g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Ordinanza ingiunzione o revoca
  4. Provvedimento del 28 maggio 2026 [10259916]

Provvedimento del 28 maggio 2026 [10259916]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 10259916]

Provvedimento del 28 maggio 2026

Registro dei provvedimenti
n. 382 del 28 maggio 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente, e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”); 

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Introduzione.

In data XX il Sig. XX, in servizio come autista presso l’Azienda Sociosanitaria Ligure n. 1, ad oggi unificata nell’Azienda Tutela della Salute per la Liguria, subentrando quest’ultima in tutti i rapporti giuridici della prima, nel lamentare presunte violazioni in materia protezione dei dati personali, ha rappresentato di essere stato sottoposto ad un procedimento disciplinare, poi definitosi con l’irrogazione a suo carico della sanzione della sospensione, sulla base dei dati acquisiti dalla predetta Azienda per mezzo del sistema di localizzazione satellitare installato presso l’autovettura aziendale targata XX.

L’interessato ha, inoltre, evidenziato che la raccolta dei predetti dati sarebbe avvenuta in assenza delle condizioni di legittimità previste dell’art. 4 della l. 20 maggio 1970, n. 300, nonché delle necessarie informazioni in merito all’installazione dei predetti sistemi, segnalando l’omessa indicazione all’interno del predetto veicolo di vetrofanie che dessero evidenza della geolocalizzazione del veicolo.

In base a quanto rappresentato, poi, l’interessato, che nell’ambito del procedimento disciplinare avrebbe giustificato i propri spostamenti con la predetta autovettura adducendo di soffrire di specifiche patologie, avrebbe trasmesso, su richiesta dell’Azienda, certificazione medica recante l’indicazione delle patologie sofferte nonché copia degli scontrini relativi all’acquisto di taluni farmici nei giorni cui la contestazione disciplinare era riferita.

Analoghe presunte violazioni della normativa in materia di protezione dei dati personali con riguardo all’impiego del predetto sistema di localizzazione satellitare da parte dell’Azienda sono state successivamente segnalate anche da altri dipendenti della stessa Azienda, ragione per cui la trattazione di tali questioni è stata effettuata in via congiunta da parte dell’Autorità nell’ambito della medesima e complessiva istruttoria, presentando tali questioni il medesimo oggetto ed essendo la condotta lamentata posta in essere, sotto il profilo soggettivo, dalla medesima Azienda (cfr. art. 10, comma 4, del Regolamento del Garante n. 1/2019).

2. L’attività istruttoria.

Nell’ambito dell’istruttoria, con nota del XX, l’Azienda ha dichiarato, in particolare, che:

- “premesso che l’adozione di un sistema di geolocalizzazione dei mezzi aziendali è una soluzione adottata dall’Azienda per soddisfare esigenze organizzative, produttive e di tutela del patrimonio aziendale, al fine di una ottimizzazione nella gestione dell’intero parco aziendale, nonché per garantire la sicurezza dei lavoratori, si fa presente come questa ASL abbia ottemperato alle prescrizioni stabilite dall’art. 4 dello Statuto dei Lavoratori” (v. “verbale di intesa fra l’ASL 1, la RSU e le OO.SS. del Comparto […] sottoscritto in via definitiva il 3 luglio 2018 da parte delle RSU […], pubblicato nella sezione intranet dedicata ai dipendenti […] unitamente al Regolamento per l'utilizzo degli automezzi aziendali da parte del personale dipendente”);

- “sono state altresì approvate le Linee Guida per l’utilizzo del GPS sugli automezzi aziendali con apposita deliberazione n. 88 del 8 febbraio 2019 […]. Tale deliberazione è permanentemente disponibile a chiunque nel Portale “Amministrazione Trasparente” di ASL1”;

- l’Azienda “ha adottato le principali misure indicate da codesto Garante della Privacy nel provvedimento emesso in data 4 ottobre 2011, a cui si fa espresso riferimento nel succitato accordo sindacale del 03.07.2018 e, precisamente, un avviso ben visibile applicato a tutti i veicoli aziendali segnalante la circostanza della geolocalizzazione del veicolo, tra cui il veicolo [indicato al paragrafo 1 del presente provvedimento], utilizzato nel caso specifico”; al riguardo, è stata prodotta in atti specifica documentazione fotografica;

- l’Azienda “traccia esclusivamente i veicoli e non i dati personali dei dipendenti che utilizzano di volta in volta le autovetture; i mezzi, infatti, vengono assegnati alle Strutture a cui fanno capo i dipendenti, e non ai dipendenti stessi. Conseguentemente la riconduzione al dipendente, nel caso in oggetto, è avvenuta successivamente ed in modo estemporaneo, una volta visionato il libretto di marcia del mezzo, compilato e sottoscritto dal conducente”; 

- “il sistema consente di tracciare gli automezzi individuando il percorso effettuato dal veicolo, eventuali soste nonché la durata delle stesse”; “non vi è un intervallo temporale/ frequenza in base al quale il sistema rileva la posizione del veicolo, in quanto il sistema accerta con continuità il movimento del veicolo stesso”; “il sistema non consente ai dipendenti la attivazione/disattivazione della funzionalità di localizzazione”; “i soggetti autorizzati hanno la possibilità di accedere alla posizione geografica del veicolo in tempo reale”; “il periodo di conservazione, indicato nell’Accordo Sindacale, è pari a 2 anni”;

- nel caso di specie, “il procedimento disciplinare è stato attivato a seguito di telefonata anonima […]. Si è quindi proceduto a verificare se effettivamente fosse posteggiata ove segnalato. Si è poi proceduto con ulteriori controlli, sempre relativi alle fermate dell’autovettura, apparentemente non compatibili con il percorso programmato, avvenute alcuni giorni precedenti la segnalazione. In seguito si è verificato a quale Struttura fosse assegnata l’autovettura aziendale e, infine, individuato l’utilizzatore del mezzo. A questo punto sono stati richiesti, a quest’ultimo, alcuni chiarimenti sulle fermate effettuate”;

- “l’obbligo di fornire le informazioni [all’interessato nel caso di specie] è stato assolto tramite apposizione dell’avviso di geolocalizzazione sulla parte posteriore del veicolo [indicato al paragrafo 1 del presente provvedimento], nonché pubblicazione sul sito internet aziendale dell’Informativa ex art. 13 RGPD sulla localizzazione veicoli aziendali, di cui all’allegato I del Regolamento Aziendale in materia di Trattamento Dati approvato con Deliberazione n. 560/2019”;

- “non è stata effettuata alcuna valutazione d’impatto ex art. 35 del Regolamento GDPR in quanto il caso di specie non rientra nei casi specifici di valutazione sistematica globale di aspetti personali come previsto dal paragrafo 3 lett. a, del citato articolo ed inoltre la rilevazione delle autovetture non è riconducibile alla valutazione della prestazione lavorativa”;

- quanto all’acquisizione, da parte dell’Azienda, della certificazione medica recante indicazione delle patologie sofferte dal predetto interessato e della copia degli scontrini relativi all’acquisto di taluni farmaci, l’Azienda “ha semplicemente ricevuto senza richiederne l’invio una mail dal diretto interessato in data XX alle ore XX, senza contenuto testuale, e con indicato in oggetto “come da accordi”; la data e l’ora sono successivi all’audizione tenutasi lo stesso giorno avanti all’UPD. Quanto sopra si evince chiaramente dalle dichiarazioni rese a verbale predisposto dall’ UPD per detta audizione. Dal verbale non risulta tuttavia alcuna richiesta da parte dell’UPD di presentare documentazione sanitaria”.

