Un'icona dovrà essere ben visibile sullo smartphone del dipendente
Due società telefoniche potranno utilizzare i dati di localizzazione geografica, rilevati da una app attiva sugli smartphone in dotazione ai lavoratori, purché adottino adeguate cautele a protezione della loro vita privata. Lo ha stabilito il Garante privacy nell'accogliere le istanze di verifica preliminare [doc. web n. 3505371 e 3474069] presentate dalle due società che intendono utilizzare questa tipologia di dati per ottimizzare l'impiego delle risorse presenti sul territorio e migliorare la gestione, il coordinamento e la tempestività degli interventi tecnici.
A tutela della riservatezza dei dipendenti l'Autorità ha prescritto l'adozione di una serie di accorgimenti e stringenti misure di sicurezza. Lo smartphone per le proprie caratteristiche è destinato a "seguire" la persona che lo possiede, senza distinzione tra tempo di lavoro e tempo di non lavoro. Il trattamento dei dati di localizzazione può presentare, quindi, rischi specifici per la libertà (es. di circolazione e di comunicazione), i diritti e la dignità del dipendente. Per questo motivo, le società, che si sono anche impegnate a raggiungere un accordo con le organizzazioni sindacali, dovranno adottare specifiche misure volte a garantire che le informazioni visibili o utilizzabili dalla app siano solo quelle di geolocalizzazione, impedendo l'accesso ad altri dati, quali ad esempio, sms, posta elettronica, traffico telefonico. E dovranno configurare il sistema in modo tale che sullo schermo dello smartphone compaia sempre, ben visibile, un'icona che indichi ai dipendenti che la funzione di localizzazione è attiva.
I dipendenti dovranno essere ben informati sulle caratteristiche dell'applicazione (ad es., sui tempi e le modalità di attivazione) e sui trattamenti di dati effettuati dalle società. Nel dare l'ok il Garante ha ritenuto che il sistema sottoposto alla sua attenzione rispetti nel complesso i principi stabiliti dal Codice privacy. Il sistema infatti è conforme al principio di liceità perché consente di ottimizzare la gestione degli interventi tecnici, incrementando la velocità di risposta alle richieste dei clienti, soprattutto in caso di emergenze o calamità naturali.
La localizzazione geografica, inoltre, rafforza le condizioni di sicurezza dei dipendenti permettendo l'invio mirato di soccorsi in caso di difficoltà. Il sistema risulta poi conforme anche ai principi di necessità, pertinenza e non eccedenza. La rilevazione dei dati di geolocalizzazione prospettata dalle società, infatti, non sarebbe continuativa, ma avverrebbe a intervalli stabiliti. E' previsto che l'ultima rilevazione cancelli quella precedente. Come stabilito dal Codice privacy, prima di attivare il sistema le società dovranno notificare all'Autorità il trattamento di dati sulla localizzazione.
Vedi anche newsletter del 3 novembre 2014
[doc. web n. 3505371]
Trattamento di dati personali dei dipendenti effettuato attraverso la localizzazione di dispositivi smartphone. Verifica preliminare richiesta da Wind Telecomunicazioni s.p.a. - 9 ottobre 2014
Registro dei provvedimenti
n. 448 del 9 ottobre 2014
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano, componente, e del dott. Giuseppe Busia, segretario generale;
VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito "Codice") ;
ESAMINATA la richiesta di verifica preliminare presentata da Wind Telecomunicazioni s.p.a. ai sensi dell'art. 17 del Codice;
VISTI gli atti d'ufficio;
VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
RELATORE la prof.ssa Licia Califano;
PREMESSO
1. Trattamento di dati personali dei dipendenti effettuato attraverso la localizzazione di dispositivi smartphone.
1.1. Wind Telecomunicazioni s.p.a. (di seguito: la società) ha presentato il 28 maggio 2014 una richiesta di verifica preliminare ai sensi dell'art. 17 del Codice, in relazione al trattamento di dati personali connesso all'attivazione "di un'innovativa soluzione di Work Force Management (WFM), che prevede, tra l'altro, l'utilizzo di tecniche di geolocalizzazione del dispositivo mobile in dotazione ai […] dipendenti con qualifica di tecnico di rete" operanti sul territorio (pari a "circa 900" lavoratori; cfr. Allegato tecnico, comunicazione 28.5.2014, p. 4).
La nuova funzionalità di localizzazione di dispositivi smartphone – che verrebbero forniti in dotazione dalla società ai propri dipendenti nell'ambito di un sistema di Work Force Management (WFM) già esistente – verrebbe attivata attraverso l'installazione di ClickSoftware, prodotto che mediante l'utilizzo di una apposita applicazione (ClickMobile Touch) "installata sul dispositivo mobile del tecnico […] integrerà tutte le funzionalità di dialogo con la piattaforma WFM" (cfr. Allegato cit., p. 6).
