L’impiego non conforme di sistemi GPS installati sui veicoli aziendali è costato caro a un’azienda di autotrasporti: il Garante per la protezione dei dati personali è intervenuto con un provvedimento sanzionatorio, imponendo una multa da 50.000 euro. Il caso solleva un interrogativo cruciale per le realtà aziendali: i sistemi di monitoraggio adottati sono conformi alla normativa vigente?
Scopriamo insieme le condotte da evitare per garantire la sicurezza aziendale nel rispetto dei diritti dei lavoratori.
Monitoraggio GPS e GDPR: dal reclamo alla sanzione
Nel gennaio 2025, il Garante per la Privacy ha sanzionato una società di autotrasporti per l’utilizzo di sistemi di geolocalizzazione sui veicoli aziendali in violazione della normativa sulla protezione dei dati personali.
La vicenda ha avuto origine da un reclamo presentato da un ex dipendente, che ha segnalato all’Autorità presunte irregolarità nell’impiego del sistema GPS installato sui mezzi per monitorare i dipendenti, raccogliendo dati relativi a posizione, velocità e stato dei veicoli.
L’istruttoria del Garante
A seguito della segnalazione, il Garante ha avviato un’istruttoria preliminare per verificare la conformità del trattamento dei dati personali effettuato tramite il sistema di geolocalizzazione adottato dall’azienda.
Dopo l’analisi della documentazione trasmessa e delle dichiarazioni rese dalla società, l’Autorità ha ritenuto necessario approfondire ulteriormente la vicenda, formulando una nuova richiesta di chiarimenti. In assenza di riscontri, il Garante ha coinvolto il Nucleo Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza per svolgere ulteriori accertamenti ispettivi.
Le violazioni del GDPR rilevate dall’Autorità
Le verifiche condotte dalla Guardia di Finanza hanno permesso di confermare la violazione delle disposizioni previste dalla normativa in materia di protezione dei dati personali.
L’istruttoria ha portato alla luce un quadro di diverse irregolarità:
Informativa carente e fuorviante
L’informativa fornita ai lavoratori è risultata incompleta, poco chiara e in alcuni casi contenente errori. Non vi era una spiegazione adeguata delle modalità di trattamento, né veniva indicata in modo esplicito la possibilità di identificare i singoli conducenti dei veicoli geolocalizzati. Tali carenze configurano una violazione degli artt. 5, par. 1, lett. a) (principio di correttezza e trasparenza) e 13 del GDPR (obbligo di informare gli interessati).
Trattamento eccessivo e conservazione indebita dei dati
Il sistema GPS monitorava i veicoli in modo continuativo, inclusi i periodi di pausa, raccogliendo dati sulla posizione, sullo stato del veicolo e sulla telemetria (velocità, chilometraggio e altri parametri di funzionamento del mezzo). Questi dati venivano conservati per un periodo di 180 giorni, in violazione dei principi di minimizzazione (art. 5, par. 1, lett. c)) e di limitazione della conservazione (art. 5, par. 1, lett. e)) del GDPR.
Inosservanza dell’autorizzazione dell’Ispettorato del Lavoro
L’azienda aveva ottenuto un provvedimento autorizzatorio dall’Ispettorato Territoriale del Lavoro (ITL), che prevedeva l’anonimizzazione dei dati raccolti e l’adozione di tecnologie idonee a limitare i trattamenti ai soli dati pertinenti. Le modalità effettive di utilizzo del sistema GPS si sono però discostate da tali prescrizioni.
Mancata collaborazione con l’Autorità
Quando il Garante ha chiesto ulteriori chiarimenti, l’azienda ha deciso di non rispondere, ritenendo erroneamente di aver già fornito le informazioni necessarie. Questo comportamento ha configurato una violazione dell’art. 157 del Codice e ha reso necessario l’intervento della Guardia di Finanza.
Le misure correttive imposte all’azienda
Alla luce delle violazioni accertate, il trattamento dei dati effettuato dalla società è stato giudicato illecito.
Per questo, il Garante ha ordinato all’azienda le seguenti misure:
- l’adeguamento dell’informativa da fornire ai dipendenti, affinché sia completa, chiara e conforme all’art. 13 del GDPR;
- la modifica delle modalità di trattamento per renderle coerenti con le finalità autorizzate e con i principi del GDPR;
- la trasmissione di un riscontro documentato entro 60 giorni a dimostrazione dell’avvenuto adeguamento.
Sanzione economica e pubblicazione del provvedimento
Tenuto conto dell’entità delle violazioni, della loro durata e del numero di soggetti coinvolti, il Garante ha imposto una sanzione amministrativa di 50.000 euro (ai sensi dell’art. 83 del GDPR).
Inoltre, considerata la gravità della condotta e il potenziale impatto sui diritti degli interessati, il provvedimento è stato pubblicato sul sito dell’Autorità, per ragioni di trasparenza e per dare un segnale chiaro alle imprese: anche strumenti utili a promuovere l’efficienza organizzativa e la sicurezza aziendale, se usati in modo scorretto, possono comportare gravi responsabilità legali.
Hai bisogno di supporto per verificare la conformità del tuo sistema di tracciamento GPS o per adeguare le informative aziendali? Contatta il nostro team per una consulenza personalizzata!