Con nota del XX, l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato all’Azienda, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, sul presupposto che il trattamento di dati personali in questione fosse stato effettuato in violazione degli artt. 5, par. 1, lett. a), b), c) ed e), 6, 25, 35 e 88 del Regolamento e 113 e 114 del Codice.

Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).

Con nota del XX, l’Azienda ha presentato una memoria difensiva, dichiarando, in particolare, che:

- “diversamente da quanto inizialmente riportato, a seguito di accertamenti condotti insieme al Responsabile del Trattamento […], la rilevazione della posizione del veicolo avviene in realtà con un intervallo di 60” (60 secondi)”;

- “detti mezzi non possono essere utilizzati al di fuori del periodo in cui il dipendente è in servizio”; “non è previsto un uso promiscuo dei mezzi, dovendo gli stessi essere utilizzati solo per finalità di servizio e, a fine servizio, essere ricollocati presso spazi di posteggio aziendali dedicati”;

- in esito al coinvolgimento del proprio responsabile del trattamento, “il periodo standard di conservazione dei dati raccolti per mezzo della geolocalizzazione satellitare in uso all’Azienda […] è in realtà corrispondente a quello predefinito del sistema fornito, ovvero un periodo di mesi 6”;

- “i veicoli aziendali vengono usati esclusivamente per esigenze lavorative e mai per esigenze personali dei dipendenti, e quindi non possono essere utilizzati dai dipendenti al di fuori dell’orario di servizio o in pausa per esigenze personali”; “durante l’effettuazione delle “pause” il lavoratore non è comunque autorizzato ad usare il mezzo aziendale; prima di entrare in pausa, deve posteggiarlo, possibilmente in siti Aziendali, timbrare l’uscita dal servizio, usufruire del periodo di pausa e poi rientrare in servizio timbrando l’entrata e riprendendo eventualmente il veicolo. In nessun caso l’autovettura aziendale può esser usata per motivi diversi da quelli inerenti allo svolgimento dell’attività ordinaria di servizio”; “qualora l’autista/il dipendente debba invece effettuare un viaggio più lungo, la pausa è garantita o durante il tragitto, a veicolo fermo, oppure una volta che questi sia arrivato a destinazione. Quindi il mezzo non dovrebbe deviare dal percorso stabilito dalla programmazione del servizio”;

- quanto al caso di specie, “la sanzione della sospensione comminata al dipendente segnalante è conseguita a fronte delle dichiarazioni rese rispetto alle soste contestate, per dichiarazioni non veritiere rese in sede di audizione e difesa, e per mancata comunicazione ai superiori riguardo a situazioni di potenziale pericolo che si sono verificate nell’ambito dello svolgimento delle proprie mansioni”.

In occasione dell’audizione, richiesta ai sensi dell’art. 166, comma 6, del Codice e tenutasi in data XX, l’Azienda ha fornito specifici elementi di contesto e ha dichiarato, in particolare, che:

- “le autovetture sono utilizzate esclusivamente a scopo istituzionale, per cui in caso di pause gli autisti sono tenuti a riportare la vettura presso le sedi territoriali dell’Azienda; nei momenti di pausa, non è pertanto possibile dare luogo alla geolocalizzazione del personale dipendente, che non può trovarsi sul mezzo”;

- “nel caso di specie, alla luce della segnalazione dell’anomala collocazione di una autovettura aziendale in posto non consono rispetto ai tragitti ordinari effettuati con le autovetture aziendali, l’Azienda ha consultato le informazioni contenute nel registro cartaceo, collocato all’interno dell’autovettura in questione e riportante la data di utilizzo del mezzo, il chilometraggio percorso, il tragitto e il nominativo con la firma dell’autista/utilizzatore, incrociandole solo dopo con le informazioni tracciate dalla piattaforma informatizzata”.

Con nota del XX, l’Azienda ha fornito ulteriori elementi, dando altresì evidenza dello svolgimento di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35 del Regolamento con riguardo al trattamento dei dati relativi alla geolocalizzazione dei veicoli aziendali.

Da ultimo, facendo pervenire ulteriori elementi con particolare riguardo allo stato di attuazione delle misure tecniche ed organizzative idonee ad assicurare la complessiva proporzionalità del trattamento in questione, l’Azienda, con nota del XX, nel dare preliminarmente atto che “alla luce della Riforma Sanitaria approvata da Regione Liguria con Legge Regionale n.18 del 12 dicembre 2025tutte le Aziende Sanitarie Liguri, tra cui ovviamente anche l’Azienda Sociosanitaria Ligure n. 1 (ex ASL1), sono state unificate nella nuova Azienda Tutela della Salute per la Liguria (ATSL) [… la quale] ha quindi assunto la qualità di Titolare del Trattamento dei dati personali degli interessati, afferenti alle ex Aziende Sociosanitarie Liguri (ora Aree Sociosanitarie Locali) n.1, 2, 3, 4, 5, nonché a Liguria Salute”, ha rappresentato, nello specifico, che:

- “si è ritenuto di riprogrammare l’intervallo di rilevazione temporale del segnale a 15 minuti, in luogo dei precedenti 60 secondi”;

- “si è prevista la disattivazione permanente ed irreversibile della funzionalità di monitorare gli spostamenti dei veicoli aziendali geolocalizzati in tempo reale”;

- “l’installazione di un pulsante che consenta di disattivare/riattivare la geolocalizzazione del veicolo da parte del guidatore potrebbe compromettere le finalità di tutela del patrimonio: infatti la possibilità di disattivare il dispositivo direttamente dall’autovettura renderebbe impossibile la localizzazione del veicolo in caso, ad esempio, di furto dello stesso con l’eventuale contenuto trasportato. […] Giova ricordare nuovamente che i veicoli aziendali vengono utilizzati esclusivamente per esigenze lavorative e mai per esigenze personali dei dipendenti, e quindi non sono fruibili dai dipendenti al di fuori dell’orario di servizio, o in periodi di pausa per assolvere ad esigenze personali”;

- “nel contesto delle recente riforma sanitaria regionale citata e del rilevante riassetto di tutti gli organismi aziendali, non è stato ancora possibile aggiornare gli accordi a suo tempo stipulati dalle disciolte Aziende, ai sensi dell’art 4 della legge n. 300/1970; si è tuttavia predisposta apposita informativa alle OO.SS., delle variazioni sopra descritte, peraltro migliorative dei diritti e delle libertà del dipendente”.

