È un mercoledì mattina alle 9:14. Aprite la posta e trovate una raccomandata dell’Autorità Garante per la Protezione dei Dati Personali. Oggetto: tracciamento GPS dei vostri tecnici sul campo. Tre dipendenti hanno presentato segnalazione, non sapevano che l’app installata sull’auto aziendale registrava continuamente la loro posizione, anche durante la pausa pranzo, anche dopo l’orario di lavoro, quando usavano il veicolo per commissioni private.
Le sanzioni del Garante per violazioni GDPR sul monitoraggio dei lavoratori sono cresciute sensibilmente negli ultimi due anni. Nel 2024 il Garante ha emesso oltre 30 ordinanze ingiunzione per importi tra 20.000 e 50.000 € verso aziende del settore impianti e pulizie. La motivazione ricorrente: assenza di informativa specifica e mancato accordo sindacale o autorizzazione preventiva.
Il problema raramente è tecnologico. È organizzativo: si consegna il dispositivo, si installa un’app, e nessuno spiega al lavoratore esattamente cosa viene registrato, quando, perché, per quanto tempo i dati restano memorizzati e chi può accedervi. È esattamente qui che il Garante alza il livello, ed è qui che nascono le sanzioni.
Tracciamento GPS dipendenti GDPR-compliant senza grattacapi
GeoTapp Flow fornisce modelli pre-impostati di informativa GDPR, controllo granulare degli orari di tracciamento e audit log che superano ogni ispezione del Garante.
Basi giuridiche: quando è davvero ammesso il tracciamento GPS
Il GDPR non consente il tracciamento dei lavoratori in maniera generica. Richiede una base giuridica concreta secondo l’art. 6 GDPR, integrata dall’art. 88 GDPR e dallo Statuto dei Lavoratori (L. 300/1970, art. 4, modificato dal Jobs Act). In pratica esistono tre strade percorribili:
Legittimo interesse (art. 6 lett. f GDPR): il datore deve dimostrare concretamente perché il tracciamento è necessario, gestione interventi, ottimizzazione percorsi, prova di prestazione resa. Riferimenti generici a “sicurezza” o “efficienza” non bastano. Il bilanciamento con i diritti del lavoratore va esplicitato per iscritto.
Accordo sindacale o autorizzazione DTL (Statuto dei Lavoratori art. 4 c. 1): se gli strumenti di tracciamento possono comportare anche un controllo sull’attività dei lavoratori, è obbligatorio. Senza accordo (o autorizzazione dell’Ispettorato Territoriale del Lavoro) il sistema è arbitrariamente illegittimo, e le sanzioni si cumulano: GDPR + Statuto + eventuali reati di interferenze illecite.
Consenso (art. 7 GDPR): nel rapporto di lavoro è problematico, perché la libertà del consenso è dubbia. Vale solo se il dipendente può effettivamente rifiutare senza subire ripercussioni. In pratica utilizzabile solo come integrazione, mai come unica base.
Minimizzazione dei dati: registrate solo ciò che vi serve
L’art. 5 par. 1 lett. c GDPR impone la minimizzazione dei dati. Tradotto: posizione GPS solo durante l’orario lavorativo concordato, non in pausa, non dopo il fine turno, non in ferie. Chi traccia in modo continuo, chi rileva il lavoratore nella sua vita privata, ha già perso, prima ancora del primo controllo.
Tecnicamente significa: l’app deve avere una pianificazione oraria. Si attiva alla timbratura di ingresso, si ferma alla timbratura di pausa, si interrompe sui permessi autorizzati. Le geofence intorno alle abitazioni private vanno escluse in configurazione. Conservazione: massimo il tempo necessario allo scopo dichiarato, tipicamente 30-90 giorni, poi cancellazione automatica.
Misure tecniche e organizzative (TOM)
L’art. 32 GDPR esige misure di sicurezza adeguate. Concretamente: cifratura dei dati GPS in transito e a riposo, accesso limitato secondo il principio del need-to-know, revisione periodica delle autorizzazioni, audit log integrali. In caso di ispezione il Garante vuole vedere chi ha avuto accesso a quale posizione e quando.






