Dati sulla geolocalizzazione: ecco le regole per gestire correttamente l’istanza di accesso del dipendente
2023-10-13 22:2:25 Author: www.cybersecurity360.it(查看原文) 阅读量:7 收藏

GDPR E LAVORO

Il Garante privacy ha comminato una sanzione di 20mila euro a una società incaricata della lettura dei contatori delle utenze di gas, luce e acqua: l’Autorità ha contestato all’azienda di non aver dato idoneo riscontro alle istanze di accesso ai dati dei dipendenti. Ecco cosa impariamo dall’analisi del provvedimento

Pubblicato il 13 Ott 2023

Con recente provvedimento del 14 settembre 2023, il Garante Privacy ha comminato una sanzione da 20 mila euro nei confronti di una società, incaricata della lettura dei contatori di acqua, luce e gas, per non aver riscontrato correttamente alcune di istanze di accesso ai dati formulate dai suoi dipendenti.

Le richieste di accesso erano rivolte a ottenere tutte le informazioni utilizzate dall’azienda per elaborare i rimborsi chilometrici e la retribuzione e, in particolare, i dati di geolocalizzazione degli smartphone aziendali, che erano dotati di un apposito applicativo per consentire ai dipendenti di “navigare” verso le utenze presso cui effettuare la lettura dei contatori.

Applicativo che, a detta dei dipendenti, era utilizzato per generare i rimborsi e determinare la retribuzione dei dipendenti.

L’azienda non aveva, però, fornito idoneo riscontro (anche perché, nel mentre, i dipendenti avevano azionato le loro pretese retributive avanti al Giudice del lavoro del Tribunale di Milano e l’ostensione dei dati gli avrebbe consentito di meglio assolvere al loro onere probatorio) e aveva omesso di concedere ai dipendenti l’accesso ai dati di geolocalizzazione.

Il Garante, quindi, ha da un lato ordinato all’azienda di fornire ai dipendenti “i dati relativi alle specifiche rilevazioni/coordinate geografiche effettuate con il GPS dello smartphone e tutte le informazioni ricollegate al trattamento richieste” e dall’altro ha sanzionato l’azienda per il mancato riscontro fornito.

Nelle motivazioni del provvedimento si scorge un esame dell’applicativo utilizzato per la geolocalizzazione dei dipendenti, che comunque non sfocia in una valutazione di legittimità o meno del sistema di geolocalizzazione (l’oggetto del procedimento, del resto, era diverso, concentrandosi sul diritto di accesso negato).

Il provvedimento, quindi, censura unicamente la violazione del diritto di accesso dei dipendenti e non si spinge ad esaminare la legittimità del trattamento dei dati, su cui spesso le aziende scivolano stante anche la problematica sovrapposizione fra normativa privacy e giuslavoristica (e relative cautele e prescrizioni), che in alcune istanze rischia di far sconfinare nel reato l’attività di sorveglianza del datore di lavoro.

Tra GDPR e Statuto dei lavoratori: i profili di privacy del lavoratore sotto la lente del Garante

Le definizioni di dato personale e trattamento dati

Il provvedimento del Garante è interessante nel suo ripercorrere e adattare al caso di specie le definizioni di dato personale e di trattamento, in quanto l’azienda affermava di non effettuare un trattamento dati nel momento in cui localizzava i dipendenti (localizzazione che, come risulta dal provvedimento del Garante, era pacificamente effettuata al momento della lettura dei contatori).

La Top 5 delle minacce informatiche e come contrastarle

Ma è proprio dalle definizioni di:

  1. dato personale (art. 4 par. 1 n. 1 GDPR): “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;”
  2. e di trattamento (art. 4 par. 1 n. 2 GDPR): “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;”

che si ricava come nel caso all’esame dell’Autorità siamo di fronte inequivocabilmente ad un trattamento dati.

Basta, infatti, considerare che la geolocalizzazione di uno smartphone giocoforza consente la geolocalizzazione del soggetto cui lo smartphone è assegnato e che, pertanto, la società ha trattato dati di ubicazione dei propri dipendenti quantomeno nel momento in cui questi effettuavano la lettura dei contatori (e inserendola in app comunicavano la loro posizione).

Dati sulla geolocalizzazione: la posizione della Cassazione

Il tema oggetto del provvedimento del Garante è al centro anche di una recente ed interessante pronuncia della Suprema Corte che, nel confermare una ordinanza-ingiunzione del Garante privacy risalente al giugno 2018, ha riconosciuto la responsabilità di una azienda per non aver notificato (nel regime vigente prima della riforma del D.Lgs. 196/2003) l’adozione di uno strumento di geolocalizzazione dei mezzi assegnati ai dipendenti ed ai clienti.

La questione all’esame della Corte è particolare perché la ditta sanzionata (perché considerata titolare del dato di geolocalizzazione) è una azienda che noleggiava automezzi con autisti.

Gli automezzi erano muniti di un sistema di geolocalizzazione installato autonomamente da altra ditta fornitrice, che ne necessitava “per poter fornire servizi ai propri clienti”.

