Con RENTRI arriva (o meglio: si consolida) un obbligo molto pratico per chi trasporta rifiuti speciali pericolosi: la presenza di sistemi di geolocalizzazione sui mezzi. La parte “tecnica” è solo metà del lavoro: l’altra metà è farlo bene anche sul piano GDPR e controlli a distanza.
Chi riguarda davvero l’obbligo (e chi è escluso)
Il perimetro è definito dal DM n. 59/2023: i soggetti obbligati all’iscrizione al RENTRI che trasportano rifiuti speciali pericolosi devono garantire la presenza di sistemi di geolocalizzazione sui mezzi, con un richiamo esplicito ai principi GDPR di limitazione della finalità e limitazione della conservazione.
La Deliberazione n. 3 del 19 dicembre 2024 dell’Albo Gestori Ambientali, per la categoria 5, precisa anche alcune esclusioni (ad esempio motoveicoli e casi particolari indicati nel testo).
Le scadenze operative: cosa fare entro il 31 dicembre 2025
Tra obbligo “sostanziale” e adempimento “documentale”, oggi la priorità è l’attestazione tramite AGEST.
scadenze da segnare in agenda:
- invio dell’attestazione (dichiarazione sostitutiva) via AGEST dal 1° luglio 2025 ed entro il 31 dicembre 2025;
- dal 1° gennaio 2026 l’attestazione va presentata contestualmente alle istanze di iscrizione o variazione del parco veicolare in categoria 5.
Nota importante: se l’impresa non dichiara entro i termini, la Delibera prevede l’avvio di un procedimento disciplinare.
Requisiti minimi del sistema: non basta “avere un GPS”
Il Decreto direttoriale n. 253/2024 dettaglia le caratteristiche che il sistema deve garantire. In sintesi, il sistema deve consentire di ricostruire il percorso e deve essere “agganciabile” al veicolo in modo univoco (targa/telaio), con dati esportabili e consultabili.
Quando i dati di percorso entreranno davvero nei flussi RENTRI
Il decreto n. 253/2024 chiarisce che le modalità di gestione/trasmissione/archiviazione dei dati dei percorsi saranno definite con un successivo decreto e indica anche quando le informazioni sui percorsi dovranno essere rese disponibili (in relazione a una data “ancora” agganciata alle tempistiche del FIR digitale).
Sul sito RENTRI, nelle FAQ dedicate alla geolocalizzazione, è riportato che la disponibilità delle informazioni sui percorsi decorre dal 13 febbraio 2027.
La parte che crea più rischi: privacy e lavoro
Perché la geolocalizzazione può diventare “dato personale”
Se un veicolo è assegnato a un autista (dipendente o collaboratore), i dati di percorso possono rendere identificabile la persona e descriverne abitudini e spostamenti: è quindi un trattamento di dati personali. Il DM 59/2023 richiama già la necessità di rispettare, tra gli altri, i principi di finalità e conservazione.
Art. 4 Statuto dei Lavoratori: attenzione al controllo a distanza
In Italia, strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori richiedono regole precise (accordo sindacale o, in mancanza, autorizzazione dell’Ispettorato), oltre a corrette informative e limiti d’uso. È un punto che va valutato prima di “accendere” il tracciamento continuo.
DPIA: quando è difficile evitarla (e perché conviene farla bene)
La geolocalizzazione sistematica rientra spesso tra i trattamenti che “odorano” di rischio elevato, perché combina elementi tipici dei criteri di rischio (monitoraggio sistematico, ubicazione/spostamenti, ecc.). Nell’elenco/criteri richiamati dal Garante (basati anche sulle linee guida WP29/EDPB) la componente “ubicazione o spostamenti” è esplicitamente citata tra i fattori rilevanti.
Roadmap pratica: mettere insieme tecnica, AGEST e compliance
checklist essenziale per arrivare pronti a fine 2025:
- verificare per ogni autoveicolo interessato se rientra nell’obbligo e se ci sono esclusioni applicabili;
- scegliere/validare il sistema in base ai requisiti del decreto direttoriale (targa+telaio, punti di percorso, export standard, visualizzazione);
- predisporre e inviare le attestazioni via AGEST nei tempi previsti (anche con più istanze se il parco veicoli è ampio);
- costruire la parte privacy-lavoro: informativa, ruoli e accordi con fornitori, regole interne di accesso e conservazione, valutazione art. 4;
- redigere (quando dovuta) la DPIA e trasformarla in misure operative: minimizzazione, limitazioni orarie/funzionali, retention coerente, controlli di accesso e audit trail.
Hai bisogno di un kit DPIA operativo con misure tecniche e organizzative già allineate ai requisiti del sistema? Contattaci e un nostro Privacy Expert ti contatterà