g-docweb-display Portlet

Provvedimento correttivo e sanzionatorio nei confronti di TIM S.p.A. - 9 gennaio 2020 [9263597]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9263597]

Provvedimento correttivo e sanzionatorio nei confronti di TIM S.p.A. - 9 gennaio 2020

Registro dei provvedimenti
n. 8 del 9 gennaio 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo del 27 giugno 2018 presentato da Slc Cgil di Roma e Lazio su mandato di XX, XX, XX, XX e XX nei confronti di Tim S.p.A. concernente il trattamento di dati personali effettuato mediante un sistema di Work Force Management;

VISTE le segnalazioni presentate da Federazione lavoratori metalmeccanici uniti-confederazione unitaria di base e da Cisal comunicazione riguardanti il medesimo sistema predisposto da Tim S.p.A.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Augusta Iannini;

PREMESSO

1. Il reclamo e le segnalazioni nei confronti della società. L’attività istruttoria.

1.1.1. Con reclamo del 27 giugno 2018 (inizialmente presentato come ricorso ex art. 145 e ss. del Codice, testo previgente), la Slc Cgil di Roma e Lazio, rappresentata e difesa dagli avvocati XX, XX, XX, XX e XX, su mandato di alcuni dipendenti di Tim S.p.A. (di seguito, la società), ha lamentato che il sistema di Work Force Management predisposto dalla società, completo di funzionalità di geolocalizzazione, installato su dispositivi smartphone affidati ai dipendenti che svolgono mansioni di tecnico “on field”, effettuerebbe trattamenti di dati personali dei dipendenti in violazione del Regolamento (Ue) 2016/679 (di seguito “Regolamento”).

In particolare il sistema, preordinato al perseguimento di finalità organizzative nonché “di tutela del patrimonio e sicurezza”, già oggetto di autorizzazione rilasciata dall’Ispettorato nazionale del lavoro in data 28 settembre 2017 ai sensi dell’art. 4, comma 1, legge 20.5.1970, n. 300, consentirebbe altresì alla società l’effettuazione di ulteriori operazioni di trattamento relative alla “analisi dei tempi della prestazione e delle modalità di esecuzione della prestazione”, ciò in violazione della predetta autorizzazione e delle disposizioni poste dalla disciplina di protezione dei dati personali in materia di profilazione degli interessati considerato, sotto questo aspetto, che i dati raccolti con il sistema vengono altresì “acquisiti, conservati e trattati per il «funzionamento di sistemi di incentivazione economica»”.

Con il reclamo si lamenta altresì che l’informativa fornita dalla società ai dipendenti (in data 17 novembre 2017), relativa alle modalità di utilizzo dei dati raccolti con il sistema, sarebbe da un lato “lacunosa”, “generica e incompleta” e d’altro lato prospetterebbe un “trattamento e una conservazione eccedente, non pertinente e ulteriore rispetto a quanto autorizzato, implicante anche un controllo diretto ed invasivo nelle attività lavorative ed una conservazione dei dati dei singoli lavoratori, prevista per 6 mesi, sproporzionata rispetto alle finalità dichiarate e autorizzate”. La predetta informativa, inoltre, prospetterebbe “una eccessiva estensione dei soggetti ai quali è consentito l’accesso indiscriminato e non filtrato dei dati”.

In relazione ai su elencati profili di ritenuta illiceità del trattamento i reclamanti hanno presentato alla società in data 29 gennaio 2018 un interpello preventivo ai sensi dell’art. 146 d. lg. 30.6.2003, n. 196 del Codice previgente, al quale non sarebbe stato fornito alcun riscontro (v. reclamo 27.6.2018, All. 3).

Con il reclamo è stato pertanto chiesto all’Autorità: di ordinare alla società di specificare tipologia e modalità dei trattamenti effettuati con il sistema tecnologico adottato, anche con riferimento agli “illeciti” che si intendono perseguire e le “anomalie rilevanti” che si intendono accertare, nonché sulla tipologia dei “controlli” che la società si riserva di effettuare; di disporre una limitazione del trattamento relativamente ai “dati eccedenti la mera finalità di ottimizzazione degli interventi […] nonché per finalità di attestazione della presenza […] e per la mera tutela del patrimonio aziendale con accesso limitato alle richieste dell’autorità giudiziaria”; di accertare “l’eccedenza della conservazione di tutti i dati per il periodo di 6 mesi”, disponendo altresì una limitazione e cancellazione dei dati trattati oltre le 24 ore; di accertare l’inidoneità dell’informativa fornita ai dipendenti.

1.1.2. Con segnalazioni presentate in relazione all’utilizzo del medesimo sistema tecnologico dalla Federazione lavoratori metalmeccanici uniti-confederazione unitaria di base e da Cisal comunicazione, rappresentata e difesa dall’avvocato XX, oltre ad alcuni profili di ritenuta illiceità già rappresentati nel reclamo di cui al precedente punto 1.1.1., è stata lamentata l’idoneità del sistema a raccogliere anche informazioni di carattere personale presenti sui dispositivi - il cui uso sarebbe consentito anche al di fuori dell’orario di lavoro - quali email, immagini e dati di traffico.

1.1.3. Considerato che il reclamo e le segnalazioni all’Autorità riguardano il medesimo oggetto e il medesimo titolare del trattamento, l’attività istruttoria è stata svolta contestualmente.

