EntiOnLine
Categorie
indietro
31/12/2016 La protezione dei dati personali nell'ambito del rapporto di lavoro pubblico e privato
Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

Garante per la protezione dei dati personali - Relazione 2016

Il trattamento di dati relativi ai dipendenti tramite sistemi di geolocalizzazione

Con riferimento ai trattamenti di dati personali effettuati attraverso sistemi che consentono la localizzazione geografica dei dipendenti nell’ambito del rapporto di lavoro, anche nel 2016 si registra un incremento dei casi sottoposti all’attenzione dell’Autorita' sia con segnalazioni, sia con istanze di verifica preliminare presentate dai titolari del trattamento, sia all’esito di attivita' di controllo effettuate anche con accertamenti in loco.

Tale incremento è indice dell’uso sempre più diffuso di dispositivi tecnologici completi di funzionalita' di geolocalizzazione nel contesto dei processi produttivi, preordinati al raggiungimento di finalita' eterogenee.

In materia il Garante ha adottato un provvedimento di carattere generale relativo alla geolocalizzazione di veicoli (cfr. provv. 4 ottobre 2011, n. 370, doc. web n. 1850581), nonchè due provvedimenti “pilota” relativi all’utilizzo di applicazioni informatiche che consentono di localizzare geograficamente dispositivi mobili (smartphone) forniti in dotazione ai dipendenti (cfr. provv.ti 11 settembre 2014, n. 401, doc. web n. 3474069 e 9 ottobre 2014, n. 448, doc. web n. 3505371). L’Autorita' ha in particolare ritenuto che il trattamento di dati personali riferiti alla localizzazione di dispositivi – che, differentemente dai veicoli di servizio, da un lato “seguono” costantemente il dipendente, dall’altro si prestano comunemente ad utilizzi anche privati, spesso consentiti dal datore di lavoro – presenta rischi specifici per le liberta' (es. di circolazione e di comunicazione), i diritti e la dignita' dei lavoratori.

In relazione a tali trattamenti, inoltre, il Garante ha rammentato che la localizzazione dei dati relativi alla posizione geografica è soggetta all’obbligo di notificazione ai sensi dell’art. 37, comma 1, lett. a) del Codice.

Per quanto riguarda l’applicazione ai predetti sistemi della disciplina in materia di controlli a distanza dell’attivita' del lavoratore (art. 4, l. 20 maggio 1970, n. 300, recante lo Statuto dei lavoratori, richiamato dall’art. 114 del Codice), si segnala che a seguito delle recenti modifiche apportate al citato art. 4 dal d.lgs. 14 settembre 2015, n. 151 (art. 23), l’Ispettorato nazionale del lavoro, con circolare n. 2 del 2016, relativamente all’installazione di apparecchiature di localizzazione satellitare GPS su autovetture aziendali, ha chiarito che “in linea di massima e in termini generali [...] i sistemi di geolocalizzazione rappresentano un elemento «aggiunto» agli strumenti di lavoro”, e pertanto “le relative apparecchiature possono essere installate solo previo accordo con la rappresentanza sindacale ovvero, in assenza di tale accordo, previa autorizzazione da parte dell’Ispettorato nazionale del lavoro”.

Il Garante, nell’ambito di un procedimento di verifica preliminare, ha ammesso l’utilizzo di un sistema di rilevazione di inizio e fine dell’attivita' lavorativa (e della pausa pranzo, se prevista) prospettato da due societa' operanti nel settore dell’intermediazione in materia di lavoro. Il sistema prospettato – ferma restando l’alternati- vita' con gli altri strumenti gia' in uso e rimasti comunque a disposizione – si basava sull’installazione sui dispositivi smartphone di proprieta' dei lavoratori di un applicativo sviluppato da un soggetto terzo designato responsabile del trattamento.

Considerato che la gran parte dei dipendenti svolgeva la propria attivita' lavorativa al di fuori della sede aziendale, sia presso l’utilizzatore (in caso di somministrazione di lavoro) sia presso i clienti, il sistema sottoposto a verifica preliminare avrebbe consentito alle societa' richiedenti di realizzare risparmi di gestione nonchè di semplificare e di incrementare l’efficienza e la certezza dell’attivita' di rilevazione delle presenze, anche a favore dell’effettiva certificazione delle ore lavorate presso l’utilizzatore.

L’Autorita', nella prospettiva della privacy by design, ha impartito alcune misure a tutela dei diritti degli interessati, in attuazione del principio di necessita' (art. 3 del Codice). In particolare, considerata l’incidenza di errori nella rilevazione della posizione geografica (dovuti sia al sistema che ai GPS installati sui singoli dispositivi mobili) e rilevata la diversita' dell’informazione raccolta rispetto ai sistemi ordinari di rilevazione delle presenze, il Garante ha stabilito che le societa' dovranno configurare il sistema in modo da cancellare le coordinate geografiche della posizione del lavoratore, dopo aver verificato preventivamente – al fine di scongiurare abusi – l’associazione tra le coordinate geografiche della sede di lavoro e la posizione del lavoratore, e conservando eventualmente il solo dato relativo alla sede di lavoro, oltre che la data e l’orario cui si riferisce la “timbratura”. Il sistema inoltre dovra' rendere sempre visibile un’icona che indichi che la funzionalita' di localizzazione è attiva. Deve altresì essere preventivamente impedito il trattamento anche accidentale di dati presenti sul dispositivo riferiti alla vita privata del lavoratore (dati relativi al traffico telefonico, agli sms, alla posta elettronica, alla navigazione in internet ed altro) (provv. 8 settembre 2016, n. 350, doc. web n. 5497522).

