Il telefono squilla alle 9:03 di un martedì qualsiasi. Dall’altra parte, una voce cortese che si presenta come ispettore del Garante per la protezione dei dati personali. Vuole fissare un accesso ispettivo per la settimana prossima. Riguarda il sistema di geolocalizzazione che la tua azienda utilizza per i dipendenti. Hai l’informativa? La base giuridica? L’accordo sindacale o l’autorizzazione dell’Ispettorato? Il registro dei trattamenti aggiornato? Il cuore ti si ferma un secondo. Perché l’app GPS l’hai installata tre anni fa e da allora non ci hai più pensato. Le sanzioni GPS privacy sono in aumento.
Questa scena si sta ripetendo con frequenza crescente nelle PMI italiane. Il Garante ha annunciato 40 accertamenti ispettivi per il primo semestre 2026, e il monitoraggio GPS dei lavoratori è tra le aree prioritarie. Non è un caso: le segnalazioni dei dipendenti relative alla geolocalizzazione sono aumentate del 35% rispetto al 2025, e il Garante sta rispondendo con controlli mirati, non più solo reattivi.
Il punto non è se usi il GPS, è come lo usi. La differenza tra un’azienda in regola e una che rischia una sanzione da 20.000 euro in su non sta nella tecnologia, ma nella documentazione. E la maggior parte delle PMI che ho incontrato non ha nemmeno un’informativa dedicata al trattamento dei dati di geolocalizzazione, figuriamoci una valutazione d’impatto.
Se l’informativa GPS dedicata e la DPIA non sono ancora sulla scrivania, due settimane di prova mostrano dove chiudere le falle.
Nessuna carta di credito, attivo in 2 minuti.
Apri il trialSanzioni GPS privacy: cosa controlla il Garante
L’ispettore non viene a guardare l’app sul telefono del tuo tecnico. Viene a leggere i documenti. Il primo che chiede è l’informativa privacy specifica per il trattamento di geolocalizzazione, non quella generica che hai sul contratto di lavoro, ma un documento dedicato che spieghi al dipendente esattamente quali dati raccogli, per quanto tempo li conservi, chi vi accede e perché. L’articolo 13 del GDPR non ammette approssimazioni: se manca un’informazione obbligatoria, l’informativa è incompleta e la sanzione scatta automaticamente.
Il secondo documento è la base giuridica. Per la geolocalizzazione dei dipendenti in Italia hai due strade: l’accordo sindacale (articolo 4, comma 1, dello Statuto dei Lavoratori) oppure l’autorizzazione dell’Ispettorato del Lavoro. Se non hai né l’uno né l’altra, stai trattando dati personali senza base legale. La sanzione parte da 20.000 euro e può arrivare al 4% del fatturato annuo. Non è una cifra teorica: a gennaio 2026 un’impresa di pulizie di Brescia ha ricevuto una sanzione di 35.000 euro esattamente per questo motivo.
Poi c’è la DPIA, la valutazione d’impatto sulla protezione dei dati. Il Garante la considera obbligatoria per qualsiasi trattamento sistematico di dati di geolocalizzazione dei lavoratori. La maggior parte delle PMI non sa nemmeno cosa sia. È un documento che analizza la necessità e la proporzionalità del trattamento, identifica i rischi per i diritti dei dipendenti e descrive le misure adottate per mitigarli. Senza DPIA, anche se hai informativa e autorizzazione, sei comunque in violazione.