1.2 I dati che sarebbero in concreto trattati dalla società attraverso il menzionato sistema, peraltro solo dopo aver fornito agli interessati "una dettagliata informativa […] che sarà pubblicata sulla intranet aziendale" (cfr. Allegato cit., p. 7), consistono:
• nell'ID del dispositivo aziendale affidato al tecnico;
• nel numero di telefono aziendale;
• nelle coordinate GPS "del tecnico durante lo svolgimento dell'attività operativa";
• nelle coordinate GPS della "home base del tecnico per la determinazione dell'area di competenza".
1.3 Gli scopi che la società intende perseguire attraverso l'attivazione della menzionata funzionalità di localizzazione (cfr. Allegato cit., p. 8) sono volti a:
a. "migliorare i livelli di servizio, assicurando una pianificazione ottimizzata del lavoro";
b. "supportare la gestione delle attività d'emergenza […] mediante la conoscenza della posizione dei tecnici e l'identificazione del tecnico più qualificato e più vicino al sito per il quale è richiesto l'intervento";
c. "supportare le misure di sicurezza a tutela dei tecnici coinvolti in attività di servizio allocate in aree remote e/o disagiate".
Ciò posto, la società ha dichiarato che i dati relativi alla posizione geografica dei dipendenti non saranno utilizzati per finalità diverse da quelle rappresentate "né potranno essere usati […] per qualsivoglia fine disciplinare".
1.4 Quanto alle modalità del trattamento dei dati relativi alla localizzazione la società (cfr. Allegato cit., p. 9) ha dichiarato che:
a. l'invio della posizione geografica del dispositivo al sistema di Work Force Management effettuata attraverso l'applicazione ClickMobile "non è continuativo ma periodico; la frequenza di rilevamento dei dati, infatti, è configurabile a sistema mediante un parametro specifico (ogni x minuti) ed è completamente scollegata dalla frequenza di utilizzo";
b. il dipendente può "abilitare o disabilitare la APP all'inizio e alla fine del servizio, così come durante il servizio stesso, qualora risulti necessario per esigenze personali, compatibilmente con le procedure aziendali in essere";
c. "la piattaforma WFM gestisce l'informazione relativa all'ultima posizione inviata dal dispositivo mobile del tecnico, cancellando quella immediatamente precedente e l'ultima rilevazione verrà cancellata nel momento in cui termina la sua giornata lavorativa";
d. "il sistema non esegue alcuna storicizzazione del dato di geolocalizzazione, impedendo sia una visione continuativa della posizione del singolo tecnico sia un'eventuale ricostruzione dei relativi percorsi".
In relazione al descritto sistema verrebbero adottate misure di sicurezza "sia minime che idonee"; inoltre tutti coloro che effettueranno i connessi trattamenti di dati personali verranno designati quali incaricati del trattamento (cfr. Allegato cit., p. 9).
1.5 Quanto all'osservanza della disciplina di settore posta in materia di controlli a distanza dei dipendenti, la società ha rappresentato che "attualmente sono in corso gli incontri [con] le rappresentanze sindacali aziendali per la revisione dell'accordo sindacale, in ossequio al disposto di cui all'art. 4 della L. 300/70" (cfr. Allegato cit., p. 7).
1.2. A seguito di una richiesta di chiarimenti ed integrazioni formulata dall'Autorità (in data 25.6.2014), la società ha successivamente precisato che:
a. benché l'intervallo temporale preimpostato dal fornitore del software relativamente all'invio delle coordinate riferite alla posizione geografica sia pari a tre minuti, si ritiene "che un intervallo di 10 minuti possa essere idoneo a garantire l'efficacia del sistema" (cfr. punto a), nota del 15.7.2014);
b. relativamente alla possibilità (o meno) di accedere alla posizione geografica del dispositivo in un momento dato al di fuori dell'intervallo temporale prestabilito, si è ribadito che "il dato rilevato è esclusivamente quello inviato dall'APP secondo la frequenza impostata sul sistema" (cfr. punto b), nota cit.);
c. ai dipendenti è consentito disattivare la funzionalità di localizzazione "compatibilmente con le occorrenze previste dal contratto (permessi, malattia, etc.) e dalle normative aziendali (es. pausa pranzo)" (cfr. cfr. punto c), nota cit.);
d. "il dispositivo è ad uso promiscuo ed è pertanto sempre garantito l'utilizzo dello stesso a titolo personale" (cfr. cfr. punto c), nota cit.);
e. l'applicazione installata sul dispositivo smartphone "non ha nessuna interazione con le informazioni presenti sul dispositivo. […] La società Click Software, produttore responsabile della progettazione e dello sviluppo della soluzione in oggetto, comunica che non vi sono estensioni diverse dalle funzionalità per la quale l'APP è progettata"; pertanto "l'applicazione non dispone di interfacce […] in grado di interagire con dati attinenti alla vita privata del dipendente" (cfr. punto d) ed e), nota cit.);
f. i dipendenti potranno "agire sul dispositivo non solo al fine di disattivare le funzionalità di geolocalizzazione […] ma anche al fine di disattivare l'App a conclusione dell'attività lavorativa della giornata. Infatti, per garantire la massima autonomia/riservatezza del tecnico nella gestione dell'applicativo installato sul proprio smartphone è esclusa ogni possibilità di interventi da remoto, ivi inclusa la previsione di automatismi finalizzati a disattivare l'APP al termine dell'orario di lavoro" (cfr. punto f), nota cit.);
g. in caso di furto o smarrimento del dispositivo "il dipendente dovrà seguire quanto indicato nella procedura aziendale, che prevede […] la disattivazione della scheda Sim e contestualmente il blocco del telefono" (cfr. punto g), nota cit.).