1.2. La società, in risposta ad una prima richiesta di elementi formulata dall’Ufficio, ha dichiarato che:

a. in data 1.12.2017, dopo il rilascio (il 28.9.2017) da parte dell’Ispettorato Nazionale del Lavoro dell’autorizzazione richiesta, “l’azienda ha avviato, fornendo preventiva informativa ai sensi della normativa privacy e dell’art. 4 della L. 300/1970, l’adozione della nuova piattaforma di Work Force Management […] da parte dei Tecnici on Field (c.d. ToF)” (v. nota del 3.10.2018, p. 3);

b. i tecnici “on field” che operano “nell’ambito della struttura di Wholesale Operations di Tim” sono “circa 8.000” e “non fanno riferimento ad una specifica sede di lavoro ma partono dal proprio domicilio e dalla centrale di ricovero dell’automezzo sociale ed iniziano l’attività presso il cliente o il primo impianto su cui sono chiamati ad operare” (v. nota cit., p. 3-4);

c. “nella versione di sistema attualmente in esercizio, i dati di localizzazione dello smartphone di servizio sono acquisiti dal sistema nWFM solo a seguito di uno specifico comando da parte del tecnico ai fini della gestione di una specifica WR (c.d. guasto cavo), per il quale sia necessario geo-referenziare il punto in cui viene rilevato il guasto di un cavo trasmissivo nel tracciato urbano o extraurbano” (v. nota cit., p. 4);

d. “è prevista a breve termine l’attivazione di una nuova funzionalità di nWFM che consentirà al tecnico di segnalare la geolocalizzazione per specifici eventi tassativamente definiti: […] inizio, fine prestazione nonché l’inizio e la fine della pausa pranzo (c.d. “timbrature”). Non è stata ancora progettata la funzionalità, autorizzata dall’Ispettorato nazionale del lavoro, che permetterebbe la segnalazione da parte del tecnico della geolocalizzazione degli eventi associati alla gestione di tutte le WR, la cui realizzazione e utilizzo sono stati rimandati ad una fase successiva di sviluppo del sistema” (v. nota cit., p. 4-5);

e. il sistema “interagisce con altri sistemi applicativi aziendali, quali: sistemi dedicati alla gestione delle informazioni tecniche relative alla rete e agli impianti […]; sistemi dedicati alla gestione commerciale dei servizi wholesale […]; sistemi di customer care per la gestione delle segnalazioni degli utenti finali o delle società che vendono i servizi retail […]; sistemi di amministrazione del personale […] o attività accessorie, quali la formazione, il welfare aziendale” (v. nota cit., p. 5);

f. “è in fase di predisposizione una nuova versione dell’App Click Mobile in grado di acquisire dallo smartphone anche il dato di localizzazione associato alle timbrature […] i dati di geolocalizzazione […] saranno registrati su nWFM in una apposita tabella, non accessibile a livello applicativo, e saranno ivi conservati solo per il tempo necessario alla loro trasmissione ai sistemi di amministrazione del personale” (v. nota cit., p. 6);

g. i dati personali trattati dal sistema sono: dati di anagrafica; dati di configurazione (aree geografiche di competenza, squadra di appartenenza, competenze tecniche, indirizzo di partenza e le relative coordinate geografiche); dati dei turni (calendario dei turni comprese le eventuali indisponibilità per ferie-permessi-formazione e gli straordinari); dati di attività (evoluzione delle singole “work request”: presa in carico, inizio lavorazione, completamento, etc; indirizzo dell’intervento; dati e note inseriti dal tecnico relativi allo stato delle lavorazioni); dati di presenza (tutti i dati relativi alla presenza e le relative informazioni temporali); dati di attestazione presenza lavorativa (timbrature); dati di localizzazione acquisiti mediante il GPS presente sullo smartphone (localizzazione del “guasto cavo”; dati di localizzazione associati alle timbrature) (v. nota cit., p. 7-8);

h. le specifiche finalità perseguite (o che si intendono perseguire) dal sistema (nWFM) e le relative modalità (compresi i tempi di conservazione) dei trattamenti sono individuate in (v. nota cit., p. 8-12):

- “attestazione/rilevazione della presenza giornaliera” in relazione alla quale la geolocalizzazione “consentirà di verificare il rispetto delle disposizioni del regolamento di servizio”;

- “gestione del dispacciamento delle attività”, effettuata in base ad un algoritmo presente in nWFM e per la quale “non è ancora pianificata la versione […] che utilizzi la geolocalizzazione associata alle WR. L’applicazione nWFM è dotata di una interfaccia grafica per la visualizzazione su mappa degli indirizzi degli impianti associati alle WR, alle centrali telefoniche e all’indirizzo di partenza del ToF. Di conseguenza non saranno visualizzate le coordinate geografiche associate alle timbrature. […] Per il supporto alle attività operative svolte dai ToF l’applicazione nWFM mantiene i dati associati ai ToF stessi per 40 giorni. La reportistica prodotta dall’applicazione Opera a supporto delle analisi ed elaborazioni successive può operare su dati personali dei ToF per sei mesi […]. I restanti report di Opera possono operare sull’intera profondità storica della base dati (massima prevista di 5 anni, non ancora raggiunta stante la messa in produzione nel 2015) per analisi statistiche di trend, obblighi regolatori, etc.”;  […];

- “predisposizione di progetti di formazione e/o professionali” che tiene conto anche delle “informazioni relative agli esiti delle attività svolte, esclusivamente in termini di qualità e risoluzione del guasto”; anche in questo caso le analisi “possono operare su dati […] accessibili per un periodo non superiore ai sei mesi”;

- “funzionamento di sistemi di incentivazione economica” in base a report mensili ed utilizzando “un algoritmo automatizzato” il cui esito è “soggett[o] alla verifica da parte […] della funzione HR”; “l’incentivazione è calcolata su base trimestrale, per cui è necessaria la conservazione dei relativi dati per 6 mesi per permettere eventuali controlli o revisioni […]”;

- “gestione di eventuali richieste dell’Autorità giudiziaria e/o della pubblica sicurezza”, per la quale è prevista la possibilità di estrarre dati relativi agli ultimi sei mesi; “casistiche particolari possono essere gestite […] con profondità storica di massimo 5 anni”;

- “esigenze di tutela del patrimonio aziendale, accertamento di illeciti”, per il cui perseguimento è possibile operare con profondità “di massimo sei mesi” mentre “casistiche particolari possono essere gestite […] con profondità storica di massimo 5 anni”;

- “anomalie rilevanti emerse dalla analisi di dati aggregati”, finalità volta ad individuare “scostamenti rispetto agli indicatori di qualità delle lavorazioni” mediante controlli “esclusivamente a consuntivo […] su dati individuali con vista aggregata (giornalieri/settimanali/mensili)” effettuati su base dati con profondità di “massimo sei mesi” mentre “casistiche particolari possono essere gestite […] con profondità storica di massimo 5 anni”;

- i dati di localizzazione associati alle timbrature (il cui trattamento allo stato non è ancora effettuato) saranno conservati “fino a 10 anni ai sensi degli artt. 2220 e 2946 cc, fatta salva l’ulteriore conservazione per far valere o difendere un diritto in sede giudiziaria” (v. nota cit., p. 14);

i. “la personalizzazione eseguita dall’azienda del software dell’app Click Mobile non permette in alcun modo di accedere a dati o informazioni conservati sullo smartphone diverse da quelle necessarie per l’esecuzione delle funzionalità descritte; in particolare non è possibile […] accedere a dati o informazioni o comunicazioni private […] che dovessero essere presenti sullo smartphone di servizio in relazione all’uso promiscuo ammesso dal regolamento di servizio”; in proposito si precisa altresì che “la descrizione dei permessi di accesso alle risorse dello smartphone per Click Mobile […] è stata adeguata a maggio 2018, correggendo la descrizione dei permessi contenuta nella versione dell’App attivata a dicembre 2017” (v. nota cit., p. 16-17).

