
Con un recente provvedimento il nostro Garante per la protezione dei dati personali ha ribadito la non liceità del controllo dello stile di guida dei lavoratori. No quindi all’installazione, sulle auto aziendali, di dispositivi telematici che registrino tempi di viaggio, chilometri, consumi e in generale parametri dello “stile di guida” del lavoratore.
Nel caso dell’azienda multata i dati venivano usati per attribuire un punteggio mensile e conservati per 13 mesi. A seguito di un reclamo, l’Autorità ha condotto accertamenti e ha rilevato violazioni della normativa sulla protezione dei dati e delle garanzie previste dallo Statuto dei lavoratori, irrogando una sanzione di 120.000 euro e ordinando la cancellazione dei dati oggetto di trattamento illecito.
Gli aspetti critici evidenziati dall’istruttoria sono molteplici. I dispositivi raccoglievano informazioni così specifici da permettere un controllo dell’attività lavorativa — e non solo parametri di efficienza o sicurezza — senza che fossero adottate le misure procedurali e di trasparenza richieste dalla legge. Anche l’informativa fornita ai dipendenti era generica e rivolta a tutte le società del gruppo, comprese quelle extra-UE, senza chiarire finalità, basi giuridiche e responsabilità del trattamento. Inoltre, l’accesso ai dati non era limitato: il personale di altre società del gruppo poteva consultare le informazioni senza adeguata autorizzazione.
Dal punto di vista pratico e giuridico, la vicenda offre indicazioni precise per le imprese. Prima di implementare sistemi di rilevazione sui veicoli aziendali è necessario valutare:
![]() | La pertinenza e la minimizzazione dei dati raccolti, limitandoli a ciò che è strettamente rilevante per finalità legittime (es. sicurezza); |
![]() | La definizione di tempi di conservazione adeguati ; |
![]() | L’attivazione di misure tecniche e organizzative per limitare l’accesso ai dati. |
In una minoranza dei casi, qualora il trattamento presenti rischi elevati per i diritti privacy dei lavoratori, va eseguita anche una Valutazione d’Impatto sulla Protezione dei Dati (DPIA), sulla base della quale attivare poi procedure di mitigazione del rischio.
Infine, l’iniziativa va attivata in seguito alla piena informazione del personale, mediante informativa privacy trasparente e specifica, indicando chiaramente tipologia dei dati raccolti, finalità, titolari e responsabili del trattamento e destinatari dei dati.
Un altro punto cruciale riguarda in effetti la base giuridica della raccolta dati: il consenso del lavoratore è spesso insufficiente per via dello squilibrio creato dalla subordinazione a un contratto; le aziende devono quindi fondare il trattamento su altre basi (es. interesse legittimo) e accompagnarle da garanzie sostanziali o da accordi collettivi e coinvolgimento delle rappresentanze sindacali, come previsto dallo Statuto dei lavoratori.
La sanzione del Garante rappresenta un’occasione di riflessione sull’uso della telematica aziendale, che va sempre bilanciato con il rispetto dei diritti privacy dei lavoratori: chi gestisce dati sensibili sul lavoro deve progettare i sistemi con criterio, documentare le scelte e adottare misure effettive di tutela dei dati.
Gli esperti ConsulGroup sono al tuo fianco nella progettazione e gestione di attività come videosorveglianza, controllo dei mezzi aziendali etc., garantendoti la massima efficienza in accordo con le più recenti normative privacy.