Salta al contenuto
Ordinanza ingiunzione o revoca sanità Gravità: media

Il Garante della Privacy ha multato di 6.000 euro un’azienda sanitaria per aver tracciato i suoi autisti in modo troppo dettagliato (ogni 60 secondi e in tempo reale) tramite GPS nelle auto aziendali

Leggi il provvedimento integrale ↗

Il Garante della Privacy ha multato di 6.000 euro un’azienda sanitaria per aver tracciato i suoi autisti in modo troppo dettagliato (ogni 60 secondi e in tempo reale) tramite GPS nelle auto aziendali

In sintesi

Il Garante della Privacy ha multato di 6.000 euro un'azienda sanitaria per aver tracciato i suoi autisti in modo troppo dettagliato (ogni 60 secondi e in tempo reale) tramite GPS nelle auto aziendali. Questo è avvenuto senza una valutazione preventiva sui rischi della privacy (DPIA) e i dati sono stati usati per sanzionare un dipendente. Anche se l'azienda ha successivamente corretto il sistema e collaborato con il Garante, la violazione iniziale è stata considerata grave perché ha monitorato i lavoratori in modo eccessivo, violando la loro privacy. La decisione sottolinea che le aziende devono fare molta attenzione all'uso della tecnologia per controllare i dipendenti, rispettando sempre la loro privacy e i principi del GDPR.

Cosa fare

  • Se la vostra azienda usa sistemi GPS o di geolocalizzazione su veicoli usati dai dipendenti, verificate subito come sono configurati.
  • Assicuratevi che i dipendenti siano stati informati in modo chiaro e completo sul tracciamento.
  • Controllate che i dati raccolti siano il minimo indispensabile per lo scopo (es. gestire la flotta o tutelare il patrimonio) e non siano eccessivi.
  • Effettuate una 'Valutazione d'Impatto sulla Protezione dei Dati' (DPIA) per questi sistemi, per identificare e gestire i rischi per la privacy.

Cosa evitare

  • Non tracciare i dipendenti in modo continuo o in tempo reale senza che ci sia una ragione fortissima e giustificata.
  • Non usare i dati di geolocalizzazione per sanzionare i dipendenti se non sono stati raccolti nel rispetto di tutte le regole sulla privacy.
  • Non pensate che basti un accordo con i sindacati; dovete sempre rispettare pienamente anche le leggi sulla privacy (GDPR).

Contesto

Un dipendente dell'Azienda Sociosanitaria Ligure n. 1 (poi confluita in Azienda Tutela della Salute per la Liguria), in servizio come autista, ha segnalato al Garante di essere stato sottoposto a procedimento disciplinare e sanzione basandosi sui dati acquisiti da un sistema di geolocalizzazione satellitare installato sulla sua autovettura aziendale. L'interessato lamentava l'assenza delle condizioni di legittimità previste dall'art. 4 L. 300/1970 e l'omessa informativa. Ha inoltre trasmesso certificazioni mediche su richiesta implicita dell'Azienda. Simili violazioni sono state segnalate da altri dipendenti, portando ad un'istruttoria congiunta. L'Azienda ha dichiarato di aver attuato il sistema per esigenze organizzative e di tutela del patrimonio, con accordo sindacale e informativa, ma l'istruttoria ha rivelato che il sistema tracciava ogni 60 secondi, consentiva l'accesso in tempo reale e che non era stata condotta una Valutazione d'Impatto sulla Protezione dei Dati (DPIA).

La decisione

Il Garante ha accertato l'illiceità del trattamento di dati personali effettuato dall'Azienda, in particolare per la violazione dei principi di minimizzazione dei dati (rilevazione ogni 60 secondi e accesso in tempo reale, considerati eccessivi), di protezione dei dati fin dalla progettazione e per impostazione predefinita, e per la mancata effettuazione di una Valutazione d'Impatto sulla Protezione dei Dati (DPIA) preventiva. Ha inoltre stabilito che l'utilizzo dei dati di geolocalizzazione, raccolti in modo illecito, a fini disciplinari violava il principio di limitazione della finalità. Pur riconoscendo la piena cooperazione dell'Azienda e l'adozione spontanea di misure correttive durante l'istruttoria (estensione dell'intervallo di rilevazione a 15 minuti e disattivazione del monitoraggio in tempo reale), il Garante ha inflitto una sanzione amministrativa pecuniaria di euro 6.000, ritenendo esauriti gli effetti della condotta illecita e non necessarie ulteriori misure correttive, oltre alla pubblicazione del provvedimento.

Ratio decidendi La ratio decidendi si fonda sulla violazione dei principi di liceità, minimizzazione e protezione dei dati fin dalla progettazione e per impostazione predefinita (Artt. 5(1)(a,c), 25 GDPR) e sull'obbligo di effettuare una DPIA (Art. 35 GDPR), nonché il rispetto dell'Art. 88 GDPR e degli Artt. 113 e 114 del Codice Privacy in relazione ai controlli a distanza sui lavoratori. Il Garante ha ribadito che la pervasività del sistema di geolocalizzazione (rilevazione ogni 60 secondi, accesso in tempo reale) eccedeva la necessità e proporzionalità, non essendo giustificata dalle finalità aziendali. Ha inoltre chiarito che l'accordo sindacale ex art. 4 L. 300/1970 è condizione necessaria ma non sufficiente, dovendo essere integrato dal pieno rispetto del GDPR. L'utilizzo di dati raccolti illecitamente per fini disciplinari viola il principio di limitazione della finalità e l'inutilizzabilità dei dati illecitamente raccolti.

Articoli GDPR violati

ArticoloDescrizioneRilevanza
5 par.1 lett.a
GDPR
I dati personali sono trattati in modo lecito, corretto e trasparente nei confronti dell’interessato. il trattamento dei dati di geolocalizzazione, per la sua pervasività e l'uso improprio a fini disciplinari, non è stato considerato lecito e trasparente.
5 par.1 lett.b
GDPR
I dati personali sono raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità. i dati raccolti con modalità illecite (eccessiva pervasività) per finalità organizzative sono stati poi utilizzati per fini disciplinari, in violazione della limitazione della finalità.
5 par.1 lett.c
GDPR
I dati personali sono adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (minimizzazione dei dati). la rilevazione della posizione ogni 60 secondi e la possibilità di monitoraggio in tempo reale sono state ritenute sproporzionate e non necessarie rispetto alle finalità perseguite dall'azienda.
6
GDPR
Liceità del trattamento, che deve basarsi su almeno una delle condizioni previste. il trattamento complessivo, data la sua pervasività e l'uso a fini disciplinari di dati raccolti illecitamente, non aveva una base giuridica adeguata nella sua interezza.
25
GDPR
Protezione dei dati fin dalla progettazione e per impostazione predefinita. il sistema di geolocalizzazione non è stato progettato e configurato fin dall'inizio con misure tecniche e organizzative appropriate per attuare efficacemente i principi di protezione dei dati, in particolare la minimizzazione.
35
GDPR
Valutazione d'impatto sulla protezione dei dati (DPIA), obbligatoria per trattamenti che presentano un rischio elevato. il trattamento dei dati di geolocalizzazione dei dipendenti, considerato ad alto rischio per la loro vulnerabilità e la potenziale invasività, è stato effettuato in assenza di una dpia preliminare.
88
GDPR
Disposizioni sul trattamento dei dati nel contesto di lavoro, inclusi i sistemi di monitoraggio sul posto di lavoro, che devono rispettare le norme nazionali. la violazione si estende all'articolo 88 in quanto l'azienda non ha rispettato pienamente le norme nazionali (artt. 113 e 114 codice privacy e 4 l. 300/1970) e i principi del gdpr relativi al trattamento dei dati dei lavoratori.
113
Codice Privacy
Raccolta di dati personali e pertinenza rispetto all'attività lavorativa. il sistema di geolocalizzazione raccoglieva informazioni dettagliate e continue sugli spostamenti, considerate non pertinenti o eccessive rispetto alle reali esigenze lavorative e di tutela del patrimonio.
114
Codice Privacy
Garanzie in materia di controllo a distanza dei lavoratori, in relazione all'articolo 4 della legge 20 maggio 1970, n. 300 (Statuto dei Lavoratori). nonostante l'accordo sindacale, le modalità intrusive del controllo e l'uso dei dati raccolti illecitamente a fini disciplinari non hanno rispettato le garanzie previste dalla normativa nazionale a tutela della dignità del lavoratore.

Misure imposte

Pagamento sanzione pecuniaria; Pubblicazione del provvedimento sul sito internet del Garante

Sanzione

Il Garante ha ordinato all'Azienda Tutela della Salute per la Liguria il pagamento di una sanzione amministrativa pecuniaria di euro 6.000 per aver trattato dati personali relativi alla geolocalizzazione del personale utilizzatore di veicoli aziendali in violazione degli artt. 5, par. 1, lett. a), b), c), 6, 25, 35 e 88 del Regolamento, nonché 113 e 114 del Codice. La sanzione è stata quantificata considerando la gravità media della violazione (monitoraggio continuo e uso disciplinare dei dati), ma anche la piena cooperazione dell'Azienda e l'assenza di precedenti violazioni pertinenti, nonché le iniziative correttive intraprese volontariamente.

