Il Garante della Privacy torna a trattare di geolocalizzazione dei dipendenti durante lo svolgimento dell’attività lavorativa, e del ruolo di garanzia attribuito all’ Ispettorato attraverso la preventiva autorizzazione all’utilizzo di tali strumenti.
Con il provvedimento n. 7/2025, pubblicato nella newsletter n. 533 del 21 marzo 2025, il Garante per la protezione dei dati personali ha sanzionato un’azienda del settore autotrasporti per aver controllato illecitamente una cinquantina di lavoratori, utilizzando un sistema GPS installato su autoveicoli aziendali.
L’ Autorità garante interviene successivamente alla presentazione di un reclamo da parte di un ex dipendente. Fanno seguito le ispezioni del Nucleo Tutela Privacy della Guardia di Finanza dalle quali emergono gravi violazioni sia della disciplina giuslavoristica sia della normativa GDPR in materia di geolocalizzazione.
L’ Informativa - Gravi carenze sono state rilevate nell’ informativa che obbligatoriamente deve essere fornita ai lavoratori. Ad essere violata, in primis la normativa prevista all’ art. 13 e 5 lett. a) del GDPR in quanto non è stata fornita indicazione delle specifiche modalità con cui il trattamento veniva realizzato. L’ informativa non metteva a conoscenza del sistema di geolocalizzazione utilizzato , né del fatto che i dati venissero rilevati in maniera continuativa , oltre a consentire la diretta identificabilità dei conducenti attraverso l’associazione del dispositivo al numero di targa del veicolo. Considerato che, nell’ambito del rapporto di lavoro, l’obbligo di informare il dipendente è espressione del dovere di correttezza di cui all’art. 5, par. 1, lett. a) del GDPR, il Garante conferma l’illiceità del trattamento realizzato mediante l’informativa inidonea, in violazione altresì dell’art. 13 GDPR.
Difformità dall’ autorizzazione INL – Il trattamento è risultato contrario anche alle specifiche misure di garanzia indicate dall’Ispettorato Nazionale del Lavoro nel provvedimento di autorizzazione del marzo 2021. Il provvedimento, rilasciato all’azienda per le finalità legittime collegate a esigenze organizzative e produttive di tutela dei beni aziendali e di sicurezza sul lavoro, sottolineava la necessità di procedere con l’anonimizzazione dei dati , limitando la raccolta ai soli dati necessari e non eccedenti alle finalità. Il trattamento risultava, invece, eccedente e non proporzionato rispetto agli scopi e alle finalità dichiarate, che potevano perseguirsi in modo legittimo con un trattamento di informazioni più limitate ( in assenza di rilevazioni circa velocità ; chilometraggio ; stato dei veicoli spenti o accesi ) , nel rispetto del principio violato della minimizzazione dei dati ( art. 5, parag. 1, lett. a), c) ed e) del GDPR ). Inoltre, i dati raccolti venivano conservati per oltre 5 mesi, in violazione dei principi di minimizzazione e limitazione della conservazione dei dati stabiliti dal GDPR.
Il Garante, in considerazione delle numerose e gravi violazioni riscontrate, oltre al pagamento di una sanzione di 50mila euro, ha ordinato all’azienda di fornire un’idonea informativa ai dipendenti e di adeguare i trattamenti effettuati attraverso il sistema Gps alle garanzie prescritte nel provvedimento autorizzatorio rilasciato, a suo tempo, dall’Ispettorato territoriale del lavoro all’azienda.
Alla luce delle indicazioni fornite dal Garante, i principi e gli accorgimenti cardine da adottare in materia a tutela dei soggetti interessati (i lavoratori) al trattamento possono essere così riassunti :
- esclusione della possibilità di monitoraggio continuativo del dipendente ;
- possibilità di visualizzazione della posizione geografica solo da parte di soggetti autorizzati e limitatamente a quanto strettamente necessario rispetto alle finalità perseguite;
- possibilità di garantire la disattivazione del dispositivo durante le pause e al di fuori dell’orario di lavoro;
- pseudonimizzazione dei dati personali tramite l’utilizzo di dati non direttamente identificativi ;
- memorizzazione dei dati raccolti solo se necessario e con tempi di conservazione proporzionati rispetto alle finalità perseguite;
- limitazione del trattamento ai dati strettamente necessari per il perseguimento delle finalità prestabilite attinenti alle esigenze organizzative e produttive, di sicurezza sul lavoro e di tutela del patrimonio aziendale ex art. 4 St.Lav.
Fonte: Garante Privacy