20 Ottobre 2022
La geolocalizzazione dei veicoli aziendali (gps) è una questione che, a seguito della piena applicabilità della norma GDPR 679/2016, è stata oggetto di numerose sentenze dell'Autorità Garante, per il possibile verificarsi del caso del "controllo a distanza", come tale vietato dallo Statuto dei diritti dei lavoratori.
Al fine di ottenere una conciliazione degli interessi contrapposti, il GDPR propone una chiave di lettura del trattamento in un'ottica di "privacy by design" e di "privacy by default" anticipando l'analisi dei possibili rischi per la tutela della libertà e della dignità dei lavoratori in fase di progettazione.
L'apparato normativo alla base del tema è stato integrato dall'Autorità Garante per la protezione dei dati personali, che è intervenuta anche con pronunciamenti ampiamente innovative per gli sviluppi tecnologici che hanno interessato la programmazione e la progettazione degli apparati.
Geolocalizzazione, privacy e statuto dei lavoratori
La geolocalizzazione è diventata ancora più importante con l'introduzione del concetto di "privacy by design" e "privacy by default" in seguito all'entrata in vigore del Regolamento europeo 679/2016.
Per "geolocalizzazione delle flotte aziendali" si intende lo svolgimento, da parte del datore di lavoro (Data Controller), di un'attività di monitoraggio dei veicoli che, attraverso l'installazione di apparecchiature satellitari all'interno dei veicoli, permette di individuarne l'esatta posizione.
La questione si interseca con il diritto del lavoro nella parte in cui prevede e regola il potere di supervisione e controllo del datore di lavoro sui dipendenti. Tale potere nasce dal legittimo interesse di verificare sia la conformità e l'utilizzo degli strumenti aziendali alle disposizioni in materia di sicurezza sul lavoro, sia di proteggere i beni aziendali da furti o danni. Tuttavia, sono evidenti anche le conseguenze dal punto di vista della tutela della privacy dei lavoratori.
L'attuale formulazione dell'art. 4 dello Statuto dei Lavoratori (Legge 300/1970) come modificato dal D. Lgs. n. 151/2015 (attuazione di una delle deleghe contenute nella c.d. Legge sul lavoro di cui alla Legge n. 183/2014), lungi dall'assumere un atteggiamento di assoluto rifiuto della compatibilità delle forme di controllo a distanza con la tutela della libertà e della dignità dei lavoratori, mira invece ad una prospettiva di legittimità delle stesse, purché gli strumenti utilizzati siano utilizzati esclusivamente "per esigenze organizzative e produttive, per la sicurezza sul lavoro e per la tutela del patrimonio aziendale e possano essere installati previo contratto collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali". (Art. 4 Statuto dei Lavoratori come modificato dall'art. 23 D.Lgs. 151/2015). Tutto ciò a condizione che la regolamentazione del trattamento sia definita attraverso la stipula di un accordo sindacale o, comunque, previa autorizzazione all'installazione dei dispositivi da parte della sede territoriale dell'Ispettorato Nazionale del Lavoro.
Si precisa che la funzione dei dispositivi di geolocalizzazione delle flotte aziendali è quella di monitorare e registrare la posizione dei veicoli in cui sono installati e non costituiscono "strumenti utilizzati dal lavoratore per effettuare l'esecuzione del lavoro", come evidenziato nel parere 2/2017 WP par. 5.7, e che, ai sensi dell'art. 4, par. 3, Legge 300/1970, escluderebbe l'applicabilità del suddetto comma 1. Ne consegue che tutte le disposizioni sulla tutela della privacy sono pienamente applicabili al trattamento considerato.
Il riferimento esplicito fatto dal comma 3 del presente articolo alle disposizioni del D. Lgl 196/2003 (Codice della Privacy), in particolare quella relativa all'obbligo di rilasciare le informazioni, è infatti quello di classificare l'attività di geolocalizzazione come un vero e proprio trattamento di dati personali, qualora la raccolta dei dati dal dispositivo consenta di raccogliere informazioni su singoli dipendenti (identificati o identificabili), assoggettandola a tutte le disposizioni pertinenti.
Le mere finalità organizzative e produttive, nonché le esigenze di sicurezza sul lavoro e di tutela del patrimonio aziendale non sono di per sé sufficienti a garantire lo svolgimento di un'attività di trattamento legittimo e privo di rischi per la riservatezza e la dignità del lavoratore.
"Privacy by design" e "Privacy by default".
