Il Garante Privacy ha ritenuto legittimo l’utilizzo di applicazioni, installate su smartphones in dotazione dei lavoratori di due società, che consentono, attraverso la geolocalizzazione dei dispositivi, la rilevazione dell’esatta posizione geografica dei dipendenti per finalità organizzative, produttive e connesse alla sicurezza del lavoro. I provvedimenti in esame offrono l’occasione per riepilogare i principi che regolano lo svolgimento di controlli sull’attività dei dipendenti. La questione è stata da noi analizzata in precedenza nelle newsletter del mese di settembre 2012 e di marzo 2013.
Garante Privacy: geolocalizzare i dipendenti per migliorare la qualità del servizio
1. Garante
Privacy:
geolocalizzare
i
dipendenti
per
migliorare
la
qualità
del
servizio
24
novembre
2014
Di
Federica
De
Santis
Con
provvedimenti
n.
401
dell’11
settembre
e
n.
448
del
9
ottobre
del
2014,
il
Garante
per
la
protezione
dei
dati
personali
(“Garante
Privacy”)
ha
ritenuto
legittimo
l’utilizzo
di
applicazioni,
installate
su
smartphones
in
dotazione
dei
lavoratori
di
due
società,
che
consentono,
attraverso
la
geolocalizzazione
dei
dispositivi,
la
rilevazione
dell’esatta
posizione
geografica
dei
dipendenti
per
finalità
organizzative,
produttive
e
connesse
alla
sicurezza
del
lavoro.
I
provvedimenti
in
esame
offrono
l’occasione
per
riepilogare
i
principi
che
regolano
lo
svolgimento
di
controlli
sull’attività
dei
dipendenti.
La
questione
è
stata
da
noi
analizzata
in
precedenza
nelle
newsletter
del
mese
di
settembre
2012
e
di
marzo
2013.
Il
contesto
normativo
La
localizzazione
di
dispositivi
in
dotazione
ai
dipendenti
(così
come
di
veicoli
affidati
ai
medesimi)
può
comportare
una
forma
di
controllo
a
distanza
dell’attività
lavorativa,
rispetto
alla
quale
vengono
in
rilievo
le
disposizioni
del
Decreto
Legislativo
30
giugno
2003,
n.
196,
recante
il
“Codice
in
materia
di
protezione
dei
dati
personali”
-‐
di
seguito,
il
“Codice
Privacy”)
nonché
della
legge
20
maggio
1970,
n.
300,
recante
il
c.d.
“Statuto
dei
Lavoratori”.
In
particolare,
l’articolo
114
del
Codice
Privacy,
rubricato
“controllo
a
distanza”,
rinvia
all’articolo
4
dello
Statuto
dei
Lavoratori,
il
quale,
al
primo
comma,
stabilisce
che
“È
vietato
l’uso
di
impianti
audiovisivi
e
di
altre
apparecchiature
per
finalità
di
controllo
a
distanza
dell’attività
dei
lavoratori”.
L’installazione
di
dispositivi
che
consentono
il
controllo
a
distanza
dell’attività
dei
dipendenti
è
consentito
per
soddisfare
esigenze
organizzative
e
produttive
ovvero
per
la
sicurezza
sul
lavoro,
qualora
siano
adottate
le
garanzie
previste
dal
secondo
comma
dell’articolo
4
dello
Statuto
dei
Lavoratori,
ossia
un
procedimento
di
codeterminazione
diretto
alla
conclusione
di
un
accordo
con
le
rappresentanze
sindacali
aziendali
ed,
in
mancanza,
un’apposita
autorizzazione
della
Direzione
Territoriale
del
Lavoro
territorialmente
competente.
Con
provvedimento
di
carattere
generale
n.
370
del
4
ottobre
2011,
il
Garante
Privacy
ha
individuato
le
condizioni
di
liceità
dei
trattamenti
effettuati
mediante
sistemi
di
localizzazione
della
posizione
dei
lavoratori
installati
a
bordo
di
veicoli
nell’ambito
dell’esecuzione
del
rapporto
di
lavoro
per
soddisfare
2. esigenze
organizzative
e
produttive
ovvero
per
la
sicurezza
sul
lavoro,
prescrivendo
alcune
misure
rispetto
al
trattamento
dei
dati
in
questione.
