare, la possibilità di usufruire di permessi per servizio (per svolgimento di attività anche presso altre Amministrazioni o Enti quali Tribunali, Agenzie delle Entrate, Uffici della Giunta, ecc.)  o per motivi personali”; “il tutto è stato fatto nella massima trasparenza e avendo stipulato con le rappresentanze sindacali apposito accordo ai sensi dell’art. 4, Stat. Lav.”;

- l’Azienda “comunque ha interrotto il trattamento oggetto del procedimento e ha intrapreso un percorso di completamento della conformità alla normativa in materia di protezione dati personali”.

In dataXX, ARSAC ha, da ultimo, fornito ulteriori elementi in relazione ai fatti oggetto di istruttoria.

3. La disciplina in materia di protezione dei dati personali in ambito lavorativo.

Con riguardo al trattamento dei dati personali nell’ambito del rapporto di lavoro, si evidenzia in via generale che il datore di lavoro può trattare i dati personali dei lavoratori, anche relativi a categorie particolari di dati (cfr. art. 9, par. 1, del Regolamento), al ricorrere di un’idonea base giuridica, se il trattamento è necessario per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti derivanti dalla disciplina di settore nonché quando il trattamento è “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (artt. 6, parr. 1, lett. c) ed e), 2 e 3; 9, par. 2, lett. b), e 4; 88 del Regolamento; 2-ter del Codice).

In tale quadro, ai trattamenti di dati personali effettuati nell’ambito dell’esecuzione del contratto di lavoro subordinato in modalità agile - regolato da una disciplina volta a favorire l’adozione di modalità di organizzazione del lavoro basate sulla flessibilità spazio-temporale, sulla valutazione per obiettivi e sulla conciliazione della vita lavorativa con quella privata (v. artt. da 18 a 23 della l. 22 maggio 2017, n. 81) - trovano applicazione le medesime basi giuridiche sopra richiamate che ricorrono tipicamente in ambito lavorativo.

Il datore di lavoro deve, inoltre, rispettare le norme nazionali, che “includono misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati in particolare per quanto riguarda la trasparenza del trattamento […] e i sistemi di monitoraggio sul posto di lavoro” (artt. 6, par. 2, e 88, par. 2, del Regolamento). Sul punto il Codice, confermando l’impianto anteriore alle modifiche apportate dal d.lgs. 10 agosto 2018, n. 101, fa espresso rinvio alle disposizioni nazionali di settore che tutelano la dignità delle persone sul luogo di lavoro, con particolare riferimento ai possibili controlli da parte del datore di lavoro (artt. 113 “Raccolta dati e pertinenza” e 114 “Garanzie in materia di controllo a distanza”). Per effetto di tale rinvio, e tenuto conto dell’art. 88, par. 2, del Regolamento, l’osservanza degli artt. 4 e 8 della l. 20 maggio 1970, n. 300, e dell’art. 10 del d.lgs. n. 276/2003 (nei casi in cui ne ricorrono i presupposti) costituisce una condizione di liceità del trattamento.

Si fa, peraltro, presente che, anche nel caso in cui il lavoro sia svolto in modalità agile, “il datore di lavoro è tenuto a garantire al lavoratore il rispetto della sua personalità e della sua libertà morale” ai sensi dell’art. 115 del Codice, espressamente rivolto al telelavoro, al lavoro agile e al lavoro domestico. 

Il datore di lavoro, quale titolare del trattamento, è tenuto in ogni caso a rispettare i principi in materia di protezione dei dati (art. 5 del Regolamento).

Al datore di lavoro è altresì richiesta l’osservanza dei principi di “protezione dei dati fin dalla progettazione” e “protezione dei dati per impostazione predefinita”, in virtù dei quali lo stesso deve mettere in atto misure tecniche e organizzative adeguate, “sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso”, in particolare al fine di “integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del [Regolamento] e tutelare i diritti degli interessati” nonché “per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento”, anche con riferimento ai profili relativi alla conservazione e alla quantità dei dati raccolti (art. 25 del Regolamento).

4. Esito dell’attività istruttoria.

4.1. Il trattamento dei dati relativi alla posizione geografica del personale che presta l’attività lavorativa in modalità agile.

Dall’accertamento compiuto sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni dell’Ufficio, risulta accertato che, in virtù della dell’adozione della delibera n. XX del XX e dell’allegato regolamento sul lavoro agile, che ne costituisce parte integrante, ARSAC si è avvalsa - dal XX, mese a cui risale l’adozione della delibera n. XXe dell’allegato regolamento, fino all’XX  -  di un’applicazione (Time Relax) tramite la quale, al momento della timbratura in entrata e in uscita da parte di ciascun dipendente e previo suo consenso alla geolocalizzazione, acquisiva le coordinate geografiche dello smartphone o del pc del dipendente che aveva timbrato, unitamente al suo codice identificativo, alla data e all’ora della timbratura, specificando se in entrata o in uscita.

Ciò allo scopo di verificare che la posizione geografica dalla quale il personale si trovava a svolgere la propria prestazione lavorativa in modalità agile fosse corrispondente ad una di quelle indicate all’interno di ciascun accordo individuale in materia di lavoro agile e, per l’effetto, stando a quanto dichiarato dall’Azienda, anche a beneficio di dichiarate esigenze organizzative e produttive, di tutela della salute e della sicurezza dei lavoratori nonché di protezione dei dati personali oggetto di trattamento per il tramite degli strumenti di lavoro.

Risulta accertato, più in particolare, che il dato relativo alla geolocalizzazione del dipendente in modalità agile veniva trattato:

a) sia, in via generale, all’atto della quotidiana timbratura, da parte del dipendente, in entrata e in uscita, in occasione dell’inizio e della fine dell’attività lavorativa o, comunque, in occasione della fruizione di eventuali permessi di cui il dipendente si avvalesse nell’ambito della sua fascia di reperibilità; in tali casi, veniva di volta in volta effettuata una verifica della rispondenza tra il dato relativo alla posizione geografica rilevata e la sede di lavoro del dipendente prevista dall’accordo in materia di lavoro agile;

b) sia, come accaduto nel caso oggetto di reclamo, nell’ambito di puntuali attività di controllo mirato su specifici dipendenti effettuate in applicazione delle procedure interne precedentemente in uso presso l’Azienda, in base alle quali:

i. i dipendenti da sottoporre alle verifiche venivano selezionati in via casuale;

ii. il dipendente sottoposto a controllo veniva contattato telefonicamente da parte del responsabile dell’unità organizzativa competente, nel rispetto della fascia oraria di reperibilità, e veniva invitato ad effettuare una doppia timbratura mediante l’applicativo Time Relax, una in entrata e una in uscita;

iii. subito dopo, il dipendente sottoposto a controllo veniva invitato a dichiarare il luogo esatto in cui si trovava al momento dell’effettuazione delle timbrature oggetto di controllo ispettivo mediante la trasmissione di una e-mail all’indirizzo di posta elettronica istituzionale della predetta unità organizzativa;

iv. nella fase successiva il responsabile suddetto procedeva alla verifica della rispondenza tra il luogo o i luoghi di lavoro indicati dal lavatore nel contratto individuale di lavoro agile rispetto a quanto dichiarato tramite e-mail e a quanto risultante dall’applicativo Time Relax nel giorno e nell’orario in cui era stato svolto il controllo ispettivo;

v. le risultanze di tale attività di controllo venivano quindi inserite in un verbale che, in busta chiusa e sigillata, veniva fatto recapitare, tramite protocollo interno, al Direttore generale dell’Azienda.

Dalla documentazione in atti si evince che l’impiego dell’applicativo Time Relax e, in particolare, della sua funzione di geolocalizzazione in relazione all’attività di timbratura dei dipendenti era stato oggetto di negoziazione tra l’Azienda e le rappresentanze sindacali (v. verbale dell’XX, con cui, in particolare, era stato approvato il “Regolamento aziendale del lavoro agile”).

Dall’esame degli atti risulta, altresì, che l’Azienda, dopo aver sottoposto la reclamante ad uno specifico controllo con le modalità sopra indicate sub lettera b) ha avviato un procedimento disciplinare nei suoi confronti sul presupposto della rilevata “discordanza tra l'ubicazione dichiarata e la geolocalizzazione accertata dall'Ufficio Ispettivo nell'espletamento delle verifiche” (cfr. nota di contestazione dell’addebito disciplinare, dell’XX).

In entrambi i casi sopra menzionati (lett. a) e b)), la raccolta, per il tramite della predetta applicazione, del dato relativo alla localizzazione del dipendente risulta essere stata effettuata allo scopo di verificare che la posizione geografica dalla quale il personale svolge la propria prestazione lavorativa in modalità agile fosse corrispondente a quella indicata all’interno di ciascun accordo individuale in materia di lavoro agile. Ciò stante, deve ritenersi che il trattamento in questione, “inser[…endosi]” – come affermato dalla stessa Azienda – “nell’ambito dell’esercizio dei poteri datoriali di organizzazione del lavoro” e dando luogo in tal senso ad un “monitoraggio sull’effettivo svolgimento del lavoro in modalità agile” (cfr. nota del XX), fosse direttamente preordinato alla verifica dell’osservanza da parte del lavoratore degli obblighi discendenti dall’accordo in materia di lavoro in modalità agile con riguardo alla sede dello svolgimento dell’attività lavorativa.

In sede di memorie difensive, l’Azienda ha precisato che tale trattamento consentiva di perseguire anche specifici interessi riconducibili a legittime esigenze datoriali (cfr. nota del XX; v. anche nota del XX).

4.2. La rilevazione della posizione geografica del luogo di svolgimento del lavoro agile.

La disciplina nazionale definisce il lavoro agile come una “modalità di esecuzione del rapporto di lavoro subordinato” per cui la prestazione lavorativa si svolge, in relazione alla specificità delle mansioni svolte, “per fasi, cicli e obiettivi, senza precisi vincoli di orario e di luogo di lavoro” (v. artt. da 18 a 23 della l. 22 maggio 2017, n. 81). In tale quadro, infatti, la prestazione lavorativa in modalità agile, differentemente dallo svolgimento dell’attività lavorativa presso la sede del datore di lavoro, risulta tipicamente caratterizzata da una flessibilità che, fatta salva l’eventuale operatività di fasce di reperibilità, attiene sia al luogo sia al tempo del relativo svolgimento (art. 18, comma 1, della l. 22 maggio 2017, n. 81).

Per quanto precede, eventuali verifiche sull’adempimento della prestazione lavorativa svolta in modalità agile possono consistere, ad esempio, nella redazione da parte del lavoratore di report periodici o documenti di sintesi in merito all’attività svolta oppure in momenti di confronto nei giorni di presenza in sede sugli obiettivi raggiunti in relazione a quelli assegnati (Direttiva del Ministero per la Pubblica istruzione del XX; ma, v. già le Linee guida contenenti regole inerenti all’organizzazione del lavoro finalizzate a promuovere la conciliazione dei tempi di vita e di lavoro, contenute nella Direttiva Pres. Cons. Ministri n. 3 del 2017).

Anche in caso di svolgimento della prestazione in modalità agile, l’impiego di strumenti tecnologici da parte del datore di lavoro, dai quali derivi anche la possibilità di controllare a distanza l’attività dei lavoratori, può avvenire esclusivamente per il perseguimento delle tassative finalità previste dalla legge, ossia “[…] per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale”, nel rispetto delle garanzie procedurali ivi stabilite (art. 4, comma 1, della l. 20 maggio 1970, n. 300). La legge sul lavoro agile, infatti, richiama espressamente i limiti, le condizioni e le procedure di garanzia dell’art. 4 della l. 20 maggio 1970, n. 300 (cfr. art. 21 della l. 22 maggio 2017, n. 81).

In tale quadro, anche a seguito delle modifiche apportate alla l. 20 maggio 1970, n. 300, dall’art. 23 del d. lgs. 14 settembre 2015, n. 151, le diverse esigenze di controllo dell’osservanza dei doveri di diligenza del lavoratore - che pure rientrano nelle prerogative datoriali se perseguite personalmente dal datore di lavoro o attraverso la propria organizzazione gerarchica (artt. 2086 e 2104 c.c.) - non possono invece essere perseguite con strumenti tecnologici a distanza, che, riducendo lo spazio di libertà e dignità della persona in modo meccanico e anelastico, comportano un monitoraggio diretto dell’attività del lavoratore non consentito dall’ordinamento vigente e dal quadro costituzionale. Tali finalità non risultano, infatti, riconducibili ad alcuna delle tassative finalità selezionate dal legislatore e sopra richiamate (“organizzative e produttive", "di sicurezza del lavoro" e "di tutela del patrimonio aziendale”), atteso che il controllo a distanza dell’attività lavorativa è consentito dalla legge, nel rispetto delle condizioni di garanzia ivi previste, solo incidentalmente, ossia in occasione del perseguimento di tali legittime finalità, così assumendo un carattere tipicamente indiretto e preterintenzionale. Tale principio risulta peraltro confermato dalla giurisprudenza della Corte di Cassazione (cfr. Cassazione penale, III sez., n. 22148/2017, nella parte in cui richiama l’orientamento, “pienamente valido anche a seguito della novella di cui al d.lg. 14 settembre 2015, n. 151, art. 23”, in base al quale “le apparecchiature finalizzate al mero controllo a distanza della prestazione lavorativa [debbano essere] assolutamente vietate […per] contrasto con i principi della Costituzione”). Ciò comporta che il perseguimento della predetta finalità di controllo diretto non è ammissibile nell’ordinamento neppure in presenza di un eventuale accordo con la rappresentanza sindacale unitaria o con le rappresentanze sindacali aziendali, trattandosi di una finalità che si colloca al di fuori della cornice di garanzia delineata dalle disposizioni di settore e, più radicalmente, dall’assetto costituzionale interno, come evidenziato dalla giurisprudenza di legittimità sopra richiamata.

Ne discende che, sul piano della protezione dei dati personali, il relativo trattamento risulta sprovvisto di un’idonea base giuridica, ponendosi in contrasto con il principio di “liceità, correttezza e trasparenza” e con le disposizioni nazionali specifiche di maggior tutela fatte salve dal Regolamento, in violazione degli artt. 5, par. 1, lett. a), e 6, atteso che la predetta condotta si colloca al di fuori del quadro di liceità previsto dall’art. 114 del Codice (cfr. art. 88 del Regolamento).

A conferma dei principi sopra richiamati, preme segnalare anche che, con circolare n. 4/2017, l’Ispettorato Nazionale del Lavoro, nel fornire chiarimenti interpretativi in merito all’art. 4 della l. 20 maggio 1970, n. 300, ancorché con riferimento ad altri strumenti, ha precisato che, in ogni caso, “l’installazione e l’utilizzo di “[…] strumenti dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori”, può essere giustificata esclusivamente per le esigenze previste dall’art. 4 [… e], pertanto, solo in tali ipotesi può legittimarsi un controllo “incidentale” sull’attività del lavoratore, […] evitando controlli prolungati, costanti, indiscriminati e invasivi”, specificando altresì che “non va dunque capovolto il “paradigma” fondamentale dell’art. 4 […] in modo tale da realizzare un controllo penetrante sullo svolgimento della prestazione dei lavoratori, al fine di garantire adeguate e più efficienti modalità organizzative e produttive all’interno dell’azienda” e concludendo, pertanto, che, in tal casi, gli strumenti impiegati “non solo non rientrano nella definizione di strumento utile a “...rendere la prestazione lavorativa...” ma […] non si ravvisano neanche quelle esigenze organizzative e produttive che giustificano il rilascio del provvedimento autorizzativo da parte dell’Ispettorato del Lavoro” (cfr., proprio in tema di geolocalizzazione di dispositivi assegnati ai dipendenti, anche circolare INL del XX, prot. n. XX). 

In tali termini si è espresso anche il Garante con propri provvedimenti (cfr., in particolare, provv.ti 1° dicembre 2022, n. 409, doc. web n.9833530; 28 ottobre 2021, n. 384, doc. web n. 9722661; e 16 novembre 2017, n. 479, doc. web n. 7355533; cfr. anche, ancorché con riguardo al differente contesto relativo all’installazione di dispositivi video in prossimità di sistemi di rilevazione delle presenze, il parere del Garante sullo schema di decreto del Presidente del Consiglio dei ministri concernente la disciplina di attuazione della disposizione di cui all’art. 2 della legge 19 giugno 2019, n. 56, provv. del 19 settembre 2019, n. 167, spec. punto 4.2, doc. web n. 9147290; cfr. anche il provvedimento in materia di videosorveglianza dell’8 aprile 2010, par. 4.1, doc. web n. 1712680, il quale, sebbene risalente al precedente quadro giuridico in materia di protezione dei dati, contiene indicazioni che possono ritenersi ancora valide: “nelle attività di sorveglianza occorre rispettare il divieto di controllo a distanza dell’attività lavorativa, pertanto è vietata l´installazione di apparecchiature specificatamente preordinate alla predetta finalità: non devono quindi essere effettuate riprese al fine di verificare l’osservanza dei doveri di diligenza stabiliti per il rispetto dell´orario di lavoro e la correttezza nell’esecuzione della prestazione lavorativa ad es. orientando la telecamera sul badge”).

Tale orientamento trova conferma anche nel quadro giuridico europeo e internazionale (cfr. Comitato europeo per la protezione dei dati, Linee Guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video, versione 2.0, adottate il 29 gennaio 2020, par. 37, laddove è indicato che “nella maggior parte dei casi un dipendente sul luogo di lavoro non si aspetta di essere monitorato dal proprio datore di lavoro”; v. già Gruppo di Lavoro Art. 29, Parere 2/2017 sul trattamento dei dati sul posto di lavoro, adottato l’8 giugno 2017, WP 249; cfr. anche la Raccomandazione Consiglio di Europa 1° aprile 2015, CM/Rec (2015), par. 15.1, ove si afferma che “non dovrebbe essere consentito introdurre e utilizzare sistemi informativi e tecnologie aventi per scopo diretto e primario la sorveglianza dell’attività e del comportamento dei dipendenti”).

Si osserva, a tal proposito, come anche gli stessi trattamenti di dati personali che possono essere lecitamente effettuati dal datore di lavoro (ossia, appunto, quelli a carattere indiretto o preterintenzionale) non possano comunque assumere carattere massivo e indiscriminato, dovendo essere effettuati piuttosto secondo un principio di gradualità e progressività e, dunque, solo previo esperimento di misure meno limitative dei diritti lavoratori (cfr. Audizione del Garante sul Jobs Act presso Commissione lavoro Camera deputati 9 luglio 2015, doc. web n. 4119045; nonché “Dichiarazione di Antonello Soro, Presidente del Garante per la privacy, su sentenza Corte di Strasburgo” - CEDU, sentenza 17 ottobre 2019, López Ribalda and others v. Spain-, doc. web n. 9164334, “il requisito essenziale perché i controlli sul lavoro […] siano legittimi resta dunque, per la Corte, la loro rigorosa proporzionalità e non eccedenza: capisaldi della disciplina di protezione dati la cui "funzione sociale" si conferma, anche sotto questo profilo, sempre più centrale perché capace di coniugare dignità e iniziativa economica, libertà e tecnica, garanzie e doveri”).

Alla luce delle considerazioni che precedono, si deve comunque precisare che, in via generale, l’intersezione normativa tra la disciplina in materia di protezione dei dati personali e quella in materia di controlli a distanza dell’attività lavorativa, sebbene risulti idonea ad assicurare una tutela rafforzata del lavoratore, in quanto interessato vulnerabile per effetto dell’asimmetria del rapporto contrattuale con il datore di lavoro, evidenzia la complementarietà tra due corpi normativi che restano, tuttavia, tra loro autonomi e distinti. Ciò comporta, quindi, che il datore di lavoro, titolare del trattamento, oltre alla normativa di settore applicabile, deve sempre rispettare i principi di protezione dei dati personali. L’eventuale presenza di un accordo con le rappresentanze sindacali in merito all’impiego di un determinato sistema che comporta trattamento di dati personali dei lavoratori costituisce, infatti, condizione necessaria, ma non sempre sufficiente, per assicurare la complessiva liceità del trattamento e il rispetto dei principi di protezione dei dati personali.

Né il trattamento in questione può ritenersi lecito sul presupposto che, in base alle dichiarazioni rese dall’Azienda, la base giuridica sarebbe in tal caso rappresentata “dall’atto amministrativo generale composto dalla Deliberazione ARSAC n. XX del XX, con l’allegato regolamento sul “Lavoro Agile”, parte integrante della delibera” (cfr. nota del XX). In disparte dalla corretta qualificazione della delibera dell’Azienda quale atto amministrativo generale ai sensi dell’ordinamento vigente, infatti, gli atti amministrativi generali non possono contravvenire ovvero modificare le norme sovraordinate di riferimento, avendo un mero effetto integrativo dell’ordinamento. Come evidenziato in recenti pronunce dell’Autorità, il criterio gerarchico delle fonti del diritto sancisce, invero, la prevalenza della fonte di rango superiore rispetto a quella di livello inferiore, precludendo a quest’ultima di derogarvi o di porsi in contrasto con il contenuto della fonte sovraordinata; pertanto, non si rinviene nell’atto amministrativo generale l’attitudine ad apportare innovazioni o modifiche nell’ordinamento in relazione al trattamento dei dati personali – quale, appunto, sarebbe il trattamento del dato relativo alla geolocalizzazione del personale che presta la propria attività lavorativa in modalità agile –, non potendo tale atto assorbire interamente la disciplina vigente, le cui caratteristiche essenziali devono essere e rimangono delineate dalle norme di rango ad esso sovraordinate (cfr., in particolare, provv. 11 aprile 2024, n. 235, doc. web n. 10019523; v. anche provv. del 6 luglio 2023, nn. 286 e 287, doc. web n. 9920145; provv. del 13 aprile 2023, n. 125, doc. web n. 9907846; provv. del 22 luglio 2021, n. 273, doc. web. n. 9683814).

La base giuridica del trattamento deve, infatti, essere “idonea” anche alla luce dell’assetto delle fonti dell’“ordinamento costituzionale” dello Stato membro (v. considerando 41 del Regolamento e v. anche Corte Cost. sent. n. 271/2005, in base alla quale la disciplina di protezione dei dati personali rientra fra la materia di competenza esclusiva statale riferita all’“ordinamento civile”) e la stessa deve soddisfare specifici requisiti, sia in termini di qualità della fonte, contenuti necessari e misure appropriate e specifiche per tutelare i diritti e le libertà degli interessati, sia in termini di proporzionalità dell’intervento regolatorio rispetto alle finalità che si intendono perseguire (art. 6, parr. 2 e 3, lett. b), del Regolamento).

E ancora, come recentemente chiarito dal Garante anche con riguardo a differenti ambiti lavorativi, nel sistema del Regolamento e del Codice, non sono consentiti livelli differenziati di tutela della protezione dei dati personali su base territoriale o tra i diversi contesti lavorativi pubblici e tra questi e quelli privati o, ancora, a livello di singola amministrazione, come avvenuto nel caso di specie, ove si è dato corso, peraltro, ad una disparità di trattamento a svantaggio dei soli dipendenti che fruiscono del lavoro agile. Ciò specie quando, come nel caso di cui trattasi, la materia sia già stata oggetto di bilanciamento e regolazione dal legislatore con disposizioni uniformi a livello nazionale che tutela la dignità e la personalità morale del lavoratore indipendentemente dalle modalità con le quali presta propria attività lavorativa, in presenza o in modalità agile, in qualunque ambito lavorativo (artt. 88 del Regolamento, 114 e 115 del Codice e 18, comma 1, e 21 della legge 22 maggio 2017, n. 81), anche tenuto conto che, per scelta del legislatore, lo svolgimento del lavoro agile avviene “senza precisi vincoli di […] luogo di lavoro”.

Né, ancora, può ritenersi rilevante la circostanza invocata dall’Azienda, per cui “l’App Time Relax richiede il consenso al dipendente per potere accedere alla posizione” (cfr. nota del XX), posto che, come affermato in molte occasioni dal Garante (cfr., tra in tanti, provv. 14 gennaio 2021, n. 16, doc. web n. 9542071), il consenso dei dipendenti non costituisce, in tale contesto, un valido presupposto di liceità per il trattamento dei dati personali, indipendentemente dalla natura pubblica o privata del datore di lavoro (cons. n. 43; art. 4, punto 11), e art. 7, par. 3 e 4, del Regolamento; v. l’orientamento consolidato in sede europea, Gruppo di lavoro "Articolo 29", Parere 2/2017 sul trattamento dei dati sul posto di lavoro, WP 249, p. 7 e 26 e Linee Guida sul consenso ai sensi del Regolamento UE 2016/679 - WP 259 - del 4 maggio 2020). Ciò fermi restando gli obblighi previsti dal Codice con riguardo al trattamento dei dati relativi all’ubicazione a carico dei fornitori del servizio di comunicazione elettronica accessibile al pubblico e dei fornitori della rete pubblica di comunicazioni o del terzo che fornisce il servizio a valore aggiunto (artt. 121, comma 1-bis, e 126 del Codice, attuativi della Direttiva 2002/58/CE).

Peraltro, posto che la legge consente il controllo a distanza dell’attività lavorativa mediante l’utilizzo di strumentazione tecnologica da parte del datore di lavoro solo in misura meramente incidentale e preterintenzionale, il trattamento dei dati finalizzato a controllare direttamente l’attività lavorativa dei singoli dipendenti evidenzia un contrasto anche con il principio di “limitazione della finalità” di cui all’art. 5, par. 1, lett. b), del Regolamento, nella misura in cui persegue una finalità non “legittim[…a]”.

Alla luce delle considerazioni che precedono, deve ritenersi che il trattamento, da parte di ARSAC per il tramite dell’applicativo Time Relax, dei dati relativi alla posizione geografica del personale che presta la propria attività lavorativa in modalità agile è stato effettuato dal XX - mese a cui risale l’adozione della delibera n. XX e dell’allegato regolamento - all’XX, in maniera non conforme ai principi di “liceità, correttezza e trasparenza” e “limitazione della finalità” nonché in assenza di un idoneo presupposto di liceità, in violazione degli artt. 5, par. 1, lett. a) e b), e 6, atteso che la predetta condotta si colloca al di fuori del quadro di liceità previsto dall’art. 114 del Codice (cfr. art. 88 del Regolamento).

4.2.1. La raccolta di dati personali relativi alla vita privata del dipendente.

Considerato che, soprattutto in caso di ricorso a forme di lavoro in modalità agile, la linea di confine tra l’ambito lavorativo e professionale e quello strettamente privato non può sempre essere tracciata in modo netto, non può essere prefigurato l’annullamento di ogni aspettativa di riservatezza dell’interessato in ambito lavorativo, ragione per la quale la Corte europea dei diritti dell’uomo ha nel tempo confermato che la protezione della vita privata (art. 8 Convenzione europea dei diritti dell’Uomo) si estende anche all’ambito lavorativo, ove si esplicano la personalità e le relazioni della persona che lavora (v. Sentenze della Corte Europea dei Diritti dell'Uomo Niemietz c. Allemagne, 16.12.1992 (ric. n. 13710/88), spec. par. 29; Copland v. UK, 03.04.2007 (ric. n. 62617/00), spec. par. 41; Barbulescu v. Romania [GC], 5.9.2017 (ric. n. 61496/08), spec. parr. 70-73 e 80; Antovic and Mirkovic v. Montenegro, 28.11. 2017 (ric. n. 70838/13), spec. par. 41-42).

Pertanto il trattamento dei dati effettuato mediante tecnologie informatiche, nell’ambito del rapporto di lavoro, deve conformarsi al rispetto dei diritti e delle libertà fondamentali nonché della dignità dell’interessato, a tutela di lavoratori e di terzi (v. Raccomandazione CM/Rec(2015)5 del Comitato dei Ministri agli Stati Membri sul trattamento di dati personali nel contesto occupazionale, spec. punto 3).

Con riguardo al caso di specie, secondo quanto emerge dagli atti e confermato dal titolare del trattamento, risulta invece che le caratteristiche originarie dell’applicativo Time Relax non fossero proporzionate rispetto alla finalità perseguita dall’Azienda (cfr. considerando 49 e art. 6, par.1, lett. e) del Regolamento), dando luogo ad una raccolta sistematica di informazioni non necessarie in ragione delle peculiarità dello svolgimento della prestazione in modalità agile, anche in contrasto con il divieto per il datore di lavoro di raccogliere dati non pertinenti previsto dall’art. 113 del Codice (in riferimento all’art. 8 della l. 20 maggio 1970, n. 300, e all’art. 10 del d.lgs. 10 settembre 2003, n. 276) e, quindi, con lo stesso principio di “liceità, correttezza e trasparenza” di cui all’art. 5, par. 1, lett. a), del Regolamento.

L’esigenza di assicurare che la prestazione lavorativa dei dipendenti in modalità agile venga effettivamente resa presso le sedi indicate nell’accordo di riferimento non può, infatti, giustificare ogni forma di interferenza nella vita privata - come avvenuto nel caso di specie, raccogliendo e trattando l’informazione relativa alla specifica località in cui temporaneamente l’interessata si trovava – dando essa luogo a trattamenti di dati personali che ricadono nell’ambito di applicazione dell’art. 113 del Codice, in violazione degli artt. 5, par. 1, lett. a), 6 e 88 del Regolamento e 113 del Codice (con riguardo ai rischi per gli interessati e alle responsabilità per il titolare in ordine all’acquisizione di informazioni afferenti alla sfera privata dei dipendenti, v. provv. del 15 aprile 2021 n. 137 in corso di pubblicazione; ma v. pure, provv. del 26 marzo 2020, n. 64 - “Didattica a distanza: prime indicazioni” -, doc. web n. 9300784, par. 5 e, già, Linee guida su posta elettronica e internet, provv. 1° marzo 2007, n. 13, doc. web n. 1387522 in particolare, punto 5.2., lett. a), i cui principi possono ritenersi tutt’ora validi).

