Garante privacy blocca dati dalle auto aziendali e scatta una sanzione

.

Indice dei Contenuti:

Controlli digitali sui dipendenti

Una società italiana, parte di un gruppo multinazionale guidato dalla capogruppo svizzera Swiss Group Holding, ha installato sui propri veicoli aziendali un sistema telematico avanzato associato al nominativo di ogni conducente. Il dispositivo rilevava in modo continuo tempi di percorrenza, chilometri, consumi di carburante e stile di guida, senza un adeguato rispetto della normativa in materia di protezione dei dati personali.

SCONTOBestseller n. 1

Apple iPhone 15 (128 GB) - nero

719,00 € −21% 569,00 €

Acquista su Amazon

SCONTOBestseller n. 2

Apple iPhone 16e 128 GB: progettato per Apple Intelligence, con chip A18, un’autonomia grandiosa,...

729,00 € −18% 599,00 €

Acquista su Amazon

 

LEGGI ANCHE ▷  Oro e argento crollano all’improvviso dopo una corsa storica: ecco cosa sta spaventando i mercati

Le informazioni acquisite permettevano un controllo capillare sui viaggi di lavoro e privati dei dipendenti, generando un punteggio mensile di comportamento alla guida. Questo sistema, predisposto originariamente come progetto pilota, era destinato a essere esteso a tutte le società europee del gruppo, con un evidente salto di scala nel monitoraggio dei lavoratori.

I dati venivano conservati per 13 mesi e utilizzati per valutazioni interne e possibili interventi correttivi, inclusi richiami formali e percorsi di formazione obbligatoria. Il controllo non era limitato alla sicurezza stradale, ma si traduceva in un vero e proprio strumento di profilazione comportamentale dei dipendenti, con significative implicazioni in termini di privacy e libertà individuale.

Violazioni del Garante e criticità privacy

L’Autorità garante per la protezione dei dati personali ha avviato un’ispezione dopo il reclamo presentato da un lavoratore assistito da un sindacato del settore trasporti, rilevando numerose violazioni della normativa privacy e delle garanzie previste dallo Statuto dei lavoratori. Il dispositivo installato sui veicoli aziendali consentiva un controllo sistematico, anche indiretto, dell’attività dei dipendenti, senza gli accordi sindacali o le autorizzazioni ispettive richieste.

L’informativa fornita dalla società, comune a tutte le affiliate del gruppo, comprese quelle con sede extra-Ue, risultava vaga e incompleta: non erano chiaramente indicate finalità specifiche, basi giuridiche del trattamento, né chi fosse effettivamente titolare o responsabile dei dati. Ciò impediva ai lavoratori di comprendere realmente come venivano usate le informazioni raccolte.

Gli accertamenti del Garante Privacy hanno inoltre mostrato che l’accesso ai dati era consentito anche a personale di altre società del gruppo, privo di idonea autorizzazione e senza un quadro chiaro di ruoli e responsabilità. La combinazione di profilazione dettagliata, accessi non correttamente regolati e conservazione prolungata dei dati ha determinato la qualificazione del trattamento come illecito.

Sanzioni, obblighi e lezioni per le aziende

Nella definizione della sanzione amministrativa, il Garante per la protezione dei dati personali ha considerato il numero relativamente contenuto di dipendenti coinvolti e la sospensione immediata del trattamento illecito, disposta dalla società non appena ricevuta la contestazione. Questi elementi attenuanti hanno ridotto l’importo finale, pur non escludendo una valutazione severa sulla gravità delle violazioni accertate.

L’Autorità ha ordinato la cancellazione di tutti i dati relativi ai viaggi e ai punteggi di guida associati ai lavoratori, vietandone l’ulteriore utilizzo per finalità valutative o disciplinari. Per il gruppo multinazionale ciò comporta la necessità di riprogettare i sistemi di telemetria, distinguendo chiaramente tra esigenze di sicurezza, obblighi normativi e controllo legittimo della flotta aziendale.

Per le imprese europee il caso rappresenta un precedente rilevante: ogni tecnologia di monitoraggio dei veicoli, anche se promossa da una capogruppo straniera, deve rispettare le regole del Gdpr e dello Statuto dei lavoratori. Informative trasparenti, minimizzazione dei dati, limiti di conservazione e definizione rigorosa di titolari e responsabili diventano elementi imprescindibili di ogni progetto di digitalizzazione dei controlli interni.

FAQ

D: Che tipo di dispositivo era installato sulle auto aziendali?
R: Un sistema telematico associato al nominativo del conducente, capace di tracciare tempi, percorsi, chilometri, consumi e stile di guida.

D: Per quanto tempo venivano conservati i dati dei lavoratori?
R: I dati relativi ai viaggi di lavoro e privati erano conservati per un periodo di 13 mesi.

D: A cosa serviva il punteggio mensile di guida?
R: Serviva a valutare il comportamento alla guida dei dipendenti e a giustificare eventuali interventi correttivi o richiami.

D: Perché il trattamento è stato giudicato illecito dal Garante?
R: Perché consentiva un controllo sistematico dell’attività dei lavoratori senza le garanzie previste dalla normativa privacy e dallo Statuto dei lavoratori.

D: Cosa non andava nell’informativa fornita ai dipendenti?
R: Non indicava chiaramente finalità, basi giuridiche, titolari, responsabili e destinatari del trattamento, ed era estesa genericamente a tutte le società del gruppo.

D: Chi poteva accedere ai dati raccolti dai dispositivi?
R: Anche personale di altre società del gruppo, in assenza di adeguate autorizzazioni e regole di accesso formalizzate.

D: Quali misure ha imposto il Garante alla società?
R: Oltre alla sanzione amministrativa, l’Autorità ha ordinato la sospensione del trattamento illecito e la cancellazione dei dati usati per attribuire i punteggi di guida.

D: Dove è possibile approfondire la notizia originale?
R: Un resoconto dettagliato del caso è stato pubblicato sulla testata specializzata Key4biz, indicata come fonte originaria dell’informazione.