Garante per la protezione dei dati personali - Relazione 2017

La protezione dei dati personali nel rapporto di lavoro pubblico e privato

Nel corso dell’anno di riferimento il Garante ha valutato le finalita' e le concrete modalita' di funzionamento dei sistemi di geolocalizzazione portati alla sua attenzione alla luce dell’aggiornato quadro normativo in materia di controlli a distanza, la cui osservanza costituisce condizione di liceita' del trattamento dei dati personali (art. 4, l. n. 300/1970; artt. 11, comma 1, lett. a ), e 114 del Codice). In relazione alla peculiarita' di ciascun sistema tecnologico l’Autorita' si è pronunciata sulla configurazione dello stesso quale strumento “dal quale derivi anche la possibilita' di controllo a distanza” oppure quale strumento “utilizzat[o] dal lavoratore per rendere la prestazione lavorativa”, con conseguente applicazione, rispettivamente, del comma 1 o 2 del menzionato art. 4 e quindi dell’obbligo o meno di attivare la procedura di garanzia ivi prevista.

Sotto tale ultimo profilo, in alcune decisioni il Garante ha ritenuto determinati sistemi non “direttamente preordinati all’esecuzione della prestazione lavorativa”, con conseguente applicazione dell’art. 4, comma 1.

Al riguardo anche l’Ispettorato nazionale del lavoro, con circolare n. 2/2016, relativamente all’installazione di apparecchiature di localizzazione satellitare GPS su autovetture aziendali, ha chiarito che “in linea di massima e in termini generali [...] i sistemi di geolocalizzazione rappresentano un elemento “aggiunto” agli strumenti di lavoro”, e pertanto “le relative apparecchiature possono essere installate solo previo accordo con la rappresentanza sindacale ovvero, in assenza di tale accordo, previa autorizzazione dell’Ispettorato nazionale del lavoro”.

Venendo ora ai singoli casi decisi, il Garante, con provvedimento reso in sede di verifica preliminare richiesta da una societa' che eroga servizi di fornitura di acqua potabile nonchè di raccolta e trattamento delle acque reflue, ha precisato le condizioni di liceita' del trattamento di dati di localizzazione dei veicoli aziendali, gia' oggetto del provvedimento di carattere generale del 4 ottobre 2011, n. 370 (provv. 16 marzo 2017, n. 138, doc. web n. 6275314).

Le finalita' perseguite dal sistema sono risultate preordinate ad una pluralita' di scopi, in particolare alla ottimizzazione della gestione delle attivita' aziendali in occasione di richieste di intervento o emergenze (conformemente ai livelli di garanzia e qualita' delle prestazioni indicati dalla Carta dei servizi); all’innalzamento delle condizioni di sicurezza sul lavoro nonchè della protezione della flotta aziendale in caso di furto; alla più efficiente programmazione delle attivita' sul territorio e degli interventi di manutenzione dei veicoli; all’effettiva commisurazione del tempo di lavoro; alla gestione di eventuali sinistri; alla gestione delle contestazioni di violazione amministrativa di disposizioni del codice della strada. Alla luce di tali finalita' nonchè delle modalita' di funzionamento dei dispositivi, l’Autorita' ha innanzitutto ritenuto il sistema di localizzazione dei veicoli non “direttamente preordinato all’esecuzione della prestazione lavorativa”, con conseguente applicazione dell’art. 4, comma 1, l. n. 300/1970 (richiamato dall’art. 114 del Codice); in questa prospettiva i trattamenti sono stati ritenuti leciti, considerato altresì che la societa' aveva provveduto a stipulare accordi con le rappresentanze sindacali conformemente alla menzionata disciplina di settore in materia di controlli a distanza. Tuttavia, come misure a tutela dei diritti e delle liberta' degli interessati, è stato prescritto alla societa' di configurare il sistema in modo da rilevare la posizione geografica con una cadenza temporale strettamente proporzionata alle finalita' perseguite e in modo da consentire la conservazione dei dati trattati esclusivamente nelle ipotesi e con le modalita' indicate in concreto nel provvedimento, in applicazione dei principi di protezione dei dati, distintamente per ciascuna finalita'. Inoltre è stato precisato che il sistema deve essere configurato in modo da consentire l’accesso ai dati trattati esclusivamente al personale incaricato, al quale devono essere assegnate credenziali di autenticazione differenziate, individuando profili autorizzativi personalizzati e limitando quanto più possibile l’assegnazione di profili con funzionalita' di modifica ed estrazione dei dati.