2. Trattamento di dati personali dei dipendenti attraverso la localizzazione di dispositivi smartphone.
Il trattamento di dati personali che la società ha sottoposto a verifica preliminare è connesso all'attivazione di un'applicazione (ClickSoftware) del sistema di gestione della mano d'opera già in uso (WFM), in grado di interagire – attraverso l'applicazione ClickMobile Touch – con i dispositivi mobili geolocalizzati (smartphone) posti in dotazione ai tecnici che effettuano interventi sul campo.
Il descritto trattamento, rispetto alle ipotesi prese in considerazione dall'Autorità nel provvedimento di carattere generale n. 370 del 4 ottobre 2011, relativo all'utilizzo di sistemi di localizzazione dei veicoli nell'ambito del rapporto di lavoro [in www.garanteprivacy.it, doc. web n. 1850581], presenta caratteristiche particolari proprio in considerazione dell'utilizzo di un dispositivo smartphone messo a disposizione dei dipendenti allo scopo di procedere alla raccolta dei dati di localizzazione. Tali dispositivi, in considerazione delle normali potenzialità d'uso nonché in ragione dell'utilizzo oramai comune degli stessi, possono essere agevolmente impiegati anche per finalità diverse da quelle lavorative. Queste ulteriori (e comuni) modalità di impiego sono d'altra parte, ragionevolmente, consentite dalla società (cfr. punto 1.2 "è (…) sempre garantito l'utilizzo [del dispositivo] a titolo personale"). Inoltre lo smartphone è, per le proprie caratteristiche, destinato inevitabilmente a "seguire" la persona che lo detiene, indipendentemente dalla distinzione tra tempo di lavoro e tempo di non lavoro.
Il descritto trattamento pertanto presenta rischi specifici per la libertà (es. di circolazione e di comunicazione), i diritti (v. artt. 10, D.Lg. 276/2003 e 8, l. n. 300/1970) e la dignità del dipendente e richiede una specifica ed attenta valutazione da parte dell'Autorità.
3. Liceità del trattamento dei dati di localizzazione: bilanciamento di interessi.
3.1 Le finalità del trattamento, così come rappresentate dalla società, risultano lecite. La funzionalità di localizzazione geografica consente infatti di ottimizzare la gestione ed il coordinamento degli interventi effettuati dai tecnici sul campo, incrementandone la tempestività e migliorando la qualità del servizio, soprattutto in caso di emergenze e/o calamità naturali. La localizzazione consente altresì di rafforzare le condizioni di sicurezza del lavoro effettuato dai tecnici stessi, permettendo l'invio mirato di eventuali soccorsi soprattutto in aree remote o non facilmente raggiungibili e comunque di supportare più rapidamente i lavoratori in caso di difficoltà.
I trattamenti di dati personali, pertanto, sarebbero effettuati nell'ambito del rapporto di lavoro per soddisfare esigenze organizzative e produttive ovvero per la sicurezza del lavoro, coerentemente con quanto stabilito dalla disciplina di settore in materia di controllo a distanza dei dipendenti (cfr. artt. 11, comma 1, lett. a) e 114 del Codice e 4, legge n. 300/1970). In proposito la società ha dichiarato che i dati riferiti alla posizione geografica "non verranno in alcun modo utilizzati […] per finalità diverse da quella rappresentata né potranno essere usati per qualsivoglia fine disciplinare" (cfr. Allegato tecnico, comunicazione 28.5.2014, p. 8).
3.2 Pertanto, considerato anche che la società ha dichiarato di aver attivato le procedure previste dall'art. 4, comma 2, della legge n. 300/1970 visto che la localizzazione di dispostivi associati a dipendenti identificati può comportare il controllo a distanza dell'attività degli stessi, il menzionato trattamento potrà essere lecitamente effettuato anche senza il consenso degli interessati, per effetto del presente provvedimento che, in applicazione della disciplina sul c.d. bilanciamento di interessi (art. 24, comma 1, lett. g) del Codice), individua un legittimo interesse al trattamento di tale tipologia di dati (diversi da quelli sensibili) in relazione alle finalità rappresentate.
4. Principi di pertinenza e non eccedenza del trattamento.
4.1 Il trattamento dei dati di localizzazione per le finalità sopra indicate appare altresì nel complesso conforme ai principi di necessità nonché di pertinenza e non eccedenza (artt. 3 e 11, comma 1, lett. d), del Codice), alla luce delle circostanze rappresentate nell'istanza e in particolare considerato che:
a. non si effettuerebbe la rilevazione continuativa di dati relativi alla localizzazione geografica dei tecnici bensì con periodizzazione temporale pari a 10 minuti;
b. il sistema sarebbe configurato in modo tale da trattare l'informazione relativa all'ultima posizione inviata dallo smartphone cancellando quella immediatamente precedente, mentre "l'ultima rilevazione verrà cancellata nel momento in cui termina la sua giornata lavorativa".
