Home

Internal

Global

Contatto

de|it

Rödl & Partner Italia e Studio Gottardo per la partnership tra Officine MTM S.p.A. e Gruppo Dawang Metals |

In tutto il mondo

Utilizziamo cookie tecnici per personalizzare il sito web e offrire all’utente un servizio di maggior valore. Chiudendo il banner e continuando con la navigazione verranno installati nel Suo dispositivo i cookie tecnici necessari ai fini della navigazione nel Sito. L’installazione dei cookie tecnici non richiede alcun consenso da parte Sua. Ulteriori informazioni sono contenute nella nostra Cookie Policy.

Geolocalizzazione dei dipendenti: il Garante ribadisce il proprio orientamento sanzionatorio sul tema

Ultimo aggiornamento del 22.04.2025 | Tempo di lettura ca. 4 minuti

Con il provvedimento del 16 gennaio 2025, pubblicato nella newsletter del 21 marzo 2025, l’Autorità Garante per la Protezione dei Dati Personali italiana (“Garante” o “Autorità”), ha sanzionato – per un importo complessivo di 50.000 Euro – una società di autotrasporti (“Società” o “Azienda”) rea di aver svolto un trattamento illecito di dati personali derivante dall’utilizzo di un sistema di geolocalizzazione dei veicoli aziendali.

Il provvedimento sanzionatorio è stato originato da un reclamo presentato da un ex dipendente, il quale lamentava:

di non aver ricevuto adeguata informativa sul trattamento dei propri dati personali raccolti tramite il sistema di geolocalizzazione installato sul veicolo aziendale utilizzato per lo svolgimento delle proprie mansioni quotidiane;
che la Società avrebbe altresì violato le procedure di garanzia di cui all’art. 4 della Legge 300/1970 (“Statuto dei Lavoratori”).

Nel corso dell’istruttoria emergeva che il sistema di geolocalizzazione – fornito da una terza parte fornitore della Società – veniva utilizzato ai fini di tutela della sicurezza e del patrimonio aziendale, nonché per ragioni di organizzazione strutturale del lavoro.

All’esito del procedimento istruttorio, il Garante rilevava che l’informativa privacy fornita ai lavoratori risultava inadeguata e confusa, riportava errori, ruoli di trattamento mal definiti e riferimenti a soggetti terzi non pertinenti. Inoltre, l’associazione tra i dati di geolocalizzazione e i dati identificativi dei dipendenti era possibile in modo più diretto di quanto dichiarato dall’Azienda: difatti, grazie alle particolari funzionalità del sistema di tracciamento, tramite quest’ultimo era possibile acquisire – in modo continuativo – informazioni relative alla posizione del veicolo, al suo stato (ossia, se acceso o spento), alla telemetria e quindi, indirettamente, all’attività lavorativa prestata dal dipendente. Peraltro, nel novero di informazioni acquisite, risultava possibile tracciare anche le pause del dipendente dall’attività lavorativa.

Inoltre, il sistema conservava i dati raccolti per 180 giorni: tale periodo di conservazione è stato valutato dall’Autorità come eccedente e sproporzionato rispetto ai crismi del principio di minimizzazione di cui all’art. 5, comma 1, lettera c) del Regolamento (UE) 679/2016 (“GDPR”); oltretutto, siffatta conservazione violava anche le prescrizioni oggetto del provvedimento autorizzativo dell’Ispettorato Territoriale del Lavoro competente.

Alla luce di tutti i rilievi occorsi, il Garante accertava il fatto che la Società – tramite il citato sistema di geolocalizzazione – avrebbe condotto un monitoraggio sistematico e non proporzionato dell’attività lavorativa resa dai propri dipendenti.

