g-docweb-display Portlet

Trattamento di dati personali effettuato attraverso la localizzazione di dispositivi smartphone - 18 maggio 2016 [5217175]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 5217175]

Trattamento di dati personali effettuato attraverso la localizzazione di dispositivi smartphone - 18 maggio 2016

Registro dei provvedimenti
n. 226 del 18 maggio 2016

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano, componente, e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito "Codice");

ESAMINATA la richiesta di verifica preliminare presentata da SITE S.p.A. ai sensi dell´articolo 17 del Codice;

VISTI gli atti d´ufficio;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Antonello Soro;

PREMESSO

1. Trattamento di dati personali effettuato attraverso la localizzazione di dispositivi smartphone.

1.1. SITE S.p.A. (di seguito, la società) ha presentato una richiesta di verifica preliminare ai sensi dell´art. 17 del Codice, in relazione al trattamento dei dati personali connesso all´attivazione di una funzionalità di localizzazione geografica mediante l´installazione di una specifica applicazione sugli smartphone aziendali forniti in dotazione ai dipendenti che svolgono l´attività lavorativa all´esterno delle sedi aziendali. Il dispositivo consentirebbe di raccogliere, al momento dell´attivazione dell´applicazione da parte del lavoratore, l´orario di "inizio e fine lavoro,  […] inizio e fine pausa pranzo, […] inizio e fine di un evento meteorologico di maltempo" associato alla rilevazione della posizione geografica effettuata mediante il sistema GPS - Global Positioning System (cfr. istanza 23.9.2015, p. 1-2).

Gli scopi perseguiti con l´adozione del sistema sono indicati nella possibilità di effettuare il "calcolo della presenza dei dipendenti, orario di lavoro – ordinario, straordinario, notturno – per l´elaborazione della busta paga"; il calcolo della "sospensione momentanea o definitiva del lavoro e conseguentemente l´orario di lavoro effettivo svolto"; nonché "il calcolo delle indennità di viaggio e di trasferta spettanti al dipendente e per conoscere la località ove si verifica l´evento meteorologico del maltempo che l´Azienda deve indicare nella richiesta di Cassa integrazione ordinaria" (cfr. istanza cit., p. 1-2).

L´applicazione ˗ predisposta da una società terza che, secondo quanto dichiarato, non avrà accesso ai dati raccolti ˗ opererebbe connettendosi "con il sistema informatico aziendale di gestione del personale/amministrazione" memorizzando i dati indicati. L´applicativo, inoltre, "potrà essere disattivat[o] dal dipendente per il periodo non lavorativo (pausa pranzo ˗ fine attività lavorativa)" (cfr. istanza cit., p. 2). E´ altresì previsto, in caso di malfunzionamento del sistema GPS, l´inserimento manuale dei dati da parte dal dipendente "in risposta a domande dell´applicazione", riferite alle "fasce di trasferta e le fasce di viaggio secondo i codici aziendali". Il dipendente dovrà inserire anche ulteriori informazioni riguardanti mansione, qualifica, numero della commessa, dichiarazione di esecuzione delle attività a regola d´arte e secondo le norme aziendali, allo scopo di "gestire la commessa di lavoro e di prevenire/gestire eventuali reclami o difformità del cliente" (cfr. istanza cit., p. 2).

I dati raccolti, cui avrebbero accesso "in via esclusiva i responsabili dei dipendenti che ne coordinano le attività, l´Ufficio amministrazione e paghe, per la gestione degli adempimenti connessi al rapporto di lavoro e solo in caso di esigenze informatiche/manutenzione, l´Ufficio Informatico Aziendale", saranno conservati "sui sistemi aziendali per il tempo necessario allo svolgimento delle finalità indicate e per i tempi previsti per legge" (cfr. istanza cit., p. 2). Inoltre i dati saranno conservati "per un breve periodo" anche sul dispositivo, per consentire ai lavoratori l´invio dei dati anche in un momento successivo, in caso di mancata copertura della rete o comunque per visualizzare "a fine giornata il riepilogo dei dati giornalieri" (cfr. istanza cit., p. 2).

Il sistema non consentirebbe alcuna "ulteriore interazione […] con altre informazioni presenti sullo smartphone (posta elettronica, traffico telefonico, sms, ecc.)".

