Garante privacy: no al controllo a distanza dei dipendenti attraverso sistemi gps installati sui veicoli aziendali

Con provvedimento n. 7 del 16 gennaio 2025, diffuso con comunicato stampa del 21 marzo 2025, il Garante per la protezione dei dati personali ha sanzionato una società di autotrasporti per aver controllato in modo illecito circa 50 dipendenti svolgenti mansioni di autista, durante la loro attività lavorativa, utilizzando un sistema Gps installato sui veicoli aziendali.

Il provvedimento del Garante, è stato adottato a seguito di una istruttoria avviata dopo la presentazione del reclamo di un ex dipendente dell’azienda e da cui sono emerse numerose e gravi violazioni del Regolamento (UE) 2016/279 (cd. GDPR), da parte della società, tra cui la mancata indicazione delle specifiche modalità con cui il trattamento dei dati personali veniva realizzato nonché l’informazione relativa alla diretta identificabilità dei conducenti dei veicoli geolocalizzati. Nello specifico, secondo il Garante, l’informativa predisposta dalla Società era del tutto inidonea a rappresentare compiutamente i trattamenti realizzati mediante il sistema di geolocalizzazione, violando, dunque, gli artt. 5, par. 1, lett. a) e 13 del Regolamento.

Il Garante, in particolare, ha chiarito che l’associazione del dispositivo al numero di targa del veicolo, anche nel caso in cui la guida dello stesso sia affidata ad autisti diversi, consente comunque di identificare il guidatore del mezzo come, ad esempio, con i documenti relativi ai turni di servizio e, quindi, rientra nella definizione di “dato personale” prevista dal Regolamento.

Dalle ispezioni effettuate era altresì emerso che non soltanto il sistema Gps tracciava in modo continuativo i dati di localizzazione, velocità, chilometraggio e stato dei veicoli (ad es. quando erano spenti o accesi), senza rispettare la normativa privacy e in difformità a quanto previsto dal provvedimento autorizzatorio rilasciato dall’Ispettorato territoriale del lavoro, ma anche che gli stessi dati raccolti venivano conservati per oltre 5 mesi. Tutto ciò in violazione dei principi di minimizzazione e di limitazione della conservazione dei dati.

Infatti, il principio di minimizzazione dei dati richiede che gli stessi siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per i quali sono stati trattati (art. 5, par. 1, lett. c) del Regolamento).

Per leggere il testo del provvedimento clicca qui