In un altro caso l’Autorita' ha ritenuto conforme ai princìpi di protezione dei dati l’adozione di un sistema basato sull’installazione di un’applicazione – contenente una funzionalita' di localizzazione – sugli smartphone forniti in dotazione ai dipendenti impegnati all’esterno della sede aziendale. Il sistema era configurato per rilevare, a seguito dell’attivazione di apposito pulsante, l’orario e il luogo di “inizio e fine lavoro”, “inizio pausa pranzo” e “inizio e fine di evento meteorologico di maltempo”. Anche in questo caso l’applicazione era sviluppata da un soggetto terzo che però non aveva accesso ai dati raccolti.

Il Garante ha ritenuto lecito lo scopo prefisso, vale a dire la possibilita' di effettuare con modalita' automatiche (conformemente a quanto previsto dal contratto) il calcolo delle indennita' di viaggio e trasferta o altri emolumenti, commisurato al luogo in cui l’attivita' lavorativa è stata effettuata oppure di acquisire elementi preordinati alla presentazione all’ente competente delle domande di cassa integrazione per impossibilita' di svolgere la prestazione lavorativa in caso di particolari eventi meteorologici. Il trattamento è stato ritenuto lecito anche considerato che la societa' titolare del trattamento, in attuazione del cit. art. 4 dello Statuto dei lavoratori, ha stipulato un accordo con le rappresentanze sindacali. Sono state altresì ritenute conformi al principio di proporzionalita', pertinenza e non eccedenza la disattivazione del dispositivo al di fuori dell’orario di lavoro e nella pausa pranzo e la predisposizione del sistema in modo da non consentire la localizzazione geografica dei dispositivi al di fuori dei casi stabiliti.

Anche in questo caso sono state impartite misure ed accorgimenti a tutela degli interessati, come la necessita' di configurare il sistema in modo da impedire il trattamento di dati ulteriori e non pertinenti rispetto alle finalita' indicate (in particolare dei dati relativi al traffico telefonico, agli sms, alla posta elettronica, alla navigazione in internet). Il sistema deve altresì prevedere, anche quando l’applicazione lavora in background, la presenza di un’icona che indichi che la funzionalita' di localizzazione è attiva (provv. 18 maggio 2016, n. 226, doc. web n. 5217175).

Conformemente a quanto gia' deciso in casi analoghi (cfr. provv. 29 novembre 2012, n. 368, doc. web n. 2257616), il Garante in sede di verifica preliminare ha ammesso l’installazione di un dispositivo a bordo di veicoli che svolgono il servizio di trasporto pubblico locale, in grado di raccogliere una pluralita' di dati quali la localizzazione geografica del veicolo, immagini mediante un sistema di videoregistrazione nonchè alcuni altri dati quali la velocita', le accelerazioni e decelerazioni improvvise. I dati raccolti sono memorizzati per 72 ore (il tempo necessario ad effettuare le necessarie verifiche) ed eventualmente conservati solo in caso di eventi ritenuti rilevanti ossia i sinistri o l’attivazione del sistema di allarme da parte dell’autista, limitatamente ad un contenuto ambito temporale (20 secondi), immediatamente precedente e successivo al verificarsi dell’evento.

Nella descrizione della societa' richiedente le finalita' del sistema consistevano nella ricostruzione della dinamica dei sinistri, nel rafforzamento della sicurezza di dipendenti, utenti e beni aziendali nonchè nella razionalizzazione del servizio prestato, considerato che – sotto quest’ultimo profilo – il sistema avrebbe consentito di visualizzare gli itinerari percorsi dai mezzi.

Le finalita' perseguite dal titolare con l’installazione del descritto sistema sono state ritenute dall’Autorita' lecite, considerato anche che in applicazione dell’art. 4 dello Statuto, è stato raggiunto un accordo con le rappresentanze sindacali.

Anche in questo caso il Garante ha indicato al titolare la necessita' di adottare misure ed accorgimenti a tutela dei diritti degli interessati ed, in particolare, misure tecniche idonee a non consentire l’identificazione di soggetti non coinvolti nei sinistri o negli altri eventi rilevanti in caso di comunicazione a terzi dei dati raccolti e ad anonimizzare – con contestuale adozione di modalita' di utilizzo in forma aggregata – i dati relativi alla localizzazione geografica trattati allo scopo di razionalizzare il servizio di trasporto prestato (provv. 25 febbraio 2016, n. 78, doc. web n. 4807812).

Banca dati