1. Premessa

Il provvedimento in questione (n. 7 del 16 gennaio 2025) affronta il tema della liceità del trattamento dei dati personali dei lavoratori, con particolare riferimento ai dati di geolocalizzazione, eseguito da un datore di lavoro attraverso sistemi tecnologici installati sui veicoli aziendali, alla luce della disciplina europea e nazionale in materia di protezione dei dati e di controllo a distanza dell’attività lavorativa.

La fattispecie in esame si colloca nel frame normativo del Regolamento (UE) 2016/679 (GDPR), nello specifico, nei principi generali di cui all’art. 5 (liceità, correttezza, trasparenza, limitazione della finalità, minimizzazione dei dati, limitazione della conservazione), nell’obbligo di informativa ex art. 13, nonché nelle disposizioni specifiche per il trattamento nel contesto lavorativo di cui all’art. 88. Orbene, la suddetta normativa è integrata dal d.lgs. 196/2003 (Codice Privacy), nell’art. 114 cui rinvia alle garanzie previste dall’art. 4 della L. 300/1970 (st. lav.) per l’utilizzo di strumenti che comportino la possibilità di controllo a distanza, e all’art. 157 cui sancisce l’obbligo di cooperazione con l’autorità amministrativa indipendente del Garante.

Ciò detto, si aggiunga che l’art. 4 st. lav. condiziona l’impiego di tali strumenti per esigenze organizzative, di sicurezza e tutela patrimonio nell’alveo di procedimenti di legalità (accordo sindacale o autorizzazione ITL). Ne deriva che il fine della normativa risiede nel contemperamento ragionevole tra le legittime esigenze datoriali e la tutela dei diritti e delle libertà fondamentali dei lavoratori, che, nel caso che ci occupa, si concreta nel diritto alla protezione dei dati personali.

2. Il caso di specie e l’istruttoria del Garante

Nella specie, l’Autorità Garante è stata investita da un reclamo (ex art. 77 GDPR) presentato da un dipendente di una società di autotrasporti. Il reclamante rappresentava l’illiceità dell’installazione sui mezzi aziendali di un sistema di geolocalizzazione (denominato “TIM Your Way”) in assenza di idonea informativa ex art. 13 GDPR e in spregio alla procedura di cui all’art. 4 st. lav. L’istruttoria condotta dal Garante, con l’ausilio di accertamenti ispettivi condotti dalla Guardia di Finanza, ha dimostrato l’installazione del sistema previa autorizzazione dell’ITL (per finalità di tutela beni, sicurezza, organizzazione) e l’affissione di un’informativa in bacheca aziendale.

Cionondimeno, nelle indagini sono tuttavia emerse criticità rilevanti: quale l’inadeguatezza dell’informativa fornita, con modalità potenzialmente lesive dei principi di minimizzazione e limitazione della conservazione (monitoraggio continuo anche durante le pause, conservazione dati per 180 giorni), una possibile non piena conformità del trattamento alle prescrizioni dell’autorizzazione ITL, nonché dichiarazioni contraddittorie rese dalla società e l’omesso riscontro ad una richiesta di informazioni del Garante.

3. Le questioni giuridiche e le violazioni accertate

La fattispecie sottoposta al vaglio del Garante riguardava la conformità del trattamento ai principi sanciti dal GDPR e dalla normativa nazionale. Nella specie, si trattava di accertare: 1) l’adeguatezza dell’informativa resa ai dipendenti ai sensi dell’art. 13 GDPR e del principio di trasparenza (art. 5.1.a); 2) la rispondenza del trattamento ai principi di minimizzazione dei dati e limitazione della conservazione (art. 5.1.c ed e); 3) la liceità del trattamento (art. 5.1.a) alla luce dell’art. 88 GDPR e dell’art. 114 Codice Privacy, in relazione all’effettiva osservanza delle condizioni poste dall’autorizzazione ITL ex art. 4 st. lav.; 4) la violazione dell’obbligo di cooperazione ex art. 157 Codice Privacy.

