Il Garante per la protezione dei dati personali ha irrogato una sanzione amministrativa di 120.000 euro a una società operante nel settore della selezione e produzione di sementi agricole per aver trattato in modo illecito i dati personali di cinque dipendenti.
Il provvedimento trae origine dall’installazione, sui veicoli aziendali assegnati ai lavoratori, di un dispositivo di monitoraggio associato al nominativo del conducente, in grado di raccogliere informazioni dettagliate sui viaggi effettuati e di attribuire un punteggio mensile relativo allo stile di guida.
Il caso assume particolare rilevanza perché si colloca nel punto di intersezione tra protezione dei dati personali, disciplina del lavoro e utilizzo di tecnologie di monitoraggio, confermando l’attenzione dell’Autorità verso forme di controllo indiretto dell’attività lavorativa mascherate da esigenze organizzative o di sicurezza. Per approfondimenti sul nuovo diritto del lavoro, abbiamo organizzato il corso di formazione Corso avanzato di diritto del lavoro -Il lavoro che cambia: gestire conflitti, contratti e trasformazioni. Abbiamo anche pubblicato la seconda edizione del Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon
Indice
- 1. Il fatto: un sistema di monitoraggio individualizzato e continuativo
- 2. Trattamento dei dati e controllo dell’attività lavorativa
- 3. La finalità dichiarata non giustifica il controllo
- 4. Informativa privacy e trasparenza: violazioni multiple
- 5. Basi giuridiche e consenso nel rapporto di lavoro
- 6. Accessi ai dati e circolazione intra-gruppo
- 7. La sanzione e le misure correttive
- 8. Considerazioni conclusive
- Formazione in materia per professionisti
- Ti interessano questi contenuti?
1. Il fatto: un sistema di monitoraggio individualizzato e continuativo
La società sanzionata faceva parte di un gruppo multinazionale con capogruppo svizzera. Su indicazione di quest’ultima, era stato avviato un progetto sperimentale che prevedeva l’installazione di dispositivi telematici sui veicoli aziendali assegnati ai dipendenti.
I dispositivi erano associati al nominativo del conducente e consentivano la raccolta di una pluralità di dati: tempi di percorrenza, chilometri effettuati, consumi, modalità di utilizzo del veicolo e stile di guida.
Le informazioni così raccolte venivano conservate per un periodo di 13 mesi e utilizzate per attribuire a ciascun lavoratore un punteggio mensile, funzionale alla valutazione del comportamento alla guida e alla possibile adozione di interventi correttivi.
Il progetto, avviato in via sperimentale, era destinato a essere esteso a tutte le società europee del gruppo. L’intervento del Garante è avvenuto a seguito della ricezione di un reclamo, cui sono seguite attività ispettive e accertamenti approfonditi. Abbiamo anche pubblicato la seconda edizione del Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon.
Formulario commentato della privacy
La nuova edizione dell’opera affronta con taglio pratico gli aspetti sostanziali e procedurali del trattamento dei dati personali alla luce delle nuove sfide poste dall’evoluzione normativa e tecnologica degli ultimi due anni. La disciplina di riferimento è commentata tenendo conto dei rilevanti interventi a livello europeo e nazionale (tra cui le Linee Guida EDPB, i regolamenti AI Act e DORA, l’attuazione della direttiva NIS 2), offrendo al Professionista una guida completa e aggiornata.Il libro è suddiviso in tredici sezioni, che coprono ogni aspetto della materia e tutti gli argomenti sono corredati da oltre 100 formule e modelli. Tra le novità più rilevanti:• Connessioni tra il nuovo AI Act e il GDPR, differenze tra FRIA e DPIA, valutazione dei rischi e incidenti• Gestione del personale: smart working, telelavoro e whistleblowing• Strumenti di monitoraggio: controlli a distanza dei lavoratori, cloud computing e gestione degli strumenti informatici in azienda• Tutela degli interessati: una guida completa su profilazione, processi decisionali automatizzati e sull’esercizio dei diritti• Strumenti di tutela: sanzioni, reclami, segnalazioni e ricorsi al Garante.Giuseppe CassanoDirettore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi.Enzo Maria Tripodiattualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici.Cristian ErcolanoPartner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2025
58.90 €
2. Trattamento dei dati e controllo dell’attività lavorativa
Il primo nodo giuridico affrontato dall’Autorità riguarda la qualificazione del trattamento.
Il sistema di monitoraggio installato non si limitava a raccogliere dati funzionali alla gestione del parco auto o alla sicurezza del veicolo, ma consentiva una ricostruzione puntuale e continuativa delle modalità di svolgimento dell’attività lavorativa del dipendente.
Il livello di dettaglio delle informazioni raccolte era tale da permettere un controllo sistematico del comportamento del lavoratore, incidendo direttamente sulla valutazione della prestazione individuale.
In questo senso, il Garante ha ritenuto che il trattamento rientrasse pienamente nell’ambito applicativo dell’art. 4 della legge n. 300/1970 (Statuto dei lavoratori), che disciplina l’uso di strumenti dai quali possa derivare un controllo a distanza dell’attività dei lavoratori.
L’assenza di un accordo sindacale o di un’autorizzazione dell’Ispettorato nazionale del lavoro ha determinato l’illiceità del sistema, a prescindere dalla finalità dichiarata e dalla qualificazione formale del progetto come sperimentale.
3. La finalità dichiarata non giustifica il controllo
Un passaggio centrale del provvedimento riguarda il rapporto tra finalità del trattamento e strumenti utilizzati.
La società aveva giustificato l’adozione del sistema con esigenze di sicurezza e di miglioramento dei comportamenti alla guida. Tuttavia, secondo il Garante, tali finalità non possono legittimare un monitoraggio individualizzato e continuativo, soprattutto quando questo si traduce in un sistema di punteggio attribuito ai singoli lavoratori.
Il principio di proporzionalità, cardine della disciplina privacy, impone che il trattamento sia adeguato e necessario rispetto allo scopo perseguito. Nel caso di specie, l’Autorità ha ritenuto che esistessero modalità meno invasive per perseguire obiettivi di sicurezza stradale, senza ricorrere a un controllo così pervasivo dell’attività lavorativa.
4. Informativa privacy e trasparenza: violazioni multiple
Un ulteriore profilo di criticità riguarda il rispetto degli obblighi di informazione nei confronti dei lavoratori.
L’informativa fornita risultava generica e indistinta, rivolta a tutte le società affiliate del gruppo, comprese quelle con sede extra-UE, senza una chiara delimitazione del perimetro del trattamento.
In particolare, mancavano indicazioni puntuali sulle finalità specifiche, sulle basi giuridiche del trattamento, sui ruoli privacy dei soggetti coinvolti e sui destinatari dei dati.
Secondo il Garante, l’informativa non consentiva ai lavoratori di comprendere in modo effettivo come i loro dati venissero trattati, per quali scopi e con quali conseguenze concrete.
La violazione degli articoli 12 e 13 del GDPR risulta aggravata dal contesto lavorativo, nel quale il lavoratore si trova in una posizione strutturalmente subordinata e non è in grado di esercitare un controllo reale sul trattamento dei propri dati.
5. Basi giuridiche e consenso nel rapporto di lavoro
Il provvedimento offre anche lo spunto per ribadire un principio ormai consolidato: nel rapporto di lavoro, il consenso del dipendente non rappresenta, di regola, una base giuridica valida per il trattamento dei dati personali.
Lo squilibrio tra datore di lavoro e lavoratore impedisce di considerare il consenso come liberamente prestato, soprattutto quando il trattamento è collegato allo svolgimento della prestazione lavorativa.
Nel caso esaminato, la società non era in grado di individuare una base giuridica idonea a legittimare il monitoraggio dello stile di guida, né sotto il profilo dell’adempimento di obblighi contrattuali, né sotto quello dell’interesse legittimo.
