GPS (Global Positioning System)

GPS sui veicoli aziendali e geolocalizzazione dei lavoratori. Interviene il Garante per la privacy

IL CASO. – Il Garante per la protezione dei dati personali è intervenuto in un interessante caso di geolocalizzazione dei lavoratori tramite GPS installato sui veicoli aziendali della Telefonia Alto Adige s.r.l.

Come precisato dal Garante,

il sistema di geolocalizzazione installato dalla società era in grado di rivelare informazioni sui percorsi seguiti, sulle soste effettuate o sulla velocità degli spostamenti del personale.

L’intervento del Garante è stato sollecitato dalla segnalazione di un lavoratore, il quale, come si legge dal provvedimento reso dall’Authority, ha evidenziato

(anche nell’interesse di altri colleghi) presunti profili di violazione della disciplina di protezione dei dati personali in relazione all’avvenuta installazione, a bordo di alcuni autoveicoli in dotazione alla società, di un sistema di localizzazione satellitare a tecnologia gps (global positioning system).

In particolare, secondo quanto riferito, l’adozione di tale sistema ―dichiaratamente preordinato all’acquisizione di molteplici informazioni (relative, in particolare, a: la localizzazione del veicolo; la verifica del tragitto percorso; la verifica degli orari relativi alle soste effettuate; il calcolo della velocità e dei chilometri percorsi)― sarebbe avvenuta in assenza di preventiva informativa ai lavoratori e “senza spiegarne le funzioni né lo scopo del suo utilizzo”. Peraltro, soltanto dopo diversi giorni la società avrebbe messo a conoscenza i dipendenti dell’avvenuta installazione dei dispositivi in esame, giustificandone l’utilizzo “solo per scopi produttivi”.

Lo stesso segnalante ha inoltre rappresentato che l’installazione dei predetti dispositivi sarebbe stata effettuata “senza avvisare l’ispettorato del lavoro e senza avvisare il sindacato”, con conseguente possibile violazione della pertinente disciplina di settore in tema di controlli a distanza dell’attività dei lavoratori (art. 4, legge n. 300/1970).

Alla luce di tali considerazioni, e tenuto altresì conto che gli interventi effettuati dai dipendenti presso la clientela (ivi compresi l’ora e il luogo dell’operazione) risultano previamente pianificati per il tramite di un apposito “foglio “giornaliero”", il segnalante ha richiesto delucidazioni all’Autorità sulla legittimità dell’utilizzo di tali apparecchi da parte della società.

A tali argomentazioni il Garante, nel procedere con l’accertamento, rileva anche rischi evidenti sull’assenza di controlli in ordine ai soggetti effettivamente legittimati ad accedere ai dati in questione. Né risultava intervenuta la designazione per iscritto di coloro che potevano accedere ai dati trattati:

occorre rilevare che, alla luce delle risultanze istruttorie, allo stato non risulta provato che la società abbia formalmente provveduto a designare i soggetti (invero non chiaramente individuati) asseritamente legittimati ad avere accesso ai dati quali incaricati del trattamento ai sensi dell’art. 30 del Codice.

Alla specifica richiesta in tal senso formulata dall’Autorità (cfr. nota del’11 settembre 2009, in atti), infatti, la società si è dapprima limitata a rispondere che non sussistono incaricati “che gestiscono o che possono accedere a tali dati al di fuori del legale rappresentante”, salvo poi “rettificare” le dichiarazioni rese, precisando che “tutte queste informazioni […] sono a disposizione [oltre che] del legale rappresentante […] di nessun altro che non abbia la password”; tanto, senza fornire indicazioni o documenti circa l’avvenuta designazione di costoro (quali che siano i soggetti effettivamente legittimati ad avere accesso ai predetti dati) come incaricati del trattamento.

Deve dunque prescriversi a Telefonia Alto Adige s.r.l., fatto salvo l’eventuale adeguamento sul punto medio tempore intercorso, di designare quali incaricati del trattamento ai sensi dell’art. 30 del Codice i soli soggetti (previamente individuati) che, in ragione delle mansioni concretamente svolte, risultano effettivamente legittimati ad accedere alle informazioni acquisite per il tramite dei dispositivi di localizzazione satellitare installati (artt. 143, comma 1, lett. b), 144 e 154, comma 1, lett. c), del Codice).

La fattispecie presenta dei rilievi concernenti, ovviamente, il discusso tema del controllo dei lavoratori da parte del datore utilizzando le nuove tecnologie e la legittimità degli stessi in rapporto alla normativa in materia di protezione dei dati personali e dello Statuto dei Lavoratori.

Come riassunto dal Garante nella newsletter del 16 dicembre 2010,

(…) in base allo Statuto dei lavoratori, l’installazione di apparecchiature che possano comportare il controllo a distanza dei dipendenti è possibile solo previo accordo dei sindacati o con l’autorizzazione della Direzione provinciale del lavoro. Nel corso dell’istruttoria è invece emerso che tali procedure non erano state rispettate.

L’Autorità (relatore del provvedimento Mauro Paissan) ha quindi disposto il blocco di ogni ulteriore trattamento dei dati personali riferiti ai lavoratori effettuato tramite tali strumenti di localizzazione. Nel caso in cui l’ Ufficio provinciale del lavoro dovesse in futuro autorizzare l’utilizzo di sistemi di controllo via Gps, la società dovrà comunque provvedere a notificare al Garante il trattamento dei dati personali così raccolti e dovrà individuare specifici incaricati del trattamento legittimati ad accedere alle informazioni acquisite.

Il Garante ha ricordato che, in base allo Statuto dei lavoratori, l’installazione di apparecchiature che possano comportare il controllo a distanza dei dipendenti è possibile solo previo accordo dei sindacati o con l’autorizzazione della Direzione provinciale del lavoro. Nel corso dell’istruttoria è invece emerso che tali procedure non erano state rispettate.

L’Autorità (relatore del provvedimento Mauro Paissan) ha quindi disposto il blocco di ogni ulteriore trattamento dei dati personali riferiti ai lavoratori effettuato tramite tali strumenti di localizzazione. Nel caso in cui l’ Ufficio provinciale del lavoro dovesse in futuro autorizzare l’utilizzo di sistemi di controllo via Gps, la società dovrà comunque provvedere a notificare al Garante il trattamento dei dati personali così raccolti e dovrà individuare specifici incaricati del trattamento legittimati ad accedere alle informazioni acquisite.

MODALITA’ TECNICHE DI CONTROLLO A DISTANZA (funzionamento del dispositivo GPS sui veicoli aziendali). – V’è però un altro rilievo interessante che emerge dalla lettura del provvedimento e riguarda le modalità tecniche con cui viene esercitato il controllo e i dati che il sistema consente di ottenere.

Dal provvedimento del Garante, sul caso in questione, si legge infatti che:

1) i dispositivi di localizzazione satellitare consentirebbero al datore di lavoro, dietro pagamento di un canone mensile ad una società terza, fornitrice del servizio, di:

- localizzare il veicolo in tempo reale su mappa cartografica (con possibilità, tra le altre, di ricerca dei mezzi più vicini ad un determinato indirizzo);

- verificare il percorso effettuato (con possibilità anche di controllare la velocità sostenuta, la percorrenza chilometrica del mezzo, i tempi di guida e le soste effettuate);

- controllare gli “eventi” verificatisi lungo il percorso (soste o spostamenti in orari non previsti, arrivo in aree predeterminate, ecc.), con eventuale ricezione di una comunicazione di avviso via sms;

- comunicare costantemente con il conducente;

- gestire i c.d. “punti di interesse” (indirizzi riferiti alla clientela, ai magazzini, agli impianti, ecc.), con possibilità di verificare mediante report sintetici le soste ivi effettuate e i relativi tempi di fermata;

- gestire la manutenzione ordinaria e straordinaria del veicolo.

2) Ancora, nel medesimo provvedimento si ricavano queste ulteriori informazioni:

I dispositivi in esame, secondo le delucidazioni fornite, consentirebbero quindi di visualizzare, tra l’altro, “le tratte giornaliere con i chilometri percorsi e la posizione corrente” del veicolo (e, indirettamente, del relativo conducente, tramite incrocio dei dati con quelli rilevabili dal “file dei turni e d[a]ll’assegnazione delle auto del giorno”), permettendo alla società di rilevare anche “se il mezzo ha superato i limiti di velocità o se entra in zone a traffico limitato”.

Più precisamente, per ogni singolo veicolo sarebbe possibile visualizzarne “la velocità media, i chilometri totali percorsi nella giornata e per ogni singola tratta più le velocità di ogni singola traccia, [nonché] le fermate“; ciò, anche al fine di “quantificare i chilometri percorsi per ogni cliente ed addebitare al cliente [stesso] i costi di trasferta corretti“.

Il sistema risulta inoltre utilizzabile anche per verificare lo “stile” di guida dei conducenti “in caso di multe” o di “incidenti”, potendo in quest’ultimo caso consentire la ricostruzione della dinamica di eventuali sinistri (con conseguente riaddebito dei costi sopportati per danni al relativo responsabile).

I dati complessivamente raccolti a mezzo del fornitore del servizio (nella dichiarata veste di responsabile del trattamento) sono resi fruibili alla società mediante accesso telematico (previa digitazione di appositi user name e password) e conservati presso il server dello stesso fornitore per un arco temporale pari a trenta giorni.

NECESSITA’ DI CONTEMPERAMENTO DEGLI OPPOSTI INTERESSI. - Il Garante, si noti, non si è pronunciato per un rifiuto netto dell’uso di tali dispositivi nell’organizzazione del lavoro e del servizio.

