Il Garante per la protezione dei dati personali ha recentemente inflitto una sanzione da 50.000 euro a una società di autotrasporto, colpevole di aver effettuato un monitoraggio illecito delle attività lavorative di circa 50 dipendenti.
L’azienda aveva installato un sistema di geolocalizzazione sui veicoli aziendali, violando principi fondamentali del GDPR, come quelli di necessità, pertinenza e non eccedenza.
L’adozione di tecnologie avanzate, come i sistemi di geolocalizzazione, sta diventando sempre più comune tra le aziende per monitorare le proprie flotte. Tuttavia, quando la raccolta di dati incontra le rigide normative sulla privacy, il rischio di sanzioni può essere molto concreto.
E la sanzione non è solo un ammonimento per questa azienda, ma per tutte le realtà che utilizzano tecnologie di monitoraggio senza garantire la protezione adeguata dei dati personali.
Indice degli argomenti
Irregolarità riscontrate: dalla localizzazione all’informativa
Il sistema GPS utilizzato dall’azienda tracciava costantemente dati relativi alla localizzazione, velocità, chilometraggio e stato dei veicoli (acceso/spento), senza rispettare la normativa sulla privacy. Durante le ispezioni, è emerso che i dati venivano conservati per oltre cinque mesi, in violazione del principio di minimizzazione dei dati previsto dal GDPR.
Inoltre, l’informativa fornita ai lavoratori risultava incompleta, non chiarendo adeguatamente le modalità di trattamento dei dati e l’identificazione dei conducenti. Secondo il Garante, il sistema violava anche le misure di garanzia imposte dall’Ispettorato del Lavoro, che aveva autorizzato l’azienda a condizione che i dati fossero anonimizzati e o mediante modalità che permettano di identificare l’interessato solo in caso di necessità.
L’informativa sui dati di geolocalizzazione, diffusa attraverso un avviso nella bacheca aziendale, non forniva dettagli sufficienti riguardo al trattamento dei dati. Inoltre, l’azienda utilizzava il sistema “WAY”, fornito da TIM, che raccoglieva dati anche tramite i tachigrafi dei veicoli.
Sebbene il sistema prevedesse un “pulsante privacy” per disattivare il tracciamento, questa funzione non era stata attivata. Il sistema acquisiva informazioni relative alla posizione del veicolo, al suo stato, alla telemetria e, indirettamente, anche sull’attività degli autisti.
Infatti, grazie all’associazione del dispositivo al numero di targa, era possibile risalire all’identità dei conducenti, anche se si alternavano nei turni, incrociando i dati con i turni di servizio.
I ruoli e le responsabilità
Il sistema di geolocalizzazione era stato fornito tramite un contratto stipulato con TIM S.p.A., che si configurava come responsabile del trattamento dei dati. Il fornitore del sistema, WAY s.r.l., era stato designato come secondo responsabile del trattamento per conto di TIM. A livello pratico, TIM e WAY erano coinvolti nella gestione del trattamento dei dati personali, raccogliendo informazioni dettagliate sulle attività dei veicoli, tra cui la posizione, la velocità e lo stato dei mezzi.
Tuttavia, è stato riscontrato che i dati raccolti non erano in linea con le specifiche condizioni autorizzate dall’Ispettorato del Lavoro, in quanto il trattamento si estendeva oltre le finalità consentite, come il monitoraggio dettagliato delle pause lavorative dei conducenti.
Le criticità legate alla geolocalizzazione continua
Una delle principali criticità emerse dall’indagine riguarda il monitoraggio continuo e non proporzionato delle attività dei dipendenti. Il sistema raccoglieva dati in modo continuativo, seppur con un ritardo di 3-5 minuti, e conservava le informazioni per 180 giorni, un periodo eccessivo rispetto alle finalità dichiarate dall’azienda. Questo tipo di monitoraggio continuo, che includeva anche la registrazione delle pause lavorative, è stato ritenuto incompatibile con i principi di minimizzazione e limitazione della conservazione dei dati, stabiliti dal GDPR.
Il Garante ha sottolineato che il trattamento di dati tanto dettagliati non è giustificato dalle finalità dichiarate dall’azienda, e avrebbe potuto essere effettuato utilizzando informazioni più limitate e meno invasive, in linea con la normativa sulla protezione dei dati personali.
Geolocalizzazione e controllo a distanza: un monito
La sanzione imposta al termine di questo procedimento rappresenta un avvertimento per le aziende che intendono utilizzare tecnologie di monitoraggio per le proprie flotte.
Tra l’altro, il Garante ha spesso ribadito che la posizione del veicolo di regola non dovrebbe essere monitorata continuativamente dalle società, ma solo quando ciò si renda necessario per il conseguimento delle finalità legittimamente perseguite.
Sebbene l’importo della multa non sia particolarmente elevato, la gravità delle violazioni riscontrate, che riguardano il controllo indiscriminato delle attività lavorative dei dipendenti, dimostra l’importanza di rispettare scrupolosamente le normative sulla privacy e il trattamento dei dati. Il Garante ha raccomandato che l’azienda adotti misure correttive per garantire la conformità del trattamento ai principi stabiliti dal GDPR, in particolare in merito alla trasparenza, alla minimizzazione dei dati e alla limitazione della conservazione delle informazioni.