5. Misure ed accorgimenti posti a tutela dei diritti degli interessati.
5.1. Considerate le menzionate potenzialità dei dispostivi smartphone e segnatamente la possibilità di raccogliere per loro tramite, anche accidentalmente, informazioni relative alla vita privata del dipendente, la società dovrà:
a. adottare specifiche misure idonee a garantire che le informazioni presenti sul dispositivo mobile visibili o utilizzabili dall'applicazione installata siano riferibili esclusivamente a dati di geolocalizzazione nonché ad impedire l'eventuale trattamento di dati ultronei (es. dati relativi al traffico telefonico, agli sms, alla posta elettronica o altro);
b. configurare il sistema in modo tale che sul dispositivo sia posizionata un'icona che indichi che la funzionalità di localizzazione è attiva; l'icona dovrà essere sempre chiaramente visibile sullo schermo del dispositivo, anche quando l'applicazione Click Mobile Touch lavora in background.
5.2. In applicazione del principio di correttezza (art. 11, comma 1, lett. a) del Codice) i trattamenti in esame devono essere resi noti agli interessati, i quali devono essere posti nella condizione di conoscere chiaramente finalità e modalità del trattamento. A tal fine la società dovrà fornire ai dipendenti una puntuale informativa, comprensiva di tutti gli elementi contenuti nell'art. 13 del Codice.
6. Adempimenti ulteriori e misure di sicurezza.
6.1. Resta fermo che:
a. considerato che il dispositivo che si intende installare comporta il trattamento di dati relativi alla localizzazione, la società è tenuta ad effettuare la notificazione ai sensi dell'art. 37, comma 1, lett. a), del Codice;
b. la società dovrà attenersi, in quanto applicabili, alle prescrizioni ed alle raccomandazioni contenute nel provvedimento n. 13 del 1° marzo 2007 "Linee guida per posta elettronica e internet" (doc. web n. 1387522) (es. in caso di trattamenti effettuati in occasione della predisposizione di idonee misure di sicurezza per assicurare la disponibilità e l'integrità di sistemi informativi e di dati; a seguito della riconsegna del dispositivo per interventi di manutenzione o a seguito della cessazione del rapporto di lavoro);
c. gli interessati potranno esercitare i diritti di cui agli artt. 7 ss. del Codice in relazione ai dati personali che li riguardano rilevati mediante il dispositivo in esame;
d. dovranno essere adottate le misure di sicurezza previste dagli artt. 31 ss. del Codice al fine di preservare l'integrità dei dati trattati e prevenire l'accesso agli stessi da parte di soggetti non autorizzati.
TUTTO CIÒ PREMESSO IL GARANTE
1. ai sensi dell'art. 17 del Codice, preso atto della richiesta di verifica preliminare presentata da Wind Telecomunicazioni s.p.a. in relazione ai trattamenti da effettuare mediante l'attivazione di una funzionalità di localizzazione di dispositivi mobili smartphone forniti in dotazione ai propri dipendenti per finalità organizzative, produttive e connesse alla sicurezza del lavoro, ritiene ammissibile il trattamento da effettuarsi nei termini di cui in motivazione, fermo restando che:
a. la società, quali misure necessarie, dovrà:
i. adottare specifiche misure idonee a garantire che le informazioni presenti sul dispositivo mobile visibili o utilizzabili dall'applicazione installata siano riferibili esclusivamente a dati di geolocalizzazione nonché ad impedire l'eventuale trattamento di dati ultronei (es. dati relativi al traffico telefonico, agli sms, alla posta elettronica o altro);
ii. configurare il sistema in modo tale che sul dispositivo sia posizionata un'icona che indichi che la funzionalità di localizzazione è attiva; l'icona dovrà essere sempre chiaramente visibile sullo schermo del dispositivo, anche quando l'applicazione Click Mobile Touch lavora in background (punto 5.1, lett. b.);
iii. consentire l'accesso ai dati trattati ai soli incaricati della società che, in ragione delle mansioni svolte o degli incarichi affidati, possono prenderne legittimamente conoscenza;
b. la società dovrà notificare al Garante il trattamento dei dati relativi alla localizzazione (punto 6.1, lett. b);
c. ai dipendenti della società, unitamente agli elementi previsti dall'art. 13 del Codice, dovranno essere fornite informazioni chiare e complete sulla natura dei dati trattati e sulle caratteristiche del dispositivo, tenuto conto delle finalità mediante lo stesso perseguite (punto 5.2); i dipendenti dovranno altresì essere compiutamente informati sulle ipotesi in cui è consentita la disattivazione della funzione di localizzazione nel corso dell'orario di lavoro nonché circa le eventuali conseguenze nel caso in cui la disattivazione avvenga con modalità non consentite;
d. la società dovrà attenersi, in quanto applicabili, alle prescrizioni ed alle raccomandazioni contenute nel provvedimento n. 13 del 1° marzo 2007 "Linee guida per posta elettronica e internet" (doc. web n. 1387522) (es. in caso di trattamenti effettuati in occasione della predisposizione di idonee misure di sicurezza per assicurare la disponibilità e l'integrità di sistemi informativi e di dati; a seguito della riconsegna del dispositivo per interventi di manutenzione o a seguito della cessazione del rapporto di lavoro);
e. gli interessati potranno esercitare i diritti di cui agli artt. 7 ss. del Codice in relazione ai dati personali che li riguardano rilevati mediante il dispositivo in esame;
f. dovranno essere adottate le misure di sicurezza previste dagli artt. 31 ss. del Codice al fine di preservare l'integrità dei dati trattati e prevenire l'accesso agli stessi da parte di soggetti non autorizzati.