La società, infine, ha dichiarato che predisporrà adeguate misure di sicurezza relativamente al trattamento dei dati (compresa la designazione di incaricati ed eventuali responsabili esterni), che fornirà ai dipendenti una specifica informativa scritta e provvederà ad aggiornare la notificazione al Garante ai sensi dell´art. 37 del Codice (cfr. istanza cit., p. 3).

1.2. A seguito di una richiesta di chiarimenti ed integrazioni formulata dall´Autorità, la società ha precisato che:

a. vista la natura dell´attività svolta, consistente nella realizzazione  e manutenzione di impianti telefonici ed elettrici, "ad eccezione delle sole attività di ufficio che avvengono all´interno degli stabili aziendali e per le quali non valgono questi sistemi", l´attività della gran parte dei lavoratori si svolge presso "abitazioni di utenti privati, strade ed edifici pubblici e, più in generale, qualsiasi altro luogo pubblico o privato" (cfr. nota 30.12.2015, p. 1);

b. il sistema prevede altresì l´attivazione della funzionalità di localizzazione geografica "in quanto tale dato (localizzazione di inizio e fine attività lavorativa) è necessario per calcolare automaticamente l´indennità di viaggio che, in base a quanto previsto dal contratto collettivo […], spetta al lavoratore in misura diversa a seconda del luogo in cui opera. Oggi i dati […] sono rilevati […] tramite la compilazione di moduli cartacei con enorme dispendio di tempo e difficoltà gestionali" (cfr. nota cit., p. 1);

c. posto che il rimborso forfettario dei pasti consumati durante la giornata lavorativa si differenzia a seconda "che il pasto venga consumato all´interno del Comune di assunzione della sede di riferimento" o in altro comune e che "il comune dove ha inizio la pausa pranzo […] spesso non coincide con il comune ove ha inizio l´attività lavorativa […] risulta essere necessaria la localizzazione geografica anche al momento della timbratura effettuata all´inizio della pausa pranzo" (cfr. nota cit., p. 2);

d. per quanto riguarda la localizzazione geografica relativa "all´inizio del maltempo […] tale informazione […] consente all´azienda di espletare correttamente la richiesta agli enti (Inps) di cassa integrazione maltempo e, in caso di ispezione di tali enti, di comunicare a costoro le località ove il maltempo si è verificato" (cfr. nota cit., p. 2);

e. "il sistema non consente di procedere alla geolocalizzazione da remoto in tempo reale in momenti differenti dal momento dell´accensione del sistema per l´effettuazione delle timbrature" (cfr. nota cit., p. 2);

f. circa i tempi di conservazione dei dati relativi alla posizione geografica, questi sono destinati a confluire nel libro unico del lavoro che in base alla normativa vigente deve conservare le informazioni ivi contenute per cinque anni dall´ultima registrazione; posto inoltre che, "con riferimento al termine di prescrizione dei contributi, nel caso di denuncia da parte del lavoratore, tale termine risulta essere pari a 10 anni", la società intende pertanto conservare tali dati per 10 anni, salva eventuale diversa valutazione dell´Autorità (cfr. nota cit., p. 3);

g. "al fine di disciplinare le modalità, le finalità e i limiti del trattamento dei dati a norma di legge l´azienda ha stipulato a livello nazionale un accordo sindacale e, successivamente, anche accordi sindacali a livello territoriale. La società sta provvedendo alla stipula di accordi presso altre sedi" (cfr. nota cit., p. 3).

2. Trattamento di dati personali dei dipendenti attraverso la localizzazione di dispositivi smartphone.

Il trattamento dei dati personali dei dipendenti sottoposto a verifica preliminare consente di rilevare la localizzazione geografica di dispositivi smartphone (e, indirettamente, del lavoratore cui il dispositivo è affidato) attraverso l´attivazione di una applicazione che interagisce con il sistema aziendale di gestione del personale.