Infatti, con una maggiore accortezza quanto agli adempimenti richiesti dalla normativa in questione, i dispositivi si possono utilizzare per gestore la “flotta” dei veicoli aziendali e un più efficiente controllo sull’esecuzione della prestazione lavorativa dei propri dipendenti.

Si premura di precisare il Garante per la protezione dei dati personali, nel provvedimento citato, che

(…) gli strumenti in questione possono indubbiamente concorrere a rendere più efficienti i processi produttivi e organizzativi, sia direttamente (attraverso una migliore allocazione delle risorse disponibili, con conseguente beneficio anche per l’utenza), sia indirettamente, attraverso l’analisi a posteriori dei viaggi effettuati (anche in termini di costi sopportati e di risparmi ottenuti). Inoltre, tali strumenti possono rivelarsi utili anche per incrementare la sicurezza delle persone (anche in ragione di quanto previsto, in particolare, dagli artt. 15, comma 1, lett. c), e 18, comma 1, lett. f), del d.lg. n. 81/2008), specie se queste si trovino a operare in luoghi impervi o soggetti a condizioni ambientali sovente avverse (cfr., al riguardo, anche il menzionato Parere n. 5/2005, p. 2.2.), come pure contribuire, ancorché indirettamente, a migliorare la sicurezza stradale; ciò, attraverso l’incentivazione (sotto forma di eventuali verifiche lecitamente effettuate dal datore di lavoro) di comportamenti più virtuosi da parte dei conducenti, potenzialmente chiamati a rispondere, nel rispetto delle pertinenti disposizioni collettive, di eventuali condotte foriere di danno a carico della società.

Nondimeno, l’impiego di tali strumenti deve comunque avvenire nel rispetto dei principi in materia di protezione dei dati personali e con modalità concretamente idonee a garantire, in particolare, l’osservanza dei diritti e delle libertà fondamentali, nonché della dignità degli interessati (art. 2 del Codice).

Alla luce degli elementi complessivamente acquisiti agli atti –e tenuto altresì conto che la fase di sperimentazione dichiarata dalla società avrebbe dovuto concludersi nell’arco di “un breve periodo” e, comunque, all’esito di un procedimento di verifica preliminare (cfr. all. 1 alla nota del 16 settembre 2009), la cui istanza non risulta mai pervenuta presso l’Autorità–, si ritiene che, allo stato, il trattamento di dati personali effettuato dalla società per il tramite dei menzionati dispositivi di localizzazione satellitare non sia conforme alla disciplina in materia di protezione dei dati personali per le ragioni (…) indicate.

L’uso delle tecnologie di sorveglianza e di controllo sociale saranno sempre più pervasive.

Può ancora ritenersi sufficiente il mero rispetto degli adempimenti formali richiesti dalla normativa a tutela dei dati persnali, oppure occorre un controllo sostanziale più penetrante?

Andrebbero monitorati, in tal senso, i risultati dell’intervento della Direzione Provinciale del Lavoro o degli accordi raggiunti con l’intervento sindacale sulle modalità effettive di controllo a distanza dei lavoratori, nonché la sottoposizione del sistema a verifica preliminare da parte del Garante per la protezome dei dati personali.

Fabio Bravo

www.fabiobravo.it

Information Society & ICT Law

occorre rilevare che, alla luce delle risultanze istruttorie, allo stato non risulta provato che la società abbia formalmente provveduto a designare i soggetti (invero non chiaramente individuati) asseritamente legittimati ad avere accesso ai dati quali incaricati del trattamento ai sensi dell’art. 30 del Codice.Alla specifica richiesta in tal senso formulata dall’Autorità (cfr. nota del’11 settembre 2009, in atti), infatti, la società si è dapprima limitata a rispondere che non sussistono incaricati “che gestiscono o che possono accedere a tali dati al di fuori del legale rappresentante”, salvo poi “rettificare” le dichiarazioni rese, precisando che “tutte queste informazioni […] sono a disposizione [oltre che] del legale rappresentante […] di nessun altro che non abbia la password”; tanto, senza fornire indicazioni o documenti circa l’avvenuta designazione di costoro (quali che siano i soggetti effettivamente legittimati ad avere accesso ai predetti dati) come incaricati del trattamento.

Deve dunque prescriversi a Telefonia Alto Adige s.r.l., fatto salvo l’eventuale adeguamento sul punto medio tempore intercorso, di designare quali incaricati del trattamento ai sensi dell’art. 30 del Codice i soli soggetti (previamente individuati) che, in ragione delle mansioni concretamente svolte, risultano effettivamente legittimati ad accedere alle informazioni acquisite per il tramite dei dispositivi di localizzazione satellitare installati (artt. 143, comma 1, lett. b), 144 e 154, comma 1, lett. c), del Codice).

EnglishFrenchGermanItalianPortugueseRussianSpanish

My Projects

      EUPL.IT - Sito italiano interamente dedicato alla EUPL

E-Contract-U

Giornalismo Investigativo - Inchieste e Diritto dell'informazione

My Books

My e-Books