Nel 2026 la timbratura GPS non è vietata in assoluto. Ma se usi male geolocalizzazione, smartphone o dispositivi di bordo, il rischio non è solo privacy: entri anche nel terreno dell’art. 4 dello Statuto dei Lavoratori.
Il punto non è chiedere al dipendente di cliccare “consenti posizione”. Il punto è capire quando la localizzazione serve davvero, quanti dati raccogli, per quanto li tieni e se il tuo sistema assomiglia a una timbratura puntuale oppure a un controllo a distanza.
Questa guida è aggiornata al 15 aprile 2026 e ha finalità operative e organizzative.
Basata su provvedimenti del Garante Privacy e note INL richiamati in fondo alla pagina.
In 20 secondi
- Quando la soluzione è più difendibile: GPS solo al clock-in e clock-out, niente tracking continuo, dato minimizzato e processo chiaro sulle anomalie.
- Quando il rischio sale: consenso usato come scorciatoia, smart working geolocalizzato, score individuali, percorsi salvati senza necessità.
- Cosa verificare prima di attivarla: finalità reale, perimetro art. 4, chi vede i dati, quanto li conservi e quando il dato diventa definitivo.
- Dove si rompe il processo: timbrature, eccezioni e validazione presenze restano separate tra app, chat, HR, amministrazione e payroll.
Perché nel 2026 il tema è tornato centrale
Tra marzo 2025 e febbraio 2026 sono arrivati segnali molto chiari da Garante e Ispettorato.
| Data | Fonte | Cosa dice davvero | Impatto operativo |
|---|---|---|---|
| 21 marzo 2025 | Garante Privacy | Sanzione su GPS veicolare con tracking continuo, informative carenti e uso difforme | Il problema non è solo avere il GPS, ma quanto e come osservi il lavoratore |
| 8 maggio 2025 | Garante Privacy | No a geolocalizzazione dei dipendenti in smart working per verificare il luogo da cui lavorano | Il lavoro agile non si governa con tracking della posizione |
| 18 dicembre 2025 / 29 gennaio 2026 | Garante Privacy | No a uso dei dati veicolari per attribuire score sullo stile di guida | Se trasformi il dato in ranking o valutazione, il rischio sale molto |
| 26 maggio 2025 | INL | Indicazioni operative sui provvedimenti autorizzativi ex art. 4 | Il perimetro procedurale non si può improvvisare |
| 16 febbraio 2026 | INL | Il GPS non diventa automaticamente uno strumento necessario alla prestazione solo perché utile | L’operatività non basta, da sola, a uscire dal perimetro art. 4 |
L’inferenza pratica è netta: non basta invocare sicurezza o organizzazione aziendale. Se il sistema localizza troppo, conserva troppo o permette valutazioni comportamentali, la difesa si indebolisce in fretta.
Il falso mito del consenso del dipendente
Nel lavoro subordinato il consenso non è la scorciatoia che molti immaginano.
| Falsa idea | Cosa regge davvero | Perché conta |
|---|---|---|
| “L’app chiede la posizione e il dipendente accetta” | Il consenso, di regola, non è una base giuridica robusta nel rapporto di lavoro | Il rapporto tra datore e lavoratore non è simmetrico |
| “Se il dipendente ha cliccato, siamo coperti” | Devi avere finalità, base giuridica e perimetro documentale coerenti | Un clic non sostituisce l’impianto normativo |
| “Il problema è solo privacy” | Entri anche nel terreno dell’art. 4 e del controllo a distanza | Il rischio è sia documentale sia lavoristico |
Nel caso sullo smart working del 13 marzo 2025, il Garante ha contestato il trattamento della posizione geografica dei dipendenti in modalità agile anche perché avveniva in assenza di un’idonea base giuridica. Tradotto: se il tuo impianto si regge su “tanto l’app chiede la posizione e il dipendente accetta”, sei partito male.
Non confondere tre scenari diversi
La parola “geolocalizzazione” mette nello stesso sacco casi che, in realtà, vanno valutati in modo diverso.
| Scenario | Esempio | Livello di rischio | Controllo chiave |
|---|---|---|---|
| Timbratura geolocalizzata puntuale | Posizione rilevata solo al momento di entrata e uscita | Più difendibile, se minimizzata bene | Geofence o sede, non tracking continuo |
| GPS su veicoli o dispositivi aziendali | Percorsi, soste, velocità, tempi di viaggio, stato del mezzo | Più alto | Finalità, perimetro art. 4, chi vede cosa e quanto conservi |
| Geolocalizzazione del dipendente in smart working | Verifica del luogo esatto da cui la persona lavora | Molto alto | Evitare logiche di controllo tramite posizione |
1. Timbratura geolocalizzata al momento di entrata e uscita
Questo è il caso più vicino a una timbratura GPS da smartphone.
Il Garante aveva già ammesso, con forti cautele, l’uso di un’app di timbratura che rilevava la posizione solo nel momento della timbratura. Nel provvedimento dell’8 settembre 2016 ha però chiesto un correttivo molto concreto: non conservare le coordinate geografiche del lavoratore se basta verificare l’associazione con la sede o con l’area autorizzata, conservando eventualmente solo sede, data e orario.