Considerato che i dati personali relativi alla geolocalizzazione ˗ riferiti alla "posizione geografica dell´apparecchiatura terminale dell´utente di un servizio di comunicazione elettronica accessibile al pubblico", in base all´art. 4, comma 2, lett. i) del Codice ˗ devono essere trattati adottando particolari cautele e che i dispositivi smartphone sono, in considerazione delle normali potenzialità d´uso e dell´utilizzo comune degli stessi, destinati a "seguire" la persona che li detiene indipendentemente dalla distinzione tra tempo di lavoro e tempo di non lavoro, tale trattamento presenta rischi specifici per la libertà, i diritti e la dignità del dipendente (v. provv.ti n. 401 dell´11 settembre 2014, doc. web n. 3474069 e n. 448 del 9 ottobre 2014, doc. web n. 3505371; analogamente, in ambito europeo, v. Gruppo di lavoro sulla protezione dei dati - Articolo 29, Parere 13/2011 sui servizi di geolocalizzazione su dispositivi mobili intelligenti, WP 185, 16 maggio 2011; si veda anche la Raccomandazione CM/Rec(2015)5 sul trattamento di dati personali nel contesto occupazionale, par. 16).

3. Liceità del trattamento dei dati di localizzazione. Bilanciamento di interessi.

La società dichiara di voler attivare il sistema descritto in precedenza (v. par. 1) per scopi connessi alle particolari esigenze organizzative e produttive derivanti dallo svolgimento dell´attività di impresa ˗ consistente nella realizzazione e manutenzione di impianti telefonici ed elettrici ˗ per lo più al di fuori delle sedi aziendali, in particolare presso cantieri o luoghi esterni o presso utenze pubbliche o private. Il sistema, in particolare, si renderebbe necessario per effettuare il calcolo delle ore di lavoro prestate, delle indennità dovute e per precostituire elementi utili alla documentazione di istanze presentate, nei casi previsti dalla legge, presso enti pubblici.

In termini generali le finalità del prospettato trattamento risultano lecite. L´adozione di un sistema che associ determinati dati di localizzazione geografica (inizio e fine dell´attività lavorativa, inizio della pausa pranzo, inizio maltempo), alla gestione informatizzata della rilevazione delle ore di lavoro prestate dal personale tecnico in servizio al di fuori delle sedi aziendali (attraverso la sostituzione della modulistica cartacea con la timbratura "virtuale" effettuata tramite il dispositivo portatile) o della indicazione del verificarsi di particolari condizione atmosferiche, consente di effettuare il calcolo delle indennità (o altri emolumenti) spettanti in base al contratto di lavoro nonché di acquisire elementi preordinati alla presentazione all´ente competente, secondo quanto stabilito dalla disciplina di settore, delle domande di cassa integrazione ordinaria per impossibilità di svolgere la prestazione lavorativa a seguito di eventi meteorologici (intemperie stagionali).

Pertanto, considerato anche che la società ha provveduto a stipulare un accordo con le organizzazioni sindacali ai sensi dell´articolo 4 della legge 20 maggio 1970, n. 300 ˗ richiamato dall´articolo 114 del Codice ˗, si ritiene che i descritti trattamenti possano essere effettuati, nei confronti dei dipendenti, per effetto del presente provvedimento che, in applicazione della disciplina sul c.d. "bilanciamento di interessi", individua un legittimo interesse al trattamento di tale tipologia di dati in relazione alle finalità rappresentate (art. 24, comma 1, lett. g) del Codice).

4. Pertinenza e non eccedenza dei dati trattati.

4.1. Il trattamento di dati relativi alla localizzazione geografica dei dispositivi (inizio e fine dell´attività lavorativa, inizio della pausa pranzo), in associazione alla timbratura "virtuale", per la rappresentata necessità di effettuare il calcolo delle dovute indennità di viaggio e di trasferta (compresi i rimborsi per i pasti) in caso di interventi effettuati dai tecnici presso cantieri o impianti esterni ˗ in relazione ai quali può risultare in concreto difficile individuare esattamente la località e il comune di appartenenza ˗ risulta conforme al principio di pertinenza e non eccedenza dei dati trattati rispetto alle finalità perseguite (cfr. art. 11. comma 1, lett. d) del Codice). Per le stesse ragioni è altresì conforme al menzionato principio la localizzazione del dispositivo nel caso in cui l´inizio del maltempo si verifichi presso cantieri o impianti esterni.

