Il Garante Privacy, con provvedimento n. 7 del 16 gennaio 2025, nell’ambito della tematica della geolocalizzazione dei dipendenti durante l’attività lavorativa, e della normativa applicabile, ha sanzionato un’azienda per aver controllato in modo illecito numerosi dipendenti, utilizzando un sistema GPS installato sui veicoli aziendali.
La geolocalizzazione dei dipendenti, nel caso in cui consenta l’identificazione del guidatore del mezzo su cui è istallato il dispositivo GPS, implica un trattamento dei dati personali ed un controllo dell’attività lavorativa dei lavoratori, che, per essere ritenuto lecito, deve rispettare non solo la normativa giuslavoristica, ma altresì i criteri di legittimità del trattamento di cui al GDPR ed ai diversi provvedimenti chiarificatori del Garante Privacy.
Il Garante, con riferimento al caso di specie, infatti, ha precisato preliminarmente che, alla luce della definizione di “dato personale” di cui al GDPR, ovvero di “qualsiasi informazione riguardante una persona fisica identificata o identificabile“, l’associazione del dispositivo al numero di targa del veicolo, anche nel caso in cui la guida dello stesso sia in concreto affidata ad autisti diversi che si avvicendano, consente comunque di identificare il guidatore del mezzo attraverso l’associazione con altre informazioni (ad esempio i documenti relativi ai turni di servizio), e quindi rientra senz’altro nell’ambito di applicazione della normativa di cui al Regolamento sulla protezione dei dati.
L’Autorità, nel caso di specie, ha riscontrato diverse violazioni della normativa di cui al GDPR in materia di geolocalizzazione dei dipendenti, fra cui:
- la violazione della normativa applicabile di cui al GDPR, e nello specifico degli artt. 5, par. 1, lett. a) e 13 GDPR, per gravi carenze nell’informativa fornita ai lavoratori, tra cui:
- la mancata indicazione delle specifiche modalità con cui il trattamento veniva realizzato: l’informativa non rappresentava le modalità del trattamento effettuato mediante il sistema di geolocalizzazione, come il fatto che i dati erano rilevati in maniera continuativa
- l’informazione relativa alla diretta identificabilità dei conducenti dei veicoli geolocalizzati.
Considerato che, nell’ambito del rapporto di lavoro, l’obbligo di informare il dipendente è espressione del dovere di correttezza di cui all’art. 5, par. 1, lett. a) del GDPR, il Garante conferma l’illiceità del trattamento realizzato mediante l’informativa inidonea, in violazione altresì dell’art. 13 GDPR.
- la violazione della normativa applicabile di cui al GDPR, ovvero dell’art. 5, par. 1, lett. a), c) ed e), e 88 GDPR, in quanto il sistema GPS tracciava in modo continuativo la geolocalizzazione dei dipendenti, come i dati di velocità, chilometraggio e stato dei veicoli (spenti o accesi), ovvero:
- in modo difforme da quanto previsto dal provvedimento autorizzatorio rilasciato dall’Ispettorato territoriale del lavoro (ITL) che prevedeva l’anonimizzazione dei dati raccolti e l’adozione di soluzioni tecnologiche in grado di limitare la raccolta di dati personali non necessari o eccedenti rispetto alle finalità di sicurezza e organizzazione aziendale
- in modo eccedente e non proporzionato rispetto agli scopi e alle finalità dichiarate (di tutela dei beni aziendali, di sicurezza sul lavoro e per esigenze di natura organizzativa e produttiva), che potevano perseguirsi in modo legittimo con un trattamento di informazioni più limitate: la raccolta di informazioni così particolareggiate (come la rilevazione della posizione anche durante la pausa dell’attività lavorativa) è infatti idonea per il Garante ad effettuare un monitoraggio continuo sull’attività dei dipendenti, in violazione del principio di minimizzazione dei dati (art. 5, par. 1., lett. c) GDPR); sul punto il Garante ha già ribadito, peraltro, che la posizione del veicolo di regola non dovrebbe essere monitorata continuativamente dal titolare del trattamento, ma solo quando ciò si renda necessario per il conseguimento delle finalità legittimamente perseguite (provv. n. 396/2018)
- per un periodo di tempo eccessivo: la conservazione dei dati raccolti per 180 giorni non è conforme ai principi di minimizzazione e di limitazione della conservazione (art. 5, par. 1, lett. c) ed e), GDPR).