Con un Provvedimento del 16 gennaio 2025, reso noto tramite il servizio di newsletter istituzionale del 21 marzo 2025, l’Autorità Garante per la protezione dei dati personali ha sanzionato un’azienda di autotrasporti per aver controllato in modo illecito circa 50 dipendenti, utilizzando un sistema Gps installato sui veicoli aziendali. Diverse le violazioni riscontrate dall’Autorità che è intervenuta a seguito della ricezione di un reclamo presentato da un ex dipendente dell’azienda con il quale (i) lamentava di non aver ricevuto l’informativa di cui all’art. 13 del Regolamento (UE) 2016/679 in materia di protezione dei dati personali (il “Regolamento”) e (ii) segnalava la mancata attivazione della procedura di garanzia di cui all’art. 4 della legge n. 300/1970 (Statuto dei lavoratori) da parte del datore di lavoro.

Dall’istruttoria emergeva che il sistema di geolocalizzazione era stato installato per finalità di tutela dei beni aziendali, di sicurezza sul lavoro e per esigenze di natura organizzativa e produttiva, così come indicato nell’istanza di autorizzazione rivolta all’ITL competente. Nel concreto, l’impianto consentiva alla Società, tramite la piattaforma web messa a disposizione dal fornitore, di acquisire informazioni relative alla posizione del veicolo, al suo stato (se cioè acceso o spento), alla telemetria e, indirettamente, anche all’attività degli autisti. Queste informazioni venivano acquisite dal sistema in modo continuativo, seppur differite di 3/5 minuti comprendendo anche le pause dell’attività lavorativa. Tutti i dati venivano conservati per un periodo di 180 giorni.

Sulla base di quanto emerso, l’Autorità ha osservato che:

• la raccolta di informazioni quali la rilevazione della posizione anche durante la pausa dell’attività lavorativa risulta idonea ad effettuare un monitoraggio continuo sull’attività dei dipendenti e ciò viola il principio di minimizzazione dei dati (art. 5, par. 1., lett. c) del Regolamento) che, invece, richiede che i dati raccolti siano “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”. Tra l’altro, la stessa Autorità rileva di aver spesso ribadito che la posizione del veicolo di regola non dovrebbe essere monitorata continuativamente dal titolare del trattamento, ma solo quando ciò si renda necessario per il conseguimento delle finalità legittimamente perseguite;
• la conservazione dei dati raccolti per un esteso periodo di tempo non è conforme ai principi di minimizzazione e di limitazione della conservazione;
• le specifiche funzionalità del sistema di geolocalizzazione non sono conformi alle specifiche garanzie previste dall’autorizzazione rilasciata dall’ITL competente, in particolare per ciò che concerne alla rilevazione non continuativa del veicolo geolocalizzato, all’anonimizzazione dei dati raccolti, all’adozione di soluzioni tecnologiche che impediscano “l’eventuale trattamento di dati ultronei, non pertinenti o eccedenti le finalità perseguite dal titolare”.

In sintesi, il trattamento è stato realizzato in difformità a quanto previsto sia dalla normativa privacy sia dal provvedimento autorizzatorio e, pertanto, risulta contrario al principio di liceità del trattamento.

Tenuto conto delle numerose e gravi violazioni riscontrate, l’Autorità ha comminato alla società il pagamento di una sanzione di 50mila euro e le ha ordinato di fornire un’idonea informativa ai dipendenti e di adeguare i trattamenti effettuati attraverso il sistema Gps alle garanzie prescritte nel provvedimento autorizzatorio rilasciato, a suo tempo, dall’Ispettorato territoriale del lavoro all’azienda.

Altri insights correlati:

• Autorità Garante: il dipendente ha diritto di accedere ai dati raccolti tramite il sistema GPS installato dal datore
• Legittimo il trattamento dati personali mediante GPS ma con prescrizioni

L’Autorità Garante della protezione dei dati, con la newsletter 472 del 25 gennaio 2021 ha comunicato che il precedente 14 gennaio, l’EDPB (l’“European Data Protection Board”) ha adottato delle nuove Linee Guida (“Guidelines 01/2021 on Examples regarding Data Breach Notification”, le “Linee Guida”) volte a supportare imprese e pubblica amministrazione nell’affrontare correttamente le violazioni dei dati e nel definire i processi di gestione del rischio.

Il documento si aggiunge alle precedenti linee guida del Gruppo di Lavoro 29 (“Guidelines on Personal data breach notification under Regulation 2016/679”) che, invece, comprendono una analisi tecnico-teorica di quanto prescritto dal Regolamento (UE) 2016/697 (il “Regolamento”) in tema di violazioni dei dati personali (o “Data Breach”).

Alla luce dei principi di sicurezza delle informazioni, richiamando l’”Opinion 3/2014” e le “Guidelines WP 250”, L’EDPB fornisce una classificazione della tipologia di violazioni attuabili, ossia:

• «violazioni della riservatezza» – che sussistono quando si verifica una divulgazione non autorizzata o un accesso non autorizzato ai dati personali;
• «violazioni dell’integrità» – che avvengono quando si verifica un’alterazione non autorizzata o accidentale dei dati personali;
• «violazioni della disponibilità» – che si realizzano quando si verifica una perdita accidentale o un accesso autorizzato o una distruzione di dati personali.

Le Linee Guida, avendo l’obiettivo di fornire indicazioni utili ai Titolari e ai Responsabili del trattamento per gestire correttamente una violazione di dati personali, illustrano i comportamenti da evitare (ad es. l’omessa cifratura dei dati) e contengono numerose casistiche pratiche che hanno visto coinvolti, in diversi paesi europei, ospedali, banche, imprese e società di servizi online di vario genere.

Tali casistiche descrivono le misure preventive adottabili e suggeriscono le modalità di svolgimento del risk assessment in riferimento alla violazione subita, le potenziali misure adottabili per ridurre i rischi e gli obblighi ex lege che devono essere rispettati.

L’EDPB ha avviato una consultazione pubblica europea sul documento che terminerà il 2 marzo 2021.

Altri insights correlati:

• Pronto il modello per notificare il Data Breach

Le FAQ hanno l’obiettivo di supportare i datori di lavoro nella corretta applicazione della normativa in vigore derivante dal combinato disposto delle disposizioni in materia di protezione dei dati personali, della disciplina in materia di salute e sicurezza all’interno dei luoghi di lavoro e della normativa emergenziale.

Il 17 febbraio 2021 l’Autorità Garante per la protezione dei dati personali (l’“Autorità”) ha pubblicato sul proprio sito istituzionale le FAQ (“Frequently Asked Questions”) riguardanti il trattamento di dati relativi alla vaccinazione anti Covid-19 nel contesto lavorativo.

L’Autorità ha innanzitutto chiarito che il datore di lavoro non rientra tra i soggetti legittimati a chiedere ai dipendenti di fornire informazioni sul proprio stato vaccinale o comunque una copia dei documenti che comprovino l’avvenuta vaccinazione anti Covid-19.

Secondo l’Autorità un siffatto trattamento di dati personali sanitari da parte del datore di lavoro non sarebbe consentito né dalle vigenti disposizioni emergenziali né dalla normativa applicabile in materia di salute e sicurezza nei luoghi lavoro, ad oggi contenuta nel “Testo Unico Sulla Salute e Sicurezza Sul Lavoro” (“D.Lgs. 81/2008”).

Le FAQ chiariscono che nel contesto lavorativo neppure il consenso dello stesso lavoratore legittima tale trattamento; il consenso, in tal caso, non può costituire una valida condizione di liceità. Ciò in ragione dello squilibrio e dell’assenza di parità nel rapporto tra il datore di lavoro, titolare del trattamento, e il lavoratore, interessato, i quali non assicurano la libertà di espressione del consenso eventualmente prestato dal lavoratore stesso (sul punto cfr. considerando 43 del Regolamento UE 2016/679 in materia di protezione dei dati personali).

Allo stesso modo, a parere dell’Autorità, il datore di lavoro non può chiedere al Medico Competente di condividere l’elenco dei nominativi dei dipendenti che abbiano aderito alla campagna vaccinale in corso.

E’ il Medico Competente il solo soggetto legittimato a trattare i dati sanitari dei lavoratori, tra i quali rientrano, nell’ambito della sorveglianza sanitaria e in sede di verifica dell’idoneità alla mansione specifica, anche le eventuali informazioni relative alla vaccinazione dei lavoratori medesimi.

Continua a leggere la versione integrale pubblicata su Norme & Tributi Plus Diritto de Il Sole 24 Ore

Lo scorso 23 giugno l’Autorità Garante per la protezione dei dati personali (il “Garante”) ha pubblicato la “Relazione annuale 2019” (la “Relazione”) contenente il bilancio di tutte le attività svolte nel corso dell’anno solare precedente.

Con la pubblicazione della Relazione, il Garante ha confermato quanto già precedentemente espresso con la nota prot. n. 7797, del 27 febbraio 2019, in merito alla qualificazione soggettiva del Medico Competente (così come definito dall’art. 38 del D.lgs. 81/2008, il “Decreto”)

Per meglio comprendere la questione, è doveroso fare una brevissima premessa.

L’articolo 4 del Regolamento (UE) in materia di protezione dei dati personali (il “Regolamento”) definisce le figure del Titolare del trattamento di dati personali e del Responsabile del trattamento rispettivamente come (i) “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” e (ii) “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.

Sin dalle prime interpretazioni ed applicazioni del Regolamento, la dottrina ha aperto un dibattito sulla corretta qualificazione soggettiva del Medico competente in relazione ai trattamenti dei dati personali svolti da quest’ultimo nell’esecuzione delle funzioni e dei compiti assegnatigli dal Decreto.

Le tesi della dottrina

Una parte della dottrina configurava il Medico Competente come Responsabile del trattamento (ex art. 28 del Regolamento), inquadrando il datore di lavoro quale unico Titolare del trattamento e riconoscendogli il compito di determinare le finalità e i mezzi dei trattamenti effettuati dal professionista. La motivazione di tale tesi si fondava sul fatto che il rapporto tra il datore di lavoro e il Medico competente fosse regolato da uno specifico contratto con cui quest’ultimo veniva espressamente autorizzato dal primo ad effettuare i trattamenti di dati personali (ivi inclusi quelli appartenenti a categorie particolari, alias ex dati c.d. “sensibili”) dei dipendenti interessati.

Di contro, una diversa parte della dottrina qualificava il Medico competente quale autonomo Titolare del trattamento affermando che le finalità dei trattamenti effettuati fossero stabilite dal Decreto e non dal datore di lavoro.

La posizione del Garante

Tale ultima tesi è stata espressamente confermata dal Garante che qualifica il Medico competente come un autonomo Titolare del trattamento. La tipologia di trattamenti svolti dal professionista (a titolo esemplificativo, la sorveglianza sanitaria o la creazione delle cartelle sanitarie), di fatto, sono una prerogativa di quest’ultimo e non del datore di lavoro.

Ed anche sotto il profilo sanzionatorio, secondo il Garante, il quadro normativo distingue puntualmente le responsabilità che ricadono sul datore di lavoro da quelle che ricadono sul Medico competente.

Altri Insights correlati:

• Le FAQ del Garante sul Responsabile della Protezione dei Dati (RPD) in ambito privato

• Garante: qualificazione giuridica ai fini privacy dell’OdV