Quanto alle modalità del trattamento, risultano altresì proporzionate la predisposizione di una procedura alternativa in caso di malfunzionamento del dispositivo (anche per assenza o insufficiente copertura del GPS) nonché la consentita disattivazione dell´applicativo al di fuori dell´orario di lavoro e nella pausa per il pranzo e la predisposizione del sistema in modo da non consentire la rilevazione della posizione geografica al di fuori della attivazione della funzionalità nei casi stabiliti.

5. Tempi di conservazione.

5.1. Per quanto riguarda la conservazione dei dati di geolocalizzazione, posto che in base ai principi di necessità e di pertinenza e non eccedenza i tempi di conservazione delle diverse tipologie di dati personali eventualmente trattati devono essere individuati tenendo conto di ciascuna delle finalità in concreto perseguite, si ritiene che la società, intendendo avvalersi del sistema di localizzazione anche per la regolare tenuta del libro unico del lavoro, potrà conservare per cinque anni i dati necessari, limitatamente alle informazioni che nello stesso devono essere annotate in base alla disciplina di riferimento (artt. 3 e 11, comma 1. lett. d) ed e), del Codice).

5.2. I dati di volta in volta necessari a far valere o difendere un diritto in sede giudiziaria possono, in base ai principi generali, essere trattati per tale finalità per il periodo strettamente necessario al loro perseguimento.

5.3. In relazione ai dati trattati in caso di impossibilità di svolgere la prestazione lavorativa a seguito di particolari eventi meteorologici, i tempi di conservazione dovranno essere commisurati  a quanto previsto dalla specifica disciplina di settore in ordine alla documentazione delle domande di ammissione al trattamento ordinario di integrazione salariale ed alla effettuazione degli eventuali controlli sulla regolarità dei requisiti sottesi alle domande stesse.

6. Misure ed accorgimenti posti a tutela dei diritti degli interessati.

Considerate le menzionate potenzialità dei dispostivi smartphone e la particolarità dei dati relativi alla posizione geografica trattati in relazione a finalità distinte, a tutela dei diritti degli interessati la società dovrà configurare il sistema in modo da consentire il trattamento dei dati di localizzazione nei casi predeterminati, impedendo l´eventuale trattamento di dati ultronei rispetto alle finalità indicate (es. dati relativi al traffico telefonico, agli sms, alla posta elettronica, alla navigazione in internet o altro). Il sistema dovrà prevedere sullo schermo del dispositivo, anche quando l´applicazione lavora in background, la presenza di un´icona che indichi che la funzionalità di localizzazione è attiva.

La società dovrà altresì consentire l´accesso ai dati trattati al solo personale incaricato. Per quanto riguarda l´accesso ai dati di localizzazione nel sistema aziendale di gestione del personale, devono essere assegnate credenziali di autenticazione differenziate per ogni incaricato, individuando profili autorizzativi personalizzati e limitando quanto più possibile l´assegnazione di profili con funzionalità di modifica ed estrazione dei dati. Per quanto riguarda tali ultimi profili autorizzativi, è necessario che siano  registrati gli accessi ai dati di rilevazione, tramite un apposito file di log riportante la data e l´ora dell´operazione, il tipo di operazione effettuata, i dipendenti visualizzati e l´identificativo dell´incaricato.

Devono altresì essere individuati tempi certi per la cancellazione dei dati conservati temporaneamente sul dispositivo, operazione che deve essere effettuata dal dipendente salvaguardando eventuali esigenze di ulteriore conservazione da parte dello stesso.

Infine la società dovrà attenersi, in quanto applicabili, alle prescrizioni ed alle raccomandazioni contenute nel provvedimento del Garante del 1° marzo 2007, n. 13 ("Linee guida per posta elettronica e internet": doc. web n. 1387522), segnatamente in caso di predisposizione di misure di sicurezza al fine di assicurare la disponibilità e l´integrità di sistemi informativi e di dati nonché a seguito della riconsegna del dispositivo per interventi di manutenzione o in caso di cessazione del rapporto di lavoro.

