La geolocalizzazione di veicoli aziendali (gps) rappresenta una tematica che, in seguito alla piena applicabilità del GDPR 679/2016, è stata oggetto di diverse pronunce da parte dell’Autorità Garante, in ragione del possibile configurarsi della fattispecie del “controllo a distanza”, come tale vietato dallo Statuto dei diritti dei lavoratori.
Al fine di realizzare un contemperamento degli interessi contrapposti, il GDPR ci propone una chiave di lettura del trattamento in un’ottica di “privacy by design” e “privacy by default” anticipando l’analisi dei possibili rischi alla tutela della libertà e dignità dei lavoratori alla fase della progettazione.
L’apparato normativo sotteso alla tematica, è stato integrato dall’Autorità Garante per la protezione dei dati personali la quale è intervenuta con pronunce anche ampiamente innovative in ragione degli sviluppi tecnologici che hanno interessato l’attività di programmazione e progettazione dei dispositivi.
Indice degli argomenti
Geolocalizzazione, privacy e statuto dei lavoratori
La geolocalizzazione ha assunto una rilevanza ancora più accentuata con l’introduzione del concetto di “privacy by design” e “privacy by default” in seguito all’entrata in vigore del Regolamento Europeo 679/2016. Ma procediamo con ordine.
Per “geolocalizzazione delle flotte aziendali” deve intendersi l’effettuazione, da parte del datore di lavoro (Titolare del trattamento), di una attività di monitoraggio di veicoli che, attraverso l’installazione, all’interno degli stessi, di apparecchiature satellitari, permette di individuarne l’esatta posizione.
Tale tematica si interseca con la disciplina giuslavoristica nella parte in cui prevede e disciplina il potere di vigilanza e controllo del datore di lavoro sui dipendenti. Tale potere nasce dall’interesse legittimo di verificare sia la conformità e l’utilizzo degli strumenti aziendali alle disposizioni in materia di sicurezza sul lavoro, sia di tutelare la proprietà aziendale contro eventuali furti o danneggiamenti. Evidenti sono però anche le conseguenze sotto il profilo di tutela della privacy dei lavoratori.
L’attuale formulazione dell’art. 4 dello Statuto dei Lavoratori (l. 300/1970) così come modificata dal D. Lgs. n. 151/2015 (attuativo di una delle deleghe contenute nel c.d. Jobs Act di cui alla Legge n. 183/2014), lungi dall’assumere un atteggiamento di assoluta ricusazione della compatibilità delle forme di controllo a distanza con la tutela della libertà e della dignità dei lavoratori, protende invece verso una prospettiva di legittimità degli stessi, a condizione che gli strumenti utilizzati siano impiegati esclusivamente “per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali” (Art. 4 Statuto lavoratori come modificato dall’art. 23 D.lgs 151/2015). Il tutto a condizione che la regolamentazione del trattamento sia definita attraverso la stipula di un accordo sindacale o comunque previa autorizzazione all’installazione dei dispositivi da parte della sede territoriale dell‘Ispettorato nazionale del lavoro.
Preme precisare che la funzione dei dispositivi di geolocalizzazione delle flotte aziendali è quella di monitorare e registrare la posizione dei veicoli nei quali vengono ad essere installati, e non costituiscono di fatto “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”, così come evidenziato nella Opinion 2/2017 WP par. 5.7, e che, ai sensi dell’art. 4 co. 3 l. 300/1970, varrebbero ad escludere l’applicabilità del citato comma 1. Da ciò deriva che tutte le disposizioni in materia di tutela della privacy sono pienamente applicabili al trattamento preso in considerazione.
L’esplicito richiamo effettuato dal comma 3 del presente articolo alle disposizioni di cui al D. Lgl 196/2003 (Codice della privacy), in particolare a quello relativo all’obbligo di rilascio dell’informativa, viene di fatto a classificare l’attività di geolocalizzazione come vero e proprio trattamento dei dati personali, qualora la rilevazione dei dati dal dispositivo consenta di raccogliere informazioni sui singoli dipendenti (identificati o identificabili), sottoponendolo di fatto a tutte le relative disposizioni.
Le mere finalità organizzative e produttive, e le esigenze connesse alla sicurezza del lavoro e alla tutela del patrimonio aziendale non sono da sole sufficienti per poter assicurare l’esecuzione di una attività di trattamento legittima e priva di rischi per la riservatezza e la dignità del lavoratore.
“Privacy by design” e “Privacy by default”
Il GDPR introduce una serie di principi generali che costituiscono la base di riferimento per la realizzazione di ogni tipologia di trattamento di dati personali realizzata dal Titolare del Trattamento, ivi compresa la rilevazione della posizione del dipendente in orario di lavoro mediante l’utilizzo di dispositivi GPS che possano integrare gli estremi del controllo a distanza e che muovono dai concetti base del “privacy by design” e “privacy by default”, oggetto di particolare attenzione da parte del legislatore europeo e dell’Autorità di controllo italiana.
I principi di “privacy by design” e “privacy by default”, previsti e disciplinati all’art. 25 GDPR, anticipano il primo momento utile per la tutela dei dati personali dall’inizio del trattamento alla fase di progettazione, per poi intervenire attraverso strumenti ed interfacce che consentano di “settare” per impostazione predefinita il massimo livello di tutela dei dati personali. La data protection si stacca quindi da una concezione meramente formale e basata sull’adempimento delle misure minime di sicurezza di cui all’Allegato B del Codice della Privacy per assumere una struttura che potremo dire “datacentrica” per l’attenzione che viene riservata ai dati personali, la cui protezione viene tutelata a partire dal momento in cui il Titolare “determina i mezzi del trattamento”.
L’approccio di una progettazione dei sistemi di trattamento in un’ottica di privacy by design e privacy by default implica l’interazione tra misure tecniche (dispositivi e strumenti utilizzati) e misure organizzative (privacy policy, minimizzazione del trattamento, rilascio dell’informativa, analisi dei rischi e valutazione di impatto), che insieme mirano a progettare, strutturare, gestire e monitorare un assetto organizzativo e un sistema di trattamento dati che in ogni sua fase è rivolto a tutelare e proteggere i dati personali.
Vediamo come.
La valutazione preliminare del trattamento
Prima ancora di interrogarci sulle modalità tecnico operative connesse all’installazione e all’utilizzo dei dispositivi GPS sui veicoli aziendali, è necessario effettuare una valutazione d’impatto del trattamento per accertarsi che, sotto il profilo della proporzionalità, il trattamento possa essere realizzato contemperando gli interessi legittimi del Titolare con le esigenze di tutela della privacy del lavoratore, evitando modalità di controllo massivo, prolungato e indiscriminato dell’attività del dipendente sulla scorta della linea operativa sancita dal Garante e concretizzata nel principio secondo il quale “la posizione del veicolo sottoposto a localizzazione non dovrebbe di regola essere monitorata continuativamente dal titolare del trattamento, ma solo quando ciò si renda necessario per il perseguimento delle finalità legittimamente perseguite” (cfr. Provv.to di carattere generale in materia di localizzazione dei veicoli nell’ambito del rapporto di lavoro, 4 ottobre 2011, n. 370, doc. web n. 1850581). Questo vale ancora di più nel caso in cui i mezzi possano essere utilizzati in modo promiscuo dal lavoratore e quindi anche al di fuori dell’orario di lavoro.
La progettazione
Il passaggio successivo attiene alla progettazione di un sistema la cui struttura funzionale consenta un trattamento dati conforme ai principi di proporzionalità, necessità e sicurezza del trattamento, emergente sin dalla fase di ideazione del dispositivo. Il Garante per la protezione dei dati personali, con una recente decisione (provvedimento 232 del 18 aprile 2018) resa in seguito ad una richiesta di verifica preliminare in relazione al trattamento di dati personali connesso alla prospettata installazione di un applicativo di localizzazione geografica su dispositivi elettronici consegnate a guardie giurate incaricate della vigilanza dei veicoli adibiti a trasporto valori della società richiedente, ha autorizzato quest’ultima all’installazione di dispositivi GPS sui veicoli aziendali a condizione che tali strumenti fossero progettati in modo che:
- la configurazione del sistema permetta il posizionamento sul dispositivo di un’icona che indichi che la funzionalità di localizzazione è attiva;
- la configurazione del sistema consenta la disattivazione della funzionalità di localizzazione durante le pause consentite dell’attività lavorativa;
- la configurazione del sistema permetta di oscurare la visibilità della posizione geografica decorso un periodo determinato di inattività dell’operatore sul monitor presente nella centrale operativa relativamente a tale funzionalità.