3. Esito dell’attività istruttoria.

All’esito dell’attività istruttoria, risulta accertato che l’Azienda ha installato un sistema di localizzazione satellitare delle autovetture aziendali previa stipulazione con le rappresentanze sindacali competenti di un apposito accordo collettivo (cfr. verbale di intesa del 3 luglio 2018; v. artt. 88 del Regolamento e 114 del Codice, in relazione all’art. 4 della l. 20 maggio 1970, n. 300), mettendo a disposizione del personale dipendente specifica documentazione informativa nella quale sono riportate tra l’altro anche informazioni sulle modalità di utilizzo del predetto sistema e sulle modalità di effettuazione dei controlli, ivi inclusa la specificazione che i dati raccolti per mezzo del predetto sistema, tramite i quali è possibile risalire ai singoli conducenti delle vetture, possono essere utilizzati a tutti i fini connessi al rapporto di lavoro, compresi quelli disciplinari (cfr. informativa resa al personale dipendente ai sensi dell’art. 13 del Regolamento; cfr. anche il “Regolamento Aziendale in materia di Trattamento dati, corretto uso degli strumenti di lavoro tecnologici in dotazione ai lavoratori aziendali e relativi controlli e videosorveglianza" e le “Linee Guida utilizzo GPS installato su automezzi aziendali, visionabili sul sito intranet aziendale”). 

In merito al profilo informativo, è stato altresì dichiarato per conto dell’Azienda, con relativa assunzione di responsabilità in merito alla genuinità delle dichiarazioni rese anche alla luce delle conseguenze previste dall’art. 168 del Codice, che alle autovetture soggette a geolocalizzazione - compresa quella utilizzata nel caso di specie dall’interessato - è applicato uno specifico avviso atto ad informare gli interessati della circostanza che sull’autovettura è, appunto, installato un sistema di localizzazione satellitare (cd. informativa di primo livello). 

Quanto, poi, alla circostanza che l’Azienda avrebbe acquisito, nell’ambito del procedimento disciplinare avviato nei confronti dell’interessato, anche documentazione recante l’indicazione delle patologie sofferte dal predetto interessato e della copia degli scontrini relativi all’acquisto di taluni farmaci, si prende atto che, in base a quanto dichiarato, tali documenti non sono stati oggetto di alcuna specifica richiesta da parte dell’Azienda ma sono stati trasmessi dall’interessato al fine di motivare il proprio comportamento in tale contesto, né risulta che tali informazioni siano state utilizzate successivamente dall’Azienda (cfr. art. 2-decies, del Codice;  “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico”, del 14 giugno 2007, pubblicate in G.U. 13 luglio 2007, n. 161, doc. web n. 1417809, spec. punto 8.2; v. anche, da ultimo, ancorché con riferimento a fattispecie diverse, FAQ n. 13 del Vademecum sull’oblio oncologico del 9 agosto 2024, doc. web n. 10044898, reperibile in https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/10044898, nonché FAQ n. 12 in materia di trattamento dati nel contesto scolastico nell’ambito dell’emergenza sanitaria, reperibile in https://www.garanteprivacy.it/temi/coronavirus/faq#scuola).

Si prende, inoltre, atto di quanto dichiarato dall’Azienda dopo aver consultato la società fornitrice in qualità di responsabile del trattamento, per cui il tempo di conservazione dei dati trattati per il tramite del sistema è pari a 6 mesi e non a 2 anni, come inizialmente dichiarato dall’Azienda, non ravvisandosi dunque, in tal caso, profili di responsabilità in relazione a tale profilo.

Dalla documentazione in atti sono emersi, tuttavia, anche specifici profili di non conformità alla normativa in materia di protezione dei dati personali, essendo stato accertato, altresì, che, in particolare, il predetto sistema prevedeva che l’intervallo temporale della rilevazione della posizione geografica fosse pari a 60 secondi e permettesse di accedere alla posizione geografica del veicolo in tempo reale.

Si dà atto, ad ogni modo, come l’Azienda, a valle dell’attività istruttoria, abbia da ultimo svolto approfondimenti in merito alla complessiva proporzionalità e necessità del trattamento, dichiarando di aver rideterminato l’intervallo di rilevazione della posizione geografica dei veicoli, ad oggi pari a 15 minuti in luogo dei precedenti 60 secondi, nonché di aver provveduto a disattivare in modo permanente ed irreversibile la funzionalità di monitoraggio degli spostamenti dei veicoli in tempo reale (cfr. nota del XX). L’Azienda ha, altresì, dichiarato, in una prospettiva di responsabilizzazione (art. 5, par. 2, del Regolamento), che “l’installazione di un pulsante che consenta di disattivare/riattivare la geolocalizzazione del veicolo da parte del guidatore potrebbe compromettere le finalità di tutela del patrimonio” (cfr. nota del XX), in particolare in caso di furto del veicolo e dell’eventuale contenuto trasportato, che nel caso dell’Azienda risulta particolarmente delicato e richiede attenzioni speciali.

3.1. La disciplina in materia di protezione dei dati personali in ambito lavorativo.

Con riguardo al trattamento dei dati personali nell’ambito del rapporto di lavoro, si evidenzia in via generale che il datore di lavoro può trattare i dati personali dei lavoratori, anche relativi a categorie particolari di dati (cfr. art. 9, par. 1, del Regolamento), al ricorrere di un’idonea base giuridica, se il trattamento è necessario per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti derivanti dalla disciplina di settore nonché quando il trattamento è “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (artt. 6, parr. 1, lett. c) ed e), 2 e 3; 9, par. 2, lett. b), e 4; 88 del Regolamento; 2-ter del Codice). 

Il datore di lavoro deve, inoltre, rispettare le norme nazionali, che “includono misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati in particolare per quanto riguarda la trasparenza del trattamento […] e i sistemi di monitoraggio sul posto di lavoro” (artt. 6, par. 2, e 88, par. 2, del Regolamento). Sul punto il Codice, confermando l’impianto anteriore alle modifiche apportate dal d.lgs. 10 agosto 2018, n. 101, fa espresso rinvio alle disposizioni nazionali di settore che tutelano la dignità delle persone sul luogo di lavoro, con particolare riferimento ai possibili controlli da parte del datore di lavoro (artt. 113 “Raccolta dati e pertinenza” e 114 “Garanzie in materia di controllo a distanza”). Per effetto di tale rinvio, e tenuto conto dell’art. 88, par. 2, del Regolamento, l’osservanza degli artt. 4 e 8 della l. 20 maggio 1970, n. 300, e dell’art. 10 del d.lgs. n. 297/2003 (nei casi in cui ne ricorrono i presupposti) costituisce una condizione di liceità del trattamento.