7. Adempimenti previsti dalla legge.

Resta fermo che la società, prima dell´inizio dei descritti trattamenti - come del resto, per alcuni aspetti, già rilevato nell´istanza -  è tenuta in base alla normativa vigente a:

a. effettuare la notificazione al Garante ai sensi dell´articolo 37, comma 1, lett. a), del Codice;

b. fornire ai dipendenti della società coinvolti dai descritti trattamenti, un´informativa comprensiva di tutti gli elementi contenuti nell´articolo 13 del Codice (tipologia di dati, finalità e modalità del trattamento, compresi i tempi di conservazione), anche in conformità al principio di correttezza in base al quale il titolare è tenuto a rendere chiaramente riconoscibili agli interessati i trattamenti che intende effettuare (art. 11, comma 1, lett. a), del Codice);

c. adottare le misure di sicurezza previste dagli articoli 31 ss. del Codice al fine di preservare l´integrità dei dati trattati e prevenire l´accesso agli stessi da parte di soggetti non autorizzati;

d. predisporre misure al fine di garantire agli interessati l´esercizio dei diritti previsti dagli articoli 7 e seguenti del Codice.

TUTTO CIÒ PREMESSO IL GARANTE

preso atto della richiesta di verifica preliminare presentata da SITE S.p.A.:

1. ai sensi dell´articolo 24, comma 1, lett. g), del Codice, stabilisce che il trattamento dei dati personali relativi all´ubicazione dei dipendenti possa essere effettuato mediante il descritto applicativo nei termini di cui in motivazione;

2. ai sensi dell´articolo 17 del Codice prescrive che la società, quali misure necessarie, dovrà:

a. adottare specifiche misure idonee a garantire che le informazioni presenti sul dispositivo mobile visibili o utilizzabili dall´applicazione installata siano riferibili esclusivamente a dati di geolocalizzazione nonché ad impedire l´eventuale trattamento di dati ultronei (es. dati relativi al traffico telefonico, agli sms, alla posta elettronica o alla navigazione in internet o altro);

b. configurare il sistema in modo tale che sul dispositivo sia posizionata un´icona che indichi che la funzionalità di localizzazione è attiva; l´icona dovrà essere sempre chiaramente visibile sullo schermo del dispositivo, anche quando l´applicazione lavora in background;

c. consentire l´accesso ai dati trattati ai soli incaricati della società che, in ragione delle mansioni svolte o degli incarichi affidati, possono prenderne legittimamente conoscenza;

d. in relazione all´accesso ai dati di localizzazione nel sistema aziendale di gestione del personale, assegnare credenziali di autenticazione differenziate per ogni incaricato, individuando profili autorizzativi personalizzati e limitando quanto più possibile l´assegnazione di profili con funzionalità di modifica ed estrazione dei dati; con riferimento a tali ultimi profili autorizzativi, registrare gli accessi ai dati di rilevazione tramite un apposito file di log riportante la data e l´ora dell´operazione, il tipo di operazione effettuata, i dipendenti visualizzati e l´identificativo dell´incaricato;

e. individuare tempi certi per la cancellazione dei dati conservati temporaneamente sul dispositivo, che deve essere effettuata dal dipendente salvaguardando eventuali esigenze di ulteriore conservazione da parte dello stesso;

3. rammenta la necessità di effettuare la notificazione al Garante ai sensi dell´articolo 37, comma 1, lett. a), del Codice, di fornire ai dipendenti un´informativa completa di tutti gli elementi previsti dall´articolo 13 del Codice, di predisporre misure al fine di garantire agli interessati l´esercizio dei diritti previsti dagli articoli 7 e seguenti del Codice (punto 6.);

4. rammenta la necessità di attenersi, in quanto applicabili, alle prescrizioni ed alle raccomandazioni contenute nel provvedimento del Garante del 1° marzo 2007, n. 13 ("Linee guida per posta elettronica e internet"), in caso di trattamenti effettuati in occasione della predisposizione di idonee misure di sicurezza per assicurare la disponibilità e l´integrità di sistemi informativi e di dati e a seguito della riconsegna del dispositivo per interventi di manutenzione o a seguito della cessazione del rapporto di lavoro.

Ai sensi degli articoli 152 del Codice e 10 del decreto legislativo n. 150 del 2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 18 maggio 2016

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia