Controllo a distanza via GPS: maxi multa anche se autorizzato

Nuovo severo intervento del Garante per la privacy in tema di controllo a distanza dei lavoratori attraverso il sistema GPS installato nei veicoli aziendali.

Con il provvedimento N.101187  del 16 gennaio reso noto con la newsletter del 21 marzo 2025  è stata infatti comminata una sanzione di 50 mila euro a un datore di lavoro per l'utilizzo di un sistema di geolocalizzazione, supper autorizzato dall'ispettorato del lavoro,  in  maniera illecita.

Il provvedimento sottolinea infatti l’importanza di trasparenza e proporzionalità nel trattamento dei dati personali sul lavoro.

 L’uso di sistemi di geolocalizzazione deve rispettare il principio di minimizzazione, garantendo che le informazioni raccolte siano strettamente necessarie e trattate nel rispetto della privacy dei dipendenti

Vediamo di seguito i dettagli della vicenda.

Divieto controllo a distanza: il reclamo

Il provvedimento riguarda un reclamo presentato il 23 settembre 2024 da un lavoratore contro una società di autotrasporti , ex datore di lavoro, per presunte violazioni delle normative sulla protezione dei dati personali. In particolare si evidenziava l’installazione di un sistema di geolocalizzazione nei veicoli aziendali senza aver informato adeguatamente i dipendenti e senza aver seguito le procedure previste dallo Statuto dei lavoratori (art. 4 della Legge 300/1970).

Il Garante ha esaminato il caso alla luce del Regolamento UE 2016/679 (GDPR) e del Codice della privacy (D.lgs. 196/2003, modificato dal D.lgs. 101/2018).

e ha richiesto chiarimenti alla società. 

Quest’ultima ha risposto affermando di aver ottenuto autorizzazione dall’Ispettorato Territoriale del Lavoro (ITL) di Cagliari-Oristano per l’uso del sistema di geolocalizzazione il 19 maggio 2021. L’autorizzazione era stata concessa per tutelare il patrimonio aziendale, garantire la sicurezza sul lavoro e migliorare l’organizzazione produttiva.

La società ha anche dichiarato che:

• Aveva informato i dipendenti tramite un’informativa affissa in bacheca.
• Gli autisti non erano autorizzati a usare i mezzi fuori dall’orario di lavoro.
• I dati erano trattati in conformità agli articoli 5 e 6 del GDPR.
• La geolocalizzazione rimaneva attiva anche durante le pause di lavoro.
• I dati raccolti non erano associati direttamente al conducente, ma solo al veicolo.

Nonostante ciò, la società non ha risposto a una successiva richiesta di informazioni del Garante, il che ha portato all’avvio di un procedimento sanzionatorio e a verifiche da parte della Guardia di Finanza.

Risultati delle ispezioni e istruttoria sul produttore del sistema GPS

Il Nucleo speciale privacy della Guardia di Finanza ha accertato che la società utilizzava il sistema di geolocalizzazione WAY di TIM, attivato nel maggio 2021. Dall’indagine sono emerse diverse criticità:

• Tutti i mezzi aziendali erano dotati del sistema di geolocalizzazione.
• I dati erano raccolti continuativamente (con un ritardo di 3-5 minuti).
• Il nome dell’autista era associato al veicolo al momento dell’installazione, ma non aggiornato in tempo reale.
• L’azienda aveva fornito informazioni incomplete ai lavoratori, senza specificare tutti i dettagli sul trattamento dei dati.
• Era possibile risalire all’identità del conducente incrociando più database.

Il Garante ha quindi avviato un’istruttoria anche su WAY S.r.l., fornitore del servizio di geolocalizzazione. L’azienda ha confermato che:

• TIM era il responsabile del trattamento e WAY il sub-responsabile.
• Il sistema registrava dati di localizzazione, velocità, chilometraggio e dati cronotachigrafici.
• Esisteva una funzione per disattivare la geolocalizzazione (pulsante privacy), ma non era stata attivata.
• La piattaforma consentiva di registrare dati personali come nome e numero di patente del conducente.

Controllo a distanza con GPS le violazioni e le sanzioni

Dall’esame delle prove raccolte, il Garante ha individuato diverse violazioni del GDPR e del Codice della Privacy, tra cui:

• a) Violazione degli artt. 5, 13 e 88 del GDPR

L’informativa fornita ai dipendenti era inadeguata e incompleta, in quanto:

Non chiariva che i conducenti fossero identificabili indirettamente.

Conteneva informazioni contraddittorie e refusi.

Non spiegava chiaramente che la geolocalizzazione avveniva continuativamente, anche nelle pause.

• b) Violazione dei principi di minimizzazione e limitazione della conservazione (art. 5 GDPR)

Il trattamento dei dati era sproporzionato rispetto alle finalità dichiarate. Il sistema registrava informazioni:

In modo continuativo e non solo quando necessario.

Anche durante le pause lavorative, violando il principio di minimizzazione.

Per 180 giorni, un periodo eccessivo rispetto alle esigenze aziendali.

c) Violazione dell’art. 157 del Codice Privacy

La società non ha risposto a una richiesta di informazioni del Garante, rendendo necessario l’intervento della Guardia di Finanza.

 Sanzioni e misure correttive

In base agli accertamenti, il Garante ha adottato le seguenti misure correttive e sanzionatorie:

La società dovrà:

Aggiornare l’informativa in modo chiaro e dettagliato.

Adeguare il sistema di geolocalizzazione rispettando i principi di minimizzazione e limitazione della conservazione.

Il Garante ha imposto una sanzione di 50.000 euro, valutando:

La gravità della violazione, che ha coinvolto circa 50 dipendenti.

La durata del trattamento illecito, in corso dal 2021.

L’assenza di precedenti violazioni da parte della società.

Il provvedimento viene inoltre pubblicato sul sito del Garante, considerando la lesione dei diritti dei lavoratori e la necessità di dissuasione per altre aziende.

La società deve adeguarsi entro 60 giorni. In caso di mancata conformità, potrebbero essere applicate ulteriori sanzioni.

La società ha 30 giorni per pagare la sanzione o 60 giorni per presentare ricorso al tribunale ordinario.

.