In allegato sono stati altresì inviati in copia i due modelli di informativa ex art. 4, comma 3, l. 20.5.1970, n. 300 resi ai dipendenti interessati (in data 17.11.2017 a tutti i tecnici “on field” e in una successiva data, non precisata, con esclusivo riferimento ai tecnici coinvolti nella sperimentazione della funzionalità di attestazione delle timbrature tramite l’App Click Mobile a partire dal 1°.8.2018; v. nota cit., All. 1 e 2).

1.3. In riscontro alle note di replica presentate da Cisal comunicazione (il 28.11.2018) e da Slc Cgil (il 14.12.2018), la società con nota del 17 gennaio 2019 ha ulteriormente chiarito che:

a. “la prestazione lavorativa del personale tecnico inizi[a] direttamente presso il sito individuato per svolgere la prima attività lavorativa […] e si conclud[e] presso il sito dell’ultima attività” (v. nota 17.1.2019, p. 2);

b. il 9 novembre 2018 è stata formalizzata una valutazione di impatto privacy in relazione alla geolocalizzazione delle “timbrature” dei tecnici “on field” (v. nota cit., p. 2);

c. i dati relativi alla geolocalizzazione delle attività oggetto dell’intervento (funzionalità ClickSchedule e relativa rappresentazione su mappa) sono diversi da quelli che saranno trattatati a regime con il sistema oggetto di reclamo; inoltre ClickSchedule non ha alcuna interfaccia con il sistema che raccoglie i dati di geolocalizzazione dei veicoli aziendali “in corso di dismissione” (v. nota cit., p. 3);

d. con riferimento ai trattamenti per finalità di formazione dei tecnici “solo una rilevazione di tipo individuale con vista aggregata (con rilevazione giornaliera, settimanale e mensile) consente di organizzare un sistema strutturato di aggiornamento formativo […]. La conoscenza delle competenze […], inoltre, consente una efficace rimodulazione delle priorità nell’assegnazione delle attività per favorirne la gestione più efficace […]” (v. nota cit., p. 3-4).

1.4. Con successiva nota del 29 marzo 2019, in riscontro ad una richiesta di chiarimenti formulata dall’Ufficio, la società ha dichiarato che:

a. in relazione alla tempistica di attivazione del sistema “la fase di sperimentazione dell’attestazione della timbratura tramite smartphone […] è ancora in corso e solo al termine della stessa, e comunque non prima del settembre 2019, è prevista la partenza della sperimentazione della geolocalizzazione della timbratura” (v. nota 29.3.2019, p. 1);

b. le “casistiche particolari” al ricorrere delle quali la società prevede un tempo di conservazione dei dati raccolti con il sistema pari a 5 anni in relazione ad una pluralità di scopi e “originate da specifiche richieste puntuali che pervengono [alla società] successivamente al periodo di sei mesi”, consistono rispettivamente: per la “gestione reclami cliente” a titolo di esempio “una contestazione sulla fattura […] che lamenta un periodo di disservizio […] oppure una fatturazione per un intervento «a vuoto»”; per la “gestione eventuali richieste AG” a titolo di esempio “una richiesta di verifica su eventi connessi ad un infortunio del lavoratore”; per le “esigenze di tutela del patrimonio aziendale” sono ricomprese le “segnalazioni che sono originate all’interno di Tim legate a danni sugli asset per le quali è necessario reperire le Work Request del personale […] che ha esercitato attività su quell’impianto. A titolo di esempio una richiesta di verifica di danneggiamenti all’interno di una centrale telefonica”; per l’“accertamento di illeciti” sono ricomprese le “segnalazioni che sono originate all’interno di Tim che necessitano di verifiche sul rispetto da parte del ToF delle norme comportamentali. A titolo di esempio una richiesta di verifica su appropriazione indebita di beni aziendali”; per le “anomalie rilevanti emerse dall’analisi dei dati aggregati” la relativa “esigenza di approfondimento […] è generalmente soddisfatta dalla finestra temporale dei 6 mesi” (v. nota cit., p. 1-2);

c. le specifiche ragioni per le quali è necessario conservare i dati raccolti con il sistema, in relazione ad una pluralità di scopi, per un periodo pari a 6 mesi consistono rispettivamente: per la “gestione del dispacciamento delle attività”, nella necessità di “analizzare le modalità di assegnazione delle Work Request (dispacciamento) in un arco temporale significativo”; per la “predisposizione di progetti di formazione e professionali”, in caso di “guasti successivi all’attivazione sullo stesso impianto” ma anche per intervenute “esigenze produttive a seguito di incremento di lavorazioni necessarie su una nuova tecnologia”, “al fine di verificare l’efficacia della formazione erogata, in termini di capacità risolutiva del tecnico, è necessario conservare i dati delle lavorazioni effettuate per un periodo congruo (valutato in almeno 6 mesi)”; per il “funzionamento dei sistemi di incentivazione economica” uno dei criteri presi in considerazione riguarda il “miglioramento su se stessi confrontando l’esito del posizionamento rispetto al trimestre precedente. Altro parametro […] è la percentuale di presenza al lavoro nel mese […]. L’incentivazione viene calcolata su base trimestrale con cadenza di rilevazione mensile, per cui è necessaria la conservazione dei dati per 6 mesi, al fine di permettere eventuali controlli o revisioni successivi alla comunicazione dei risultati del trimestre precedente”; per gli scopi di “gestione reclami dei clienti”, “gestione eventuali richieste AG”, “esigenze di tutela del patrimonio aziendale”, ”accertamento di illeciti” si fa rinvio a quanto rappresentato in sede di individuazione delle “casistiche particolari” per le quali si richiede la conservazione fino a 5 anni; per le “anomalie rilevanti emerse dall’analisi dei dati aggregati”, si chiarisce che “i dati individuali sono recuperati solo per eccezione e mirano ad eseguire dei «carotaggi» specifici a seguito della individuazione di scostamenti anomali (orientativamente maggiori del 30%) rispetto a valori medi evidenziati nelle suddette analisi statistiche”, a tal fine il periodo di conservazione ritenuto congruo è pari a 6 mesi (v. nota cit., p. 2-4);

d. la localizzazione geografica dei tecnici al momento della timbratura è ritenuta necessaria “per accertare la presenza effettiva del tecnico sul posto di lavoro e per impedire eventuali abusi connessi ad attività svolte esclusivamente all’esterno o in locali privi di timbratori” (v. nota cit., p. 5);

e.in relazione ai trattamenti dei dati di localizzazione della timbratura “i controlli saranno svolti a campione al massimo per il 10% delle timbrature; controlli ulteriori saranno attivati solo a fronte di situazioni specifiche quali reclami del cliente, richieste della Autorità giudiziaria o della pubblica sicurezza, danni al patrimonio aziendale” (v. nota cit., p. 5);

f. “in considerazione dei possibili errori nella rilevazione del dato della posizione geografica dovuti a limiti di accuratezza del sistema di geolocalizzazione (in condizioni ottimali i documenti tecnici del GPS citano una precisione dell’ordine di 50 metri), sarà adottata una tolleranza di 500 metri nella lettura della posizione geografica. In caso di malfunzionamento del sistema di geolocalizzazione, invece, le timbrature saranno autocertificate dal tecnico” (v. nota cit., p. 5);

g. i dati della timbratura “non potranno mai essere visibili sulla mappa del nWFM che continuerà a visualizzare esclusivamente la posizione statica delle attività (i dati delle WR)” (v. nota cit., p. 5);

h. tutte le distinte finalità perseguite dalla società nel prospettato utilizzo del sistema (e sopra indicate) sono riferibili alle specifiche esigenze previste dall’art. 4, comma 1, l. 20.5.1970, n. 300, “nel rispetto di quanto autorizzato dall’Ispettorato Nazionale del Lavoro” (v. nota cit., p. 6).

1.5. Il 18 giugno 2019 l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice la notifica alla società delle presunte violazioni della disciplina in materia di protezione dei dati personali riscontrate nel corso del procedimento. Con nota del 28 giugno 2019 la società ha chiesto di essere sentita ai sensi dell’art. 166, comma 6, del Codice, facendo riserva di produrre, in quell’occasione o successivamente, memorie e scritti difensivi.

In sede di audizione, tenutasi in data 11 luglio 2019, il responsabile della funzione “Human resources organization – industrial relation – litigation & labour law” della società ha sottolineato che il periodo di conservazione pari a 6 mesi indicato nell’informativa resa agli interessati è relativo ai dati trattati dal sistema nWFM; solo nel sistema Opera i dati vengono conservati, esclusivamente per specifiche finalità, per 5 anni. La società, quindi, ha rappresentato di aver predisposto un modello di informativa aggiornato rispetto a quello del 17.11.2017 che tiene conto di quanto ritenuto in proposito dall’Autorità nella notifica di violazione.

1.6. Successivamente all’audizione la società, con nota del 18 luglio 2019, ha rappresentato che:

a. “si impegna a fornire ai Tecnici on Field quanto prima una versione aggiornata dell’informativa ex art. 4 legge 300/70 […] che specifica i diversi tempi di conservazione dei dati personali distinti per finalità” (v. nota del 18.07.2019, p. 3);

b. “si precisa che per la finalità di gestione del dispacciamento delle attività la frase «I restanti report di Opera possono operare sull’intera profondità storica della base dati (massima prevista di 5 anni, non ancora raggiunta stante la messa in produzione nel 2015) per analisi statistiche di trend, obblighi regolatori, etc» − riportata a p. 10 del documento consegnato il 3 ottobre 2018 all’Autorità – è stata trascritta per mero errore materiale. Tale trascrizione dovrà pertanto considerarsi espunta dal testo” (v. nota cit., p. 2);

c. “allo stato attuale il numero dei tecnici on field si è ridotto a 7.745 unità” (v. nota cit., p. 3);

d. “l’informativa ex art. 4, comma 3, Legge 300/70 […] è stata redatta con il riferimento ad una pluralità di specifiche finalità, tutte autorizzate dall’Ispettorato Nazionale del Lavoro” (v. nota cit., p. 3);

e. le finalità di gestione del dispacciamento delle attività, di accertamento di illeciti e di accertamento di anomalie rilevanti emerse dalla analisi di dati aggregati “indicate nell’informativa e non contenute nell’istanza [presentata all’Ispettorato Nazionale del lavoro] sono riconducibili alle «esigenze organizzative e produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale» nel rispetto di quanto autorizzato dell’Ispettorato […]. Si tratta […] di specificazioni (delle ampie finalità autorizzate dall’Ispettorato del Lavoro […]) volte a rendere maggiormente edotti gli interessati sulle finalità perseguite dall’Azienda” (v. nota cit., p. 4-5);

f. il trattamento dei dati per le finalità di cui alla precedente lettera e. (indicate nell’informativa e non contenute nell’istanza presentata all’Ispettorato Nazionale del Lavoro) “trova la sua base giuridica anche: nell’art. 6, par. 1, lett. b) del Regolamento UE 2016/679 per le finalità di gestione del dispacciamento delle attività e di gestione delle anomalie in quanto necessario per la corretta esecuzione del contratto di lavoro; nell’art. 6, par. 1, lett. c) Regolamento UE 2016/679 per le finalità di accertamento degli illeciti in quanto necessario per l’adempimento di un obbligo legale” (v. nota cit., p. 5);

g. “le finalità relative alla gestione del dispacciamento delle attività e per la corresponsione di incentivi economici sono realizzate attraverso processi automatizzati”; in proposito si rappresenta che i tecnici hanno “la possibilità di accedere – tramite la Intranet aziendale – all’apposito repository ove è consultabile il regolamento relativo alle modalità di dispacciamento delle attività. Analogamente […] accedendo alla Intranet aziendale il Tecnico on Field ha la possibilità di prendere visione anche del regolamento in cui sono disciplinate le modalità di funzionamento del sistema di incentivazione individuale” (v. nota cit., p. 6).