E' stato altresì prescritto di adottare misure preordinate alla cancellazione automatica dei dati dopo la decorrenza degli eventuali termini di conservazione nonchè di predisporre misure organizzative e tecnologiche volte ad anonimizzare i dati raccolti qualora ulteriormente utilizzati per finalita' statistiche e di programmazione.

Con riferimento alla conservazione dei dati trattati, ove prevista, limitata ai dati strettamente necessari al perseguimento delle finalita' perseguite, l’Autorita' ha chiarito che “è in particolare escluso il monitoraggio dei tracciati percorsi”.

All’esito della valutazione circa la liceita' del trattamento, la sussistenza delle garanzie previste della disciplina sui controlli a distanza e le complessive caratteristiche del sistema (come sopra sommariamente riportate), il Garante ha individuato con il menzionato provvedimento, alla luce della disciplina sul cd. bilanciamento di interessi, un legittimo interesse del titolare al trattamento ai sensi dell’art. 24, comma 1, lett. g ), del Codice.

Nell’ambito di una verifica preliminare presentata dal servizio di polizia locale di un comune, relativa alla prospettata installazione di un sistema di localizzazione satellitare sui veicoli e sulle radio ricetrasmittenti affidate al personale che svolge attivita' di polizia municipale e amministrativa anche per conto di tre comuni limitrofi, il Garante ha ritenuto lecite e coerenti con lo svolgimento delle funzioni istituzionali attribuite dall’ordinamento all’ente locale, le finalita' di coordinamento e gestione di eventuali emergenze perseguite dal sistema attraverso la consultazione delle informazioni sulla posizione geografica di veicoli e dispositivi da parte del personale autorizzato addetto alla centrale operativa (provv. 19 ottobre 2017, n. 432, doc. web n. 7321142).

Parimenti lecito è stato ritenuto lo scopo di consentire la raccolta dei dati necessari alla rendicontazione delle attivita' effettuate dalle pattuglie nelle diverse aree comunali in vista della ripartizione tra i comuni dei costi sostenuti. Sotto il profilo della liceita', poi, anche in questo caso è stata ritenuta conforme alla disciplina in materia di controlli a distanza la preannunciata attivazione da parte del comune della procedura di garanzia prevista dall’art. 4, comma 1, l. n. 300/1970.

Quanto alla valutazione circa la necessita' e proporzionalita' delle modalita' del prospettato trattamento, l’Autorita' ha ritenuto conforme ai suindicati principi la possibilita' di visualizzare in tempo reale sui monitor della sala operativa – da parte del responsabile del servizio (o di un suo delegato) − i dati raccolti in modo da non consentire la diretta identificazione degli operatori. Solo in caso di necessita' il personale autorizzato potra' identificare e contattare i singoli operatori attraverso il raffronto con il registro cartaceo dei turni di servizio. Tale registro viene distrutto prima dell’inizio del nuovo turno, posto che in relazione agli scopi dell’ulteriore conservazione (consuntivazione dei costi relativi alle attivita' effettuate) non è necessaria (nè comunque utile) l’identificazione degli operatori. Da ultimo si rileva che il Garante, in considerazione della assoluta peculiarita' dell’attivita' svolta dalla polizia locale, ha ritenuto la periodizzazione temporale della posizione geografica effettuata dal sistema (pari a due rilevamenti al minuto) non in contrasto con il principio di proporzionalita'

