Il reclamo (o l'attività di controllo)

Un lavoratore presentava reclamo dinanzi all'Autorità Garante per la Protezione dei Dati Personali lamentando la violazione della disciplina in materia di protezione dei dati personali da parte di una società di autotrasporti, suo ex datore di lavoro. Con il reclamo, l'ex dipendente rappresentava che la società aveva installato un sistema di geolocalizzazione sul veicolo utilizzato, nello svolgimento dell'attività lavorativa, senza avergli preventivamente fornito l'informativa di cui all'art. 13 del GDPR e senza aver attivato la procedura di garanzia di cui all'art. 4 dello Statuto dei lavoratori.

L'istruttoria

All'esito dell'attività istruttoria, dell'esame delle dichiarazioni rese e della documentazione acquisita, il Garante ha accertato che la Società, in qualità di titolare del trattamento, aveva stipulato con una terza società un contratto avente ad oggetto la fornitura in noleggio di un apparato GSM/GPRS, da installare sui veicoli aziendali (nello specifico 50 trattori con semirimorchio), con conseguente fornitura delle credenziali di accesso via web alla piattaforma informatica. L'Autorità ha inoltre accertato che il servizio veniva erogato tramite una s.r.l., nominata responsabile del trattamento, in nome e per conto del titolare del trattamento. In relazione alle modalità di trattamento poste in essere mediante il sistema di geolocalizzazione, sono risultati profili di non conformità alla disciplina in materia di protezione dei dati personali. 

La decisione del Garante

Con il Provvedimento n. 7 dello scorso 16 gennaio,  l'Autorità Garante per la protezione dei dati personali ha sanzionato l'azienda di autotrasporto per il controllo illecito di circa 50 dipendenti tramite sistemi GPS installati sui veicoli aziendali. Tra le principali violazioni rilevate, il Garante ha ritenuto illecita la mancata informativa adeguata ai dipendenti, omettendo dettagli sul trattamento e sulla diretta identificabilità dei conducenti e la conservazione dei dati per oltre 5 mesi, in violazione dei principi di minimizzazione e limitazione del GDPR.