1.7. Con nota dell’8 agosto 2019 la società ha trasmesso all’Autorità “il testo aggiornato dell’informativa ex art. 4, comma 3, legge 300/70, inviata […] ai Tecnici on Field, così come rappresentato nella memoria difensiva [del] 18 luglio”.

2. L’esito dell’attività istruttoria.

Premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”, all’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, emerge che la società effettua a partire dal 1 dicembre 2017 (v. nota 3.10.2018, p. 3 e Informativa ai dipendenti del 17.11.2017) trattamenti di dati personali dei dipendenti che svolgono mansioni di tecnico “on field” attraverso il nuovo sistema di Work Force Management (nWFM, allo stato in fase di implementazione relativamente al trattamento di dati di localizzazione geografica delle “timbrature”, effettuato mediante il sistema GPS presente sullo smartphone utilizzato dal tecnico).

Il trattamento è effettuato per i seguenti scopi espressamente indicati dalla società: attestazione della presenza giornaliera, gestione del dispacciamento delle attività, predisposizione di progetti di formazione e/o professionali, funzionamento di sistemi di incentivazione economica, gestione dei reclami del cliente, gestione di eventuali richieste dell’autorità giudiziaria e/o della pubblica sicurezza, esigenze di tutela del patrimonio aziendale, accertamento di illeciti, anomalie rilevanti emerse dalla analisi di dati aggregati.

In relazione all’attivazione del predetto sistema di nWFM la società, considerato che l’utilizzo di tale applicativo può consentire un controllo a distanza dell’attività lavorativa, il 22.6.2017 ha presentato istanza di autorizzazione all’Ispettorato nazionale del lavoro. Con provvedimento del 28.9.2017 l’Ispettorato ha rilasciato specifica autorizzazione ai sensi dell’art. 4, comma 1, l. 20.5.1970, n. 300, ritenendo sussistenti le “motivazioni dichiarate dalla società […] rappresentate da esigenze organizzative e produttive e di sicurezza ed in particolare la necessità di conoscere la dislocazione dei tecnici «on field» al fine di poter rispettare i tempi d’intervento garantiti contrattualmente ed in particolare garantire gli interventi che assumono la massima urgenza perché di particolare rilevanza sociale [...] nonché gli interventi connessi a particolari eventi naturali o a situazioni di emergenza che riguardano la sicurezza pubblica (difficoltà di comunicazione connesse a fenomeni atmosferici, terremoti, calamità naturali, incidenti, etc.). […]”. La valutazione dell’Ispettorato tiene conto “di quanto dichiarato da Tim S.p.A. nell’istanza presentata e precisamente” che il sistema consente al tecnico: di “comunicare inizio, fine prestazione, nonché i tempi delle pause intermedie (con geolocalizzazione relativa esclusivamente al momento dell’attivazione da parte del tecnico)”, di dichiarare la “presa in carico dell’attività (WR) da parte del tecnico (con geolocalizzazione relativa esclusivamente al momento dell’attivazione da parte del tecnico)”, di segnalare eventuali specificità dell’intervento, di certificare il completamento del lavoro o l’impossibilità di portarlo a termine (“con geolocalizzazione relativa esclusivamente al momento dell’attivazione da parte del tecnico”). Inoltre il sistema può “supportare l’attività dei tecnici nella lavorazione delle WR e nella fase della consuntivazione delle attività” e consente la “programmazione delle attività lavorative sulla base della disponibilità, delle competenze e del posizionamento geografico del tecnico rispetto al luogo d’intervento” (v. Autorizzazione I.N.L. 28.9.2017, All 1, reclamo 27.6.2018).

La società ha fornito ai dipendenti due distinte informative riferite al sistema (“Informativa ex art. 4, comma 3, della L. n. 300/1970 Sistema Work Force Management”). Il primo modello, non datato, è specificamente riferito alla “Modalità per l’attestazione della presenza tramite smartphone”, dichiaratamente “avviata solo a partire dall’agosto 2018 tramite una fase di sperimentazione che coinvolge 110 ToF, ai quali è stata fornita la relativa informativa” (v. nota 3.10.2018, p. 6 e All. 1). All’interno di tale modello è precisato che “le specifiche indicazioni relative alle modalità di utilizzo/trattamento dei dati raccolti tramite il sistema di attestazione delle presenze e di effettuazione dei controlli sono contenute nella […] «Informativa ex art. 4, comma 3, della L. n. 300/1970 Sistema Work Force Management», […] inviata in data 17 novembre 2017”. Il secondo modello (temporalmente antecedente, del 17.11.2017), rivolto al personale tecnico “che utilizza gli strumenti hardware (smartphone) e software (New Work Force Management e interfaccia web Click Mobile) – in avanti anche «strumenti» - per la lavorazione delle «Work Request»”, chiarisce che “l’utilizzo degli «strumenti» comporterà, a partire dal 1° dicembre 2017, la memorizzazione di dati individuali relativi ai tempi e alle modalità di esecuzione della prestazione di lavoro […]. I «dati» verranno trattati per le seguenti finalità: attestazione/rilevazione della presenza giornaliera, gestione del dispacciamento delle attività, predisposizione di progetti di formazione e/o professionali, funzionamento di sistemi di incentivazione economica, gestione dei reclami del cliente, gestione di eventuali richieste dell’Autorità Giudiziaria e/o della Pubblica Sicurezza, esigenze di tutela del patrimonio aziendale, accertamento di illeciti, nonché anomalie rilevanti emerse dalla analisi di dati aggregati”.

