Il Garante della Privacy ha emanato il provvedimento n. 396 del 28.06.2018 con il quale, dopo un attenta ricostruzione delle modalità di funzionamento di un dispositivo di localizzazione installato sui veicoli aziendali, ha riscontrato un’attività illecita di controllo a distanza in grado di violare sia la disciplina della privacy sia quella del diritto del lavoro, ripartendo la responsabilità tra datore di lavoro e impresa fornitrice.
L'Autorità, in applicazione del Regolamento Ue, ha ingiunto per la prima volta a un fornitore di servizi di geolocalizzazione, di incorporare il "diritto alla privacy" direttamente nelle funzionalità del prodotto, attenendosi al principio di minimizzazione dei dati e a quello di privacy by design e privacy by default. Il cliente potrà così usufruire di un sistema pienamente adattabile alle proprie esigenze organizzative e di sicurezza. La società dovrà, inoltre, informare chiaramente i propri clienti circa la possibilità di adattare le caratteristiche del servizio alle concrete finalità perseguite. La funzione che consente la disattivazione del GPS dovrà essere resa disponibile per tutti i tipi di abbonamento al servizio senza eccessivi costi aggiuntivi.
Ad essere violati sono stati in primo luogo i principi di necessità e di proporzionalità del trattamento dal momento in cui il dispositivo, le cui caratteristiche erano ignorate dai dipendenti, consentiva il monitoraggio continuo e la conservazione dei dati per un anno intero. Per di più, visto che le autovetture potevano essere utilizzate anche al di fuori dell'orario di lavoro e pure da congiunti dei dipendenti, tale sproporzionata attività di raccolta e conservazione dei dati tratti dalla geolocalizzazione del veicolo consentiva di fornire informazioni sul lavoratore non rilevanti rispetto allo svolgimento dell'attività lavorativa (in violazione di legge, in particolare dell'art. 8 dello Statuto dei lavoratori) nonché su terzi estranei.
Il Garante, quindi, ha vietato l'ulteriore trattamento dei dati alla società che ha installato il sistema ed ha altresì prescritto al fornitore di adeguare il sistema alla disciplina europea sulla protezione dei dati ed informare il cliente sulle caratteristiche del prodotto.
Fonte: Garante Privacy