GPS e veicoli aziendali. Il tracciamento continuativo pone l’azienda a rischio

Con un Provvedimento del 16 gennaio 2025, reso noto tramite il servizio di newsletter istituzionale del 21 marzo 2025, l’Autorità Garante per la protezione dei dati personali ha sanzionato un’azienda di autotrasporti per aver controllato in modo illecito circa 50 dipendenti, utilizzando un sistema Gps installato sui veicoli aziendali. Diverse le violazioni riscontrate dall’Autorità che è intervenuta a seguito della ricezione di un reclamo presentato da un ex dipendente dell’azienda con il quale (i) lamentava di non aver ricevuto l’informativa di cui all’art. 13 del Regolamento (UE) 2016/679 in materia di protezione dei dati personali (il “Regolamento”) e (ii) segnalava la mancata attivazione della procedura di garanzia di cui all’art. 4 della legge n. 300/1970 (Statuto dei lavoratori) da parte del datore di lavoro.

Dall’istruttoria emergeva che il sistema di geolocalizzazione era stato installato per finalità di tutela dei beni aziendali, di sicurezza sul lavoro e per esigenze di natura organizzativa e produttiva, così come indicato nell’istanza di autorizzazione rivolta all’ITL competente. Nel concreto, l’impianto consentiva alla Società, tramite la piattaforma web messa a disposizione dal fornitore, di acquisire informazioni relative alla posizione del veicolo, al suo stato (se cioè acceso o spento), alla telemetria e, indirettamente, anche all’attività degli autisti. Queste informazioni venivano acquisite dal sistema in modo continuativo, seppur differite di 3/5 minuti comprendendo anche le pause dell’attività lavorativa. Tutti i dati venivano conservati per un periodo di 180 giorni.

Sulla base di quanto emerso, l’Autorità ha osservato che:

• la raccolta di informazioni quali la rilevazione della posizione anche durante la pausa dell’attività lavorativa risulta idonea ad effettuare un monitoraggio continuo sull’attività dei dipendenti e ciò viola il principio di minimizzazione dei dati (art. 5, par. 1., lett. c) del Regolamento) che, invece, richiede che i dati raccolti siano “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”. Tra l’altro, la stessa Autorità rileva di aver spesso ribadito che la posizione del veicolo di regola non dovrebbe essere monitorata continuativamente dal titolare del trattamento, ma solo quando ciò si renda necessario per il conseguimento delle finalità legittimamente perseguite;
• la conservazione dei dati raccolti per un esteso periodo di tempo non è conforme ai principi di minimizzazione e di limitazione della conservazione;
• le specifiche funzionalità del sistema di geolocalizzazione non sono conformi alle specifiche garanzie previste dall’autorizzazione rilasciata dall’ITL competente, in particolare per ciò che concerne alla rilevazione non continuativa del veicolo geolocalizzato, all’anonimizzazione dei dati raccolti, all’adozione di soluzioni tecnologiche che impediscano “l’eventuale trattamento di dati ultronei, non pertinenti o eccedenti le finalità perseguite dal titolare”.

In sintesi, il trattamento è stato realizzato in difformità a quanto previsto sia dalla normativa privacy sia dal provvedimento autorizzatorio e, pertanto, risulta contrario al principio di liceità del trattamento.

Tenuto conto delle numerose e gravi violazioni riscontrate, l’Autorità ha comminato alla società il pagamento di una sanzione di 50mila euro e le ha ordinato di fornire un’idonea informativa ai dipendenti e di adeguare i trattamenti effettuati attraverso il sistema Gps alle garanzie prescritte nel provvedimento autorizzatorio rilasciato, a suo tempo, dall’Ispettorato territoriale del lavoro all’azienda.

Altri insights correlati:

• Autorità Garante: il dipendente ha diritto di accedere ai dati raccolti tramite il sistema GPS installato dal datore
• Legittimo il trattamento dati personali mediante GPS ma con prescrizioni