In un altro caso, a seguito di istanza di verifica preliminare presentata da un gestore per conto di vari committenti (comuni o consorzi di comuni) dei servizi di igiene urbana (raccolta differenziata e trasporto rifiuti solidi urbani), ha formato oggetto di esame un sistema radiomobile digitale (dispositivi portatili e veicolari installati sulla flotta impiegata nel servizio erogato dalla societa') per le comunicazioni del personale operativo (provv. 24 maggio 2017, n. 247, doc. web n. 6495708). Il Garante ha ritenuto che le finalita' perseguite con il menzionato sistema, tra le quali l’ottimizzazione della gestione, il coordinamento e la sicurezza delle risorse sul territorio, nonchè la razionalizzazione del servizio in termini di copertura delle aree oggetto di intervento, fossero riconducibili alle “esigenze organizzative e produttive, per la sicurezza del lavoro e per tutela del patrimonio aziendale” in presenza delle quali la disciplina di settore in materia di controlli a distanza consente l’installazione di siffatti sistemi (artt. 11, comma 1, lett. a), e 114 del Codice nonchè art. 4, comma 1, l. n. 300/1970).

In tale quadro è stata ritenuta correttamente attivata la procedura per l’acquisizione della specifica autorizzazione da parte della Direzione territoriale del lavoro competente (sul punto v. pure Ispettorato nazionale del lavoro, circolare n. 2/2016, ma gia', seppur con riguardo al quadro normativo previgente, provv. 4 ottobre 2011, cit., punti 2.2. e 2.3). Sebbene infatti i dati di localizzazione del veicolo non fossero associati immediatamente ai lavoratori interessati, il datore di lavoro era in condizione di risalire alla loro identita' (essendo ciascuno di essi, di volta in volta, assegnatario dei dispositivi e del veicolo nel quale gli stessi erano installati), ricostruendone così, anche indirettamente, l’attivita' (art. 4, comma 1, lett. b ), del Codice; cfr., in proposito, provv. 4 ottobre 2011, cit., punto 1; parere n. 5/2005 del 5 novembre 2005 sull’uso di dati relativi all’ubicazione al fine di fornire servizi a valore aggiunto del Gruppo Art. 29, WP 115, p. 10; v. altresì parere n. 4/2007 sul concetto di dati personali, WP 136, p. 11).

Accanto al predetto sistema di geolocalizzazione la societa' intendeva inoltre implementare un “sistema di predisposizione turni” – configurato in modo da consentire, per ogni specifico servizio, l’assegnazione dei dispositivi (veicolari o mobili) ai dipendenti identificati nominativamente. Sebbene il sistema di geolocalizzazione non fosse idoneo a consentire un’associazione diretta tra le coordinate geografiche e i singoli operatori, la societa' poteva comunque associare i dipendenti ad un particolare dispositivo veicolare, per il tramite delle direzioni competenti, confrontando manualmente i report prodotti dai rispettivi sistemi, pur logicamente separati. La societa' aveva inoltre rappresentato l’intenzione di utilizzare tutti i dati, gia' raccolti ai sensi dell’art. 4, comma 1, l. n. 300/1970, e contenuti nei due distinti sistemi (rispettivamente quello di geolocalizzazione e quello di predisposizione dei turni), al fine di analizzarli per la risoluzione di eventuali “anomalie” nell’ambito della copertura del servizio e “a tutti i fini connessi al rapporto di lavoro”.

Il Garante, nel rendere una prima applicazione della disposizione normativa di cui all’art. 4, comma 3, l. n. 300/1970, ha chiarito che anche tali ulteriori operazioni di trattamento devono essere effettuate nel rigoroso rispetto, sia della disciplina di protezione dei dati che di quella in materia di controlli a distanza. Sotto questo profilo, pertanto, è stato precisato che l’identificazione degli interessati può avvenire “solo in caso di necessita'”, “per scopi determinati, espliciti e legittimi” e a condizione che i dati siano utilizzabili “in altre operazioni di trattamento in termini compatibili con tali scopi”, il trattamento ulteriore avvenga solo a fronte della concreta ricorrenza delle “anomalie”, siano state predeterminate e rese note ai lavoratori unitamente alle modalita' con le quali la societa' si riserva di trattare i dati e venga fornito agli interessati ogni informazione necessaria ad assicurare la piena consapevolezza dei trattamenti ulteriori che il datore di lavoro si riserva di effettuare e degli strumenti utilizzati (artt. 13 del Codice e 4, comma 3, l. n. 300/1970). Tali trattamenti potranno essere effettuati nei limiti della disponibilita' dei dati personali trattati dal sistema di geolocalizzazione (in particolare, le coordinate geografiche ed il codice del dispositivo) in base a tempi di conservazione commisurati per il periodo strettamente necessario alla specifica finalita' di consuntivazione del servizio.

Nel richiamare i propri consolidati orientamenti, il Garante ha ribadito che ogni operazione di trattamento ulteriore, ancorchè effettuata nell’ambito della gestione del rapporto contrattuale con il lavoratore e nell’esercizio del potere di verifica dell’effettivo adempimento della prestazione (artt. 2086, 2087 e 2104 c.c.), deve essere ispirata alla liceita', proporzionalita' e gradualita' nel trattamento dei dati evitando interferenze ingiustificate nella sfera privata dei lavoratori, pena l’inutilizzabilita' dei dati stessi (art. 11, comma 2, del Codice; cfr. punto 5, provv. 13 luglio 2016, n. 303, doc. web n. 5408460; ancorchè con riferimento al quadro normativo previgente, con riguardo alla non utilizzabilita' del dato sulla geolocalizzazione acquisito in violazione di legge, v. Cass. civ., sez. lav., n. 19922/2016).

Il Garante ha prescritto alcune misure a tutela dei diritti e delle liberta' degli interessati: in particolare che le interrogazioni di ambedue i sistemi siano consentite solo a un numero ridotto di incaricati operanti presso le competenti unita' organizzative, i quali devono essere identificati mediante specifiche credenziali di autenticazione; che le interrogazioni dei due sistemi siano registrate, tramite un apposito file di log (riportante la data e l’ora dell’operazione, l’operazione effettuata, i codici dei dispositivi/veicoli visualizzati, l’identificativo dell’incaricato) nel rispetto del provvedimento del Garante del 27 novembre 2008 sugli amministratori di sistema; che il sistema venga configurato in modo da consentire la conservazione dei dati trattati in applicazione dei principi di protezione dei dati, distintamente per ciascuna finalita'. In particolare, è stato prescritto di anonimizzare i report destinati ad essere messi nella disponibilita' rispettivamente dell’ufficio turni (per la finalita' di pianificazione dei turni e l’assegnazione delle priorita' del servizio da parte del personale) e dell’ente affidatario del servizio (per la finalita' di consuntivazione del servizio) in modo che in essi non ricorrano dati che siano, anche indirettamente, riconducibili agli interessati (ad es., codice veicolo, sul punto, provv. 2 ottobre 2014, n. 434, doc. web n. 3534543). I dati dei percorsi storicizzati potranno essere conservati, come richiesto nei capitolati tecnici per l’affidamento del servizio, solo se le informazioni relative alla localizzazione per l’intera flotta utilizzata siano state opportunamente anonimizzate (artt. 3 e 11, comma 1, lett. e ), del Codice; e punto 3, provv. 4 ottobre 2011, cit.). Con riferimento alla frequenza della rilevazione dei dati di geolocalizzazione, il Garante ha prescritto, in sostituzione delle due rilevazioni al minuto prospettate dalla societa', che il sistema sia configurato in modo che la rilevazione del dato di geolocalizzazione avvenga nel momento in cui l’automezzo giunge in prossimita' di punti di raccolta predeterminati e precedentemente georeferenziati (cd. rilevazione ad eventi) per scongiurare il monitoraggio continuo della posizione del veicolo (artt. 3 e 11, comma 1, lett. a ) e d ), del Codice; sul punto, raccomandazione del 1° aprile 2015, CM/Rec(2015)5, sul trattamento di dati personali nel contesto occupazionale, par. 16; ma v. gia' Gruppo Art. 29, parere n. 13, 16 maggio 2011, sui servizi di geolocalizzazione su dispositivi mobili intelligenti, WP 185, p. 15 e, in senso analogo, punto 3, provv. 4 ottobre 2011, cit.). E' stato inoltre prescritto che solo in presenza di predeterminate anomalie nella gestione di un servizio la societa' potra' prevedere l’attivazione della rilevazione in tempo reale della posizione geografica del mezzo quando quest’ultimo dovesse effettuare una sosta superiore a un tempo massimo individuato dalla societa' e comunque non inferiore a cinque minuti.

