Con Provvedimento n. 403 del 14 settembre 2023, pubblicato nella Newsletter n. 511 del 10 ottobre 2023, il Garante della Privacy, ha condannato il datore di lavoro al pagamento di una sanzione amministrativa pecuniaria pari a 20.000 Euro, per non aver concesso al lavoratore la possibilità di esercitare in modo pieno e completo il diritto di accesso ex art. 15 del Regolamento Generale sulla Protezione Dati (i.e. Regolamento (UE) 2016/679) relativamente al “trattamento dei dati personali e [al]le informazioni utilizzate al fine di elaborare i rimborsi chilometrici e la retribuzione mensile oraria nonché la logica di elaborazione”.
Nel caso di specie, la Società aveva dotato i propri dipendenti di uno smartphone, all’interno del quale era stato installato un sistema di geolocalizzazione che consentiva agli operatori, da un lato, di tracciare il percorso da seguire per raggiungere i contatori, dall’altro forniva alla stessa Società i criteri necessari per calcolare i rimborsi chilometrici e la retribuzione oraria mensile, nonché la procedura adottata per determinare l’importo del compenso spettante.
Il Garante ha accertato che la Società, in qualità di titolare del trattamento, non solo non aveva fornito un riscontro idoneo a quanto richiesto dai reclamanti, ma non aveva nemmeno comunicato agli interessati i dati trattati attraverso il GPS essendosi limitato ad indicare le modalità e gli scopi per i quali i dati stessi venivano trattati.
Tale condotta, secondo il Garante, doveva essere considerata illecita. Infatti, dalla rilevazione del GPS derivava indirettamente la geolocalizzazione dei dipendenti e, di conseguenza, un trattamento di dati personali, quantomeno nel momento della lettura dei contatori.