Questo è il discrimine vero:
| Verifica puntuale | Tracking continuo |
|---|---|
| Sai dove eri quando hai timbrato | Sai dove sei stato durante la giornata |
| Registra un evento di presenza | Ricostruisce comportamento e spostamenti |
| È più vicina a una timbratura | È molto più vicina a un controllo a distanza |
Una timbratura puntuale, senza tracking continuo e con minimizzazione seria, è molto più difendibile di un sistema che tiene il GPS acceso in background.
2. GPS su veicoli o dispositivi aziendali
Qui il rischio sale parecchio.
Se il sistema permette di ricostruire percorsi, soste, velocità, chilometraggio, tempi di viaggio, stato del mezzo o addirittura uno score individuale, sei molto più vicino a uno strumento da cui può derivare controllo a distanza.
Il caso Garante del 21 marzo 2025 sull’autotrasporto e quello del 18 dicembre 2025 sullo stile di guida vanno letti insieme: il problema non è solo “c’è o non c’è il GPS”, ma quanto il sistema rende osservabile il comportamento del lavoratore.
Qui la domanda non è “posso localizzare il veicolo?”. La domanda è:
- quale finalità documentata sto perseguendo;
- quale procedura ex art. 4 ho attivato;
- quali dati raccolgo davvero;
- chi li vede;
- per quanto tempo li tengo;
- se sto sconfinando in controllo comportamentale o profilazione.
3. Geolocalizzazione del dipendente in smart working
Su questo il segnale del Garante è ancora più rigido.
Nel provvedimento del 13 marzo 2025, richiamato nella newsletter dell’8 maggio 2025, l’Autorità ha contestato il monitoraggio della posizione geografica di circa cento dipendenti in lavoro agile usato per verificare la corrispondenza con il luogo dichiarato nell’accordo individuale.
Il passaggio importante non è solo il divieto in quel caso concreto. È la logica: il Garante dice che il lavoro agile va governato con strumenti meno invasivi, come report, momenti di confronto e verifiche sugli obiettivi, non tramite geolocalizzazione del luogo esatto in cui la persona si trova.
Se quindi stai pensando di usare GPS o posizione del telefono per “controllare da dove lavora davvero” un dipendente in smart working, il terreno è molto scivoloso.
Quando una timbratura GPS è più difendibile
Una configurazione più pulita tende ad avere queste caratteristiche:
| Caratteristica | Cosa significa in pratica | Perché conta |
|---|---|---|
| GPS solo al clock-in e clock-out | La posizione si attiva solo al momento della timbratura | Riduce il rischio di tracking continuo |
| Niente rilevazione in background | Non segui la persona tra una timbratura e l’altra | Tieni il sistema vicino a una timbratura, non a una sorveglianza |
| Verifica su sede o geofence | Ti basta capire se la timbratura è avvenuta nell’area autorizzata | Non ti servono coordinate grezze salvate in modo sistematico |
| Informativa specifica | Spieghi finalità, accessi, tempi e gestione anomalie | Eviti informative generiche che reggono poco |
| Accessi limitati | Vedono i dati solo i ruoli che gestiscono presenze ed eccezioni | Riduci l’esposizione documentale interna |
| Conservazione proporzionata | I tempi seguono la finalità, non la paura di “tenere tutto” | Il dato non resta più del necessario |
| Processo coerente | Il flusso regge anche su policy e anomalie | Il sistema non si rompe appena entra un’eccezione |
Se invece ti serve un inquadramento più ampio sul processo, trovi qui la guida sulla rilevazione presenze da smartphone.