Nasce, da questo complesso quadro, la difficoltà nell’individuare chi sia il titolare del trattamento dei dati, se quindi si tratti della ditta che ha installato il sistema di geolocalizzazione e ne detiene il database, o se invece si tratti della ditta che possiede i mezzi e li noleggia, ditta alla quale l’installatrice del sistema di geolocalizzazione aveva fornito le credenziali per accedere ai dati di posizione dei mezzi (credenziali che però la ditta sanzionata dal Garante affermava di non aver mai utilizzato, tanto da non aver alcun personale dedicato all’attività di monitoraggio delle posizioni dei mezzi).

La Cassazione, cui il Garante si è rivolto per saltum dopo l’accoglimento del ricorso dell’azienda sanzionata da parte del Tribunale di Sondrio, conferma la sanzione del Garante, affermando il titolare del dato è colui che può esercitare in autonomia il potere decisionale sulle finalità e modalità del trattamento, soggetto che, nel caso, va individuato nella ditta proprietaria dei mezzi su cui erano installati i dispositivi di geolocalizzazione sol perché la stessa era nella disposizione delle credenziali di accesso del portale contenente i dati.

La sentenza è quindi densa di conseguenze perché:

  1. fa discendere il ruolo di titolare dalla semplice disponibilità dello strumento e non dal suo effettivo utilizzo (il che impone un attento esame degli strumenti informatici di cui le aziende si dotano, in quanto le stesse saranno responsabili non solo di quella “porzione” di applicativo che usano, ma anche di tutti quei trattamenti dati che l’applicativo fa magari senza che loro se ne rendano nemmeno conto, purché -vien da dire- non sia fatto nell’interesse esclusivo del fornitore);
  2. qualifica come titolare del dato un soggetto che del dato stesso professa di non avere effettivo controllo né interesse al suo utilizzo.

Certo, la pronuncia non affronta altre questioni essenziali, come ad esempio il ruolo e le responsabilità del soggetto (responsabile esterno) che ha installato il sistema di geolocalizzazione e ne gestisce il database, o eventuali profili di sovrapposizione delle finalità del trattamento, che potevano non avvenire solo sotto il controllo della ditta sanzionata, ma magari anche nell’interesse dell’installatrice o di clienti della ditta sanzionata (e/o dell’installatrice del sistema GPS), ma resta comunque il fatto che questa presa di posizione della giurisprudenza, unita al quasi contemporaneo provvedimento in tema di geolocalizzazione dei dipendenti del Garante che abbiamo esaminato, deve spingere le aziende ad approcciarsi con massima prudenza verso strumenti tecnologici di questo tipo, rammentando il fondamentale principio sul tema stabilito dal Garante ancora nel 2018, quando ha così provveduto (provv. 396 del 28.06.2018):

Ai sensi del Regolamento Generale sulla Protezione dei Dati Personali 679/2016/UE va ingiunto, a un fornitore di servizi di geolocalizzazione, di incorporare il “diritto alla privacy” direttamente nelle funzionalità del prodotto, attenendosi al principio di minimizzazione dei dati e a quello di privacy by design e privacy by default.”

Sim attivate all’insaputa dell’utente, interviene il Garante privacy: ecco le violazioni

Le cautele della geolocalizzazione

Ne consegue che quando un titolare abbia intenzione di implementare un sistema di geolocalizzazione, dovrà:

  1. assicurarsi che il suo fornitore abbia sviluppato il sistema attenendosi ai principi in tema di diritto alla riservatezza;
  2. contrattualizzare l’impegno del fornitore al rispetto della normativa privacy nella gestione del database e del servizio (se esternalizzato);
  3. formare il proprio personale sull’accesso al sistema e sul suo settaggio più rispettoso possibile della privacy degli interessati;
  4. effettuare ove del caso una valutazione di impatto ai fini privacy;
  5. Informare compiutamente clienti, dipendenti e chiunque altro sia identificabile attraverso il sistema di geolocalizzazione del trattamento effettuato;
  6. nel caso in cui il trattamento coinvolga dei dipendenti, verificare se ricorrono le condizioni di cui alla Circolare n. 2 del 2016 dell’INL e procedere, nel caso, ad ottenere la prescritta autorizzazione sindacale o dell’Ispettorato.

Solo un approccio prudente ed orientato ai principi richiamati dal Garante in tema di tutela dei dati personali può infatti garantire di andare esenti dal complesso novero di sanzioni che interessa un’implementazione di questo tipo, aiutando magari le aziende all’utilizzo come prova in giudizio dei dati legittimamente ottenuti attraverso questi sistemi (va infatti ricordato, sul punto, che la Corte europea diritti dell’uomo, con recente sentenza n. 26968/16 del 13.12.2022, ha affermato che non vi è violazione dei principi CEDU nel caso di licenziamento basato su dati ottenuti da un sistema di geolocalizzazione installato all’interno del veicolo messo a disposizione dall’azienda al dipendente).

Scopri le soluzioni di Disaster Recovery per il Business che non si ferma mai

@RIPRODUZIONE RISERVATA


文章来源: https://www.cybersecurity360.it/legal/privacy-dati-personali/dati-sulla-geolocalizzazione-ecco-le-regole-per-gestire-correttamente-listanza-di-accesso-del-dipendente/
如有侵权请联系:admin#unsafe.sh