Controllo a distanza dei dipendenti: il Garante Privacy torna a sanzionare l’uso improprio dei sistemi di geolocalizzazione

22 Aprile 2025
, , , ,

L’utilizzo di sistemi di geolocalizzazione è ormai prassi consolidata in molte imprese, soprattutto per la gestione delle flotte aziendali, al fine di soddisfare esigenze organizzative, produttive o di sicurezza sul lavoro. Tuttavia, l’adozione di tali tecnologie richiede un attento bilanciamento tra le esigenze del datore di lavoro e i diritti fondamentali dei lavoratori, dovendo garantire il rispetto della normativa in materia di protezione dei dati personali e dello Statuto dei Lavoratori.

Un recente provvedimento del Garante per la protezione dei dati personali (provv. 7/2025, doc. web. 10112287) ha riportato l’attenzione su questo tema, disponendo una sanzione pari a 50.000 euro nei confronti di una società di autotrasporti per aver effettuato un monitoraggio illecito su circa 50 dipendenti, tramite un sistema GPS installato sui veicoli aziendali.

Il caso offre l’occasione per riflettere sui presupposti giuridici che legittimano l’impiego di strumenti di localizzazione e sulle misure che ogni impresa dovrebbe adottare per assicurare la conformità normativa ed evitare conseguenze sanzionatorie.

Le violazioni rilevate dal Garante Privacy

Il Garante ha riscontrato diverse violazioni, tra cui:

  1. inadeguatezza dell’informativa privacy fornita ai dipendenti. In particolare:
    • la diretta identificabilità dei conducenti era possibile grazie all’associazione tra il dispositivo GPS e la targa del veicolo, incrociata con ulteriori informazioni (ad es., documenti relativi ai turni di lavoro)[1];
    • l’informativa fornita non illustrava in modo chiaro e completo le modalità del trattamento effettuato,compromettendone la comprensibilità e la trasparenza nei confronti degli interessati.
  2. Violazione del principio di minimizzazione:
    • il sistema raccoglieva dati in modalità continuativa, inclusi posizione, stato del veicolo (acceso/spento), telemetria e informazioni indirettamente riferibili all’attività dell’autista, comprese le pause lavorative;
    • sebbene fosse tecnicamente prevista la possibilità di disattivare il tracciamento, la società aveva omesso volontariamente di attivare tale funzione.
  3. Conservazione dei dati per un arco temporale eccessivo, pari ad oltre cinque mesi, in contrasto con il principio di limitazione della conservazione.
  4. Violazione dei limiti stabili dall’autorizzazione rilasciata dall’Ispettorato territoriale del Lavoro ai sensi dell’art. 4 dello Statuto dei Lavoratori, in quanto:
    • il trattamento, prevedendo un monitoraggio continuo, eccedeva i limiti funzionali e temporali previsti dall’autorizzazione;
    • non erano state adottate misure tecniche per garantire l’anonimizzazione dei dati o per evitare il trattamento di informazioni non pertinenti o eccedenti le finalità perseguite dal titolare (il sistema GPS era infatti stato installato per finalità di tutela dei beni aziendali, di sicurezza sul lavoro e per esigenze di natura organizzativa e produttiva).

Come evitare simili sanzioni?

Sebbene l’importo della sanzione non sia particolarmente elevato, il provvedimento rappresenta un chiaro monito alle imprese sull’importanza di assicurare una gestione conforme dei sistemi di tracciamento dei veicoli aziendali, in particolare quando tale tracciamento può incidere sull’attività dei lavoratori.

In concreto, le aziende che intendano adottare sistemi GPS dovranno:

  • redigere e fornire un’informativa privacy completa e comprensibile, sia in versione estesa sia nella forma semplificata (c.d. vetrofania) mediante cartelli da apporre sui veicoli;
  • limitare il trattamento ai dati strettamente necessari, evitando la raccolta sistematica o continuativa, salvo nei casi in cui ciò sia giustificato da esigenze legittime e documentate. In particolare, come chiarito dal Garante, il monitoraggio continuativo dei veicoli deve essere considerato eccezionale e non la regola (Garante Privacy, provv. 396/2018, doc. web. 9023246; Garante Privacy provv. 370/2011, doc. web. 1850581);
  • configurare i sistemi in ottica di privacy by design e by default, adottando soluzioni tecnologiche che, per impostazione predefinita, minimizzino i dati trattati e consentano – ad esempio – la disattivazione del GPS durante le pause lavorative;
  • stabilire tempi di conservazione proporzionati e differenziati, secondo le specifiche finalità perseguite;
  • rispettare quanto previsto dall’art. 4 dello Statuto dei Lavoratori, mediante:
    • accordo collettivo con le rappresentanze sindacali, oppure
    • autorizzazione dell’ispettorato del lavoro.
      In ogni caso, il trattamento non dovrà eccedere i limiti previsti in tali atti autorizzativi.
  • Formalizzare il rapporto con il fornitore del servizio di localizzazione, designandolo quale responsabile del trattamento ai sensi dell’art. 28 del GDPR, mediante apposito atto scritto conforme ai requisiti normativi.

[1] Sul punto si rinvia ai seguenti provvedimenti del Garante Privacy: provv. 396/2018, doc. web. 9023246 e provv. 247/2017 doc. web. 6495708.

2025 - Morri Rossetti

I contenuti pubblicati nel presente sito sono protetti da diritto di autore, in base alle disposizioni nazionali e delle convenzioni internazionali, e sono di titolarità esclusiva di Morri Rossetti e Associati.
È vietato utilizzare qualsiasi tipo di tecnica di web scraping, estrazione di dati o qualsiasi altro mezzo automatizzato per raccogliere informazioni da questo sito senza il nostro esplicito consenso scritto.
Ogni comunicazione e diffusione al pubblico e ogni riproduzione parziale o integrale, se non effettuata a scopo meramente personale, dei contenuti presenti nel sito richiede la preventiva autorizzazione di Morri Rossetti e Associati.

cross