2. ai sensi dell'art. 24, comma 1, lett. g) del Codice, in applicazione della disciplina sul c.d. bilanciamento di interessi, per effetto del presente provvedimento il trattamento descritto può essere effettuato senza che sia necessario acquisire il consenso degli interessati, individuando in capo a Wind Telecomunicazioni s.p.a., in relazione all'installazione di un sistema di localizzazione degli smartphone dati in dotazione ai dipendenti, un legittimo interesse volto a soddisfare esigenze organizzative, produttive e legate alla sicurezza del lavoro previa attivazione delle procedure previste dall'art. 4, comma 2, della legge n. 300/1970 (punto 3.2).
Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.
Roma, 9 ottobre 2014
IL PRESIDENTE
Soro
IL RELATORE
Califano
IL SEGRETARIO GENERALE
Soro
[doc. web n. 1850581]
Sistemi di localizzazione dei veicoli nell'ambito del rapporto di lavoro - 4 ottobre 2011
Registro dei provvedimenti
n. 370 del 4 ottobre 2011
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale;
VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);
VISTI gli atti d'ufficio;
VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
RELATORE il dott. Mauro Paissan;
PREMESSO
1. Sistemi di localizzazione dei veicoli nell'ambito del rapporto di lavoro per soddisfare esigenze organizzative, produttive ovvero per la sicurezza sul lavoro e disciplina di protezione dei dati personali
1.1. Con frequenza crescente sistemi di localizzazione e di comunicazione (anche in tempo reale) della posizione rilevata sono installati a bordo dei veicoli impiegati da datori di lavoro pubblici e privati per soddisfare esigenze organizzative e produttive ovvero per la sicurezza sul lavoro nell'ambito della fornitura di servizi di trasporto di persone o cose nonché per dare esecuzione ad ulteriori prestazioni, con riflessi sulla possibilità di localizzare la posizione dei lavoratori assegnatari dei veicoli medesimi.
I dati relativi all'ubicazione dei veicoli, in quanto (direttamente o indirettamente) associati ai lavoratori, costituiscono però anche informazioni personali riferibili a questi ultimi (art. 4, comma 1, lett. b), del Codice) con la conseguenza che al trattamento di tali informazioni trova applicazione la disciplina contenuta nel Codice. Ciò, anche nel caso in cui i dati di localizzazione del veicolo non siano associati immediatamente dal sistema informativo al nominativo dei lavoratori interessati, atteso che il datore di lavoro, titolare del trattamento, è di regola in condizione di risalire in ogni momento al lavoratore di volta in volta assegnatario di ciascun veicolo (cfr., in proposito, Parere n. 5/2005 del 5 novembre 2005 sull'uso di dati relativi all'ubicazione al fine di fornire servizi a valore aggiunto del Gruppo di lavoro articolo 29 per la protezione dei dati, WP 115, p. 10; v. altresì Parere n. 4/2007 sul concetto di dati personali, WP 136, p. 11).
La disciplina di protezione dei dati personali non trova invece applicazione ove le informazioni concernenti la gestione del parco automezzi (quali quelle relative al consumo di carburante e commisurazione delle distanze percorse dai singoli veicoli, utilizzate di regola al fine di programmare un'efficiente manutenzione) siano trattate senza poter essere in alcun modo ricondotte ai lavoratori.
1.2. In relazione ai trattamenti effettuati mediante tali sistemi nell'ambito dell'esecuzione del rapporto di lavoro per soddisfare esigenze organizzative e produttive ovvero per la sicurezza sul lavoro, il Garante ha adottato nel tempo alcune decisioni, sia nell'ambito di procedimenti di verifica preliminare, sia nell'esercizio della propria attività di controllo (cfr. Provv.ti 18 febbraio 2010, in www.garanteprivacy.it, doc. web n. 1703103; 7 ottobre 2010, doc. web n. 1763071; 7 luglio 2011, docc. web n. 1828371 e 1828354).
