Garante Privacy e GPS: le sanzioni 2026 da conoscere
6 maggio 2026 · 5 min
Il telefono squilla alle 9:03 di un martedì qualsiasi. Dall’altra parte, una voce cortese che si presenta come ispettore del Garante per la protezione dei dati personali. Vuole fissare un accesso ispettivo per la settimana prossima. Riguarda il sistema di geolocalizzazione che la tua azienda utilizza per i dipendenti. Hai l’informativa? La base giuridica? L’accordo sindacale o l’autorizzazione dell’Ispettorato? Il registro dei trattamenti aggiornato? Il cuore ti si ferma un secondo. Perché l’app GPS l’hai installata tre anni fa e da allora non ci hai più pensato. Le sanzioni GPS privacy sono in aumento.
Questa scena si sta ripetendo con frequenza crescente nelle PMI italiane. Il Garante ha annunciato 40 accertamenti ispettivi per il primo semestre 2026, e il monitoraggio GPS dei lavoratori è tra le aree prioritarie. Non è un caso: le segnalazioni dei dipendenti relative alla geolocalizzazione sono aumentate del 35% rispetto al 2025, e il Garante sta rispondendo con controlli mirati, non più solo reattivi.
Il punto non è se usi il GPS — è come lo usi. La differenza tra un’azienda in regola e una che rischia una sanzione da 20.000 euro in su non sta nella tecnologia, ma nella documentazione. E la maggior parte delle PMI che ho incontrato non ha nemmeno un’informativa dedicata al trattamento dei dati di geolocalizzazione, figuriamoci una valutazione d’impatto.
L’ispettore non viene a guardare l’app sul telefono del tuo tecnico. Viene a leggere i documenti. Il primo che chiede è l’informativa privacy specifica per il trattamento di geolocalizzazione — non quella generica che hai sul contratto di lavoro, ma un documento dedicato che spieghi al dipendente esattamente quali dati raccogli, per quanto tempo li conservi, chi vi accede e perché. L’articolo 13 del GDPR non ammette approssimazioni: se manca un’informazione obbligatoria, l’informativa è incompleta e la sanzione scatta automaticamente.
Il secondo documento è la base giuridica. Per la geolocalizzazione dei dipendenti in Italia hai due strade: l’accordo sindacale (articolo 4, comma 1, dello Statuto dei Lavoratori) oppure l’autorizzazione dell’Ispettorato del Lavoro. Se non hai né l’uno né l’altra, stai trattando dati personali senza base legale. La sanzione parte da 20.000 euro e può arrivare al 4% del fatturato annuo. Non è una cifra teorica: a gennaio 2026 un’impresa di pulizie di Brescia ha ricevuto una sanzione di 35.000 euro esattamente per questo motivo.
Poi c’è la DPIA — la valutazione d’impatto sulla protezione dei dati. Il Garante la considera obbligatoria per qualsiasi trattamento sistematico di dati di geolocalizzazione dei lavoratori. La maggior parte delle PMI non sa nemmeno cosa sia. È un documento che analizza la necessità e la proporzionalità del trattamento, identifica i rischi per i diritti dei dipendenti e descrive le misure adottate per mitigarli. Senza DPIA, anche se hai informativa e autorizzazione, sei comunque in violazione.
Gli errori più comuni che ti espongono
Il primo errore è la geolocalizzazione continua. Se il tuo sistema traccia il dipendente anche durante le pause, durante il tragitto casa-lavoro o fuori dall’orario di servizio, sei in violazione del principio di minimizzazione (articolo 5 GDPR). Il GPS deve attivarsi solo durante l’orario di lavoro e solo per la finalità dichiarata — tipicamente la verifica delle presenze o la sicurezza del lavoratore isolato. Qualsiasi dato raccolto fuori da questa cornice è un trattamento illecito.
Il secondo errore è la conservazione indefinita. Tieni i dati GPS dei tuoi dipendenti da quando hai installato l’app? Hai definito un periodo di conservazione nell’informativa? Il Garante ha indicato come riferimento un massimo di 24 mesi per i dati di geolocalizzazione, e molte autorità europee suggeriscono periodi più brevi. Se non cancelli i dati dopo il periodo dichiarato, è un’altra violazione.
Il terzo — e forse il più diffuso — è usare un’app consumer travestita da strumento aziendale. Google Maps, Life360, le app di tracking gratuite scaricate dal Play Store. Nessuna di queste offre le garanzie documentali che il GDPR richiede per un trattamento di dati di dipendenti. Nessuna produce un’informativa, nessuna limita automaticamente il tracciamento all’orario di lavoro, nessuna gestisce la cancellazione periodica. Sono bombe a orologeria normative.
Come proteggerti prima che bussino alla porta
La buona notizia è che mettersi in regola non è complicato. È una questione di documentazione e di strumenti. Ti serve un’informativa GPS dedicata (sul blog trovi un fac-simile gratuito aggiornato al 2026). Ti serve l’autorizzazione dell’Ispettorato o l’accordo sindacale. Ti serve la DPIA. E ti serve un sistema di geolocalizzazione che rispetti nativamente il principio di minimizzazione: tracciamento solo in orario di lavoro, cancellazione automatica, accesso limitato ai soli soggetti autorizzati.
Un sistema come GeoTapp TimeTracker è progettato esattamente per questo: conforme al GDPR by design, con timbratura GPS che si attiva solo al check-in e si spegne al check-out, dati conservati per il periodo che decidi tu, informativa integrabile e report certificati non alterabili che dimostrano la conformità anche in sede ispettiva. Non è questione di tecnologia — è questione di dormire tranquilli.
Ricevi articoli come questo nella tua inbox
Spunti pratici su GPS tracking, gestione operativa e GDPR. Niente spam, solo contenuti utili.