Il GDPR introduce una serie di principi generali che costituiscono la base di riferimento per l'attuazione di qualsiasi tipo di trattamento di dati personali effettuato dal Titolare del trattamento, tra cui il rilevamento della posizione del lavoratore durante l'orario di lavoro attraverso l'utilizzo di dispositivi GPS in grado di integrare gli estremi del controllo a distanza e che passano dai concetti base di "privacy by design" e "privacy by default", oggetto di particolare attenzione da parte del legislatore europeo e dell'autorità di vigilanza italiana.
I principi della "privacy by design" e della "privacy by default", previsti e disciplinati dall'art. 25 GDPR, anticipano il primo momento utile per la protezione dei dati personali dall'inizio del trattamento alla fase di progettazione, per poi intervenire attraverso strumenti e interfacce che consentono di "impostare" di default il livello massimo di protezione dei dati personali. La protezione dei dati è quindi svincolata da una concezione puramente formale basata sul rispetto delle misure minime di sicurezza di cui all'allegato B del Codice della Privacy per assumere una struttura che potremmo dire "datacentrica" per l'attenzione che viene data ai dati personali, la cui protezione è tutelata dal momento in cui il Titolare del trattamento "determina le modalità del trattamento".
L'approccio di una progettazione dei sistemi di trattamento in un'ottica di privacy by design e privacy by default implica l'interazione tra misure tecniche (dispositivi e strumenti utilizzati) e misure organizzative (privacy policy, minimizzazione del trattamento, rilascio di informazioni, analisi dei rischi e valutazione d'impatto), che insieme mirano a progettare, strutturare, gestire e monitorare una struttura organizzativa e un sistema di trattamento dei dati che in ogni fase è finalizzato alla protezione e alla salvaguardia dei dati personali.
La valutazione preliminare del trattamento
Prima ancora di mettere in discussione le procedure tecniche operative relative all'installazione e all'utilizzo dei dispositivi GPS sui veicoli aziendali, è necessario effettuare una valutazione d'impatto del trattamento per garantire che, dal punto di vista della proporzionalità, il trattamento possa essere realizzato bilanciando i legittimi interessi del Titolare con la necessità di tutelare la privacy del lavoratore, evitando metodi di massa, un controllo prolungato e indiscriminato dell'attività del dipendente sulla base della linea operativa stabilita dal Garante e concretizzata nel principio secondo cui "la posizione del veicolo oggetto di localizzazione non deve di norma essere monitorata in modo continuativo dal titolare del trattamento, ma solo quando ciò sia necessario per il perseguimento delle finalità legittimamente perseguite" (cfr. Disposizione generale sulla localizzazione dei veicoli nell'ambito del rapporto di lavoro, 4 ottobre 2011, n. 370, documento web n. 1850581). Ciò vale a maggior ragione se i veicoli possono essere utilizzati in modo promiscuo dal dipendente e quindi anche al di fuori dell'orario di lavoro.
Design
Il passo successivo riguarda la progettazione di un sistema la cui struttura funzionale consenta il trattamento dei dati secondo i principi di proporzionalità, necessità e sicurezza del trattamento, emergendo dalla fase di progettazione del dispositivo. Il Garante per la protezione dei dati personali, con una recente decisione (Provvedimento 232 del 18 aprile 2018) formulata a seguito di una richiesta di verifica preventiva in relazione al trattamento dei dati personali relativa alla proposta di installazione di un'applicazione di localizzazione geografica su dispositivi elettronici consegnati alle guardie di sicurezza preposte alla sorveglianza dei veicoli utilizzati per il trasporto di valori dell'azienda richiedente, ha autorizzato quest'ultima ad installare dispositivi GPS sui veicoli aziendali, purché tali dispositivi siano stati progettati in tal senso:
la configurazione del sistema consenta il posizionamento sul dispositivo di un'icona che indichi che la funzionalità di localizzazione è attiva;
la configurazione del sistema consente la disattivazione della funzionalità di tracciamento durante le pause di lavoro consentite;
la configurazione del sistema permette di oscurare la visibilità della posizione geografica dopo un determinato periodo di inattività dell'operatore sul monitor della centrale operativa in relazione a tale funzionalità.