Anche altre autorità di controllo europee si sono pronunciate in merito e, da ultimo, il "Gruppo di lavoro articolo 29", nel Parere 13/2011 dedicato alla protezione dei dati relativo ai servizi di geolocalizzazione su dispositivi mobili intelligenti (WP 185, adottato il 16 maggio 2011, p. 15), ha affermato che "il datore di lavoro deve […] evitare il monitoraggio costante [… e che i] dispositivi di tracciamento dei veicoli non sono dispositivi di tracciamento del personale, bensì la loro funzione consiste nel rintracciare o monitorare l'ubicazione dei veicoli sui quali sono installati. I datori di lavoro non dovrebbero considerarli come strumenti per seguire o monitorare il comportamento o gli spostamenti di autisti o di altro personale, ad esempio inviando segnali d'allarme in relazione alla velocità del veicolo". Inoltre, riconoscendo che "il consenso come motivo di legittimazione del trattamento è problematico in un contesto lavorativo, [ha auspicato che], invece di chiedere il consenso, i datori di lavoro devono accertarsi che sia possibile dimostrare la necessità di vigilare sull'esatta ubicazione dei dipendenti per una finalità legittima e valutare tale necessità a fronte dei diritti e delle libertà fondamentali dei dipendenti. Nei casi in cui la necessità può essere adeguatamente giustificata, il fondamento giuridico del trattamento si potrebbe basare sull'interesse legittimo" del titolare del trattamento (art. 7, lett. f, direttiva 95/46/CE).
1.3. Alla luce delle considerazioni svolte, il Garante ritiene quindi opportuno individuare, in termini generali, le condizioni di liceità di tali trattamenti effettuati per soddisfare esigenze organizzative e produttive ovvero per la sicurezza sul lavoro nell'ambito del rapporto di lavoro ed in particolare intende, con il presente provvedimento, dare attuazione, nell'ambito qui considerato, all'istituto del c.d. bilanciamento di interessi (non diversamente dalla determinazione già adottata in passato nella Del. n. 13 del 1° marzo 2007, "Linee guida del Garante per posta elettronica e internet", con particolare riferimento al punto 7, doc. web n. 1387522) e prescrivere, ai sensi dell'art. 154, comma 1, lett. c), del Codice alcune misure opportune rispetto al trattamento dei dati in questione.
2. Liceità nel trattamento dei dati di localizzazione: bilanciamento di interessi
2.1. In termini generali, il trattamento dei dati personali deve avvenire in modo lecito (art. 11, comma 1, lett. a) del Codice), considerata anche la disciplina di settore (cfr. art. 10 Reg. Ce n. 561/2006 del 15 marzo 2006 relativo all'armonizzazione di alcune disposizioni in materia sociale nel settore dei trasporti su strada e che modifica i regolamenti del Consiglio (CEE) n. 3821/85 e (CE) n. 2135/98 e abroga il regolamento (CEE) n. 3820/85 del Consiglio).
2.2. Con specifico riferimento alla materia considerata nel presente provvedimento, la possibilità di individuare in un dato momento la posizione dei veicoli (e quindi dei lavoratori) mediante sistemi di localizzazione può tuttavia rivelarsi utile per soddisfare esigenze organizzative e produttive ovvero per la sicurezza sul lavoro. Finalità che ben possono ricorrere, ad esempio, in caso di impiego dei sistemi in esame per soddisfare esigenze logistiche (consentendo di impartire tempestive istruzioni al conducente del veicolo oggetto di localizzazione), per elaborare rapporti di guida allo scopo di commisurare il tempo di lavoro del conducente – con la conseguente determinazione della retribuzione dovuta, anche in vista dell'assolvimento degli obblighi legali connessi alla tenuta del libro unico del lavoro previsto dall'art. 6, D.M. 9 luglio 2008 (Modalità di tenuta e conservazione del libro unico del lavoro e disciplina del relativo regime transitorio) – ovvero per commisurare i costi da imputare alla clientela, nonché per assicurare una più efficiente gestione e manutenzione del parco veicoli, con effetti vantaggiosi anche sulla sicurezza sul lavoro e per la sicurezza della collettività.
In tali ipotesi, considerato che la localizzazione dei veicoli può comportare una forma di controllo a distanza dell'attività dei lavoratori, oltre alla disciplina di protezione dei dati personali, deve altresì essere rispettata la disciplina dettata dall'art. 4 della legge 20 maggio 1970, n. 300 (Norme sulla tutela della libertà e dignità dei lavoratori, della libertà sindacale e nell'attività sindacale nei luoghi di lavoro e norme sul collocamento) peraltro richiamata dagli artt. 11, comma 1, lett. a) e (espressamente) 114 nonché, per i profili sanzionatori, 171 del Codice (nello stesso senso, oltre alle ricordate decisioni di questa Autorità, v. anche il decreto del Ministero del lavoro e delle politiche sociali, Direzione generale della tutela delle condizioni di lavoro, Divisione IV, 24 giugno 2004, in tema di installazione di impianti di controllo satellitare su autovetture di pronto intervento di un'impresa erogatrice di gas, nonché la risposta a una istanza di interpello del medesimo Ministero, Direzione generale per l'attività ispettiva, prot. n. 25/I/0006585 del 28 novembre 2006, in materia di localizzazione mediante computer palmari assegnati in dotazione a informatori scientifici del farmaco).
