La tutela dei beni aziendali non giustifica il controllo costante dei veicoli tramite Gps (e di chi li guida)
Garante per la protezione dei dati personali, provvedimento 16 gennaio 2025
Multata di 50mila euro un’impresa per aver utilizzato un sistema di geolocalizzazione che consente di controllare costantemente la posizione dei veicoli della società, allo scopo di tutelare il patrimonio aziendale: secondo il Garante della privacy questo tipo di monitoraggio, se viene svolto in modo costante e continuativo, viola i limiti fissati dalla legge per il trattamento dei dati personali e per il controllo a distanza dei lavoratori.
La vicenda nasce dalla segnalazione di un lavoratore di una ditta di autotrasporti, la quale aveva installato un sistema di geolocalizzazione sul veicolo utilizzato dal dipendente (e su tutta la flotta) per lo svolgimento dell’attività lavorativa. Il dipendente ha lamentato il fatto che tale installazione fosse avvenuta senza la consegna, da parte del datore di lavoro, della preventiva informativa (prevista e disciplinata dall’articolo 13 del Gdpr) e senza che l’azienda avesse attivato la procedura di garanzia regolata dall’articolo 4 dello Statuto dei Lavoratori per i casi di controllo a distanza dei dipendenti.
Il Garante, effettuato un accesso ispettivo, ha verificato che il sistema di geolocalizzazione comportasse diverse violazioni del Gdpr.
La prima riguarda l’articolo 5, paragrafo 1, lettera a) e l’articolo 13 del regolamento, in quanto l’informativa predisposta dalla società è stata considerata del tutto inidonea a rappresentare compiutamente i trattamenti realizzati mediante il sistema di geolocalizzazione.
Una seconda violazione riguarda l’articolo 5, paragrafo 1, lettere a), c) ed e), e l’articolo 88 del regolamento, perché le modalità di geolocalizzazione – che consentono alla società di acquisire informazioni relative alla posizione del veicolo, al suo stato (se cioè acceso o spento), alla telemetria e, indirettamente, anche all’attività degli autisti, in modo continuativo, seppur differite di pochi minuti – sono risultate eccedenti e non proporzionate rispetto agli scopi e alle finalità dichiarate (tutela del patrimonio aziendale). Finalità che, secondo il Garante, possono essere legittimamente perseguite mediante il trattamento di informazioni più limitate.
