Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Un sistema GPS installato sui veicoli aziendali, il monitoraggio continuo degli autisti, e una gestione discutibile dei dati personali: così un’azienda italiana di autotrasporti si è ritrovata a dover pagare una multa di 50 mila euro inflitta dal Garante Privacy. La vicenda, nata dalla denuncia di un ex dipendente, ha rivelato gravi violazioni della normativa GDPR che potrebbero riguardare molte altre aziende. Ecco cosa è accaduto e come evitare errori simili.
Il Garante per la Protezione dei dati personali, con il provvedimento n. 7 del 16 gennaio 2025, ha sanzionato una società di autotrasporti per aver trattato illecitamente i dati personali dei propri dipendenti attraverso un sistema di geolocalizzazione installato sui veicoli aziendali.
📍 Cosa è successo? La denuncia di un ex dipendente
Il caso nasce dalla denuncia di un ex dipendente della società che aveva contestato l’utilizzo illecito di dispositivi GPS installati sui trattori con rimorchio, usati quotidianamente dai lavoratori. Questi dispositivi registravano costantemente dati relativi alla posizione, allo stato del veicolo e informazioni di guida, senza alcuna interruzione, nemmeno durante le pause lavorative.
I dati erano conservati dalla società per ben 180 giorni.
⚖️ La difesa dell’azienda non è stata sufficiente
La società aveva ricevuto autorizzazione dall’Ispettorato Territoriale del Lavoro (ITL) per installare tali dispositivi con finalità di tutela dei beni aziendali, sicurezza sul lavoro e ottimizzazione produttiva. Tuttavia, secondo il Garante, l’utilizzo effettivo del sistema andava ben oltre quanto autorizzato.
In particolare, la società sosteneva che l’identificazione del conducente avveniva solo in circostanze particolari e tramite dati incrociati con altri registri aziendali. Il Garante ha respinto questa giustificazione, sottolineando che il conducente era sempre identificabile, direttamente o indirettamente, tramite la combinazione delle informazioni registrate.
📝 Informativa privacy carente: cosa mancava?
La società aveva dichiarato di aver reso disponibile l’informativa ai sensi dell’art. 13 GDPR, ma il Garante ne ha evidenziato chiaramente le carenze:
- Non era esplicitata la reale possibilità di identificazione del conducente.
- L’informativa conteneva incongruenze e refusi, segno evidente della superficialità nella redazione.
Queste lacune hanno determinato un trattamento illecito, violando il principio di correttezza nel rapporto con i dipendenti.
🚫 Violazione dei principi di minimizzazione e limitazione della conservazione
Un’altra grave criticità rilevata è stata la raccolta continuativa ed eccessiva dei dati, ritenuta sproporzionata rispetto alle finalità autorizzate.
Inoltre, la conservazione prolungata dei dati per 180 giorni non rispondeva al principio di limitazione della conservazione previsto dal GDPR, che impone di conservare i dati solo per il tempo strettamente necessario alle finalità dichiarate.
⚠️ Sistema non conforme all’autorizzazione ITL
La società aveva ricevuto precise istruzioni dall’ITL che richiedevano:
- rilevazione non continuativa dei dati;
- anonimizzazione delle informazioni raccolte;
- adozione di misure tecniche per impedire la raccolta di dati non pertinenti.
Nessuna di queste condizioni risultava pienamente rispettata dalla società.
💰 La sanzione e le misure correttive imposte dal Garante
In conseguenza delle violazioni riscontrate, il Garante ha imposto alla società una sanzione amministrativa pecuniaria di 50.000 euro e l’obbligo di adottare immediatamente misure correttive per garantire il rispetto della normativa sulla privacy.
