Il Garante per la Protezione dei Dati Personali ha inflitto una multa da 50mila euro alla società sarda Autotrasporti Cuccu Riccardo per gravi violazioni in materia di privacy sul posto di lavoro. Al centro della vicenda c’è l’uso non conforme di un sistema di geo-localizzazione installato sui veicoli industriali aziendali, che ha portato alla raccolta e conservazione - ritenuta dal Garante eccessiva - dei dati personali degli autisti, che sono una cinquantina, senza una corretta informazione agli interessati.
L’indagine è iniziata da un reclamo presentato da un ex dipendente nel settembre 2024. L’uomo denunciò al Garante che l’azienda, suo ex datore di lavoro, aveva installato dispositivi di tracciamento satellitare sui camion aziendali “senza fornire un’adeguata informativa” e senza seguire le procedure previste dallo Statuto dei Lavoratori.
La società di autotrasporto si è difesa sostenendo di aver ottenuto l’autorizzazione dall’Ispettorato Territoriale del Lavoro (Itl) di Cagliari-Oristano e di aver affisso l’informativa nella bacheca aziendale. Ma il Garante ha riscontrato che tali comunicazioni erano “incomplete, contraddittorie e, in alcuni casi, addirittura fuorvianti”.
Il sistema di geo-localizzazione consentiva il “monitoraggio continuo dei veicoli”, con dati registrati anche durante le pause lavorative degli autisti. Le informazioni raccolte comprendevano non solo la posizione dei camion, ma anche dati telemetrici, lo stato del veicolo, e in alcuni casi anche l’identità dell’autista associato al mezzo.
Nonostante l’azienda sostenesse che l’identificazione dell’autista avvenisse solo in caso di “eventi anomali” (come incidenti o infrazioni), il Garante ha rilevato che la “correlazione tra veicolo e lavoratore era tecnicamente possibile in qualsiasi momento”, soprattutto perché ciascun camion era solitamente assegnato allo stesso dipendente.
Nel mirino del Garante è finita anche l’informativa fornita ai lavoratori: oltre a essere “inadeguata e piena di refusi”, faceva riferimento a soggetti terzi non coinvolti e riportava in modo errato la durata della conservazione dei dati. Inoltre, l’informativa non spiegava chiaramente che il tracciamento dei veicoli fosse “continuativo e attivo anche durante le pause”.
Un altro punto critico rilevato dal Garante è che i dati venivano “conservati per 180 giorni”, un periodo ritenuto eccessivo rispetto alle finalità dichiarate, come la tutela del patrimonio aziendale e l’organizzazione del lavoro. Secondo il Regolamento europeo Gdpr, i dati devono essere raccolti “in modo proporzionato e limitato” allo stretto necessario.
Infine, la società ha anche “ignorato una richiesta formale di informazioni” da parte del Garante. Solo dopo l’intervento della Guardia di Finanza sono stati raccolti i documenti necessari all’istruttoria. Questa mancanza di collaborazione è stata considerata un’aggravante, contribuendo alla decisione finale dell’Autorità.
Nel corso dell’istruttoria, il Garante ha analizzato anche la posizione della società Way, fornitore del sistema di geo-localizzazione impiegato dalla società di autotrasporto. Tale valutazione è stata necessaria per comprendere in modo approfondito i modi con cui erano trattati i dati personali dei dipendenti, attraverso la tecnologia messa a disposizione dall’azienda.
Dalla documentazione fornita da Way e dagli accertamenti eseguiti presso la sua sede l’8 e 9 marzo 2023, è emerso che il contratto per il servizio di geo-localizzazione era stato sottoscritto da Tim, che figurava come responsabile del trattamento nei confronti del cliente, mentre Way operava in qualità di subfornitore, nominato da Tim stesso come secondo responsabile del trattamento. La configurazione dei ruoli, benché formalmente coerente con il Regolamento europeo, riflette una catena di responsabilità che potrebbe creare ambiguità nella gestione concreta dei dati.
Il Garante ha sottolineato che il sistema fornito da Way non si limitava a rilevare la posizione geografica dei veicoli aziendali, ma permetteva anche la raccolta di altre informazioni: dai dati di telemetria, come velocità e chilometraggio, allo stato del veicolo, fino ai dati del cronotachigrafo legati all’identificazione del conducente. La piattaforma web collegata al sistema consentiva inoltre lo scambio di messaggi con i dispositivi di bordo e offriva la possibilità al cliente d’integrare manualmente ulteriori dati identificativi dei lavoratori, come nome e numero di patente.
Un elemento importante emerso dall’istruttoria riguarda una funzione facoltativa del sistema: il cosiddetto "pulsante privacy", che avrebbe consentito al conducente di disattivare la localizzazione in determinate circostanze. Questa funzione, pur essendo tecnicamente disponibile, non era stata richiesta né attivata dal cliente. Lo stesso vale per la possibilità, riservata al titolare del trattamento, di disabilitare alcune funzionalità della piattaforma o l’intero dispositivo di tracciamento: una possibilità che, anche in questo caso, non risultava essere stata utilizzata.
Infine, il Garante ha accertato che la piattaforma sviluppata da Way consentiva di registrare manualmente nei propri moduli informazioni personali riconducibili al lavoratore, rendendo possibile, anche in assenza di tracciamento diretto in tempo reale, una ricostruzione dettagliata dell’attività e degli spostamenti del singolo conducente. Tutto ciò, in assenza di misure specifiche di limitazione o anonimizzazione, contribuiva a delineare un sistema potenzialmente invasivo nei confronti della sfera privata dei dipendenti, sollevando ulteriori perplessità in merito alla conformità del trattamento con i principi di proporzionalità e minimizzazione previsti dalla normativa europea.
AL termine del provvedimento, il Garante ha stabilito che “il trattamento dei dati personali da parte della società è illecito”, in violazione degli articoli 5, 13, 88 del Gdpr e degli articoli 114 e 157 del Codice Privacy. Oltre alla sanzione economica di 50mila euro, ha imposto all’azienda di riformulare l’informativa privacy, rendendola chiara e aderente alla realtà dei trattamenti effettuati, e di adeguare il trattamento dei dati ai principi di minimizzazione e conservazione limitata, in linea con l’autorizzazione rilasciata dall’Itl. Inoltre, la pubblicazione del provvedimento sul sito del Garante è stata disposta per la sua “funzione dissuasiva e di trasparenza”, data la gravità delle violazioni.
Questa vicenda è un campanello d’allarme per tutte le imprese che utilizzano sistemi di geo-localizzazione o altre tecnologie installati sui veicoli industriali per tracciare i propri autisti. Il Garante ha infatti ribadito che “la privacy sul lavoro non è negoziabile” e ogni trattamento di dati deve essere lecito, proporzionato, trasparente e, soprattutto, documentato in modo chiaro ai soggetti interessati.
PROVVEDIMENTO GARANTE PRIVACY 10112287 SU TRACCIAMENTO AUTISTI CAMION CON GPS
