Sempre più frequentemente le società adottano sistemi di geolocalizzazione su veicoli o altri dispositivi e strumenti aziendali utilizzati dal personale interno. Non altrettanto frequentemente, però, vi è la consapevolezza dell’impatto derivante dall’attivazione di detti sistemi.
Spesso infatti si ritiene che i dati di geolocalizzazione possano essere gestiti liberamente, per le finalità più varie e senza alcun obbligo particolare.
Ma è davvero così?
In realtà i dati di localizzazione geografica dei dispositivi aziendali, ove, direttamente o indirettamente, associati ai lavoratori, costituiscono dati personali che, in quanto tali, possono essere trattati solo nel rispetto dei principi di liceità, finalità, necessità e proporzionalità del D. Lgs. 196/2003 (codice privacy) e degli obblighi previsti dalla suddetta normativa. Ma non solo.
La localizzazione degli strumenti assegnati ai dipendenti può comportare una forma di controllo a distanza dell’attività da loro svolta, sicché, oltre alla disciplina in materia di protezione dei dati personali, sarà necessario considerare e rispettare le prescrizioni di cui all’art. 4 della L. 300/1970, che vieta l’uso di apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori, consentendone invece l’adozione per esigenze organizzative e produttive o per ragioni di sicurezza – previo coinvolgimento, però, delle rappresentanze sindacali o dell’ispettorato del lavoro competente.
Tali indicazioni sono valide sia nel caso di sistemi di geolocalizzazione installati su veicoli aziendali (rispetto ai quali il Garante ha emanato un provvedimento generale il 4 ottobre 2011), sia nel caso in cui il trattamento dei dati di localizzazione geografica avvenga attraverso altri strumenti assegnati ai dipendenti, come ad esempio nell’ipotesi di utilizzo di smartphone aziendali (espressamente considerata dall’Autorità in due recenti provvedimenti di accoglimento di istanze di verifica preliminare, datati 11 settembre 2014 e 9 ottobre 2014).
A prescindere pertanto dallo strumento aziendale adoperato dal dipendente cui si riferiscono i dati di geolocalizzazione acquisiti, sarà necessario sottoscrivere apposito accordo con i sindacati o, in mancanza, rivolgersi alla DPL, presentare istanza di verifica preliminare al Garante, predisporre apposita informativa privacy da fornire agli interessati, procedere alla nomina ad incaricato e a responsabile dei soggetti coinvolti nelle operazioni, notificare il trattamento e predisporre le misure di sicurezza minime e idonee a ridurre rischi di accessi non autorizzati e perdita o distruzione dei dati.
Tuttavia, se è vero che gli adempimenti previsti dalla normativa in materia di privacy e dalla disciplina di cui allo Statuto dei lavoratori trovano applicazione per il trattamento di dati di geolocalizzazione, indipendentemente dagli strumenti adoperati, nel caso in cui tali dati siano acquisiti tramite app mobile installata su uno smartphone aziendale, si rende necessario svolgere delle valutazioni specifiche, in considerazione del fatto che – come evidenziato dall’Autorità privacy – un dispositivo mobile, per le proprie caratteristiche, è destinato a “seguire” la persona che lo detiene e, pertanto, il trattamento dei dati legato ad un tale strumento presenta rischi specifici per la libertà, i diritti e la dignità del dipendente (cfr. Provv. 11 settembre 2014 e Provv. 9 ottobre 2014).
Quali allora concretamente gli accorgimenti da dover considerare ed attivare nel caso di trattamento di dati di localizzazione geografica effettuato tramite l’utilizzo di uno smartphone aziendale per finalità di sicurezza o per esigenze organizzative e produttive (tra cui ad esempio quelle tese ad ottimizzare la gestione, il coordinamento e la tempestività degli interventi tecnici sul territorio da parte del personale)? Il Garante, nei citati provvedimenti di accoglimento delle istanze di verifica preliminare presentate da due società di telefonia – interessate, appunto, ad avviare un trattamento di dati di localizzazione riferiti agli smartphone assegnati ai dipendenti – fornisce varie indicazioni e individua alcuni adempimenti che dovranno essere osservati nel caso in cui una società intendesse avviare un tale trattamento.
Al di là degli obblighi informativi, soddisfatti già tramite l’informativa privacy da fornire agli interessati prima che il trattamento abbia inizio, il Garante prescrive specificamente l’obbligo di configurare il sistema in modo tale che sullo schermo del dispositivo mobile sia posizionata, e sempre chiaramente visibile, un’icona che indichi che la funzionalità di localizzazione sia attiva. In tal modo i dipendenti potranno infatti essere costantemente informati in ordine all’attivazione del sistema di acquisizione dei dati di localizzazione del dispositivo da loro utilizzato.
Sempre con riferimento agli obblighi informativi, sarà poi necessario fornire compiutamente ai dipendenti le indicazioni in ordine alle ipotesi in cui è possibile la disattivazione della funzione di localizzazione nel corso dell’orario di lavoro. Il sistema non deve poi consentire, di regola, la rilevazione continuativa di dati relativi alla localizzazione geografica ed occorre evitare la storicizzazione degli spostamenti del dipendente.
Oltre alle misure minime di sicurezza previste dalla normativa di settore e alle prescrizioni contenute nelle Linee Guida in materia di posta elettronica e internet del 2007, espressamente richiamate dal Garante nei provvedimenti esaminati, il Titolare che intenda effettuare un trattamento di dati di localizzazione tramite dispositivo mobile, dovrà inoltre adottare misure idonee a garantire che le informazioni acquisite tramite l’utilizzo dello smartphone siano riferibili esclusivamente ai dati di geolocalizzazione, mentre dovrà essere impedito l’accesso, da parte dell’applicazione installata, ad altre informazioni presenti sul dispositivo e il conseguente trattamento di dati ultronei (es. dati relativi al traffico telefonico, agli sms, alla posta elettronica o altro).
Alla luce delle considerazioni svolte e dei rilievi dell’Autorità Garante, è dunque possibile affermare che l’utilizzo di sistemi di geolocalizzazione in azienda, al pari di sistemi di videosorveglianza, è possibile, purché il trattamento dei dati relativi avvenga per finalità lecite e nel rispetto degli adempimenti previsti dalla normativa vigente applicabile nel settore.
In particolare, ove si intenda adottare un sistema di geolocalizzazione avvalendosi degli smartphone aziendali, si dovranno considerare, oltre agli “ordinari” adempimenti, anche alcuni accorgimenti legati proprio alle caratteristiche dello strumento adoperato, per cui potrà certamente farsi riferimento ai provvedimenti citati con cui il Garante ha accolto l’istanza di verifica preliminare delle due società di telefonia, ferma restando però la necessità di considerare, nei singoli casi, eventuali specifiche legate alle modalità del trattamento che si intende svolgere e che potrebbe richiedere delle misure e degli accorgimenti ad hoc.
Pubblicato su A & S Italy n. 30, dicembre 2014