Quanto premesso, il Garante, all’esito dell’istruttoria, ha ritenuto fondate le criticità emerse, rigettando le argomentazioni difensive della società e accertando plurime violazioni. L’Autorità ha poggiato la propria istruttoria sui seguenti punti fondamentali:

– Inidoneità dell’Informativa (Violazione Artt. 5.1.a e 13 GDPR): L’informativa fornita mediante affissione è stata giudicata non conforme ai requisiti di trasparenza e correttezza. Il Garante ha rilevato carenze nei contenuti, refusi, informazioni non veritiere o fuorvianti, e l’omessa descrizione di elementi essenziali del trattamento (modalità di raccolta continua, tipi di dati, tempi di conservazione). È stato sottolineato che l’identificabilità, anche indiretta, dell’interessato imponeva una comunicazione completa e accurata.

– Violazione dei Principi di Minimizzazione e Limitazione della Conservazione (Art. 5.1.c ed e GDPR): Il trattamento è stato ritenuto non minimizzato, in quanto la raccolta continuativa dei dati di posizione, allargata anche ai periodi di pausa, è parsa sproporzionata rispetto alle finalità legittime dichiarate. A ciò si aggiunga che la conservazione dei dati per 180 giorni è stata giudicata eccessiva rispetto alle necessità e in contrasto con il principio di limitazione della conservazione.

– Illiceità del Trattamento per Difformità dall’Autorizzazione ITL (Violazione Art. 5.1.a, Art. 88 GDPR, Art. 114 Codice Privacy): Il Garante ha rilevato che le concrete modalità di funzionamento del sistema (monitoraggio continuo, gestione dei dati raccolti) non erano conformi alle specifiche prescrizioni e garanzie contenute nel provvedimento autorizzatorio dell’ITL. Il divario tra la norma e quanto implementato dalla ditta di autotrasporti ha reso il trattamento privo della necessaria base di liceità richiesta dalla normativa giuslavoristica e di protezione dei dati nel contesto specifico.

– Violazione dell’Obbligo di Cooperazione (Art. 157 Codice Privacy): È stata formalmente accertata l’inottemperanza della società a una richiesta di informazioni formulata dall’Autorità nel corso dell’istruttoria.

4. Le misure correttive e sanzionatorie

In conseguenza delle violazioni accertate, il Garante ha dichiarato l’illiceità del trattamento effettuato dalla società di autotrasporti. e ha adottato, ai sensi dell’art. 58, par. 2, GDPR, le seguenti misure: a) ha ingiunto alla società (lett. d) di conformare i trattamenti alle disposizioni violate entro 60 giorni, fornendo idonea informativa e rispettando i principi di minimizzazione e limitazione della conservazione, nonché le prescrizioni ITL; b) ha inflitto una sanzione amministrativa pecuniaria (lett. i) pari a euro 50.000,00, determinata ai sensi dell’art. 83 GDPR considerando la natura, gravità e durata delle violazioni, il numero degli interessati, il carattere colposo, l’assenza di precedenti, le condizioni economiche e i principi di effettività, proporzionalità e dissuasività; c) ha disposto la pubblicazione del provvedimento sanzionatorio sul proprio sito web (art. 166, co. 7, Codice Privacy).

5. Osservazioni conclusive

In conclusione, il provvedimento ribadisce l’interpretazione rigorosa dei principi di trasparenza, minimizzazione e limitazione della conservazione nel contesto dei rapporti di lavoro, specialmente in presenza di tecnologie potenzialmente invasive come la geolocalizzazione. Afferma inoltre che l’ottenimento dell’autorizzazione ex art. 4 st. lav. costituisce un presupposto necessario ma non sufficiente per la liceità del trattamento, essendo indispensabile anche l’effettiva e continua conformità delle modalità operative del sistema alle prescrizioni autorizzatorie e ai principi del GDPR. Infine, viene sanzionata l’inosservanza degli obblighi di cooperazione con l’Autorità di controllo.

Giovanni Gambino, avvocato in Firenze

Visualizza il documento: Garante privacy, provvedimento 16 gennaio 2025, n. 7

Scarica il commento in PDF

L'articolo Geolocalizzazione e lavoro: il Garante sanziona il datore di lavoro per le violazioni di GDPR e Statuto dei lavoratori sembra essere il primo su Rivista Labor - Pacini Giuridica.