Il datore di lavoro, quale titolare del trattamento, è tenuto in ogni caso a rispettare i principi in materia di protezione dei dati (artt. 5 e 25 del Regolamento). 

3.2. Principi generali del trattamento e tutela della sfera privata del lavoratore.

Relativamente ai trattamenti di dati dei dipendenti effettuati mediante sistemi di localizzazione di veicoli, si osserva in via generale che il Garante, tenuto conto della delicatezza del contesto di riferimento e delle specifiche tecnologie impiegate, ha fornito, nel tempo, indicazioni circa l’adozione di misure di tipo organizzativo e tecnologico - rapportate alle concrete condizioni di operatività dei sistemi in questione - con numerosi provvedimenti, anche di carattere generale (cfr. provv. 4 ottobre 2011, n. 370, doc. web n. 1850581; più di recente, provv. 16 gennaio 2025, n. 7, doc. web n. 10112287; provv. n. 234 del 10 giugno 2021, doc. web n. 9675440; provv. 19 luglio 2018, n. 427, doc. web n. 9039945; provv. 29 marzo 2018, n. 181, doc. web n. 8576577; provv. 16 marzo 2017, n. 138, doc. web n. 6275314; provv. 24 maggio 2017, n. 247, doc. web n. 6495708).

Pur nella diversità dei casi concreti decisi con i menzionati provvedimenti, in termini generali il Garante ha applicato i principi di protezione dei dati, con specifico riguardo a quelli di liceità (anche con riferimento alla disciplina in materia di controlli a distanza ai sensi dell’art. 4 della legge 20 maggio 1970, n. 300, richiamato dall’art. 114 del Codice), trasparenza e minimizzazione, valutando in concreto la complessiva necessità e proporzionalità dei trattamenti dei dati personali prospettati mediante l’utilizzo dei predetti dispositivi tecnologici in rapporto alle finalità di caso in caso perseguite. 

In tale contesto, anche tenendo conto delle indicazioni provenienti dal quadro internazionale (cfr. Consiglio di Europa, Raccomandazione del 1° aprile 2015, CM/Rec(2015)5, spec. princ. 16), il Garante ha fornito ai titolari indicazioni in merito alle misure tecniche e organizzative finalizzate a tutelare i diritti degli interessati, consistenti, per quanto rileva ai fini del presente provvedimento, nella configurazione dei sistemi in modo da: escludere il monitoraggio continuo, consentendo la visualizzazione della posizione geografica da parte di soggetti autorizzati solo quando strettamente necessario rispetto alle finalità perseguite; consentire, di regola, la disattivazione del dispositivo durante le pause e al di fuori dell’orario di lavoro; effettuare, di regola, i trattamenti mediante pseudonimizzazione dei dati personali, utilizzando informazioni non direttamente identificative; prevedere la memorizzazione dei dati raccolti solo se necessario e con tempi di conservazione proporzionati rispetto alle finalità perseguite, escludendo, di regola, il monitoraggio dei percorsi effettuati (v., al riguardo, altresì, nota dell’Ispettorato Nazionale del Lavoro del XX, recante “indicazioni operative in ordine al rilascio di provvedimenti autorizzativi ai sensi dell’art. 4 della legge n. 300/1970”).

Con riguardo al caso di specie, il sistema impiegato dall’Azienda permetteva, invece, un monitoraggio a carattere sistematico degli spostamenti dei dipendenti assegnatari delle autovetture, che venivano rilevati dal sistema in tempi assai ravvicinati (60 secondi), senza peraltro consentire agli stessi di disattivare il dispositivo al ricorrere di talune specifiche condizioni (ad esempio, durante le pause o, comunque, in presenza di situazioni emergenziali) nonché in presenza della specifica funzionalità che consente di accedere in tempo reale alla posizione geografica del veicolo, ancorché non vi siano concrete evidenze dell’effettivo utilizzo di siffatta funzionalità da parte del personale preposto.

In particolare, considerato che l’intervallo temporale di rilevazione della posizione geografica dei veicoli e, quindi, degli stessi autisti, risultava particolarmente ristretto (60 secondi), anche tenuto conto del necessario rispetto delle norme che regolano la circolazione sicura nei tratti urbani ed extraurbani nonché delle specifiche condizioni del traffico nei diversi percorsi di volta in volta effettuati, si evidenzia come il sistema impiegato dall’Azienda permetteva di ricostruire gli spostamenti dei dipendenti in modo sostanzialmente continuativo, dando luogo a trattamenti pervasivi. In particolare, alla luce dei tanti provvedimenti adottati dall’Autorità nel tempo e con riferimento a trattamenti effettuati nel contesto lavorativo, è stato precisato che la periodicità della raccolta del dato relativo alla posizione geografica del veicolo assegnato al dipendente, ove sia estremamente ravvicinata, circostanza che ricorreva nel caso di specie (60 secondi), si pone in contrasto con i principi generali in materia di protezione dei dati personali (cfr. provv. 19 luglio 2018, n. 427, doc. web n. 9039945, relativo all’utilizzo di veicoli da parte dei dipendenti per attività di raccolta e trasporto di sostanze e rifiuti speciali e pericolosi, con il quale è stata ritenuta sproporzionata la periodizzazione temporale della rilevazione della posizione geografica, pari a 120 secondi).

Le argomentazioni addotte nel corso dell’istruttoria in relazione al fatto che il personale coinvolto è addetto al trasporto di materiali pericolosi o, comunque, di natura organica e soggetti a rapido deperimento (come, ad esempio, farmaci o campioni biologici) non possono essere ritenute dirimenti al riguardo. Non è, infatti, possibile riscontrare, alla luce della documentazione in atti, alcuna effettiva correlazione tra uno stringente monitoraggio dell’autista, con rilevazione in tempi assai ravvicinati della posizione geografica dello stesso, e i benefici prospettati dall’Azienda al riguardo in termini di maggiore integrità, conservazione e sicurezza dei materiali trasportati - correlazione che il Garante ha, invece, ritenuto sussistente in contesti radicalmente diversi, legati in particolare alle attività di polizia, anche locale, e alla esigenza di “gestire eventuali situazioni di criticità ed emergenza” (cfr. provv. n. 181 del 29 marzo 2018, doc. web n. 8576577, in relazione ad una verifica preliminare nel contesto normativo previgente). Tale circostanza risulta, peraltro, trovare conferma anche nel fatto stesso che, in base alle dichiarazioni da ultimo rese dall’Azienda, l’intervallo di rilevazione della posizione geografica dei veicoli sia stato rideterminato in una misura assai più ampia, ad oggi pari a 15 minuti, in un’apprezzabile ottica di proporzionalità, responsabilizzazione e tutela della dignità dei lavoratori interessati (cfr. nota del XX).