L’informativa chiarisce altresì che “i controlli sugli «strumenti» oggetto della presente informativa saranno esercitati con gradualità […]” e che “le verifiche su dati individuali con vista non aggregata saranno attivate nei seguenti casi: riscontro di valori anomali; reclamo del cliente; segnalazione dell’Autorità giudiziaria o di Pubblica Sicurezza, necessità legate alla tutela del patrimonio aziendale, accertamento di illeciti. […] I tempi di conservazione dei dati oggetto della presente informativa sono pari a sei mesi. Successivamente i «dati» potranno essere conservati nel BD di Open Access privi dei dati di identificazione individuale. […] i dati riguardanti l’attestazione/rilevazione della presenza saranno conservati per 10 anni” (v. All. 2, nota 3.10.2018 cit.).

In data 2 agosto 2019 la società ha fornito un nuovo modello di informativa agli interessati (v. precedente punto 1.7.).

3. Profili di illiceità dell’informativa resa ai dipendenti.

3.1. Alcuni profili di illiceità dei trattamenti effettuati dalla società attraverso il sistema nWFM, prospettati dal reclamo e dalle segnalazioni, risultano fondati nei termini di seguito esposti.

In primo luogo è emerso che la società ha effettuato trattamenti di dati personali mediante il nuovo sistema di Work Force Management provvedendo a conservare i dati raccolti, riferiti ai singoli interessati, per 5 anni − in relazione alle dichiarate finalità di gestione del dispacciamento delle attività, gestione reclami cliente, gestione eventuali richieste AG, esigenze di tutela del patrimonio aziendale, accertamento di illeciti, anomalie rilevanti emerse dall’analisi dei dati aggregati (v. precedente punto 1.2., lett. h.) – previo rilascio di un’informativa ai dipendenti nella quale è indicato il diverso termine massimo di conservazione pari a 6 mesi. Ciò, peraltro, dichiarando espressamente che i dati avrebbero potuto essere conservati ulteriormente (in assenza di alcuna specificazione temporale) ma senza la possibilità di risalire all’identità del lavoratore (“privi dei dati di identificazione individuale”). Inoltre il predetto termine di conservazione è risultato, nel corso del procedimento davanti all’Autorità, essere riferito all’occorrenza di prospettate “casistiche particolari” che appaiono in concreto tutt’altro che infrequenti (reclami dei clienti, infortuni, danneggiamenti oppure non meglio definite “analisi statistiche di trend, obblighi regolatori” relativamente al dispacciamento delle attività). La circostanza, rappresentata dalla società (v. precedente punto 1.5.), che i dati siano conservati per 5 anni non nel sistema nWFM bensì nel diverso sistema Opera − attraverso il quale è possibile effettuare interrogazioni ed estrarre report − non incide sulla unitarietà del complessivo trattamento effettuato dalla società. Considerato che la nuova informativa del 2 agosto 2019 ha successivamente chiarito che i dati raccolti con il sistema saranno “conservati per 5 anni sul sistema Opera […] per l’espletamento delle sole finalità di gestione dei reclami del cliente, gestione di eventuali richieste dell’Autorità giudiziaria e/o della pubblica sicurezza, esigenze di tutela del patrimonio aziendale, accertamento di illeciti, nonché anomalie rilevanti emerse dalla analisi dei dati aggregati” (v. allegato alla nota dell’8.8.2019) risulta accertato che le informative rilasciate ai dipendenti hanno omesso di informare correttamente sugli effettivi tempi di conservazione dei dati personali riferiti ai tecnici “on field” a partire dal 17.11.2017 fino al 2.8.2019.

Ciò risulta in violazione dell’art. 13 del Regolamento, in base al quale il titolare è tenuto a fornire all’interessato - prima dell’inizio dei trattamenti - tutte le informazioni relative alle caratteristiche essenziali del trattamento (v. in particolare art. 13, par. 2, lett. a) relativamente al periodo di conservazione). Nell’ambito del rapporto di lavoro l’obbligo di informare il dipendente è altresì espressione del principio generale di correttezza dei trattamenti, contenuto nell’art. 5, par. 1, lett. a) del Regolamento. Peraltro la società avrebbe dovuto informare correttamente i dipendenti circa i reali tempi di conservazione dei dati anche in considerazione della riserva di utilizzare gli stessi, ai sensi dell’art. 4, comma 3, l. n. 300/1970, “per tutti i fini connessi al rapporto di lavoro” (v. Informativa del 17.11.2017).

3.2. È altresì emerso che nessuno dei documenti informativi forniti dalla società (né la richiamata informativa ai dipendenti del 17.11.2017, né altra documentazione resa nota ai dipendenti presente in atti) contiene riferimenti all’utilizzo, per finalità di gestione del dispacciamento delle attività e per la corresponsione di incentivi economici, ad algoritmi il cui funzionamento avviene in base all’utilizzo di una pluralità di informazioni e di criteri (v. nota di riscontro della società 29.3.2019, p. 2 e 3).

Considerato che la nuova informativa del 2 agosto 2019 ha successivamente chiarito che “la gestione del dispacciamento delle attività e il funzionamento dei sistemi di incentivazione economica sono realizzati attraverso processi automatizzati le cui logiche sono rese sempre disponibili sulla Intranet aziendale attraverso i seguenti link: […]” (v. allegato alla nota dell’8.8.2019) risulta accertato che le informative rilasciate ai dipendenti hanno omesso di informare circa l’esistenza di un processo decisionale automatizzato a partire dal 25 maggio 2018, data di applicazione del Regolamento nel nostro ordinamento, fino al 2 agosto 2019.

Ciò risulta in violazione dell’art. 13, par. 2, lett. f) del Regolamento.

4. Tempi di conservazione.

La società ha indicato inizialmente un primo, unico, termine di conservazione ritenuto congruo relativamente a tutti gli scopi dichiaratamente perseguiti dal sistema pari a sei mesi. Tuttavia solo in relazione ad alcune finalità la società ha indicato le specifiche ragioni per le quali ha individuato tale spazio temporale. Ciò è stato riscontrato anche per il successivo termine quinquennale di conservazione su Opera dei dati raccolti.

Si sottolinea, sul punto, l’esigenza di individuare i tempi di conservazione delle diverse tipologie di dati personali in relazione a ciascuno degli scopi in concreto perseguiti, evitando dunque il riferimento “a blocchi” di fasce temporali omogenee. Inoltre, in occasione di tale valutazione di congruità dei termini di memorizzazione, il titolare deve fare in primo luogo riferimento alla finalità principale per la quale il sistema è stato adottato (cfr., sul punto, Provv. n. 247 del 24 maggio 2017, doc. web n. 6495708, punto 5.4. e lett. e) dispositivo).