In
particolare,
dando
applicazione
all’istituto
del
c.d.
bilanciamento
di
interessi
di
cui
all’articolo
24,
comma
1,
lett.
g),
del
Codice
Privacy
(secondo
cui
si
può
prescindere
dal
consenso
dell’interessato
al
trattamento
di
dati
-‐
diversi
da
quelli
sensibili
-‐
ad
esso
riferibili,
quando
il
trattamento
è
necessario,
nei
casi
individuati
dal
Garante,
per
perseguire
un
legittimo
interesse
del
titolare
o
di
un
terzo
destinatario
dei
dati,
qualora
non
prevalgano
i
diritti
e
le
libertà
fondamentali,
la
dignità
o
un
legittimo
interesse
dell’interessato),
il
Garante
ha
ammesso
il
trattamento
tramite
i
menzionati
sistemi
di
localizzazione
senza
il
consenso
dei
dipendenti,
individuando
in
capo
ai
datori
di
lavoro
privati
che
si
avvalgono
di
tali
sistemi
un
legittimo
interesse
al
trattamento
dei
dati
relativi
all’ubicazione
dei
propri
dipendenti,
a
condizione
che
(i)
siano
adottate
le
garanzie
di
cui
all’articolo
4
Statuto
dei
Lavoratori,
sopra
citate,
e
(ii)
siano
implementate
le
misure
prescritte
con
il
provvedimento
medesimo
(in
particolare,
la
posizione
del
veicolo
non
deve
essere
monitorata
continuativamente,
ma
solo
quando
ciò
si
renda
necessario
per
il
conseguimento
delle
finalità
perseguite;
il
trattamento
effettuato
mediante
il
sistema
di
localizzazione
deve
essere
reso
noto
ai
dipendenti,
attraverso
avvisi
ben
visibili
all’interno
del
veicolo;
ecc.).
Il
provvedimento
generale
è
consultabile
al
seguente
link.
Localizzazione
di
dispositivi
smartphones
Rispetto
alle
ipotesi
prese
in
considerazione
dal
Garante
Privacy
nel
provvedimento
generale
del
2011
sopra
richiamato,
i
trattamenti
oggetto
dei
citati
provvedimenti
dell’11
settembre
e
del
9
ottobre
2014
presentano
caratteristiche
particolari
in
considerazione
della
raccolta
dei
dati
di
localizzazione
a
mezzo
di
un
dispositivo
smartphone
messo
a
disposizione
dei
dipendenti.
In
entrambi
i
casi,
le
società
intendevano
attivare
una
nuova
funzionalità
di
localizzazione
di
dispositivi
smartphones
in
dotazione
ai
tecnici
che
effettuano
interventi
sul
campo,
nell’ambito
di
un
sistema
di
Work
Force
Management
già
esistente,
al
fine
di
ottimizzare
l’impiego
delle
risorse
presenti
sul
territorio
e
migliorare
la
gestione,
il
coordinamento
e
la
tempestività
degli
interventi
tecnici,
soprattutto
in
caso
di
emergenze
o
calamità
naturali
(nessun
dato
sarebbe
stato
utilizzato
per
finalità
disciplinari).
Le
società
avevano
presentato
al
Garante
Privacy
un’istanza
di
verifica
preliminare
ai
sensi
dell’articolo
17
del
Codice
Privacy,
necessaria
allorché
il
trattamento
dei
dati
-‐
diversi
da
quelli
sensibili
e
giudiziari
-‐
presenti
rischi
specifici
per
i
diritti
e
le
libertà
fondamentali,
nonché
per
la
dignità
dell’interessato,
in
relazione
alla
natura
dei
dati
o
alle
modalità
del
trattamento
o
agli
effetti
che
può
determinare.