La raccolta sistematica dei dati personali in questione, derivante dalla stringente frequenza di rilevazione della posizione geografica dei veicoli, assumeva nel caso di specie una dimensione particolarmente lesiva dei diritti e delle libertà dei dipendenti poiché in concreto associata alla funzionalità di accesso in tempo reale agli spostamenti dei veicoli. 

In base a quanto rappresentato dall’Azienda nel corso dell’istruttoria, gli autisti non possono, infatti, utilizzare i veicoli per esigenze personali né al di fuori dell’orario di servizio o in pausa per proprie necessità; ne deriva che, non essendo consentite pause durante lo svolgimento del servizio a bordo del veicolo, “nei momenti di pausa, non è pertanto possibile dare luogo alla geolocalizzazione del personale dipendente, che non può trovarsi sul mezzo” (cfr. nota del XX; v. anche nota del XX, per cui i veicoli aziendali “non sono fruibili dai dipendenti al di fuori dell’orario di servizio, o in periodi di pausa per assolvere ad esigenze personali”). In disparte dalle valutazioni sull’impatto di tali disposizioni aziendali sulla dignità e sulla libertà della persona che lavora, si rileva al riguardo che, sebbene i tragitti che gli autisti sono chiamati ordinariamente a compiere non siano particolarmente estesi, non può escludersi in via assoluta che la fruizione di momenti di pausa da parte dei dipendenti assuma carattere estemporaneo anche in occasione della guida del veicolo, potendosi rendere necessaria in luoghi non corrispondenti alle sedi territoriali dell’Azienda, ad esempio a causa di particolari ragioni di urgenza, ovvero determinando una deviazione dal percorso prestabilito, anche in ragione delle contingenti condizioni della viabilità.

Il trattamento in esame, fino all’adozione delle misure da ultimo messe in atto dall’Azienda nella prospettiva di maggiore proporzionalità del trattamento medesimo, risultava porsi, pertanto, in violazione del principio di “minimizzazione dei dati” di cui all’art. 5, par. 1, lett. c), del Regolamento, in base al quale devono essere raccolti e trattati i soli dati “adeguati, pertinenti e limitati” a quanto necessario, in un’ottica di proporzionalità, al raggiungimento delle finalità perseguite (“soddisfare esigenze organizzative, produttive e di tutela del patrimonio aziendale, al fine di una ottimizzazione nella gestione dell’intero parco aziendale”, “garantire la sicurezza dei lavoratori specialmente quando si trovano ad utilizzare il mezzo in modo solitario”, “la salvaguardia del parco macchine aziendali da reati contro il patrimonio”). 

Come da tempo ribadito anche dal Consiglio d’Europa, infatti, “l’introduzione di apparecchiature in grado di rivelare l’ubicazione di dipendenti dovrebbe avvenire solo se si dimostra necessaria al raggiungimento dello scopo legittimo perseguito dal datore di lavoro; in ogni caso, l’utilizzo di tali apparecchiature non dovrebbe dar luogo alla sorveglianza continuata del dipendente. In particolare, la sorveglianza non dovrebbe rappresentare la finalità primaria, bensì solo una conseguenza indiretta di un atto necessario per la tutela delle attività produttive, della salute e della sicurezza, o per garantire l’efficace gestione dell’impresa o dell’ente. […], il datore di lavoro dovrebbe assicurare tutte le necessarie salvaguardie del diritto dei dipendenti alla vita privata ed alla protezione dei dati personali” (cfr. Consiglio di Europa, Raccomandazione del 1° aprile 2015, CM/Rec(2015)5, spec. princ. 16).

Inoltre, come ribadito in numerosi casi analoghi dal Garante, le pur legittime finalità perseguite dall’Azienda per il tramite del sistema di geolocalizzazione della flotta aziendale non possono giustificare ogni forma di interferenza nella vita privata dei lavoratori assegnatari delle autovetture. Le stesse devono piuttosto essere soddisfatte mediante la predisposizione di misure tecniche e organizzative idonee a prevenire la raccolta di informazioni non necessarie per il perseguimento delle finalità organizzative, di sicurezza e di tutela del patrimonio aziendale, potendo tali informazioni in taluni casi riguardare anche la sfera extralavorativa dei dipendenti. La linea di confine tra l’ambito lavorativo e professionale e quello strettamente privato non può, infatti, essere sempre tracciata in modo netto né può essere prefigurato l’annullamento di ogni aspettativa di riservatezza dell’interessato sul luogo di lavoro, anche laddove lo stesso – come nel caso di specie - utilizzi una risorsa aziendale, ragione per la quale la Corte europea dei diritti dell’uomo, ha nel tempo confermato che la protezione della vita privata (art. 8 della Convenzione europea dei diritti dell’Uomo) si estende anche all’ambito lavorativo, ove si esplicano la personalità e le relazioni della persona che lavora (v. Sentenze della Corte Europea dei Diritti dell'Uomo Niemietz c. Allemagne, 16.12.1992 (ric. n. 13710/88), spec. par. 29; Copland v. UK, 03.04.2007 (ric. n. 62617/00), spec. par. 41; Barbulescu v. Romania [GC], 5.9.2017 (ric. n. 61496/08), spec. parr. 70-73 e 80; Antovic and Mirkovic v. Montenegro, 28.11. 2017 (ric. n. 70838/13), spec. par. 41- 42).

Pertanto, le specifiche caratteristiche del sistema impiegato e, in particolare, l’operatività della funzionalità di geolocalizzazione, connotata in particolare dalle descritte caratteristiche di pervasività e frequenza ravvicinata della rilevazione, davano luogo ad un trattamento di dati tipicamente ricompresi nell’ambito di applicazione dell’art. 113 del Codice (cfr. artt. 5, par. 1, lett. a), e 6 del Regolamento; v. in particolare, in merito all’interpretazione degli artt. 8 della l. 20 maggio 1970, n. 300, e 10 del d.lgs. n. 297/2003, al di là dalla tecnologia in concreto impiegata, Corte Cass.,  Sez. I, sent. 19 settembre 2016, n. 18302, che ha confermato il provv. 21 luglio 2011, n. 308, doc. web n. 1829641).