5. Misure a garanzia degli interessati.

5.1. Nel quadro della disciplina di settore di cui all’art. 4, comma 3, l. n. 300/1970 e dei principi della disciplina di protezione dei dati personali, il trattamento di dati dei dipendenti raccolti mediante sistemi tecnologici che consentono il controllo a distanza, può essere lecitamente effettuata nei limiti dei dati raccolti e dell’arco temporale commisurato alla luce della specifica finalità di tipo organizzativo o produttivo o legata alla sicurezza del lavoro o alla tutela del patrimonio aziendale (che rientra tra quelle legislativamente previste dall’art. 4, comma 1, l. n. 300/1970).
Pertanto la società è tenuta, in primo luogo, ad individuare la tipologia di dati personali riferiti ai dipendenti (identificati o identificabili) la cui conservazione è necessaria per il conseguimento delle sopra richiamate finalità perseguite con il sistema e a stabilire tempi congrui di conservazione in relazione alle stesse.

5.2. Con specifico riferimento ai tempi di conservazione dei dati di localizzazione raccolti in occasione della “timbratura” effettuata con lo smartphone, il cui trattamento allo stato è in fase di prima applicazione, si rileva che la società ha affermato di voler conservare tali dati fino a 10 anni, fatti salvi termini ulteriori in caso di necessità di far valere o difendere un diritto in giudizio (v. precedente punto 1.2., lett. h.). Il documento Privacy Impact Assessment (PIA) redatto dalla società (datato 15 ottobre 2018) relativamente al “progetto di geolocalizzazione delle timbrature tramite smartphone di servizio per i tecnici on field” (v. nota della società 29.3.2019, All. G), in relazione alle “misure tecniche ed organizzative previste per mitigare i rischi per gli individui”, a fronte del rischio consistente in “Trattamenti protratti oltre a quanto necessario”, prevede come specifica misura la conservazione dei “dati di geolocalizzazione per il solo periodo necessario al trasferimento verso i sistemi di gestione del personale (2 gg) dalla data della loro generazione nel sistema nWFM. Allo scadere di tale termine, i dati di geolocalizzazione devono essere cancellati, oppure anonimizzati in modo irreversibile”, salvo poi successivamente precisare che “il dato di geolocalizzazione potrà essere conservato solo in quanto associato alla timbratura sugli appositi sistemi di gestione del personale (SAP HR), nei termini di legge” (v. p. 21). In proposito si ribadisce che la conservazione del dato presso un sistema distinto da quello presso il quale è avvenuta la raccolta non incide sulla complessiva unitarietà del trattamento. 

In sede di revisione della PIA dovrà, peraltro, provvedersi alla rivalutazione - in relazione alle singole fasi del trattamento complessivamente inteso - delle modalità e dei tempi di conservazione dei dati, pur indicati in misura che, allo stato, deve ritenersi congrua.

5.3. In applicazione dei principi di trasparenza e di correttezza, il sistema dovrà altresì essere configurato, ove già non lo fosse, in modo tale da rendere sempre visibile sullo schermo del dispositivo un’icona che indichi che la funzionalità di localizzazione è attiva (v. art. 5, par. 1, lett. a) del Regolamento).

5.4. Con riferimento al progettato ulteriore sviluppo del sistema (v. precedente punto 1.2., lett. d), che prevede la geolocalizzazione “degli eventi associati alla gestione di tutte le WR”, si evidenzia che l’eventuale implementazione della raccolta e conservazione dei dati di localizzazione deve essere valutato alla luce dei principi di proporzionalità e minimizzazione dei dati (v. art. 5, par. 1, lett. c) del Regolamento), considerato che non è conforme ai menzionati principi, nonché alla disciplina lavoristica in materia di controlli a distanza, sottoporre i dipendenti al monitoraggio continuo della posizione geografica (v., da ultimo, provv.ti 19.7.2018 n. 427, doc. web n. 9039945, e 28.6.2018, n. 396, doc. web n. 9023246).

La conformità di ogni ulteriore implementazione del sistema dovrà essere sottoposta a valutazione d’impatto privacy, che deve tener conto della disciplina di protezione dei dati nonché, per effetto del principio di liceità del trattamento, della disciplina lavoristica applicabile.

6. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Per i suesposti motivi, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento, alla luce delle circostanze del caso concreto:

- si dispone la limitazione definitiva del trattamento dei dati raccolti mediante il sistema nWFM, riconducibili ad interessati identificabili, in base alle informative rilasciate il 17.11.2017 e il 2 agosto 2019, risultate non conformi al Regolamento (art. 58, par. 2, lett. f) Regolamento) limitatamente alle operazioni di conservazione dei dati; si rappresenta che ai sensi dell’articolo 2-decies del Codice i dati personali trattati in violazione della disciplina in materia di trattamento dei dati personali “non possono essere utilizzati” (v. precedente punto 3.1., 3.2.,., 4.);

- si ingiunge al titolare di conformare al Regolamento il modello di informativa resa ai dipendenti, secondo le indicazioni contenute nella parte motiva (art. 58, par. 2, lett. d) Regolamento) (v. i punti 3.1. e 3.2);

- si ingiunge al titolare di individuare la tipologia di dati personali la cui conservazione è necessaria per il perseguimento della relativa finalità di trattamento individuando tempi di conservazione delle diverse tipologie di dati raccolti effettivamente commisurati a ciascuno degli scopi in concreto perseguiti in riferimento alle singole fasi del trattamento, entro 90 giorni dal ricevimento del presente provvedimento (art. 58, par. 2, lett. d) Regolamento) (v. punto 5.1.);

- si ingiunge al titolare, quale misura a garanzia degli interessati, di configurare il sistema- ove già non lo fosse- in modo da rendere sempre visibile sullo schermo del dispositivo un’icona che indichi che la funzionalità di localizzazione è attiva, entro 90 giorni dal ricevimento del presente provvedimento (art. 58, par. 2, lett. d) Regolamento) (v. precedente punto 5.4.);

- si dispone, in aggiunta alle misure correttive, una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento (art. 58, par. 2, lett. i) Regolamento).