2.3. Se sono adottate le garanzie previste dall'art. 4, comma 2, l. n. 300/1970, i datori di lavoro privati e gli enti pubblici economici possono effettuare lecitamente il trattamento dei dati personali (diversi da quelli sensibili) relativi all'ubicazione dei propri dipendenti per soddisfare esigenze organizzative e produttive ovvero per la sicurezza sul lavoro (oltre che sulla base di uno degli altri presupposti di cui all'art. 24 del Codice), anche in assenza del consenso degli interessati, per effetto del presente provvedimento che, in applicazione della disciplina sul c.d. bilanciamento di interessi (art. 24, comma 1, lett. g), del Codice), individua un legittimo interesse al trattamento di tale tipologia di dati. Per tale bilanciamento si è tenuto conto delle garanzie che la l. n. 300/1970 prevede per il controllo a distanza presupponendo non il consenso degli interessati, ma un accordo con le rappresentanze sindacali o, in difetto, l'autorizzazione del competente organo periferico del Ministero del lavoro e delle politiche sociali.
2.4. Per quanto riguarda i soggetti pubblici, salva l'applicazione dell'art. 4, l. n. 300/1970 (cfr. art. 42, d. lg. 30 marzo 2001, n. 165, Norme generali sullo ordinamento del lavoro alle dipendenze delle amministrazioni), restano fermi i differenti presupposti previsti dal Codice a seconda della natura dei dati, sensibili o meno (artt. 18-22 e 112).
3. Principi di pertinenza e non eccedenza
3.1. Per il conseguimento di ciascuna delle finalità legittimamente perseguite dal datore di lavoro titolare del trattamento possono formare oggetto di trattamento, mediante sistemi opportunamente configurati (art. 3 del Codice), solo i dati pertinenti e non eccedenti: tali possono essere, oltre all'ubicazione del veicolo, la distanza percorsa, i tempi di percorrenza, il carburante consumato, nonché la velocità media del veicolo (restando riservata alle competenti autorità la contestazione di eventuali violazioni dei limiti di velocità fissati dal codice della strada).
Nel rispetto del principio di necessità (artt. 3 e 11, comma 1, lett. d), del Codice), la posizione del veicolo di regola non dovrebbe essere monitorata continuativamente dal titolare del trattamento, ma solo quando ciò si renda necessario per il conseguimento delle finalità legittimamente perseguite.
3.2. Con riguardo all'identificazione dei dati personali che possono essere trattati e alla determinazione degli eventuali tempi di loro conservazione, trova generale applicazione l'art. 3 del Codice secondo cui "i sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità".
Anche in base al principio di pertinenza e non eccedenza (art. 11, comma 1. lett. e), del Codice) i tempi di conservazione delle diverse tipologie di dati personali eventualmente trattati devono essere commisurati tenendo conto di ciascuna delle finalità in concreto perseguite.
Così, ad esempio, fermi restando gli obblighi di conservazione previsti dall'art. 14, comma 2, Reg. (CEE) 20 dicembre 1985, n. 3821, il titolare del trattamento che intenda avvalersi del sistema di localizzazione anche per la regolare tenuta del libro unico del lavoro, in conformità all'art. 6, D.M. 9 luglio 2008 (Modalità di tenuta e conservazione del libro unico del lavoro e disciplina del relativo regime transitorio), potrà conservare per cinque anni i dati personali necessari, limitatamente alle informazioni che nello stesso devono essere annotate ai sensi dell'art. 39, d.l. 25 giugno 2008, n. 112 (convertito in legge, con modificazioni, dall'art. 1, comma 1, l. 6 agosto 2008, n. 133), con particolare riferimento ai dati dei lavoratori relativi alle presenze nonché ai tempi di lavoro, anche straordinario, e di riposo (cfr. anche art. 8, d.lg. 19 novembre 2007, n. 234 come modificato dall'art. 40, comma 3, d.l. n. 112/2008 nonché la risposta al quesito n. 20 resa dal Ministero del lavoro, della salute e delle politiche sociali nel Vademecum sul libro unico del lavoro). Diversamente, se i dati di localizzazione sono utilizzati al solo scopo di rendere una determinata prestazione contrattuale, gli stessi devono essere cancellati o resi anonimi una volta che alla stessa è stata data esecuzione.
4. Informativa degli interessati
Tenuto conto delle diverse finalità perseguite, ai lavoratori dovranno essere forniti gli elementi informativi prescritti dall'art. 13 del Codice unitamente a compiuti ragguagli sulla natura dei dati trattati e sulle caratteristiche del sistema – sì che risulti chiaramente che il veicolo è soggetto a localizzazione.