Il Garante ha autorizzato, nell’ambito di un procedimento di verifica preliminare avviato da una societa', l’installazione di un sistema tecnologico completo di funzionalita' di localizzazione geografica di dispositivi smartphone e tablet preordinato al miglioramento dell’efficacia della certificazione ai clienti dei risultati di un servizio di controllo sulla qualita' della distribuzione di materiale pubblicitario all’interno delle cassette postali (es. volantini, depliant commerciali, etc.) (provv. 30 novembre 2017, n. 505, doc. web n. 7522639).

Anche in questo caso, alla luce delle finalita' perseguite dalla societa' e delle concrete modalita' del trattamento prospettato, l’Autorita' ha ritenuto che il sistema deve ritenersi “non direttamente preordinato all’esecuzione della prestazione lavorativa”, con conseguente applicazione dell’art. 4, comma 1, l. n. 300/1970. Sotto tale pro- filo il complessivo trattamento è stato ritenuto lecito considerato che la societa' aveva dichiarato di voler attivare la procedura di garanzia prevista dalla menzionata disciplina di settore in materia di controlli a distanza.

L’Autorita' ha in particolare valutato positivamente le concrete caratteristiche del sistema alla luce dei principi di necessita' e proporzionalita'. Si segnala in particolare la prevista pseudonimizzazione dei dati del dipendente addetto al controllo di qualita' e la scelta di configurare la rilevazione della posizione geografica del dispositivo non in base ad un intervallo temporale predeterminato bensì all’esito del comportamento attivo del dipendente/controller e solo nell’ambito temporale di riferimento della specifica attivita' programmata nel turno di lavoro. Inoltre ciascun supervisore potra' accedere al sistema esclusivamente per finalita' di gestione, coordinamento e migliore organizzazione dell’attivita' e i rapporti consegnati ai clienti circa i risultati dell’attivita' svolta non potranno contenere dati identificativi dei dipendenti/controller, conformemente a quanto gia' affermato dall’Autorita' (v. provv. 2 ottobre 2014, n. 434). I tempi di conservazione dei dati raccolti, individuati alla luce dei tempi medi di gestione di eventuali contestazioni da parte dei clienti (in dieci giorni), sono stati ritenuti conformi ai principi di necessita' e proporzionalita'.

All’esito della valutazione circa la liceita' del trattamento, la sussistenza delle garanzie previste della disciplina sui controlli a distanza, le complessive caratteristiche del sistema (come in sintesi riportate), il Garante ha individuato, alla luce della disciplina sul cd. bilanciamento di interessi (ai sensi dell’art. 24, comma 1, lett. g ), del Codice), un legittimo interesse del titolare al trattamento dei dati.

L’Autorita' ha tuttavia prescritto l’adozione di specifiche misure volte ad impedire l’eventuale trattamento di dati presenti sui dispositivi non afferenti all’attivita' lavorativa e comunque privati, quali quelli tratti dalla posta elettronica o dalla navigazione in internet o relativi al traffico telefonico, considerato anche che la societa' intende consentire ai dipendenti l’uso dei dispositivi aziendali anche per fini personali. Sui dispositivi, infine, dovra' essere visualizzata un’icona per tutto il tempo in cui la funzionalita' di localizzazione è attiva.