Alle misure tecniche di cui sopra, il Garante ha aggiunto anche le seguenti misure organizzative:
- l'individuazione di profili autorizzativi differenziati in relazione alle diverse tipologie di dati e di operazioni eseguibili;
- l'individuazione dei tempi di conservazione dei dati effettivamente trattati tenendo conto delle finalità perseguite;
- la predisposizione di segnalazioni per i clienti senza alcun riferimento che consenta l'identificazione dei dipendenti;
- la designazione quale responsabile esterno del trattamento dei dati del fornitore del software di localizzazione;
- la predisposizione di test periodici sulla funzionalità e sull'affidabilità dei parametri adottati, al fine di valutare eventuali falsi positivi o negativi del sistema e la conseguente predisposizione di misure correttive a tutela della qualità dei dati trattati.
Ciò che il Garante intende evidenziare è che i dati raccolti ed elaborati devono essere solo quelli strettamente necessari al perseguimento delle finalità stabilite, siano esse relative alla sicurezza sul lavoro o alla tutela del patrimonio aziendale. Ogni ulteriore raccolta deve essere considerata illegittima in quanto contraria alle condizioni di liceità di cui all'art. 7. 4 della Legge 300/1970, che di fatto costituiscono la relativa base giuridica del trattamento, in termini di perseguimento del legittimo interesse del titolare del trattamento (come richiesto dall'art. 6 del R.P.L. 679/2016). Lo stesso vale per la determinazione dei tempi di conservazione dei dati raccolti, che implica la necessità di adeguare i tempi di conservazione al perseguimento delle finalità sopra indicate, nel rispetto dei principi generali di necessità, pertinenza e non eccedenza.
Impostazioni predefinite
Il principio della privacy per default segue la fase di progettazione, seguendo invece quella di "impostazione". Le impostazioni di default del dispositivo di geolocalizzazione devono essere configurate in modo proporzionato al principio di riservatezza dei soggetti interessati (come sottolineato anche dal Garante) attraverso l'adozione di misure che consentano la rilevazione della posizione ad intervalli non molto ravvicinati, la disattivazione della rilevazione geografica durante le pause previste dall'opera, nonché la conservazione della disponibilità dei dati per un periodo non superiore al perseguimento delle finalità stabilite (Provvedimento n. 396 del 28 giugno 2018).
Nel caso in cui sia un soggetto esterno a sovrintendere alla procedura di acquisizione e conservazione dei dati raccolti, gli elementi sopra descritti dovrebbero essere oggetto di specifica regolamentazione e definizione del contratto stipulato ai sensi dell'art. 28 R.P.I.P.L., attraverso il quale, il suddetto fornitore, assumerebbe il ruolo di Responsabile del trattamento.
Le informazioni
La chiusura del cerchio di un sistema di trattamento curato e diretto fin dalla progettazione alla protezione dei dati personali, consiste nell'informazione preparata ai sensi dell'arte. 13 PILR. Il lavoratore deve innanzitutto essere messo a conoscenza del funzionamento del dispositivo (e quindi delle modalità di rilevazione, degli intervalli di rilevazione, dei periodi di non funzionamento ...) delle finalità del trattamento e della relativa condizione di liceità, in questo caso nell'interesse legittimo del titolare del trattamento. Tutte queste informazioni e le altre informazioni fornite e regolate nell'ambito del suddetto articolo, devono essere fornite al lavoratore prima dell'inizio del viaggio. In caso di possibilità di utilizzo promiscuo del veicolo, al lavoratore deve essere inoltre consentito di disattivare il sistema di tracciamento.
Conclusioni
La natura trasversale della questione della geolocalizzazione dei veicoli aziendali solleva non solo la rilevanza delle questioni relative al corretto trattamento dei dati personali e alla tutela dei diritti e delle libertà dei lavoratori, ma anche l'importante questione dell'importanza di questi dispositivi elettronici o GPS per ragioni di sicurezza sul lavoro, di protezione dei beni aziendali e di organizzazione efficiente delle prestazioni lavorative. Il bilanciamento degli interessi contrapposti rappresenta la chiave di volta di un sistema ricco di rischi ma anche di vantaggi e opportunità. Il GDPR risponde a questa esigenza regolando i concetti di "privacy by design" e "privacy by default" che, come abbiamo avuto modo di illustrare in questo articolo, pongono le basi per proporre una soluzione ad un tema molto delicato con un approccio innovativo e dinamico, che non si limita ad analizzare il problema, ma ne cattura i meccanismi, gestendolo attraverso un'anticipazione della protezione in fase di progettazione dei dispositivi. Il progresso tecnologico torna quindi ad essere al servizio dell'uomo, della sua dignità, sicurezza e privacy, e non viceversa.