In
relazione
al
trattamento
prospettato
dalle
società
a
mezzo
di
dispositivi
smartphones,
il
Garante
osserva
che
“Tali
dispositivi,
in
considerazione
delle
normali
potenzialità
d’uso
nonché
in
ragione
dell’utilizzo
oramai
comune
degli
stessi,
possono
essere
agevolmente
impiegati
anche
per
finalità
diverse
da
quelle
lavorative.
(…)
Inoltre
lo
smartphone
è,
per
le
proprie
caratteristiche,
destinato
inevitabilmente
a
“seguire”
la
persona
che
lo
possiede,
indipendentemente
dalla
distinzione
tra
tempo
di
lavoro
e
tempo
di
non
lavoro”.
Il
trattamento
in
questione,
pertanto,
presenta
rischi
specifici
per
la
libertà
(ad
esempio,
di
circolazione
e
di
comunicazione),
i
diritti
e
la
dignità
del
dipendente.
Nel
caso
di
specie,
il
Garante
ha
accolto
l’istanza
di
verifica
preliminare
presentata
dalle
due
società
e,
dunque,
ritenuto
ammissibile
il
trattamento
in
questione,
prescrivendo
l’adozione
di
una
serie
di
misure
e
accorgimenti
a
garanzia
degli
interessati.
In
particolare,
i
sistemi
di
localizzazione
adottati,
nel
rispetto
dei
principi
di
necessità
nonché
di
pertinenza
e
non
eccedenza
dei
dati,
dovranno
garantire:
• la
visibilità
delle
sole
informazioni
relative
alla
geolocalizzazione,
rimanendo
escluso
il
trattamento
di
ulteriori
dati
come
quelli
relativi
al
traffico
telefonico,
agli
sms
o
alle
email;
• la
segnalazione
costante
della
funzionalità
di
localizzazione
durante
il
periodo
in
cui
è
attiva,
attraverso
un’apposita
icona
visibile
sullo
schermo
dello
smartphone;
3. • l’accesso
ai
dati
ai
soli
incaricati
della
società.
I
provvedimenti
in
esame,
in
applicazione
del
cd.
bilanciamento
di
interessi,
consentono
alle
società
di
procedere
alla
localizzazione
descritta
senza
il
consenso
dei
dipendenti,
previa
attivazione
delle
procedure
di
cui
all’articolo
4,
secondo
comma,
dello
Statuto
dei
Lavoratori,
sopra
citato.
I
lavoratori
dovranno
essere
informati,
unitamente
agli
elementi
di
cui
all’articolo
13
del
Codice
Privacy,
sulla
natura
dei
dati
trattati
e
sulle
caratteristiche
del
dispositivo
utilizzato,
sulle
ipotesi
in
cui
la
funzione
di
geolocalizzazione
può
essere
disattivata
durante
l’orario
di
lavoro
e
sulle
eventuali
conseguenze
nel
caso
in
cui
la
disattivazione
avvenga
attraverso
modalità
non
consentite.
Inoltre,
dovranno
essere
adottate
le
misure
di
sicurezza
previste
dal
Codice
Privacy
al
fine
di
preservare
l’integrità
dei
dati
trattati
e
prevenire
l’accesso
agli
stessi
da
parte
di
soggetti
non
autorizzati.
Il
Garante
ha
inoltre
precisato
che
l’utilizzo
dei
sistemi
di
localizzazione,
installati
sugli
smartphone,
deve
risultare
conforme
alle
prescrizioni
contenute
nelle
“Linee
guida
del
Garante
per
posta
elettronica
e
internet”
nei
rapporti
di
lavoro,
del
1°
marzo
2007.
Infine,
il
trattamento
dei
dati
di
geolocalizzazione
deve
essere
notificato
al
Garante
Privacy
ai
sensi
dell’articolo
37,
primo
comma,
lett.
a),
del
Codice
Privacy.
Il
testo
del
provvedimento
n.
401
dell’11
settembre
2014
è
reperibile
a
questo
link.
Il
testo
del
provvedimento
n.
448
del
9
ottobre
2014
è
reperibile
a
questo
link.
Pubblicato
su
Portolano
Cavallo
INFORM@
del
mese
di
Novembre
2014