Il Garante ha irrogato una sanzione amministrativa pecuniaria pari a euro 50.000,00 e ha ordinato alla Società di adottare le misure necessarie per conformare il trattamento alle disposizioni del GDPR e all'art. 4 dello Statuto dei lavoratori. Il fatto origina da un reclamo presentato da un ex lavoratore per l'uso di un sistema di geolocalizzazione installato sul veicolo aziendale a lui assegnato durante lo svolgimento dell'attività lavorativa. Secondo il l'ex lavoratore, il datore di lavoro avrebbe omesso di fornire l'informativa prevista dall'articolo 13 del Regolamento 2016/679 (d'ora in avanti anche GDPR) e non avrebbe attivato la procedura di garanzia stabilita dall'articolo 4 della legge 20 maggio 1970, n. 300 (Statuto dei Lavoratori). Dall'attività ispettiva svolta dall'Autorità sono emerse criticità in ordine alla gestione del sistema di localizzazione. In primo luogo, il Garante rilevava che i dati raccolti dal sistema venivano attribuiti automaticamente al dipendente cui era stato assegnato il veicolo, senza possibilità di verificare se egli fosse effettivamente alla guida nel momento della rilevazione. Tale meccanismo comportava una potenziale attribuzione di dati personali non corrispondenti alla reale attività svolta. In secondo luogo, l'interfaccia del sistema prevedeva funzionalità tali da rendere possibile, anche indirettamente, l'identificazione del lavoratore attraverso la combinazione di targa e nome, pur in assenza di sistemi di verifica puntuale dell'utilizzatore. Invero, veniva riscontrato una difformità tra le garanzie dichiarate in sede di autorizzazione e le modalità operative effettivamente svolte in relazione al trattamento dei dati durante le pause e alla mancata apposizione di informative semplificate direttamente sui veicoli. Al fine di acquisire un quadro completo delle modalità di trattamento dei dati personali effettuato mediante il sistema di geolocalizzazione in uso, il Nucleo operativo della Guardia di Finanza del Garante ha avviato un'istruttoria anche nei confronti del soggetto fornitore della piattaforma, individuato quale responsabile del trattamento ai sensi dell'art. 28 del GDPR. Dalla documentazione trasmessa e dagli accertamenti effettuati presso la sede del fornitore emergevano ulteriori elementi: la piattaforma trattava una pluralità di dati personali, tra cui non solo informazioni relative alla localizzazione del veicolo, ma anche dati di telemetria, dati estratti dal cronotachigrafo, e ulteriori dati identificativi eventualmente inseriti direttamente dal cliente, quali il nome del conducente e il numero della patente. Il sistema prevedeva, inoltre, tra le funzionalità disponibili, l'inserimento manuale dei dati identificativi del lavoratore da parte del titolare del trattamento, nonché la possibilità – configurabile su richiesta – di disattivare il tracciamento tramite apposita funzione. Tuttavia, tali misure non risultavano attivate nel caso concreto. In sede difensiva, la Società ha contestato gli addebiti formulati, affermando che il sistema di localizzazione non permetteva l'identificazione diretta del conducente, poiché i dati raccolti risultavano associati, in maniera statica e non dinamica, a un nominativo inserito esclusivamente in fase di configurazione iniziale del veicolo, senza che ciò corrispondesse necessariamente al reale utilizzatore del mezzo, l'individuazione effettiva del conducente sarebbe stata possibile unicamente in presenza di eventi eccezionali, quali incidenti, infrazioni o furti, mediante accesso a una distinta banca dati, non interconnessa con il sistema di tracciamento. La Società richiamava anche l'adozione di misure di sicurezza tecniche e organizzative, il differimento temporale della localizzazione (pari a 3–5 minuti) e la limitazione dell'accesso al sistema a personale specificamente autorizzato e istruito. Con riguardo all'informativa fornita ai dipendenti, la Società ne rivendicava la conformità ai requisiti di cui all'art. 13 del Regolamento e quanto alla contestata difformità tra le modalità di trattamento adottate e le condizioni indicate nel provvedimento autorizzatorio rilasciato dall'Ispettorato del lavoro, la Società ha sostenuto che l'identificazione del lavoratore avvenisse esclusivamente in presenza di necessità concrete e nel rispetto delle misure imposte. Inidoneità dell'informativa. A seguito dell'attività istruttoria svolta, l'Autorità ha ritenuto sussistente la violazione degli artt. 5, par. 1, lett. a) e 13 del GDPR, in ragione dell'inidoneità dell'informativa fornita ai dipendenti in relazione al trattamento dei dati personali mediante il sistema di geolocalizzazione. L'informativa, resa disponibile esclusivamente tramite affissione nella bacheca aziendale, non ha rappresentato in modo chiaro, completo e coerente le finalità e le modalità del trattamento effettivamente posto in essere. Il contenuto ha presentato evidenti incongruenze, riferimenti a soggetti estranei all'organizzazione, errori materiali e omissioni sostanziali, tra cui l'assenza di indicazioni sulla rilevazione continuativa dei dati e sulla reale configurazione tecnica del sistema. Nel corso dell'istruttoria, la Società ha inizialmente dichiarato che l'identificazione del conducente sarebbe stata possibile tramite connessione tra i tachigrafi digitali e il sistema di geolocalizzazione. In sede difensiva, tuttavia, ha smentito quanto affermato dichiarando di non aver attivato tale interfaccia e di ricorrere a un database separato, accessibile solo in presenza di eventi eccezionali. Tale ricostruzione non ha trovato riscontro documentale e si è posta in contrasto con quanto precedentemente dichiarato. Anche la tesi secondo cui l'inserimento di un nominativo nel sistema costituirebbe condizione tecnica necessaria per il funzionamento del servizio non ha trovato conferma nella documentazione acquisita presso il fornitore. L'Autorità ha pertanto rilevato l'assenza delle condizioni minime di trasparenza e correttezza in violazione dagli artt. 5, par. 1, lett. a) e 13 del Regolamento. L'Autorità ha rilevato che il sistema di geolocalizzazione adottato dalla Società risultava finalizzato – secondo quanto dichiarato nell'istanza presentata all'Ispettorato territoriale del lavoro – alla tutela del patrimonio aziendale, alla salvaguardia della sicurezza nei luoghi di lavoro e al soddisfacimento di esigenze organizzative e produttive. Tuttavia, l'analisi delle concrete modalità di funzionamento del sistema ha evidenziato che, tramite la piattaforma web fornita dal soggetto responsabile esterno, il titolare del trattamento risultava in grado di acquisire altri dati rispetto a quanto strettamente necessario per le finalità dichiarate. Tali dati comprendevano, oltre alla posizione del veicolo e al suo stato operativo, anche parametri di telemetria e informazioni indirettamente riferibili all'attività degli autisti, rilevate in modalità continuativa, con frequenza differita di alcuni minuti, e anche durante le pause lavorative. Le informazioni così raccolte risultavano conservate per un periodo di centottanta giorni in violazione del principio di minimizzazione di cui all'art. 5, par. 1, lett. c), atteso che la quantità e la natura dei dati trattati si sono rivelate eccedenti e non proporzionate rispetto agli scopi perseguiti. Il trattamento, nella forma accertata, ha consentito un monitoraggio sistematico e potenzialmente ininterrotto dell'attività dei dipendenti, in contrasto con i criteri di pertinenza e adeguatezza previsti dalla normativa. Parimenti, la conservazione dei dati per un arco temporale prolungato si è posta in violazione del principio di limitazione della conservazione, sancito dall'art. 5, par. 1, lett. e), in assenza di un'idonea giustificazione documentale che ne comprovasse la necessità rispetto alle finalità dichiarate. Non solo ma, le caratteristiche tecniche del sistema adottato non risultavano conformi alle prescrizioni contenute nel provvedimento autorizzatorio rilasciato dall'Ispettorato competente, che subordinava la legittimità dell'installazione alla garanzia della rilevazione non continuativa, all'adozione di misure di anonimizzazione dei dati e all'impiego di soluzioni tecniche idonee a escludere il trattamento di informazioni non pertinenti o eccedenti. La violazione. L'inosservanza delle prescrizioni contenute nel provvedimento autorizzativo e la difformità tra le modalità dichiarate e quelle effettivamente attuate hanno determinato una violazione del principio di liceità del trattamento, ai sensi dell'art. 5, par. 1, lett. a), in relazione all'art. 114 del Codice e all'art. 88 del Regolamento. In relazione alla natura e alla gravità della violazione riscontrata si aggiunge la durata della violazione che ha avuto inizio nel corso dell'anno 2021 e risultava ancora in atto al momento dell'accertamento ispettivo. Invero, l'attività di trattamento ha interessato non soltanto il soggetto reclamante, ma anche una pluralità di interessati, identificabili nei dipendenti assegnatari dei veicoli aziendali geolocalizzati, per un numero complessivo pari a circa cinquanta unità. Alla luce di tali elementi, tenuto conto della rilevanza oggettiva e soggettiva delle violazioni accertate, della loro estensione temporale e del numero di soggetti coinvolti, nonché dei principi di effettività, proporzionalità e dissuasività sanciti dall'art. 83, par. 1, del Regolamento, l'Autorità ha determinato in euro cinquantamila l'importo della sanzione amministrativa pecuniaria da irrogarsi nei confronti della Società.

Fonte: QUOTIDIANO PIU' - GFL