Con il provvedimento n. 755/2025, il Garante Privacy ha irrogato una sanzione amministrativa di 120.000 euro a una società appartenente a un gruppo multinazionale con sede in Svizzera. La causa è il trattamento illecito di dati derivante dall’installazione, sulla flotta auto aziendale, di un dispositivo che raccoglieva dati sui viaggi di lavoro e privati dei dipendenti.
Tale sistema, associato al nominativo del conducente, raccoglieva informazioni dettagliate sui viaggi effettuati — sia per finalità lavorative sia per uso privato — relativi a tempi di percorrenza, chilometri e consumi inclusi dati telemetrici riguardo lo stile di guida. Questi dati venivano utilizzati per l’assegnazione di un punteggio e per la profilazione dei lavoratori in classi di rischio.
Le informazioni venivano conservate per un periodo di 13 mesi e impiegate per valutare il comportamento alla guida dei dipendenti, nonché per adottare eventuali e non meglio precisati “interventi correttivi” al raggiungimento di uno score rapportato a un livello di rischio intermedio o elevato. L’iniziativa, avviata in via sperimentale, era destinata a essere estesa a tutte le società europee del gruppo.
A seguito di un reclamo presentato da uno dei cinque dipendenti coinvolti nella sperimentazione, il Garante ha avviato le verifiche, dalle quali sono emerse numerose violazioni sia della normativa privacy sia di quella giuslavoristica.
Profili giuslavoristici
In particolare, è stato accertato che il dispositivo consentiva la raccolta di informazioni estremamente dettagliate, tali da permettere un controllo sull’attività dei lavoratori svolto in assenza delle garanzie previste dallo Statuto dei Lavoratori.
L’azienda, convinta che il trattamento non configurasse un’attività di monitoraggio, non aveva espletato la procedura prevista dall’art. 4 della Legge 300/1970 per l’installazione di strumenti dai quali possa derivare, anche solo potenzialmente, un controllo a distanza.
In assenza dell’accordo con le RSA o, in via sussidiaria dell’autorizzazione dell’Ispettorato, il trattamento risultava inoltre in aperto contrasto con l’art. 8 della Legge n. 300/1970, che vieta al datore di lavoro di effettuare indagini su fatti non rilevanti per l’attitudine professionale del lavoratore.
Profili privacy
Sul piano della protezione dei dati, il Garante ha qualificato il trattamento come invasivo, rilevando violazioni dei principi di liceità, proporzionalità e minimizzazione.
- Mancanza di un’idonea base giuridica: La società aveva individuato il proprio "legittimo interesse" (art. 6, par. 1, lett. f del GDPR) nelle esigenze di sicurezza e contenimento dei costi. Tuttavia, il Garante ha stabilito che il legittimo interesse non può essere invocato per trattamenti continuativi che coinvolgono la sfera privata dell'interessato. Il Garante ha inoltre evidenziato che nel caso di specie, la valutazione mediante l'attribuzione di punteggi e indicatori di rischio con possibili colloqui per individuare azioni correttive , accentuava l'impatto del trattamento sui diritti e sulle libertà degli interessati. La raccolta indiscriminata dei dati di guida è stata quindi ritenuta sproporzionata rispetto agli obiettivi dichiarati.
- Informativa non trasparente: L’informativa era generica, rivolta indistintamente a tutte le società del gruppo anche extra-UE, e non indicava chiaramente finalità ( art. 5, par. 1, lett. a), b) e c) e art. 13 ), basi giuridiche e ruoli della privacy governance ( art. 28 e 6 del GDPR ). Inoltre, l’accesso ai dati era consentito a personale di altre società del gruppo senza idonea autorizzazione.
La sanzione
Nel determinare l’importo di 120.000 euro, l’Autorità ha tenuto conto del numero limitato di dipendenti coinvolti e della sospensione immediata del trattamento dopo la contestazione. Il Garante ha inoltre ordinato la cancellazione di tutti i dati relativi ai viaggi raccolti per la profilazione dello stile di guida.
Conclusioni
Il provvedimento conferma la necessità di valutare con estrema attenzione l’impiego di sistemi di tracciamento. Le imprese devono garantire la piena conformità al GDPR attraverso scelte di accountability e privacy by design, senza mai dimenticare l'obbligo di formalizzare l'accordo sindacale o l'autorizzazione dell'Ispettorato ai sensi dello Statuto dei Lavoratori.
WST LAW & TAX