Il provvedimento di specie costituisce l’ennesimo monito dell’Autorità con riferimento a tutti quei trattamenti di dati personali dei dipendenti che, se non disciplinati e gestiti in maniera adeguata all’interno dell’azienda, possono determinare l’insorgere di rischi legati a possibili controlli a distanza da parte del datore di lavoro. E, in tal senso, i rischi sanzionatori e di violazione degli obblighi di compliance possono essere rilevanti, con particolare riferimento a quanto previsto dal GDPR e dalle normative italiane applicabili a livello giuslavoristico (lo Statuto dei Lavoratori su tutte).

Pertanto, al fine di mitigare tali rischi, le aziende che decidono di adottare un sistema di geolocalizzazione sugli strumenti utilizzati dai propri dipendenti a fini di rendere l’attività lavorativa dovrebbero verificare:

di aver adottato un’informativa privacy chiara, aggiornata e coerente rispetto alla finalità del trattamento di geolocalizzazione dichiarato, descrivendo in maniera appropriata – in particolare – le modalità di raccolta e trattamento dei dati personali dei dipendenti attraverso i sistemi di tracciamento;
di adottare un sistema di geolocalizzazione che consenta di personalizzare la propria configurazione tecnica al fine di limitare l’identificabilità diretta dei dipendenti quando non necessaria. Ad esempio, il monitoraggio e la conseguente associazione con i dati identificativi del dipendente non dovrebbero essere effettuati durante le pause lavorative e, in tal senso, il sistema dovrebbe consentire di inibire il tracciamento e garantire, di conseguenza, l’anonimizzazione del dato personale;
di aggiornare il regolamento sull’uso degli strumenti aziendali – ossia, quel documento aziendale che descrive il funzionamento, lo scopo e le modalità di utilizzo degli strumenti tecnologici (come dispositivi aziendali e applicativi) adottati in seno all’organizzazione – al fine di descrivere, in maniera trasparente e quanto più completa possibile, il funzionamento del sistema di geolocalizzazione e la sua capacità, più o meno profonda a seconda dei casi, di tracciare il percorso del dipendente per finalità legittime – quali, ad esempio, la protezione della sua incolumità fisica e la tutela del patrimonio aziendale;
di aver rispettato, durante la fase di implementazione e conseguente utilizzo del sistema di geolocalizzazione, le prescrizioni di cui all’autorizzazione sindacale resa dall’Ispettorato del Lavoro competente o, ove presenti rappresentanze sindacali, dell’accordo concluso con queste ultime. Tali presidi, infatti, consentono di ottenere e attestare il bilanciamento tra le esigenze imprenditoriali dell’azienda (il cosiddetto “legittimo interesse”) e la tutela dell’attività lavorativa resa dal dipendente – ad esempio, la sorveglianza continuativa a distanza del dipendente potrebbe rappresentare un classico esempio di violazione di tali tutele, motivo per cui il monitoraggio dovrebbe essere svolto occasionalmente al fine di non integrare un controllo a distanza (anche potenziale) dell’attività lavorativa resa dal dipendente;
che il sistema di geolocalizzazione raccolga i soli dati personali strettamente necessari al perseguimento della finalità dichiarata, in ottica di accountability rispetto al principio di minimizzazione del trattamento stabilito dal GDPR;
la possibilità di implementare, sul sistema di geolocalizzazione, funzionalità di audit e logging per monitorare gli accessi ai dati personali da parte degli incaricati autorizzati;
lo svolgimento di apposita valutazione di impatto ai sensi dell’art. 35 GDPR per rafforzare l’accountability del titolare del trattamento rispetto all’attività di geolocalizzazione e giustificare al meglio le finalità perseguite;
di adottare, ove possibile e tenuto conto delle configurazioni tecniche del sistema di geolocalizzazione, un breve alert informativo che – all’accensione della funzionalità di monitoraggio a distanza – descriva brevemente le finalità e le modalità di trattamento dei dati personali del dipendente, di modo che quest’ultimo possa essere il più informato possibile. Peraltro, tale primo strato informativo dovrebbe poi rinviare all’informativa sul trattamento dei dati personali dei dipendenti adottata da parte dell’azienda per garantire la massima trasparenza possibile.