| Editoriale

L’azienda può tracciare smartphone e gps senza consenso?

12 Luglio 2018 | Autore:


> Diritto e Fisco Pubblicato il 12 Luglio 2018



Per il Garante della privacy, il trattamento dei dati può essere giustificato per legittimo interesse dell’azienda. Ma a certe condizioni.

Si fa presto a dire privacy. In teoria, tutti hanno il diritto di dare o di negare il consenso al trattamento dei propri dati personali. Un diritto che deve essere salvaguardato anche nel mondo del lavoro. Ma non è sempre così. Lo chiarisce lo stesso Garante della privacy nella sua relazione annuale. L’Autorità presieduta da Antonello Soro, analizzando alcuni casi che si sono verificati durante il 2017, sostiene che l’azienda può tracciare smartphone e gps senza il consenso dei dipendenti, anche quando quest’attività può, indirettamente, implicare un controllo dell’attività lavorativa. Certo, solo in certe situazioni che comportano il cosiddetto «bilanciamento degli interessi», cioè quando la tracciabilità del telefonino usato dal dipendente o del gps dell’auto aziendale è fondamentale per il buon andamento della società. E nel rispetto delle garanzie di lavoratori e terzi.

In senso lato, il Garante si è occupato del trattamento dei dati personali dei lavoratori effettuato attraverso dei sistemi che permettono la loro localizzazione geografica, cioè i gps facilmente reperibili sul mercato a prezzi abbordabili, ma anche sul trattamento dei dati biometrici (fisiologici e comportamentali) e nella gestione del rapporto di lavoro, soprattutto per quanto riguarda i dati giudiziari.

Il tutto, per tentare di fare un po’ di chiarezza sul Regolamento europeo che riguarda la privacy [1], entrato in vigore a fine maggio 2018 e fonte di non poche polemiche circa la sua efficacia a tutela dei cittadini. Vediamo, allora, quando e perché l’azienda può tracciare smartphone e gps senza consenso.

Trattamento dei dati: il legittimo interesse dell’azienda

Prima di entrare in alcuni dei casi esaminati dal Garante della privacy nella sua relazione che ci fanno capire se e quando l’azienda può tracciare smartphone e gps senza consenso, c’è una premessa obbligatoria da fare, perché alla base della questione. Riguarda il concetto del legittimo interesse dell’azienda nell’uso di apparecchiature che consentono di trattare i dati dei lavoratori senza chiedere il loro consenso. Il legittimo interesse è inserito in un procedimento che richiede il parere positivo dell’Autorità, la quale acconsente o meno al trattamento dei dati a certe condizioni. In caso di parere positivo, i datori di lavoro avrebbero la strada spianata per valutare se trattare senza consenso i dati dei dipendenti con gli strumenti che ha a disposizione.

Trattamento dei dati: i sistemi di geolocalizzazione

Uno dei modi per effettuare il trattamento dei dati dei dipendenti è quello di ricorrere ai sistemi di geolocalizzazione che offrono una doppia funzione: per l’azienda, il controllo a distanza dell’attività e per il dipendente, quella di rendere la prestazione lavorativa a distanza.  In ogni caso, il datore di lavoro, grazie a questi sistemi, ha la possibilità di tracciare il gps, ad esempio, installato su un’auto aziendale. Quando è possibile farlo senza il consenso dei lavoratori? Solo quando l’apparecchiatura (il gps, per l’appunto) si rende necessario per portare a termine il lavoro. Pensiamo, ad esempio, ad un corriere addetto alle spedizioni, la cui localizzazione si rende necessaria in ogni momento per sapere a che punto sono le consegne e qual è la sua disponibilità per effettuarne di nuove. In questo caso, dunque, il Garante riconosce accettabile il trattamento dei dati senza consenso.

Se, però, i sistemi di geolocalizzazione non sono direttamente preordinati all’esecuzione della prestazione lavorativa, cioè sono degli elementi in più aggiunti agli strumenti di lavoro, possono essere installati solo previo accordo con la rappresentanza sindacale oppure – in assenza di questo accordo – con il benestare dell’Ispettorato nazionale del lavoro. Si pensi, ad esempio, all’auto aziendale utilizzata da un dipendente per andare in ufficio o per spostarsi per motivi di lavoro: la funzione di un gps per il controllo a distanza dell’attività sarebbe superflua.