Né risulta possibile ritenere che, sin dalla fase di progettazione del trattamento ovvero nella fase della selezione, non potessero essere prescelte soluzioni tecniche ed organizzative meno invasive per gli interessati e volte ad attuare in modo più efficace i principi di protezione dei dati, quali in particolare la minimizzazione, integrando nel trattamento le necessarie garanzie al fine di soddisfare i requisiti previsti dal Regolamento, tutelare i diritti degli interessati nonché assicurare che siano trattati, per impostazione predefinita, solo i dati personali strettamente necessari per le specifiche finalità di trattamento perseguite. Anche quando utilizza prodotti o servizi realizzati da terzi, il titolare deve, infatti, verificare, anche avvalendosi del supporto del Responsabile della protezione dei dati, ove designato, la conformità ai principi applicabili al trattamento dei dati adottando, nel rispetto del principio di responsabilizzazione, le opportune misure tecniche e organizzative e impartendo le necessarie istruzioni documentate al fornitore del servizio, come poi risulta peraltro essere stato fatto nel caso di specie dall’Azienda, la quale ha da ultimo documentato di aver assunto specifiche iniziative per assicurare una maggiore proporzionalità del trattamento in questione a tutela dei diritti e delle libertà dei dipendenti (cfr. artt. 5, par. 2, 24, 25 e 32 del Regolamento; tali principi sono stati costantemente richiamati dal Garante nel contesto lavorativo, in documenti a carattere generale nonché in relazione a fattispecie diversificate, tenendo conto delle specifiche caratteristiche dei diversi sistemi impiegati: cfr., da ultimo, fra i tanti, provv. 29 aprile 2025, n. 243, doc. web n. 10134221; cfr. anche, da ultimo, il “Documento di indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, adottato con provv. 6 giugno 2024, n. 364, doc. web n. 10026277 nonché “Questioni interpretative e applicative in materia di protezione dei dati connesse all’entrata in vigore del d. lgs. 27 giugno 2022, n. 104 in materia di condizioni di lavoro trasparenti e prevedibili (c.d. “Decreto trasparenza”)”, adottato con provv. 13 dicembre 2022, doc. web n. 9844960). 

In tale contesto, non può ritenersi sufficiente ad escludere la responsabilità del titolare la circostanza, pur apprezzabile in un’ottica di minimizzazione, che i dati acquisiti per il tramite del sistema di geolocalizzazione in questione non siano direttamente identificativi dei dipendenti utilizzatori dei veicoli, potendo l’Azienda in qualsiasi momento risalire all’identità di costoro semplicemente consultando il registro cartaceo collocato all’interno delle vetture, come peraltro avvenuto nel caso di specie. 

Né le richiamate contestazioni possono ritenersi superate in considerazione del fatto che, in coerenza con disciplina di settore, il datore di lavoro abbia sottoscritto con le rappresentanze sindacali competenti specifico accordo collettivo, il quale costituisce una condizione necessaria, ma non sempre sufficiente, per assicurare la complessiva liceità del trattamento e il rispetto dei principi di protezione dei dati personali. L’esperienza applicativa del Garante in questi anni, anche alla luce della giurisprudenza europea, ha evidenziato, infatti, come l’intersezione normativa tra disciplina di protezione dei dati (artt. 88 Regolamento e 114, 113 e 171 Codice) e le disposizioni nazionali di settore (artt. 4 e 8 l. 20 maggio 1970, n. 300) costituiscano discipline autonome, dotate ciascuna di un proprio apparato sanzionatorio, integrato attraverso richiami incrociati, che regolano le medesime condotte, nonché poste a tutela di beni giuridici distinti e complementari (l’una tutela la protezione dei dati personali dell’interessato, anche nel delicato contesto lavorativo; l’altra tutela “interessi di carattere collettivo e superindividuale” riconducibili alla sfera giuridica delle organizzazioni sindacali e alla tutela della dignità dei singoli lavoratori, nel bilanciamento con le legittime finalità perseguite dal datore di lavoro/titolare del trattamento - cfr., tra le tante, Cassazione penale, III sez., sent. n. 22148/2017). Conseguentemente, il datore di lavoro non deve limitarsi a rispettare la normativa di settore applicabile ma anche la disciplina di protezione dei dati personali (cfr., in tal senso, Corte di Giustizia dell’Unione Europea, VIII sez., sent. C‑65/23 del 19 dicembre 2024; v., inoltre provv. 13 marzo 2025, n. 135, doc. web n. 10128005 nonché, da ultimo, provv. 10 luglio 2025, n. 410, doc. web n. 10162731). 

Per tutte le ragioni che precedono, tenuto conto delle caratteristiche in precedenza associate al sistema impiegato dall’Azienda, si ritiene che nel caso di specie la raccolta di informazioni particolareggiate sull’attività dei singoli veicoli monitorati e indirettamente sull’attività degli autisti cui i veicoli sono affidati – la quale avveniva, in particolare, mediante la rilevazione puntuale della posizione del veicolo utilizzato in intervalli temporali comunque ravvicinati, con possibilità di monitorare in tempo reale il percorso effettuato – abbia dato luogo ad un trattamento in contrasto con i principi di “minimizzazione dei dati”, “protezione dei dati fin dalla progettazione” e “per impostazione predefinita” nonché con le norme nazionali di maggior tutela che vietano al datore di lavoro di raccogliere dati non pertinenti rispetto all’attività lavorativa, in violazione degli artt. 5, par. 1, lett. c), 25 e 88 del Regolamento e 113 del Codice (cfr. artt. 5, par. 1, lett. a), e 6 del Regolamento). 

3.3. Valutazione d’impatto sulla protezione dei dati personali.

Nel caso di specie, il trattamento dei dati relativi alla geolocalizzazione del personale utilizzatore dei veicoli aziendali è stato altresì effettuato in assenza di una preliminare valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35 del Regolamento. 

A tal proposito, si rappresenta che, in attuazione del principio di responsabilizzazione (cfr. art. 5, par. 2, del Regolamento), spetta al titolare valutare se i trattamenti che si intendono realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche - in ragione delle tecnologie impiegate e considerata la natura, l’oggetto, il contesto e le finalità perseguite - che renda necessaria una preventiva valutazione di impatto sulla protezione dei dati personali (cfr. cons. 90 del Regolamento). 

Tenuto conto delle indicazioni fornite anche a livello europeo sul punto, si rileva, in particolare, che, diversamente da quanto sostenuto dall’Azienda, il trattamento dei dati raccolti tramite il sistema di localizzazione satellitare comporta rischi specifici per i diritti e le libertà degli interessati nel contesto lavorativo (art. 35 del Regolamento). Tanto in considerazione della particolare “vulnerabilità” degli interessati nel contesto lavorativo (cfr. cons. 75 e art. 88 del Regolamento e le “Linee guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento "possa presentare un rischio elevato” ai sensi del Regolamento 2016/679”, WP 248 del 4 aprile 2017, che, tra le categorie di interessati vulnerabili, menzionano espressamente “i dipendenti”) nonché del fatto che in tale ambito l’impiego di sistemi che possono comportare anche indirettamente il “monitoraggio sistematico”, inteso come “trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti” (cfr. criterio n. 3 indicato nelle Linee guida, cit., ma vedi anche criteri 4 e 7), può presentare rischi - come emerso nel caso di specie - in termini di possibile monitoraggio dell’attività dei dipendenti (cfr. artt. 35 e 88, par. 2, del Regolamento; v. anche provv. 11 ottobre 2018, n. 467, doc. web n. 9058979, all. n. 1, che espressamente menziona i “trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici […] dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti”; v. inoltre, tra gli altri, anche provv. n. 234 del 10 giugno 2021, doc. web n. 9675440).

Nel prendere atto che la documentazione prodotta dall’Azienda denota comunque un’attenzione per la materia della protezione dei dati e reca evidenza di taluni accorgimenti a tutela degli interessati, ad esempio sul piano informativo e che, seppur tardivamente, con nota del XX l’Azienda ha dato atto di aver predisposto una valutazione d’impatto a tal riguardo, si deve tuttavia concludere che, fino alla predisposizione di tale documento, l’Azienda ha violato l’art. 35 del Regolamento.

Lo svolgimento di una valutazione d’impatto sulla protezione dei dati - configurandosi come un esercizio di responsabilizzazione destinato, per sua natura, a trovare espressione documentale in un atto organico e coerente anche nell’ottica della necessità di comprovare il rispetto della disciplina di protezione dei dati (art. 5, par. 2, del Regolamento) - avrebbe, infatti, consentito all’Azienda di avvedersi degli specifici rischi connessi al trattamento mediante l’impiego del sistema di geolocalizzazione in questione e di orientare le proprie scelte sul piano tecnico ed organizzativo in maniera maggiormente consapevole e, dunque, differente. 

3.4. L’utilizzo a fini disciplinari dei dati relativi alla geolocalizzazione dei lavoratori conducenti dei veicoli. 

Quanto all’utilizzo dei dati relativi alla geolocalizzazione dei lavoratori conducenti dei veicoli a fini disciplinari, si rammenta che, a partire dal 2015, il quadro normativo vigente consente che i dati raccolti ai sensi dell’art. 4, commi 1 e 2, della l. 20 maggio 1970, n. 300, possano essere utilizzati dal datore di lavoro “a tutti i fini connessi al rapporto di lavoro” al ricorrere di talune condizioni: 

1) che la raccolta sia avvenuta previa corretta valutazione circa la natura dello strumento utilizzato e, dunque, della sua riconducibilità al comma 1 o al comma 2 dell’art. 4 della l. 20 maggio 1970, n. 300 (nel caso di specie, comma 1), con conseguente applicazione dello specifico regime giuridico previsto dalla legge – assicurando, in particolare, per quanto concerne il caso del comma 1, l’osservanza delle garanzie procedurali previste;

2) che “sia data al lavoratore adeguata informazione delle modalità d'uso degli strumenti e di effettuazione dei controlli” (art. 4, comma 3, della l. 20 maggio 1970, n. 300);

3) che il trattamento sia effettuato nel rispetto della disciplina di protezione dei dati (cfr.  art. 4, comma 3 della l. 20 maggio 1970, n. 300: “nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n.196”).     

Il richiamato quadro normativo consente quindi al titolare (datore di lavoro) di utilizzare, nell’ambito di ulteriori trattamenti per finalità di gestione del rapporto di lavoro, solo le informazioni originariamente raccolte nel rispetto delle condizioni e dei limiti previsti dall’art. 4 della l, 20 maggio 1970, n. 300, nonché, più in generale, in un quadro di complessiva liceità. In particolare, quindi, tali successive ed eventuali operazioni di trattamento presuppongono - oltre, eventualmente, all’osservanza degli adempimenti previsti dall’art. 4, comma 1, e alla necessità di fornire agli interessati un’adeguata informativa sui trattamenti che il datore di lavoro si riserva di effettuare - l’opportuna configurazione dei sistemi in modo che siano poste in essere le sole operazioni necessarie e raccolti i soli dati pertinenti in relazione alla finalità principale per la quale gli stessi sono originariamente trattati, rispettando in ogni caso il generale divieto posto in capo al datore di lavoro di trattare dati inconferenti rispetto allo svolgimento dell’attività lavorativa. 

In altre parole, l’ulteriore trattamento, ai sensi dell’art. 4, comma 3, della l. 20 maggio 1970, n. 300, è consentito al datore di lavoro nei limiti in cui l’originaria raccolta sia stata lecitamente effettuata, avuto riguardo alla finalità principale e nel rispetto dei principi generali della protezione dei dati nonché delle disposizioni più specifiche e di maggior tutela a garanzia della dignità e della sfera privata del lavoratore (cfr. artt. 88 del Regolamento e 113 del Codice; tali principi sono stati ribaditi dal Garante in numerosi provvedimenti, ancorché con riguardo all’impiego di differenti tecnologie nel contesto lavorativo: cfr., da ultimo, provv. 13 marzo 2025, n. 135, doc. web n. 10128005; cfr. anche provv. 11 aprile 2024, n. 234, doc. web n. 10013356, in materia di videosorveglianza; provv. 13 maggio 2021, n. 190, doc. web n. 9669974, in materia di raccolta dei dati di navigazione in internet del dipendente; provv. 28 ottobre 2021, n. 384, doc. web n. 9722661, in materia di raccolta dei dati degli operatori di call center; provv. 24 maggio 2017, n. 247, doc. web n. 6495708, punto 5.4. e lett. e) dispositivo, in materia di geolocalizzazione di veicoli per la nettezza urbana; v. anche la già citata nota dell’Ispettorato Nazionale del Lavoro del XX, spec. pagg. 5 e 6).

Nel caso di specie risulta, invece, che i dati relativi alla localizzazione dei dipendenti - originariamente raccolti e trattati tramite il citato sistema, con le modalità sopra descritte e tenuto conto delle impostazioni e della configurazione del sistema stesso, in maniera non conforme alla disciplina in materia di protezione dei dati personali per le ragioni anzidette (in violazione degli artt. 5, par. 1, lett. c), 25, 35 e 88 del Regolamento e 113 del Codice; cfr. par. 3.2 del presente provvedimento) - siano stati successivamente utilizzati nell’ambito del procedimento disciplinare a carico dell’interessato, non ricorrendo tutte le condizioni previste dalla legge per consentire il lecito utilizzo ulteriore dei dati raccolti “a tutti i fini connessi al rapporto di lavoro” (cfr., in particolare, condizione sub lett. c) sopra menzionata) e, dunque, non rispettando i presupposti e le condizioni previste dalla richiamata disciplina di settore all’art. 4, comma 3, della l. 20 maggio 1970, n. 300.

