Data protection

Lavoro: Garante privacy, no al controllo a distanza

Sanzione di 50mila euro a un’azienda di autotrasporto per Gps installati sui veicoli

Premessa.

Con Provvedimento assunto al Registro dei provvedimenti
n. 7 del 16 gennaio 2025, Il Garante Privacy (di seguito, “Garante”) ha sanzionato un’azienda di autotrasporto per aver controllato in modo illecito circa 50 dipendenti, durante la loro attività lavorativa, utilizzando un sistema Gps installato sui veicoli aziendali. Diverse le violazioni riscontrate dall’Autorità, intervenuta a seguito della ricezione di un reclamo da parte di un ex dipendente dell’azienda. 

L’attività istruttoria

Dalle ispezioni, effettuate in collaborazione con il Nucleo tutela privacy della Guardia di finanza, è emerso che il sistema Gps tracciava in modo continuativo i dati di localizzazione, velocità, chilometraggio e stato dei veicoli (ad es. quando erano spenti o accesi), senza rispettare la normativa privacy e in modo difforme da quanto previsto dal provvedimento autorizzatorio rilasciato dall’Ispettorato territoriale del lavoro.

In particolare, sono state rilevate gravi carenze nell’informativa fornita ai lavoratori, tra cui la mancata indicazione delle specifiche modalità con cui il trattamento veniva realizzato e la informazione relativa alla diretta identificabilità dei conducenti dei veicoli geolocalizzati. Tali trattamenti sono risultati contrari anche alle specifiche misure di garanzia indicate dall’Ispettorato del lavoro nel provvedimento di autorizzazione che era stato rilasciato all’azienda, che infatti prevedeva l’anonimizzazione dei dati raccolti e l’adozione di soluzioni tecnologiche in grado di limitare la raccolta di dati personali non necessari o eccedenti rispetto alle finalità di sicurezza e organizzazione aziendale. 

Inoltre, i dati raccolti venivano conservati per oltre 5 mesi, in violazione dei principi di minimizzazione e limitazione della conservazione dei dati stabiliti dal Regolamento UE.

Le violazioni accertate dal Garante.

Violazione degli artt. 5, par. 1, lett. a) e 13 del Regolamento.

In primo luogo, si osserva che, con l’atto di avvio del procedimento sanzionatorio, è stato evidenziato come l’informativa predisposta dalla Società (e resa disponibile ai propri dipendenti mediante affissione alla bacheca aziendale), fosse del tutto inidonea a rappresentare compiutamente i trattamenti realizzati mediante il sistema di geolocalizzazione.

Diversamente da quanto ritenuto infatti, l’aspetto relativo alla identificabilità diretta dei conducenti dei veicoli geolocalizzati non rappresenta l’unico elemento di criticità rilevato, essendo al contrario emersi svariati elementi di difformità rispetto alla disciplina in materia di protezione dati personali.

Le sanzioni

Il Garante, in considerazione delle numerose e gravi violazioni riscontrate, oltre al pagamento di una sanzione di 50mila euro, ha ordinato all’azienda di fornire un’idonea informativa ai dipendenti e di adeguare i trattamenti effettuati attraverso il sistema Gps alle garanzie prescritte nel provvedimento autorizzatorio rilasciato, a suo tempo, dall’Ispettorato territoriale del lavoro all’azienda.

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

intelligenza artificiale.
Cybersicurezza

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

intelligenza artificiale
I sistemi di intelligenza artificiale che presentano rischi inaccettabili sono vietati a decorrere dal 2 febbraio 2025.
18 Febbraio 2025
principio-di-minimizzazione
Il rispetto del principio di minimizzazione, di cui all’art. 5 del GDPR, nel trattamento dei dati personali.
15 Febbraio 2025
Cibersicurezza
Regolamento n. 2024/2847 relativo a requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali 
24 Febbraio 2025

Start typing and press Enter to search