A tal fine, considerato che il Garante, ai sensi dell'art. 154, comma 1, lett. c), del Codice, può altresì prescrivere al titolare del trattamento l'adozione di misure opportune per assicurare che il trattamento sia effettuato nel rispetto dei principi di protezione dei dati personali, i datori di lavoro che si avvalgano di sistemi di localizzazione sui veicoli utilizzati per l'esecuzione di prestazioni lavorative dovranno anche collocare all'interno dei veicoli vetrofanie recanti la dizione "VEICOLO SOTTOPOSTO A LOCALIZZAZIONE" o comunque avvisi ben visibili che segnalino la circostanza della geolocalizzazione del veicolo, anche avvalendosi del modello riportato in fac-simile nell'allegato n. 1 al presente provvedimento.
5. Responsabili e incaricati del trattamento dei dati di localizzazione
5.1. Presso il titolare del trattamento, in conformità all'art. 30 del Codice, i dati relativi alla localizzazione dei veicoli devono essere trattati unicamente dagli incaricati che, in ragione delle mansioni svolte, devono poter accedere a tali informazioni per dare attuazione ai propri compiti (quali il personale incaricato di gestire la logistica, i servizi di magazzino e di manutenzione del parco veicoli, ovvero quello operante nell'ambito della gestione delle risorse umane).
5.2. Considerato che i trattamenti dei dati di localizzazione sono di regola effettuati con l'ausilio di operatori economici che forniscono i servizi di localizzazione del veicolo e di trasmissione della posizione del medesimo e tenuto conto che tali soggetti sono terzi rispetto al titolare del trattamento, questi ultimi devono essere designati responsabili del trattamento ai sensi dell'art. 29 del Codice e i titolari del trattamento sono tenuti ad impartire le necessarie istruzioni in ordine all'utilizzo legittimo dei dati raccolti per le sole finalità previste dall'accordo che regola la fornitura del servizio di localizzazione, determinando altresì le tipologie di dati da trattare nonché le modalità e i tempi della loro eventuale conservazione.
5.3. Resta fermo che:
a. il trattamento dei dati di localizzazione deve formare oggetto di notificazione al Garante (cfr. art. 37, comma 1, lett. a), del Codice);
b. trattamenti di dati di localizzazione non considerati nel presente provvedimento e che possono presentare rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità di interessati diversi dai lavoratori possano essere sottoposti a verifica preliminare ai sensi dell'art. 17, comma 2 del Codice.
TUTTO CIÒ PREMESSO IL GARANTE
1. ai sensi dell'art. 24, comma 1, lett. g), del Codice, per effetto del presente provvedimento ammette il trattamento nei termini descritti in narrativa, in applicazione della disciplina sul c.d. bilanciamento di interessi e senza che sia necessario acquisire il consenso dell'interessato, individuando in capo ai datori di lavoro privati che si avvalgono di sistemi di localizzazione e di comunicazione della posizione rilevata installati a bordo dei veicoli ed impiegati per soddisfare esigenze organizzative, produttive ovvero per la sicurezza sul lavoro un legittimo interesse al trattamento dei dati relativi all'ubicazione dei propri dipendenti, a condizione che sia data attuazione alla previsione di cui all'art. 4, l. n. 300/1970, con il previo accordo con le rappresentanze sindacali o, in difetto, con l'autorizzazione del competente organo periferico del Ministero del lavoro e delle politiche sociali (punto 2.3);
2. ai sensi dell'art. 154, comma 1, lett. c), del Codice, prescrive ai datori di lavoro pubblici e privati che si avvalgono di sistemi di localizzazione e di comunicazione della posizione rilevata installati a bordo dei veicoli ed impiegati per soddisfare esigenze organizzative, produttive ovvero per la sicurezza sul lavoro:
a. quale misura necessaria, nel rispetto del principio di necessità, che la posizione del veicolo non sia di regola monitorata continuativamente dal titolare del trattamento, ma solo quando ciò si renda necessario per il conseguimento delle finalità legittimamente perseguite (punto 3.1);
b. quale misura necessaria, in base al principio di pertinenza e non eccedenza, che i tempi di conservazione delle diverse tipologie di dati personali eventualmente trattati siano commisurati tenendo conto di ciascuna delle finalità in concreto perseguite (punto 3.2);
c. quale misura necessaria, la designazione quali responsabili del trattamento ai sensi dell'art. 29 del Codice degli operatori economici che forniscono i servizi di localizzazione del veicolo e di trasmissione della posizione del medesimo, impartendo loro le necessarie istruzioni in ordine all'utilizzo legittimo dei dati raccolti per le sole finalità previste dall'accordo che regola la fornitura del servizio di localizzazione, con la determinazione delle tipologie di dati da trattare nonché delle modalità e dei tempi della loro eventuale conservazione (punto 5.2);
d. quale misura opportuna, un modello semplificato di informativa, quale quello individuato nell'allegato 1, utilizzabile alle condizioni indicate in motivazione, al fine di rendere noto agli interessati il trattamento effettuato mediante il sistema di localizzazione del veicolo (punto 4).
Roma, 4 ottobre 2011
IL PRESIDENTE
Pizzetti
IL RELATORE
Paissan
IL SEGRETARIO GENERALE
De Paoli