Alle suddette misure tecniche il Garante ha affiancato anche le seguenti misure organizzative:
- l’individuazione di profili differenziati di autorizzazione relativi alle diverse tipologie di dati e di operazioni eseguibili;
- l’individuazione di tempi di conservazione dei dati in concreto trattati tenendo conto delle finalità perseguite;
- la predisposizione di rapporti per i clienti privi di qualunque riferimento che consenta l’identificazione di dipendenti;
- la designazione quale responsabile esterno del trattamento del fornitore del software di localizzazione;
- la predisposizione di periodiche verifiche di test sulla funzionalità e l’affidabilità dei parametri adottati, in vista della valutazione di eventuali falsi positivi o negativi effettuati dal sistema e la conseguente predisposizione di correttivi a tutela della qualità dei dati trattati.
Quello che il Garante intende evidenziare è che i dati raccolti e trattati debbano essere unicamente quelli strettamente necessari per il perseguimento delle finalità prestabilite, siano esse attinenti ad esigenze di sicurezza sul lavoro o di tutela del patrimonio aziendale. Ogni rilevazione ulteriore deve considerarsi illegittima perché contrastante con i presupposti di liceità di cui all’art. 4 della l. 300/1970 che ne costituiscono di fatto la relativa base giuridica del trattamento, in termini di perseguimento dell’interesse legittimo del titolare del trattamento (così come richiesto dall’art. 6 del GDPR 679/2016). Analogo discorso è riferibile alla determinazione dei periodi di conservazione dei dati rilevati, che implica la necessità di adeguare i tempi di conservazione degli stessi al perseguimento delle finalità innanzi indicate, in ossequio ai già richiamati principi generali di necessità, pertinenza e non eccedenza.
Le impostazioni di default
Il principio di privacy by default segue la fase progettazione attenendo invece a quella di “settaggio”. Le impostazioni predefinite del dispositivo di geolocalizzazione dovrebbero essere configurate con modalità proporzionate rispetto al principio di riservatezza degli interessati (come sottolineato anche dal Garante) attraverso l’adozione di misure che consentano la rilevazione della posizione ad intervalli non estremamente ravvicinati, la disattivazione della rilevazione geografica durante le pause previste dall’attività lavorativa, oltre che una conservazione della disponibilità del dato per un periodo non eccedente rispetto al perseguimento delle finalità prestabilite (provvedimento n. 396 del 28 giugno 2018).
Qualora sia un soggetto esterno a sovrintendere alla procedura di acquisizione e conservazione dei dati rilevati, gli elementi innanzi descritti dovrebbero essere oggetto di specifica regolamentazione e definizione del contratto stipulato ai sensi dell’art. 28 GDPR, attraverso il quale, il citato fornitore, verrebbe ad assumere l’incarico di Responsabile del trattamento.
L’informativa
La chiusura del cerchio di un sistema di trattamento curato e indirizzato sin dalla progettazione alla tutela dei dati personali, è costituito dall’informativa redatta ai sensi dell’art. 13 GDPR. Il lavoratore dovrà in primo luogo essere reso edotto del funzionamento del dispositivo (e quindi della modalità di rilevazione, degli intervalli di rilevazione, dei periodi di non funzionamento…) delle finalità di trattamento e della relativa condizione di liceità, riscontrabile in tal caso nel legittimo interesse del titolare del trattamento. Tutte queste informazioni e le altre previste e disciplinate all’interno del citato articolo, devono essere rese al lavoratore prima dell’inizio del percorso. Nel caso di possibilità di uso promiscuo del mezzo dovrebbe inoltre essere consentito al lavoratore di disattivare il sistema di localizzazione.
Conclusioni
Il carattere trasversale della tematica della geolocalizzazione dei veicoli aziendali fa emergere non solo la rilevanza delle questioni connesse al corretto trattamento dei dati personali e alla tutela dei diritti e delle libertà del lavoratore, ma anche l’importante questione dell’importanza di questi dispositivi elettronici o GPS per ragioni inerenti alla sicurezza sul lavoro, alla tutela del patrimonio aziendale e ad una efficiente organizzazione della prestazione lavorativa. Il contemperamento di interessi contrapposti rappresenta la chiave di volta di un sistema intriso di rischi ma anche di vantaggi e opportunità.
A tale necessità il GDPR risponde con la disciplina dei concetti di “privacy by design” e “privacy by default” che, come abbiamo avuto modo di illustrare nel presente articolo, pongono le fondamenta per proporre una soluzione a una questione assai delicata con un approccio innovativo e dinamico, che non si si limita ad analizzare il problema, ma ne carpisce i meccanismi, arrivando a gestirlo attraverso una anticipazione della tutela alla fase di progettazione dei dispositivi. Il progresso tecnologico torna pertanto ad essere al servizio dell’uomo, della sua dignità, sicurezza e riservatezza, e non anche il contrario.