Termini: entro 30 giorni dalla notificazione del presente provvedimento (o entro 30 giorni per il pagamento della metà della sanzione in caso di definizione della controversia)

Implicazioni pratiche

Questo provvedimento sottolinea l'importanza di un'attenta valutazione e configurazione dei sistemi di geolocalizzazione utilizzati in ambito lavorativo. Anche in presenza di accordi sindacali ex art. 4 L. 300/1970, le aziende devono garantire il pieno rispetto dei principi del GDPR, in particolare minimizzazione dei dati, privacy by design e limitazione della finalità. È imperativo condurre una Valutazione d'Impatto sulla Protezione dei Dati (DPIA) per trattamenti di geolocalizzazione che comportano un monitoraggio sistematico o su larga scala dei dipendenti, considerati soggetti vulnerabili. I dati raccolti con modalità illecite non possono essere legittimamente utilizzati per scopi secondari, inclusi i procedimenti disciplinari. Le aziende devono configurare i sistemi in modo da limitare la frequenza di rilevazione, disattivare il monitoraggio in tempo reale se non strettamente necessario, e prevedere meccanismi che consentano ai lavoratori di disattivare la geolocalizzazione durante le pause o al di fuori dell'orario di lavoro, laddove possibile senza compromettere le finalità legittime e irrinunciabili di tutela del patrimonio.

Errori da evitare

  • Non effettuare una DPIA per trattamenti ad alto rischio come la geolocalizzazione dei dipendenti.
  • Adottare configurazioni di sistemi di geolocalizzazione eccessivamente invasive (es. rilevazione continua o ogni pochi secondi, accesso in tempo reale) senza una giustificazione stringente e proporzionata.
  • Utilizzare dati di geolocalizzazione raccolti in violazione dei principi GDPR per avviare o supportare procedimenti disciplinari.
  • Ritenere che un accordo sindacale sull'installazione di sistemi di controllo esoneri dal pieno rispetto della normativa GDPR.
  • Omettere di fornire ai lavoratori informazioni complete e aggiornate sul funzionamento e le finalità dei sistemi di geolocalizzazione.

Domande di self-assessment

  • Il nostro sistema di geolocalizzazione dei veicoli aziendali è stato sottoposto a una DPIA?
  • La frequenza di rilevazione della posizione è stata valutata in termini di minimizzazione e proporzionalità rispetto alle finalità?
  • I dipendenti sono informati in modo chiaro e completo sulle modalità di funzionamento del sistema e sull'uso dei dati?
  • Esiste la possibilità di disattivare la geolocalizzazione durante le pause o al di fuori dell'orario di lavoro, se compatibile con le finalità?
  • I dati di geolocalizzazione sono utilizzati solo per le finalità per cui sono stati raccolti e in conformità con tutti i principi del GDPR e le norme nazionali?

Riferimenti

Linee guida EDPB: Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR del 24 maggio 2023 · Linee guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento "possa presentare un rischio elevato” ai sensi del Regolamento 2016/679 (WP 248 del 4 aprile 2017)

Normativa nazionale: D.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali) · Legge 20 maggio 1970, n. 300 (Statuto dei Lavoratori - Art. 4) · D.lgs. 10 agosto 2018, n. 101 (Decreto di adeguamento al GDPR) · D.lgs. 27 giugno 2022, n. 104 (Decreto trasparenza) · Legge Regionale n.18 del 12 dicembre 2025 (Riforma Sanitaria Regione Liguria)

Note

Il provvedimento ribadisce che l'accordo sindacale ai sensi dell'art. 4 della Legge n. 300/1970, sebbene necessario, non è di per sé sufficiente ad assicurare la piena liceità del trattamento dei dati personali, che deve essere sempre conforme ai principi del GDPR. Inoltre, viene evidenziato il principio di inutilizzabilità dei dati personali raccolti o trattati in violazione della normativa, specialmente in contesti disciplinari. L'Azienda ha intrapreso significative misure correttive volontarie durante l'istruttoria (modifica dell'intervallo di rilevazione e disattivazione del monitoraggio in tempo reale), che sono state riconosciute come attenuanti e hanno permesso di evitare l'adozione di ulteriori misure correttive da parte del Garante.

Provvedimenti correlati