7. Ordinanza ingiunzione.

Ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166, commi 3 e 7 del Codice, il Garante dispone l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, lettera b) del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689), in relazione ai trattamenti dei dati personali riferiti ai tecnici “on field” effettuato dalla società attraverso il sistema nWFM, di cui è risultata accertata l’illiceità, nei termini su esposti, in relazione all’ art. 13, par. 1, lett. c) e par. 2, lett. a) e f) del Regolamento, all’esito del procedimento di cui all’art. 166, comma 5 svolto in contraddittorio con il titolare del trattamento (v. precedente punto 1.5, 1.6., 1.7.).
Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a) in relazione alla natura, gravità e durata della violazione si è tenuto conto del numero elevato degli interessati coinvolti (circa 8.000) nonché dell’ampia durata del trattamento (circa due anni). Ulteriori aspetti presi in considerazione sono l’oggetto e le molteplici finalità del trattamento che, in concreto, riguarda un’ampia tipologia di dati personali, compresa la geolocalizzazione, raccolti e conservati dal sistema nWFM preordinato alla gestione delle attività di tutti i tecnici che operano sul territorio per la gestione dei servizi offerti dalla società;

b) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare è stata presa in considerazione la negligente condotta della società nella predisposizione dell’informativa che ha omesso di indicare agli interessati i reali tempi di conservazione dei dati raccolti utilizzabili per un ampio novero di finalità, e la riconducibilità degli stessi ad interessati identificabili;

c) quanto alle misure adottate per attenuare il danno subito dagli interessati è stata considerata favorevolmente la predisposizione da parte della società di un modello di informativa che teneva conto di alcuni dei rilievi formulati dall’Ufficio nella notifica di violazione ex art. 166, comma 5 del Codice;

d) la società ha complessivamente e attivamente cooperato con l’Autorità nel corso del procedimento, anche attraverso la richiesta di incontri al fine di chiarire la propria posizione;

e) le categorie di dati interessati dalla violazione sono molteplici: dati relativi alla posizione geografica, dati di anagrafica, dati di attestazione della presenza di servizio e dati relativi a tutti i singoli aspetti dell’attività lavorativa svolta;

f) sono stati altresì presi in considerazione i seguenti fattori: la circostanza che la violazione sia stata conosciuta dall’Autorità a seguito della presentazione di istanze di parte, l’assenza di precedenti specifici (relativi alla stessa tipologia di trattamento) a carico della società, la perdita di esercizio registrata nel 2018.

Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla società con riferimento al bilancio d’esercizio per l’anno 2018, tenuto altresì conto delle perdite complessive riscontrate. Si ritiene altresì di dover tener conto del complesso delle misure correttive in concreto adottate nei confronti della società che si caratterizzano già in termini di afflittività, con particolare riferimento alla limitazione definitiva del trattamento, nonché alle misure prescrittive. Da ultimo si tiene conto della comminatoria edittale disposta, nel regime previgente, per gli illeciti amministrativi corrispondenti e dell’entità delle sanzioni irrogate in casi analoghi, per quanto non specifici e relativi ad imprese con dimensioni e fatturato significativamente inferiori rispetto al titolare del trattamento destinatario del presente provvedimento.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Tim S.p.A. la sanzione amministrativa del pagamento di una somma pari ad euro 900.000,00 (novecento mila).

In tale quadro, si ritiene altresì, in considerazione della estensione dei trattamenti, della numerosità degli interessati potenzialmente coinvolti, della tipologia di dati oggetto di illecito trattamento che, ai sensi dell’art. 166, comma 7, del Codice, e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.

Si ritiene, inoltre, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Si ricorda che, ai sensi dell’articolo 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento è punito con la reclusione da tre mesi a due anni; in ogni caso può essere applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e), del Regolamento.

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 57, par. 1, lett. f) e 58, par. 2, lett. c), d), f) e i) del Regolamento:

1. dispone nei confronti di Tim S.p.A. la limitazione definitiva del trattamento dei dati raccolti mediante il sistema nWFM riconducibili ad interessati identificabili, in base alle informative rilasciate il 17.11.2017 e il 2 agosto 2019, risultate non conformi al Regolamento (art. 58, par. 2, lett. f) Regolamento) limitatamente alle operazioni di conservazione;

2. ingiunge a Tim S.p.A. di conformare al Regolamento il modello di informativa resa ai dipendenti provvedendo ad individuare la distinta base giuridica del trattamento entro 90 giorni dal ricevimento del presente provvedimento (art. 58, par. 2, lett. d) Regolamento);

3. ingiunge a Tim S.p.A. di individuare la tipologia di dati personali la cui conservazione è necessaria per il perseguimento della relativa finalità di trattamento e, conseguentemente, di individuare tempi di conservazione delle diverse tipologie di dati raccolti con il sistema effettivamente commisurati a ciascuno degli scopi in concreto perseguiti entro 90 giorni dal ricevimento del presente provvedimento (art. 58, par. 2, lett. c) Regolamento);

4. ingiunge a Tim S.p.A. di configurare il sistema- ove già non lo fosse- in modo da rendere sempre visibile sullo schermo del dispositivo un’icona che indichi che la funzionalità di localizzazione è attiva, entro 90 giorni dal ricevimento del presente provvedimento (art. 58, par. 2, lett. d) Regolamento);

5. infligge a Tim S.p.A., in aggiunta alle misure correttive, la sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. b) del Regolamento, ordinando e contestualmente ingiungendo al predetto trasgressore, di pagare la somma di euro.900.000,00 novecentomila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981; ciò ferma restando la facoltà per Tim S.p.A. di definire la controversia mediante il pagamento di un importo pari alla metà della sanzione irrogata entro 30 giorni dalla data della notifica del presente provvedimento, ai sensi dell’art. 166, comma 8 del Codice;

6. dispone, ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento/ordinanza-ingiunzione sul sito web del Garante.

7. ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

8. richiede a Tim S.p.A., di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto disposto nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice, entro il termine di 120 giorni dalla data della notifica del presente provvedimento; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. e) del Regolamento).

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 9 gennaio 2020

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia