La lezione del caso spagnolo per le imprese italiane
Capita spesso, soprattutto nelle organizzazioni più snelle, che al lavoratore venga chiesto di usare il proprio smartphone per lavorare: per ricevere comunicazioni, accedere a un gestionale, registrare le attività, farsi geolocalizzare durante un turno. È il modello noto come BYOD, “bring your own device”, porta il tuo dispositivo. Una soluzione comoda e a costo zero per l’azienda, che però nasconde un problema di protezione dei dati spesso sottovalutato. Una recente decisione dell’Autorità spagnola per la protezione dei dati (AEPD) lo mette bene a fuoco, e vale la pena leggerla anche da questa parte delle Alpi.
Va detto subito, per correttezza che si tratta di una decisione spagnola, non di un provvedimento del Garante italiano. Ma poiché applica norme del Regolamento europeo 2016/679 (GDPR) – le stesse che valgono in Italia – il principio è pienamente trasferibile al nostro contesto, dove anzi si aggiunge una tutela ulteriore, quella dell’art. 4 dello Statuto dei lavoratori sui controlli a distanza.
Il caso. Un conducente di un servizio di trasporto persone con conducente (VTC) ha presentato reclamo all’AEPD lamentando che l’azienda lo obbligava a usare il proprio telefono personale per lavorare e, soprattutto, a installarvi diverse applicazioni che ne monitoravano in modo continuo – anche fuori dall’orario – posizione, messaggi e attività. Le app raccoglievano una mole di dati ben superiore a quanto servisse: geolocalizzazione puntuale, foto e video, contatti, registrazioni vocali, perfino informazioni sullo stato fisico del lavoratore. E il dipendente non poteva modificare i permessi di quelle app senza autorizzazione dell’azienda.
La decisione. L’AEPD ha riscontrato tre violazioni del GDPR e ha irrogato una sanzione complessiva di 200.000 euro. Il punto giuridicamente più interessante – e quello che ogni datore di lavoro dovrebbe interiorizzare – riguarda il consenso. L’azienda sosteneva che l’uso del telefono personale fosse “volontario”, offrendo in alternativa dispositivi aziendali; ma questi erano talmente pochi da rendere la scelta del cellulare privato di fatto obbligatoria. Su questa base l’Autorità ha concluso che non esisteva un consenso libero: nel rapporto di lavoro, segnato da uno squilibrio strutturale tra le parti, il consenso del dipendente è quasi sempre solo apparente e non può fungere da base giuridica valida per trattamenti di questo tipo. È un principio che il Comitato europeo per la protezione dei dati afferma da tempo e che il datore italiano farebbe bene a non dimenticare: chiedere il “consenso” al proprio dipendente raramente è la strada corretta.
Accanto a questo, l’Autorità ha contestato la violazione del principio di minimizzazione – le app accedevano a dati che eccedevano lo stretto necessario per la prestazione lavorativa – e il difetto di informazione: il lavoratore non era stato adeguatamente informato su quali dati venissero trattati, come e fino a quando. Tre nodi, come si vede, del tutto ordinari, che si ritrovano identici in moltissime realtà italiane.
Tabella 1 – I tre profili contestati e la lezione operativa
| Profilo (GDPR) | Cosa è stato contestato | Lezione per il datore italiano |
| Liceità / base giuridica (art. 6) | Il “consenso” del lavoratore non era libero: l’uso del telefono personale era di fatto imposto | Nel rapporto di lavoro il consenso non è una base giuridica affidabile; serve individuare una base diversa e adeguata, e valutare necessità e proporzionalità |
| Minimizzazione (art. 5, par. 1, lett. c) | Le app accedevano a dati eccedenti (posizione 24h, foto, contatti, voce, stato fisico) | Raccogliere solo i dati strettamente necessari; limitare permessi e tracciamenti, soprattutto fuori orario |
| Informazione (art. 13) | Informativa ai lavoratori insufficiente | Informativa chiara e specifica su quali dati, finalità, app, tempi e disattivazione fuori dall’orario |
Fonte: decisione dell’AEPD (Agencia Española de Protección de Datos) sul caso, come riportata dalle analisi specializzate e da Federprivacy.
Perché ci riguarda. In Italia un’impostazione del genere non solo violerebbe gli stessi articoli del GDPR, ma incrocerebbe anche l’art. 4 dello Statuto dei lavoratori (legge n. 300/1970): gli strumenti dai quali deriva anche solo la possibilità di un controllo a distanza dell’attività dei lavoratori richiedono, salve le eccezioni di legge, l’accordo sindacale o l’autorizzazione dell’Ispettorato del lavoro, oltre a un’informativa adeguata. Il BYOD, quando si traduce nell’installazione di app che geolocalizzano o tracciano, ricade proprio in questo perimetro. A ciò si aggiunge il tema del diritto alla disconnessione: app che continuano a raccogliere dati a turno concluso sono difficilmente giustificabili.
Cosa fare, in concreto. Il messaggio non è “vietato il BYOD”, ma “il BYOD va governato”. Di seguito le verifiche minime per impostarlo in modo conforme.
Tabella 2 – BYOD conforme: le verifiche essenziali
| Ambito | Azione |
| Alternativa reale | Mettere a disposizione un numero adeguato di dispositivi aziendali, così che l’uso del personale sia davvero una scelta e non un obbligo mascherato |
| Base giuridica | Individuare una base giuridica diversa dal consenso e documentare il giudizio di necessità/proporzionalità |
| Minimizzazione e permessi | Limitare app, permessi e dati ai soli necessari; disattivare geolocalizzazione e tracciamenti fuori orario |
| Statuto dei lavoratori | Verificare l’art. 4 L. 300/1970: accordo sindacale o autorizzazione dell’Ispettorato per gli strumenti da cui può derivare controllo a distanza |
| Informativa | Fornire un’informativa specifica (dati, finalità, app, conservazione, disattivazione) e una policy BYOD scritta |
| Valutazioni | Valutare una DPIA quando il trattamento comporta monitoraggio sistematico dei lavoratori |
| Separazione dati | Tenere distinti dati personali del lavoratore e dati aziendali; regolare l’accesso a contatti, foto e messaggi del dispositivo |
Fonte: elaborazione iSimply su principi del GDPR (artt. 5, 6, 13, 35) e art. 4 dello Statuto dei lavoratori (L. 300/1970).
In sintesi: il caso spagnolo non introduce regole nuove, ma ricorda con nettezza un principio che vale anche per le imprese e le amministrazioni italiane. Far lavorare le persone sul loro telefono non è di per sé illecito, ma diventa una violazione quando si trasforma in uno strumento di controllo, raccoglie più dati del necessario o si fonda su un “consenso” che, nel rapporto di lavoro, libero non è quasi mai. Una policy BYOD ben fatta protegge i lavoratori e, allo stesso tempo, mette al riparo l’organizzazione da sanzioni e contenziosi. Restiamo a disposizione per supportare imprese ed enti nella sua predisposizione.
Enrico Capirone – Presidente iSimply srl, DPO
Fonte ufficiale: decisione dell’AEPD – Agencia Española de Protección de Datos (aepd.es). Inquadramento: Federprivacy, “Viola la privacy l’azienda che impone al dipendente di utilizzare lo smartphone personale come strumento di lavoro” (20 maggio 2026).