Quando stai entrando in una zona rossa
I segnali di rischio, nel 2026, sono abbastanza riconoscibili:
| Segnale | Perché è critico |
|---|---|
| Usi il consenso del dipendente come base principale | Parti da una base fragile nel rapporto di lavoro |
| Il sistema resta acceso in continuo | Esci dal perimetro di una verifica puntuale |
| Salvi coordinate precise, percorsi o dettagli non necessari | Raccogli più di quanto ti serve davvero |
| Trasformi i dati in ranking o punteggi | Sconfini in valutazioni comportamentali |
| Usi la localizzazione per contestazioni disciplinari senza un impianto solido | Aumenti il rischio documentale e lavoristico |
| Geolocalizzi lo smart working | Entri nel terreno più scivoloso indicato dal Garante |
| Tratti GPS veicolare e timbratura come se fossero la stessa cosa | Applichi le stesse regole a scenari che non hanno lo stesso impatto |
Checklist pratica 2026 per HR, titolari e operations
Prima di attivare o rivedere un sistema di timbratura geolocalizzata, controlla questi 6 punti:
| Controllo | Domanda da chiudere | Perché conta |
|---|---|---|
| Finalità reale | Stai gestendo timbratura puntuale, sicurezza o tutela del patrimonio? | Se mescoli finalità diverse, il sistema si opacizza |
| Separazione tra timbratura e controllo | L’app registra presenza o osserva comportamento? | Un’app presenze non deve diventare un cruscotto di sorveglianza |
| Minimizzazione del dato | Ti basta sapere che la timbratura è avvenuta in sede o stai conservando troppo? | Riduci il rischio prima ancora di parlare di policy |
| Perimetro art. 4 | Il sistema consente controllo a distanza dell’attività? | Devi capire se accordo o autorizzazione entrano davvero in gioco |
| Informativa e regole interne | Chi vede cosa, quando, per quanto e per quali eccezioni? | Le anomalie si governano meglio se il flusso è esplicito |
| Collegamento con payroll e anomalie | Quando il dato diventa valido per HR o amministrazione? | Il dato deve chiudere il mese, non aprire nuovo caos |
Come impostarla in modo più pulito lato processo
Se l’obiettivo è avere presenze affidabili senza aprire fronti inutili:
| Passaggio | Cosa fai nel flusso | Cosa eviti |
|---|---|---|
| Verifica puntuale | Usi la posizione solo per confermare la timbratura | Tracking continuo mascherato da timbratura |
| Gestione eccezioni | Tratti fuori area, correzioni e anomalie in un flusso tracciato | Correzioni sparse tra chat e memoria del responsabile |
| Accessi limitati | Riduci chi vede i dati di posizione | Circolazione eccessiva del dato |
| Collegamento con export paghe | Allinei il dato presenze con revisione anomalie e chiusura mese | Passaggi rotti tra app, HR e amministrazione |
Sul lato prodotto, la pagina più utile da vedere è app per timbrare le ore di lavoro. Sul lato fiducia e conformità, resta utile anche la sezione sicurezza e GDPR.
FAQ
Basta il consenso del dipendente per usare la timbratura GPS?
No, di regola no. In ambito lavorativo il consenso non è normalmente una base giuridica robusta, perché il rapporto tra datore e lavoratore non è simmetrico.
Se rilevo la posizione solo al momento della timbratura sono tranquillo?
Sei in una posizione migliore, ma non “automaticamente a posto”. Devi comunque rispettare finalità, minimizzazione, informativa, tempi di conservazione e, se il sistema consente controllo a distanza in altri modi, valutare anche il perimetro dell’art. 4.
GPS sui veicoli aziendali e timbratura geolocalizzata sono la stessa cosa?
No. Una timbratura puntuale serve a registrare un evento di presenza. Un sistema veicolare o telematico può ricostruire comportamenti, percorsi e tempi di attività, con un impatto molto diverso lato lavoro e privacy.
Posso geolocalizzare il dipendente in smart working per verificare da dove lavora?
Il provvedimento Garante del 13 marzo 2025 va in direzione opposta. L’orientamento emerso è che il controllo del lavoro agile vada gestito con strumenti meno invasivi della geolocalizzazione del luogo esatto.
Fonti ufficiali aggiornate al 15 aprile 2026
| Fonte | Perché conta |
|---|---|
| Statuto dei Lavoratori, art. 4 | Base normativa sul perimetro del controllo a distanza |
| Garante Privacy, provvedimento 13 marzo 2025 n. 10128005 | Smart working e posizione geografica dei dipendenti |
| Garante Privacy, newsletter 21 marzo 2025 n. 533 | Caso GPS veicolare con tracking continuo |
| Garante Privacy, newsletter 8 maggio 2025 n. 534 | Richiamo del Garante sulla geolocalizzazione in lavoro agile |
| Garante Privacy, provvedimento 18 dicembre 2025 n. 10213711 | Uso dei dati veicolari e score sullo stile di guida |
| Garante Privacy, newsletter 29 gennaio 2026 n. 542 | Richiamo pubblico del provvedimento di dicembre 2025 |
| INL, nota prot. 4757 del 26 maggio 2025 | Indicazioni operative sui provvedimenti ex art. 4 |
| INL, nota prot. 1511 del 16 febbraio 2026 | Chiarimento sul GPS che non diventa automaticamente strumento necessario |
| Garante Privacy, provvedimento 8 settembre 2016 n. 5497522 | Riferimento utile sulla timbratura geolocalizzata puntuale |
Questa guida ha finalità operative e organizzative. La verifica finale va fatta sul tuo caso concreto, sul perimetro art. 4 applicabile e con il supporto di consulente del lavoro o legale privacy.
Il controllo da chiudere adesso
Prima di attivare il GPS, definisci chi valida il dato e quando diventa definitivo
Il problema non è raccogliere una posizione in più. Il problema è capire chi gestisce le anomalie, quando la timbratura può considerarsi consolidata e quali eccezioni devono arrivare davvero a HR o amministrazione.
Se questi passaggi oggi vivono tra app, chat, correzioni manuali e memoria del responsabile, il rischio non è solo operativo. È anche documentale.
Il passo coerente da fare è vedere come funziona la timbratura GPS.
Se vuoi testare il flusso
Verifica timbrature, anomalie e dato consolidato su un caso reale
La prova guidata serve a capire se timbrature GPS, validazione delle anomalie e passaggio del dato verso HR o amministrazione restano nello stesso flusso, senza correzioni sparse o verifiche documentali fuori processo.