6. Accessi ai dati e circolazione intra-gruppo
Gli accertamenti del Garante hanno evidenziato ulteriori criticità in relazione alla gestione degli accessi ai dati raccolti.
Le informazioni relative ai viaggi dei lavoratori erano accessibili anche al personale di altre società del gruppo, senza un’adeguata regolamentazione dei ruoli e senza specifiche autorizzazioni.
Questo aspetto assume rilievo particolare nei gruppi multinazionali, dove la circolazione dei dati personali tra società giuridicamente distinte richiede una chiara definizione delle responsabilità e delle basi giuridiche del trattamento.
L’appartenenza a un gruppo non consente un accesso indiscriminato ai dati dei lavoratori, né esonera dall’obbligo di rispettare i principi di limitazione delle finalità e minimizzazione.
7. La sanzione e le misure correttive
Nel determinare l’importo della sanzione, pari a 120.000 euro, il Garante ha tenuto conto di elementi attenuanti, tra cui il numero limitato di dipendenti coinvolti e la sospensione immediata del trattamento ritenuto illecito, disposta dalla società subito dopo la contestazione.
Accanto alla sanzione pecuniaria, l’Autorità ha ordinato la cancellazione dei dati relativi ai viaggi e ai punteggi di comportamento alla guida, riaffermando la necessità di eliminare ogni effetto del trattamento illecito.
8. Considerazioni conclusive
Il provvedimento rappresenta un ulteriore tassello nella costruzione di una giurisprudenza amministrativa attenta ai rischi connessi all’utilizzo di tecnologie di monitoraggio nei luoghi di lavoro.
Il messaggio rivolto ai datori di lavoro è chiaro: la disponibilità di strumenti tecnologici avanzati non legittima forme di controllo dell’attività lavorativa che eludono le garanzie previste dall’ordinamento.
Ogni progetto che preveda la raccolta di dati personali dei lavoratori, soprattutto quando incide sulla valutazione del comportamento individuale, deve essere progettato sin dall’origine nel rispetto congiunto del GDPR e dello Statuto dei lavoratori. In difetto, il rischio sanzionatorio non è astratto, ma concreto e immediato.
Formazione in materia per professionisti
Corso avanzato di diritto del lavoro -Il lavoro che cambia: gestire conflitti, contratti e trasformazioni
Il corso intende esaminare, con taglio operativo, le principali novità e criticità nella gestione del rapporto di lavoro privato. Norme, tecnologie e organizzazione del lavoro stanno cambiando: questo percorso aiuta a orientarsi tra i principali temi critici, offrendo strumenti concreti per affrontare le scelte contrattuali, organizzative e gestionali in ambito giuslavoristico.
Un ciclo di quattro incontri con casi pratici, prassi applicative e risposte operative:
● Licenziamenti individuali e collettivi: obblighi procedurali, contenzioso, accordi di uscita
● Lavoro autonomo e parasubordinato: confronto tra i diversi regimi contrattuali, tutele previdenziali e assicurative
● Mobilità internazionale: distacco, permessi di soggiorno, aspetti fiscali e gestione contrattuale
● Lavoro digitale e smart working: diritto alla disconnessione, privacy, controlli a distanza e controlli tecnologici
Il corso è pensato per offrire un supporto ai professionisti che si occupano di diritto del lavoro, con attenzione alle ricadute pratiche delle scelte contrattuali e gestionali, con un approccio concreto e orientato alla pratica professionale quotidiana.
Crediti formativi per avvocati
>>>Per info ed iscrizioni<<<
Ti interessano questi contenuti?
Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!
Scegli quale newsletter vuoi ricevere
Autorizzo l’invio di comunicazioni a scopo commerciale e di marketing nei limiti indicati nell’informativa.
Presto il consenso all’uso dei miei dati per ricevere proposte in linea con i miei interessi.
Cliccando su “Iscriviti” dichiari di aver letto e accettato la privacy policy.
Grazie per esserti iscritto alla newsletter.
Scrivi un commento
Accedi per poter inserire un commento