Ciò anche alla luce del sistema di protezione dei dati, in base al quale il titolare del trattamento può utilizzare ulteriormente, nel rispetto del principio di “limitazione della finalità”, i soli dati personali raccolti in un quadro di liceità e dunque in presenza di un’idonea base giuridica, avendo previamente “soddisfatto tutti i requisiti per la liceità del trattamento originario” (cfr. cons. n. 50 nonché artt. 5, par. 1, lett. b), e 6, par. 4, del Regolamento), e tenuto conto del principio dell’inutilizzabilità dei dati personali raccolti e trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali (cfr. art. 2-decies del Codice; cfr., tra i tanti, FAQ n. 13 in tema di oblio oncologico, doc. web n. 10044898, e FAQ n. 12 reperibile in https://www.garanteprivacy.it/temi/coronavirus/faq#scuola).

Non può essere ritenuta rilevante, in tale contesto, la circostanza per cui, in base a quanto dichiarato dall’Azienda, la sanzione comminata al dipendente nel caso di specie non concerne specificamente gli spostamenti rilevati con il sistema di geolocalizzazione ma le “dichiarazioni non veritiere rese in sede di audizione e difesa” rispetto alle soste contestate e la “mancata comunicazione ai superiori riguardo a situazioni di potenziale pericolo che si sono verificate nell’ambito dello svolgimento delle proprie mansioni”, risultando comunque dalla documentazione in atti che i dati in questione sono stati verificati e utilizzati nell’ambito del procedimento disciplinare (cfr. nota del XX, laddove viene rappresentato che “si è […] proceduto a verificare se effettivamente fosse posteggiata ove segnalato” e che “si è poi proceduto con ulteriori controlli, sempre relativi alle fermate dell’autovettura”).

Alla luce delle considerazioni che precedono, si ritiene che il trattamento effettuato dall’Azienda a fini disciplinari nel caso di specie sia avvenuto altresì in violazione del principio di “limitazione della finalità” nonché in assenza delle condizioni e dei presupposti previsti dalla disciplina di settore per il lecito utilizzo delle informazioni previamente raccolte dal datore di lavoro con strumenti tecnologici, in violazione degli artt. 5, par. 1, lett. a) e b), 6 e 88 del Regolamento e 114 del Codice, in relazione all’art. 4, comma 3, della l. 20 maggio 1970, n. 300.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Azienda, per aver trattato dati personali relativi alla geolocalizzazione del personale utilizzatore dei veicoli aziendali, in violazione degli artt. 5, par. 1, lett. a), b), c), 6, 25, 35 e 88 del Regolamento, nonché 113 e 114 del Codice. 

Tenuto conto che la violazione delle predette disposizioni ha avuto luogo in conseguenza di un’unica condotta (stesso trattamento o trattamenti tra loro collegati), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l’importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, le violazioni più gravi, relative agli artt. 5, 6 e 88 del Regolamento, sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti - atteso che l’Azienda ha, da ultimo, dato atto di aver intrapreso specifiche iniziative in merito al trattamento in questione, in particolare estendendo l’intervallo di rilevazione della posizione dei veicoli da 60 secondi a 15 minuti e disattivando in modo permanente e irreversibile la funzione di accesso in tempo reale alla posizione dei veicoli (cfr. nota del XX) - non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento, presentando ad oggi l’attività di trattamento in esame concrete caratteristiche che, nella prospettiva di prevenire possibili effetti pregiudizievoli per gli interessati nel delicato contesto lavorativo, si ritengono allo stato degli atti complessivamente sufficienti ad assicurarne la relativa proporzionalità e a garantire i diritti e le libertà dei lavoratori.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Tenuto conto che:

- in generale, le caratteristiche concrete precedentemente associate al trattamento effettuato dall’Azienda, in conseguenza della configurazione del sistema di geolocalizzazione dei veicoli aziendali, hanno comportato un monitoraggio sostanzialmente continuo dei dipendenti; nel caso di specie, peraltro, i dati sono stati utilizzati a fini disciplinari, ancorché tale trattamento sia stato comunque effettuato in un contesto lavorativo peculiare (art. 83, par. 2, lett. a), del Regolamento);

- la violazione ha carattere colposo (art. 83, par. 2, lett. b), del Regolamento);

- il trattamento in questione riguarda dati comunque particolareggiati relativi agli spostamenti dei veicoli aziendali in uso ai dipendenti, quali soggetti vulnerabili (cfr. art. 83, par. 2, lett. g), del Regolamento);

si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).

Ciò premesso, nel tenere presente che, comunque, il titolare del trattamento è un’azienda che svolge funzioni socio-sanitarie, si ritiene che, ai fini della quantificazione della sanzione, debbano essere prese in considerazione le seguenti circostanze attenuanti: 

- l’Azienda ha offerto una piena cooperazione con l’Autorità nel corso dell’istruttoria, altresì dando atto di aver intrapreso, in maniera particolarmente apprezzabile, specifiche iniziative intese ad assicurare una maggiore proporzionalità del trattamento effettuato (art. 83, par. 2, lett. c) e f), del Regolamento); 

- non risultano precedenti violazioni pertinenti commesse dall’Azienda (art. 83, par. 2, lett. e), del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 6.000 (seimila/00) per la violazione degli artt. 5, par. 1, lett. a), b) e c), 6, 25, 35 e 88 del Regolamento, nonché 113 e 114 del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva. 

Si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. Ciò in considerazione del fatto che le concrete caratteristiche precedentemente associate al trattamento effettuato dall’Azienda hanno dato luogo ad un monitoraggio sostanzialmente continuo del personale dipendente preposto alla guida dei veicoli aziendali, anche tenuto conto che, nel caso di specie, i dati relativi alla geolocalizzazione del veicolo utilizzato sono stati altresì utilizzati a fini disciplinari. 

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dall’Azienda per violazione degli artt. 5, par. 1, lett. a), b), c), 6, 25, 35 e 88 del Regolamento, nonché 113 e 114 del Codice, nei termini di cui in motivazione;

ORDINA

all’Azienda Tutela della Salute per la Liguria, in persona del legale rappresentante pro-tempore, con sede legale in Piazza Della Vittoria, 15 - 16121 Genova (GE), C.F. 02421770997, di pagare la somma di euro 6.000 (seimila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Azienda, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 6.000 (seimila/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

- ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero. 

Roma, 28 maggio 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Montuori

Scheda

Doc-Web
10259916
Data
28/05/26

Argomenti

Pubblica Amministrazione Geolocalizzazione Lavoro pubblico

Tipologie

Ordinanza ingiunzione o revoca

Vedi anche (2)