Al riguardo, si aggiunga che l’esigenza di assicurare anche nel caso del lavoro agile la riservatezza e la sicurezza dei dati trattati - pure invocata nel caso di specie dall’Azienda, che ha fatto riferimento, in particolare, al rischio di ambienti promiscui durante le telefonate di lavoro e all’accesso a reti wi-fi aperte (cfr. nota del XX) - deve essere perseguita anzitutto impartendo specifiche istruzioni ai dipendenti autorizzati (artt. 4, par. 10, 29, 32 par. 4, del Regolamento; v. art. 2-quaterdecies del Codice), anche in considerazione delle misure tecniche e organizzative adottate in via generale per proteggere i dati, e non invece attraverso la geolocalizzazione del personale che presta la propria attività lavorativa in modalità agile.

Ciò anche alla luce del principio sancito dall’art. 115 del Codice, per cui anche nell’ambito del rapporto di lavoro agile il datore di lavoro è tenuto a garantire al lavoratore il rispetto della sua personalità e della sua libertà morale.

In ogni caso, il trattamento in questione, dando luogo ad una raccolta di dati non limitati né pertinenti rispetto alla finalità di gestione del rapporto di lavoro in modalità agile, si poneva altresì in contrasto con il principio di “minimizzazione dei dati”, in violazione dell’art. 5, par. 1, lett. c), del Regolamento.

Occorre, altresì, evidenziare che non risulta essere stato assicurato dall’Azienda, né al momento di determinare i mezzi del trattamento né durante il trattamento stesso, che la protezione dei dati personali fosse integrata nel trattamento fin dalla sua progettazione e per impostazione predefinita, “incorporan[d]o nel trattamento le misure e le garanzie adeguate ad assicurare l’efficacia dei principi di protezione dei dati, dei diritti e delle libertà degli interessati” e facendo in modo che “[venisse] effettuato per impostazione predefinita solo il trattamento strettamente necessario per conseguire la specifica e lecita finalità” (cfr. “Linee guida 4/2019 sull’articolo 25 - Protezione dei dati fin dalla progettazione e per impostazione predefinita”, adottate dal Comitato europeo per la protezione dei dati il 20 ottobre 2020). Deve, pertanto, concludersi che il trattamento in questione risulta essere stato effettuato anche in contrasto con i principi di protezione dei dati “fin dalla progettazione” e “per impostazione predefinita”, in violazione dell’art. 25 del Regolamento.

4.2.2. L’inadeguatezza delle informazioni in merito al trattamento.

Sebbene, inoltre, taluni elementi informativi attinenti alle operazioni di trattamento dei dati relativi alla geolocalizzazione dei dipendenti in modalità agile siano rinvenibili nella documentazione aziendale trasmessa dall’Azienda nel corso dell’istruttoria, si rileva tuttavia come tali atti non contengano tutti gli elementi informativi essenziali richiesti dall’art. 13 del Regolamento. Tali atti, quali, ad esempio, il “Regolamento sul lavoro agile” dell’Azienda, sono stati, infatti, redatti per assolvere ad obblighi diversi rispetto a quelli derivanti dalla disciplina in materia di protezione dei dati e non possono quindi sostituirsi all’informativa che il titolare deve rendere agli interessati, prima di iniziare il trattamento, in merito alle caratteristiche essenziali dello stesso e allo scopo di consentire agli stessi di esser pienamente consapevole della tipologia di operazioni di trattamento che potevano essere svolte anche attingendo, in un quadro di liceità, ai dati raccolti nel corso dell’attività lavorativa (cfr. al riguardo, tra i tanti, da ultimo, il provv. 11 aprile 2024, n. 234, doc. web n. 10013356, in relazione all’impiego di sistemi di videosorveglianza, nonché il provv. 13 maggio 2021, n. 190, doc. web n. 9669974; v. anche sentenze della Corte Europea dei Diritti dell'Uomo del 5 settembre 2017 - Ricorso n. 61496/08 - Causa Barbulescu c. Romania, spec. par. n.133 e 140 e sentenza del 9 gennaio 2018- ricorso n. 1874/13 e 8567/13- Causa López Ribalda e altri v. Spagna, spec. par. n. 115). Ciò risulta essere avvenuto, pertanto, in violazione degli artt. 5, par. 1, lett. a), e 13 del Regolamento.

4.2.3. L’omesso svolgimento della valutazione d’impatto sulla protezione dei dati.

Posto, inoltre, che dagli atti non risulta evidenza dello svolgimento della valutazione d’impatto del trattamento dei dati relativi alla geolocalizzazione del personale dipendente in modalità agile sulla protezione dei dati personali ai sensi dell’art. 35 del Regolamento, si evidenza quanto segue.

Ai sensi dell’art. 35 del Regolamento, “quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali”.

In attuazione del principio di “responsabilizzazione” (cfr. art. 5, par. 2, e 24 del Regolamento), spetta al titolare valutare se i trattamenti che si intendono realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche - in ragione delle tecnologie impiegate e considerata la natura, l'oggetto, il contesto e le finalità perseguite - che renda necessaria una preventiva valutazione di impatto sulla protezione dei dati personali (cfr. cons. 90 del Regolamento).

Con più specifico riferimento al trattamento dei dati personali effettuato dall’Azienda, il trattamento dei dati raccolti tramite il sistema di localizzazione satellitare comporta rischi specifici per i diritti e le libertà degli interessati nel contesto lavorativo (art. 35 del Regolamento). Tanto in considerazione della particolare “vulnerabilità” degli interessati nel contesto lavorativo (cfr. cons. 75 e art. 88 del Regolamento e le “Linee guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento "possa presentare un rischio elevato" ai sensi del Regolamento 2016/679”, WP 248 del 4 aprile 2017, che, tra le categorie di interessati vulnerabili, menzionano espressamente “i dipendenti”), nonché del fatto che in tale ambito l’impiego di sistemi che possono comportare anche indirettamente il “monitoraggio sistematico”, inteso come “trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti” (cfr. criterio n. 3 indicato nelle Linee guida, cit., ma vedi anche criteri 4 e 7), può presentare rischi - come emerso nel caso di specie - in termini di monitoraggio dell’attività dei dipendenti (cfr. artt. 35 e 88, par. 2, del Regolamento; v. anche provv. 11 ottobre 2018, n. 467, doc. web n. 9058979, all. n. 1, che espressamente menziona i “trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici […] dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti”; v. inoltre, tra gli altri, anche provv. n. 234 del 10 giugno 2021, doc. web n. 9675440).

Per tali ragioni, nel far presente la ricorrenza, nel caso di specie, dei presupposti per lo svolgimento di una valutazione d’impatto sulla protezione dei dati personali, circostanza che avrebbe consentito al titolare di avvedersi degli specifici ed elevati rischi per i diritti e le libertà degli interessati coinvolti, di mitigare gli stessi orientando le proprie scelte al riguardo in maniera maggiormente consapevole e, se del caso, diversa, deve concludersi che l’Azienda ha agito, altresì, in violazione dell’art. 35 del Regolamento. 

***

Per tutte le ragioni che precedono, deve dunque ritenersi che il trattamento, da parte dell’Azienda per il tramite dell’applicativo Time Relax, dei dati relativi alla posizione geografica del personale dipendente, essendo direttamente preordinato al perseguimento di una finalità non ammessa dalla disciplina di settore e relativa alla verifica di un particolare profilo dell’attività dei lavoratori, ossia quello concernente l’osservanza dell’accordo con riferimento alla sede dello svolgimento della prestazione lavorativa in modalità agile, è stato effettuato, tanto nei casi di cui alla lett. a) quanto in quelli di cui alla lett. b) del paragrafo 4.1 del presente provvedimento, in maniera non conforme ai principi di “liceità, correttezza e trasparenza”, “limitazione della finalità”, “minimizzazione dei dati”, “protezione dei dati fin dalla progettazione” e “protezione dei dati per impostazione predefinita”, nonché in assenza di un idoneo presupposto di liceità, in violazione degli artt. 5, par. 1, lett. a), b) e c), 6, 13, 25, 35 e 88 del Regolamento e dell’art. 113 del Codice.

4.3. Il trattamento dei dati relativi alla geolocalizzazione della reclamante per finalità disciplinari.

Quanto all’utilizzo dei dati relativi alla posizione geografica della reclamante a fini disciplinari, nel prendere atto che, in base a quanto dichiarato dall’Azienda, il procedimento disciplinare risulta allo stato “sospeso”, si fa presente quando segue.

A partire dal 2015, il quadro normativo vigente consente che i dati raccolti ai sensi dell’art. 4, commi 1 e 2, della l. 20 maggio 1970, n. 300, possano essere utilizzati dal datore di lavoro per ulteriori trattamenti necessari alla gestione del rapporto di lavoro, solo qualora tali dati siano stati lecitamente raccolti nel perseguimento delle finalità previste dai commi 1 e 2 dell’art. 4 della l. 20 maggio 1970, n. 300 nonché nel rispetto delle condizioni e dei limiti stabiliti da tale disposizione e della disciplina di protezione dati, fornendo ai dipendenti ogni informazione sugli ulteriori trattamenti. In altre parole, il datore di lavoro può utilizzare i dati personali dei lavoratori per ulteriori finalità riconducibili all’ambito della gestione del rapporto (cfr. l’esemplificazione contenuta nell’art. 88 del Regolamento) nei limiti in cui l’originaria raccolta sia stata lecitamente effettuata, avuto riguardo alla finalità principale, originariamente perseguita, e nel rispetto dei principi generali della protezione dei dati.

Ciò anche alla luce del disposto di cui all’art. 2-decies del Codice, che prevede in via di principio l’inutilizzabilità dei dati personali raccolti e trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali (tale principio è stato confermato in numerosi provvedimenti dell’Autorità e in documenti di indirizzo a carattere generale; cfr., tra i tanti, FAQ n. 13 in tema di oblio oncologico, doc. web n. 10044898, e FAQ n. 12 reperibile in https://www.garanteprivacy.it/temi/coronavirus/faq#scuola).

Il titolare del trattamento può, infatti, utilizzare i soli dati personali lecitamente raccolti, in presenza di un’idonea base giuridica, avendo previamente “soddisfatto tutti i requisiti per la liceità del trattamento originario” (cfr. cons. n. 50 del Regolamento) e, dunque, nei limiti in cui l’originaria raccolta sia stata effettuata in un quadro complessivo di liceità, anche tenuto conto “del contesto in cui i dati personali sono stati raccolti, in particolare relativamente alla relazione tra l'interessato e il titolare del trattamento”, “delle possibili conseguenze dell'ulteriore trattamento previsto per gli interessati” nonché “dell'esistenza di garanzie adeguate” (v. art. 6, par. 4, del Regolamento).

Tali principi sono stati ribaditi dal Garante in numerosi provvedimenti, ancorché con riguardo all’impiego di differenti tecnologie nel contesto lavorativo (cfr. provv. 11 aprile 2024, n. 234, doc. web n. 10013356, in materia di videosorveglianza; provv. 13 maggio 2021, n. 190, doc. web n. 9669974, in materia di raccolta dei dati di navigazione in internet del dipendente; provv. 28 ottobre 2021, n. 384, doc. web n. 9722661, in materia di raccolta dei dati degli operatori di call center).

Quanto al caso di specie, sebbene l’Azienda abbia da ultimo dichiarato che il dato acquisito per il tramite dell’applicazione Time Relax non sia stato utilizzato per far valere specifiche responsabilità della reclamante sul piano disciplinare (cfr. nota del XX), occorre rilevare che, invece, tanto la relazione redatta dall’unità organizzativa competente ad effettuare il controllo quanto la successiva nota di contestazione disciplinare danno conto del predetto utilizzo a fini disciplinari (cfr. Relazione Controllo Lavoro Agile n. XX del XX e nota di contestazione dell’addebito disciplinare, dell’XX).

Sebbene, infatti, in occasione del controllo mirato nei confronti della reclamante nel XX, la stessa, contattata telefonicamente, avesse dichiarato “di non trovarsi nel luogo che aveva originariamente comunicato” (cfr. nota del XX), l’ufficio competente ha comunque richiesto alla dipendente di effettuare una timbratura in entrata e una in uscita per far sì che l’applicativo Time Relax registrasse l’informazione relativa alla sua localizzazione geografica. Tali dati personali sono stati, quindi, acquisiti agli atti dell’Amministrazione e utilizzati a fondamento dell’avvio del procedimento disciplinare, atteso che nella nota di contestazione dell’addebito, dell’XX, è stata espressamente contestata, tra l’altro, la “discordanza tra l'ubicazione dichiarata e la geolocalizzazione accertata dall'Ufficio Ispettivo nell'espletamento delle verifiche”. Per tali ragioni, non può essere ritenuta sufficiente al fine di escludere la responsabilità del titolare del trattamento la circostanza in base alla quale il procedimento disciplinare sia stato successivamente sospeso.

Tanto premesso, considerato che i dati relativi alla localizzazione geografica della reclamante sono stati acquisiti dall’Azienda, per il tramite dell’applicazione Time Relax, per effettuare controlli diretti sulla posizione geografica nella quale la reclamante si trovava a svolgere la prestazione in modalità agile – trattamento non consentito dall’ordinamento, che si pone in contrasto tanto con la disciplina in materia di protezione dei dati personali quanto con quella speciale in materia di lavoro agile (cfr. precedenti paragrafi del presente provvedimento) -, si deve concludere che l’utilizzo ulteriore dei predetti dati per fini disciplinari sia avvenuto in maniera non conforme ai principi di “liceità, correttezza e trasparenza” e “limitazione della finalità” nonché in assenza di un idoneo presupposto di liceità, in violazione degli artt. 5, par. 1, lett. a) e b), e 6 del Regolamento, atteso che la predetta condotta si colloca al di fuori del quadro di liceità previsto dall’art. 114 del Codice (cfr. art. 88 del Regolamento).

5. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ¿ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ¿, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento, da parte di ARSAC per il tramite dell’applicativo Time Relax, dei dati relativi alla posizione geografica della generalità dei dipendenti in lavoro agile e il successivo utilizzo degli stessi per avviare un procedimento disciplinare a carico della reclamante risultano essere avvenuti in violazione degli artt. 5, par. 1, lett. a), b) e c), 6, 13, 25, 35 e 88 del Regolamento e dell’art. 113 del Codice.

Tenuto conto che la violazione delle predette disposizioni ha avuto luogo in conseguenza di un’unica condotta (stesso trattamento o trattamenti tra loro collegati), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, le violazioni più gravi, relative agli artt. 5, 6, 13, 25, 35 e 88 del Regolamento, nonché 113 del Codice, sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti - atteso che l’Azienda risulta aver assunto, in autotutela, la determinazione di disattivare la funzione di geolocalizzazione dell’applicativo Time Relax nonché disposto la sospensione del procedimento disciplinare a carico della reclamante - non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Tenuto conto che:

il trattamento ha riguardato circa un centinaio di dipendenti che svolgevano la propria attività lavorativa in modalità agile per un significativo arco temporale (art. 83, par. 2, lett. a), del Regolamento);

sebbene l’Azienda avesse erroneamente ritenuto di poter effettuare i predetti trattamenti anche in ragione di un proprio atto amministrativo generale e di un accordo con le rappresentanze sindacali, la stessa ha comunque posto in essere un monitoraggio finalizzato a controllare l’attività del lavoratore non consentito dalla disciplina di settore applicabile (art. 83, par. 2, lett. b), del Regolamento);

il trattamento, ancorché non abbia riguardato dati appartenenti alle categorie particolari di cui all’art. 9 del Regolamento, ha avuto ad oggetto informazioni comunque assai delicate, concernenti la posizione geografica dei lavoratori in modalità agile, tra cui la stessa reclamante, comportando anche un’interferenza nella sfera privata degli stessi (cfr. art. 83, par. 2, lett. g), del Regolamento);

si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento sia alto (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).

Ciò premesso, si ritiene che, ai fini della quantificazione della sanzione, debbano essere prese in considerazione le seguenti circostanze attenuanti:

il titolare ha offerto una sufficiente cooperazione con l’Autorità nel corso dell’istruttoria, avendo, peraltro, assunto, in autotutela, la determinazione di disattivare la funzione di geolocalizzazione dell’applicativo Time Relax nonché disposto la sospensione del procedimento disciplinare a carico della reclamante (art. 83, par. 2, lett. c) e f), del Regolamento);

non risultano precedenti violazioni pertinenti commesse da ARSAC (art. 83, par. 2, lett. e), del Regolamento);

nel caso di specie, la scelta di utilizzare l’applicativo Time Relax è stata inizialmente intrapresa previa condivisione con il Responsabile della protezione dei dati dell’Azienda (art. 83, par. 2, lett. k), del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 50.000,00 (cinquantamila/00) per la violazione degli artt. 5, 6, 13, 25, 35 e 88 del Regolamento, nonché 113 del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito web del Garante. Ciò in considerazione del fatto che il trattamento di dati in questione, che ha riguardato un numero significativo di interessati, è stato effettuato, per un arco temporale considerevole, dando luogo a una forma di monitoraggio dell’attività lavorativa svolta in modalità agile non ammessa dalla disciplina di settore applicabile; ciò finanche attraverso specifiche procedure di controllo mirato su base individuale finalizzate ad accertare l’esatta posizione geografica del lavoratore, con conseguenti interferenze nella sfera privata.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato da ARSAC per violazione degli artt. 5, 6, 13, 25, 35 e 88 del Regolamento nonché 113 del Codice, nei termini di cui in motivazione;

ORDINA

alla Azienda Regionale per Lo Sviluppo dell’Agricoltura Calabrese, in persona del legale rappresentante pro-tempore, con sede legale in Viale Trieste, 93/95 - 87100 Cosenza (CS), C.F. 03268540782, di pagare la somma di euro 50.000,00 (cinquantamila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Azienda Regionale, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 50.000,00 (cinquantamila/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

- ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

-    ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.