Trattamento dei dati: la tracciabilità di smartphone e tablet

Il Garante ha valutato anche positivamente il trattamento dei dati senza consenso nel caso di tracciabilità di smartphone e tablet usati dai dipendenti per legittimo interesse dell’azienda. Nello specifico, l’Autorità si è pronunciata in tal senso sul caso di un servizio di controllo di qualità della distribuzione di materiale pubblicitario nelle cassette postali (volantini, dépliant, ecc.). I dispositivi elettronici dei lavoratori possono essere dotati di un sistema che consente la tracciabilità per migliorare l’efficacia della certificazione ai clienti dei risultati del servizio. Il trattamento senza consenso è stato ritenuto legittimo in quanto la società avrebbe attivato la procedura di garanzia prevista dalla disciplina di settore in materia di controlli a distanza.

In pratica, il Garante ha valutato positivamente il sistema adottato per la tracciabilità di smartphone e tablet. Un sistema che prevede:

  • l’uso di pseudonimi per i dati del dipendente addetto al controllo di qualità;
  • la rilevazione della posizione geografica del lavoratore non in base ad un intervallo di tempo predeterminato ma in base al comportamento attivo del dipendente e soltanto durante l’orario di lavoro.

I rapporti sull’attività svolta, dunque, non possono contenere dati che consentano di identificare il dipendente, mentre i tempi per la conservazione dei dati raccolti devono essere consoni a quelli medi per la gestione di eventuali contestazioni da parte dei clienti.

Sui dispositivi, infine, ci deve essere un’icona attiva per tutto il tempo in cui il sistema di tracciabilità è in funzione.

A queste condizioni, dunque, il Garante accetta la tracciabilità di smartphone e tablet per legittimo interesse dell’azienda.

Trattamento dei dati: i sistemi di videosorveglianza

Viene riconosciuto il legittimo interesse dell’azienda anche quando si ricorre a sistemi di videosorveglianza che prevedono la registrazione di immagini e di suoni in casi come quelli installati in particolari aree tecniche delle navi da crociera gestite da società che hanno presentato istanza di verifica preliminare. Infatti, tutte le navi che approdano nei porti nazionali devono avere a bordo un registratore dei dati di viaggio che contiene, tra le altre cose, la registrazione delle conversazioni e qualsiasi altro suono colto da microfoni posizionati sul ponte di comando. Tutto ciò allo scopo di aumentare i livelli di sicurezza dell’equipaggio e dei passeggeri o per poter ricostruire nel modo più fedele possibile eventuali incidenti o anomalie.

Tuttavia, il Garante ha posto alcune condizioni legate, soprattutto, alla registrazione dell’audio. In particolare:

  • l’autenticazione del personale autorizzato ad accedere al sistema;
  • il tracciamento degli accessi effettuati (quando è stato fatto l’accesso al sistema, per quanto tempo, ecc.);
  • le caratteristiche di completezza, integrità, inalterabilità e durata della conservazione delle registrazioni.

Decorso un periodo di tempo di 70 ore (tranne in caso di incidente o di anomalie tecniche che richiedano delle verifiche particolari) le registrazioni audio e video devono essere distrutte.

Trattamento dei dati: quando non c’è legittimo interesse

Non solo pareri positivi: il Garante della privacy ha anche bocciato alcune richieste di legittimo interesse perché non ne sussistevano le condizioni. È il caso di una società specializzata in riparazioni e sostituzione di vetri per auto che avrebbe voluto una piattaforma online mirata alla raccolta e all’elaborazione di informazioni che consentissero di verificare le richieste di risarcimento dei danni.

Bocciato anche il trattamento dei dati biometrici effettuato per un lungo periodo dal Ministero della Difesa nei confronti di tutti i dipendenti (civili e militari e di tutte le categorie contrattuali) che hanno avuto o rinnovato la Carta multiservizi della Difesa. Si tratta di una tessera di identificazione che serve come autenticazione per l’accesso ai servizi forniti in rete. Perché il trattamento è stato ritenuto illecito? Perché doveva interessare i soli soggetti specificamente autorizzati all’accesso e non a tutti i dipendenti.

note

[1] Regolamento Ue 2016/679 noto come Gdpr.


Per avere il pdf inserisci qui la tua email. Se non sei già iscritto, riceverai la nostra newsletter:

Informativa sulla privacy
DOWNLOAD

Lascia un commento

Usa il form per discutere sul tema. Per richiedere una consulenza vai all’apposito modulo.

 



NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI