[PRIVACY] LA CORRETTEZZA DELLA GEOLOCALIZZAZIONE DEI MEZZI AZIENDALI A FAVORE DEI DIPENDENTI

Prima ancora di interrogarci sulle modalità tecnico operative connesse all’installazione e all’utilizzo dei dispositivi GPS sui veicoli aziendali, è necessario effettuare una valutazione d’impatto del trattamento per accertarsi che, sotto il profilo della proporzionalità, il trattamento possa essere realizzato contemperando gli interessi legittimi del Titolare con le esigenze di tutela della privacy del lavoratore, evitando modalità di controllo massivo, prolungato e indiscriminato dell’attività del dipendente.

 Il Garante precisa, infatti, come  “la posizione del veicolo sottoposto a localizzazione non dovrebbe di regola essere monitorata continuativamente dal titolare del trattamento, ma solo quando ciò si renda necessario per il perseguimento delle finalità legittimamente perseguite” (cfr. Provv.to di carattere generale in materia di localizzazione dei veicoli nell’ambito del rapporto di lavoro, 4 ottobre 2011, n. 370, doc. web n. 1850581). Questo vale ancora di più nel caso in cui i mezzi possano essere utilizzati in modo promiscuo dal lavoratore e quindi anche al di fuori dell’orario di lavoro.

Il passaggio successivo attiene alla progettazione di un sistema la cui struttura funzionale consenta un trattamento dati conforme ai principi di proporzionalità, necessità e sicurezza del trattamento, emergente sin dalla fase di ideazione del dispositivo. Il Garante per la protezione dei dati personali, con una recente decisione (provvedimento 232 del 18 aprile 2018) resa in seguito ad una richiesta di verifica preliminare in relazione al trattamento di dati personali connesso alla prospettata installazione di un applicativo di localizzazione geografica su dispositivi elettronici consegnate a guardie giurate incaricate della vigilanza dei veicoli adibiti a trasporto valori della società richiedente, ha autorizzato quest’ultima all’installazione di dispositivi GPS sui veicoli aziendali a condizione che tali strumenti fossero progettati in modo che:

  • la configurazione del sistema permetta il posizionamento sul dispositivo di un’icona che indichi che la funzionalità di localizzazione è attiva;
  • la configurazione del sistema consenta la disattivazione della funzionalità di localizzazione durante le pause consentite dell’attività lavorativa;
  • la configurazione del sistema permetta di oscurare la visibilità della posizione geografica decorso un periodo determinato di inattività dell’operatore sul monitor presente nella centrale operativa relativamente a tale funzionalità.

Alle suddette misure tecniche il Garante ha affiancato anche le seguenti misure organizzative:

  • l’individuazione di profili differenziati di autorizzazione relativi alle diverse tipologie di dati e di operazioni eseguibili;
  • l’individuazione di tempi di conservazione dei dati in concreto trattati tenendo conto delle finalità perseguite;
  • la predisposizione di rapporti per i clienti privi di qualunque riferimento che consenta l’identificazione di dipendenti;
  • la designazione quale responsabile esterno del trattamento del fornitore del software di localizzazione;
  • la predisposizione di periodiche verifiche di test sulla funzionalità e l’affidabilità dei parametri adottati, in vista della valutazione di eventuali falsi positivi o negativi effettuati dal sistema e la conseguente predisposizione di correttivi a tutela della qualità dei dati trattati.

Quello che il Garante intende evidenziare è che i dati raccolti e trattati debbano essere unicamente quelli strettamente necessari per il perseguimento delle finalità prestabilite, siano esse attinenti ad esigenze di sicurezza sul lavoro o di tutela del patrimonio aziendale. Ogni rilevazione ulteriore deve considerarsi illegittima perché contrastante con i presupposti di liceità di cui all’art. 4 della l. 300/1970 che ne costituiscono di fatto la relativa base giuridica del trattamento, in termini di perseguimento dell’interesse legittimo del titolare del trattamento (così come richiesto dall’art. 6 del GDPR 679/2016). Analogo discorso è riferibile alla determinazione dei periodi di conservazione dei dati rilevati, che implica la necessità di adeguare i tempi di conservazione degli stessi al perseguimento delle finalità innanzi indicate, in ossequio ai già richiamati principi generali di necessità, pertinenza e non eccedenza.

Il principio di privacy by default segue la fase progettazione attenendo invece a quella di “settaggio”. Le impostazioni predefinite del dispositivo di geolocalizzazione dovrebbero essere configurate con modalità proporzionate rispetto al principio di riservatezza degli interessati (come sottolineato anche dal Garante) attraverso l’adozione di misure che consentano la rilevazione della posizione ad intervalli non estremamente ravvicinati, la disattivazione della rilevazione geografica durante le pause previste dall’attività lavorativa, oltre che una conservazione della disponibilità del dato per un periodo non eccedente rispetto al perseguimento delle finalità prestabilite (provvedimento n. 396 del 28 giugno 2018).

Qualora sia un soggetto esterno a sovrintendere alla procedura di acquisizione e conservazione dei dati rilevati, gli elementi innanzi descritti dovrebbero essere oggetto di specifica regolamentazione e definizione del contratto stipulato ai sensi dell’art. 28 GDPR, attraverso il quale, il citato fornitore, verrebbe ad assumere l’incarico di Responsabile del trattamento.

La chiusura del cerchio di un sistema di trattamento curato e indirizzato sin dalla progettazione alla tutela dei dati personali, è costituito dall’informativa redatta ai sensi dell’art. 13 GDPR.

Il lavoratore dovrà in primo luogo essere reso edotto del funzionamento del dispositivo (e quindi della modalità di rilevazione, degli intervalli di rilevazione, dei periodi di non funzionamento…) delle finalità di trattamento e della relativa condizione di liceità, riscontrabile in tal caso nel legittimo interesse del titolare del trattamento. Tutte queste informazioni e le altre previste e disciplinate all’interno del citato articolo, devono essere rese al lavoratore prima dell’inizio del percorso. Nel caso di possibilità di uso promiscuo del mezzo dovrebbe inoltre essere consentito al lavoratore di disattivare il sistema di localizzazione.