Garante privacy, controllo a distanza per Gps installati su veicoli aziendali

Pubblicato il 24 marzo 2025

Il Garante privacy ha comminato una sanzione di 50.000 euro ad un’azienda di autotrasporto per controllo a distanza di circa 50 dipendenti, durante la loro attività lavorativa, attraverso un sistema di geolocalizzazione satellitare (Gps) installato sui veicoli aziendali.

La sanzione è stata disposta con provvedimento del 16 gennaio 2025, di cui il Garante privacy ha dato notizia nella newsletter del 21 marzo 2025.

Geolocalizzazione satellitare di veicoli aziendali: il caso

In data 16 gennaio 2025, il Garante per la protezione dei dati personali ha emesso un provvedimento sanzionatorio nei confronti di un’azienda di autotrasporti per illecito trattamento dei dati personali di circa cinquanta dipendenti, attraverso un sistema di geolocalizzazione satellitare installato sui veicoli aziendali.

L’intervento dell’Autorità è stato sollecitato da un reclamo presentato da un ex dipendente, che ha denunciato l’uso del sistema GPS senza il rilascio della previa informativa ex art. 13 GDPR e il mancato adempimento alla procedura prevista dall’art. 4 dello Statuto dei Lavoratori (autorizzazione sindacale o dell’ITL).

La Società aveva fornito una prima risposta, dichiarando di aver ottenuto autorizzazione dall’ITL per l’uso del sistema satellitare per finalità di tutela beni, sicurezza sul lavoro, esigenze produttive di aver reso l’informativa ex art. 13 GDPR affiggendola nella bacheca aziendale.

La Società aggiungeva di non aver attivato informative semplificate sui mezzi, che la localizzazione dei mezzi avveniva anche durante le pause lavorative ma i dati sono riferiti solo al tempo di attività e che i dati non sono registrati al di fuori dell’orario lavorativo.

Il Garante ha inviato una seconda richiesta di informazioni, rimasta inevasa. Di conseguenza, è stato notificato l’avvio del procedimento sanzionatorio, con l’intervento del Nucleo Privacy della Guardia di Finanza. Dal verbale ispettivo è emerso che con il sistema geolocalizzazione satellitare installato sui veicoli aziendali:

• l’associazione tra autista e mezzo avviene tramite tachigrafo, ma non sempre corrisponde all’effettivo conducente;
• il sistema opera con un ritardo di 3-5 minuti e i dati sono visibili solo tramite numero di targa;
• non è stato attivato il cosiddetto “pulsante privacy”.

Conseguentemente è stata avviata un’istruttoria anche nei confronti della Società fornitrice tecnica del sistema.

Con l’atto di avvio del procedimento sanzionatorio, il Garante ha contestato violazioni degli artt. 5, par. 1, lett. a), c), e), 13 e 88 del GDPR.

In risposta, la Società ha sostenuto che:

• Il sistema non consente identificazione diretta del conducente, poiché l'associazione nome-veicolo è casuale o generica;
• L’identificazione avviene solo in caso di “eventi anomali” (incidenti, infrazioni, furti);
• L’accesso ai dati è limitato a due dipendenti autorizzati, con password e istruzioni dettagliate;
• L’informativa ex art. 13 era adeguata, poiché i dipendenti erano a conoscenza delle caratteristiche del sistema;
• La rilevazione della velocità e di altri dati è fatta in forma anonima, salvo necessità specifiche, in linea con l’autorizzazione ITL.

La Società ha rinunciato all’audizione precedentemente richiesta.

Violazioni della normativa in materia di privacy

L’istruttoria ha evidenziato una serie di violazioni della normativa in materia di privacy e dei vincoli stabiliti nel provvedimento autorizzatorio dell’Ispettorato Territoriale del Lavoro (ITL), ottenuto dall’azienda. In particolare:

• Il sistema GPS raccoglieva dati di localizzazione, velocità, chilometraggio e stato del veicolo in modo continuativo, inclusi i periodi di pausa, senza adottare misure di anonimizzazione o limitazione, come invece prescritto.
• L’informativa fornita ai lavoratori, affissa in bacheca, è risultata gravemente inadeguata: conteneva errori, mancava di chiarezza sulle finalità e sulle modalità del trattamento e non spiegava l’identificabilità dei conducenti.
• I dati venivano conservati per oltre 5 mesi (180 giorni), violando i principi di minimizzazione e limitazione della conservazione (art. 5 del Regolamento).
• L’azienda ha inoltre omesso di rispondere a una richiesta ufficiale di chiarimenti da parte del Garante, contravvenendo all’art. 157 del Codice Privacy.

L’indagine ha rivelato che, nonostante l’azienda sostenesse l’impossibilità di associare i dati ai singoli autisti, nella pratica ciò era pienamente possibile. I veicoli erano assegnati con continuità agli stessi dipendenti, e l’interfaccia utilizzata consentiva l’inserimento di dati personali (nome, patente, ecc.) e quindi l’identificabilità diretta o indiretta.

Conclusioni del Garante: trattamento privacy illecito

Sulla base delle risultanze istruttorie, il Garante, con provvedimento del 16 gennaio 2025, ha ritenuto il trattamento effettuato illecito, ai sensi degli articoli 5, par. 1, lettere a), c), ed e), 13 e 88 del Regolamento UE 2016/679, nonché degli articoli 114 e 157 del Codice della privacy. Le principali violazioni rilevate sono:

• mancata trasparenza e correttezza nel trattamento;
• eccessiva raccolta e conservazione dei dati;
• difformità rispetto al provvedimento autorizzatorio rilasciato dall’ITL;
• mancata collaborazione con l’Autorità.

Di conseguenza, il Garante ha:

• ordinato all’azienda di adeguare l’informativa fornita ai dipendenti e conformare il trattamento alle prescrizioni del provvedimento ITL, riducendo la raccolta e conservazione dei dati e assicurando il rispetto della normativa;
• ingiunto il pagamento di una sanzione amministrativa pecuniaria pari a 50.000 euro, ritenuta proporzionata, efficace e dissuasiva;
• disposto la pubblicazione del provvedimento sul sito del Garante, per la gravità della condotta lesiva dei diritti dei lavoratori.