Il Garante per la protezione dei dati personali ha accertato una serie di gravi violazioni della normativa in materia di privacy da parte di un’azienda operante nel settore dei trasporti, che ha comportato l’irrogazione di una sanzione amministrativa pari a 50.000 euro.
Al centro dell’istruttoria, l’utilizzo di un sistema di geolocalizzazione installato sui veicoli aziendali, che ha sollevato dubbi circa il rispetto dei principi di liceità, trasparenza, proporzionalità e minimizzazione nel trattamento dei dati personali dei lavoratori.
Secondo quanto accertato dal Garante, il sistema permetteva la localizzazione continua dei veicoli, anche durante le pause lavorative, e consentiva l’identificazione dei conducenti mediante l’associazione con altre informazioni (come turni o documenti interni), in violazione del principio di minimizzazione dei dati previsto dal Regolamento europeo.
Tra le criticità emerse:
-
Informativa carente o fuorviante: L’informativa fornita ai dipendenti era incompleta, incoerente e imprecisa. Ad esempio, riportava dati inesatti sul soggetto responsabile del trattamento, mancava di chiarezza sulle modalità e finalità della geolocalizzazione e faceva riferimento ad enti non coinvolti; (Art. 5, par. 1, lett. a) e art. 13 del Regolamento (UE).
-
Il trattamento effettuato non era conforme alle condizioni previste dall’autorizzazione dell’Ispettorato del Lavoro (ITL), in particolare in merito alla anonimizzazione dei dati e alla rilevazione non continuativa; (LIceità -Art. 5, par. 1, lett. a) e art. 88 del GDPR, art. 114 del Codice Privacy).
-
Conservazione eccessiva dei dati: le informazioni raccolte venivano conservate per 180 giorni, senza una giustificazione proporzionata alle finalità dichiarate; ( Art. 5, par. 1, lett. e) del GDPR).
-
Il trattamento dei dati personali effettuato dalla società di autotrasporti è risultato illecito, in violazione degli artt. 5, par. 1, lett. a), c), e), 13, 88 del Regolamento, 114 e 157 del Codice e con i poteri correttivi di cui al Regolamento, alla luce delle circostanze del caso concreto, sono state prescritte misure correttive a carico dell’azienda con l’obbligo di:
-
predisporre un’informativa idonea a rappresentare compiutamente i trattamenti realizzati mediante il sistema di geolocalizzazione;
-
conformare il trattamento alle garanzie prescritte con il provvedimento autorizzatorio dell’ITL di Cagliari Oristano, tenuto conto dei principi di minimizzazione e di limitazione della conservazione dei dati in relazione alle finalità in concreto da perseguire.
oltre all’ingiunzione di Pagamento della sanzione pecuniaria di € 50.0000, entro 30 giorni, con possibilità di definizione agevolata.
Il provvedimento, pubblicato sul sito del Garante, sottolinea ancora una volta l’importanza di una gestione corretta dei sistemi di geolocalizzazione in ambito lavorativo, nel rispetto dei diritti e delle libertà fondamentali dei lavoratori.
