Il caso

La questione è sorta in relazione all’adozione, da parte di una società che si occupa della raccolta dei rifiuti per conto della municipalizzata di un comune toscano, di dispositivi indossabili (dotati di un lettore di tag RFID e di GPS) consegnati ai lavoratori, con i quali effettuare la lettura delle etichette elettroniche collocate sui cestini dei rifiuti e segnalare l’eventuale spostamento di quelli non ancorati al suolo. La predetta società, a seguito delle informazioni richieste in fase di istruttoria dal Garante, aveva specificato come il sistema, ancora in fase di sperimentazione, non potesse essere considerato fonte di trattamento di dati personali.

Per l’Azienda, i dati in futuro raccolti avrebbero avuto come primaria finalità quella dell’adempimento di un obbligo contrattuale imposto dalla società appaltante, al fine di verificare il posizionamento dei raccoglitori all’interno del territorio comunale e monitorarne eventuali spostamenti non autorizzati. L’obiettivo era quello di trarre delle statistiche utili a riparametrare lo svuotamento dei cestini in base alle reali esigenze del territorio. Pur non essendo nominativi, i dispositivi erano in dotazione degli operatori collegati ai vari giri di raccolta: da tali modalità di funzionamento, secondo la società, si poteva chiaramente evincere che tali strumenti non fossero impiegati come strumenti di controllo a distanza dei lavoratori, poiché i dati così raccolti, essendo anonimi, non potevano essere ricondotti agli operatori in servizio. Solo a seguito dell’avvio dell’istruttoria da parte del Garante la società specializzata nella raccolta dei rifiuti aveva intrapreso un dialogo con le organizzazioni sindacali al fine di meglio delineare l’utilizzo dei dispositivi in analisi. L’accordo, prodotto a seguito di tale confronto, specificava come i dati raccolti e trattati fossero necessari al fine di adempiere a prestazioni contrattuali imposte dalla società appaltante e mai avrebbero potuto essere utilizzati con finalità disciplinari. Si stabiliva inoltre che, in un primo momento, il sistema di geolocalizzazione venisse disattivato.

La liceità dei “wearable devices” ai sensi del GDPR

Ad avviso del Garante, in base alle caratteristiche del sistema è possibile ravvisare un trattamento di dati personali relativamente ad interessati i quali, se non già identificati, siano comunque identificabili. L’art. 4 del Regolamento europeo, infatti, nel definire il dato personale come “qualsiasi informazione riguardante una persona fisica identificata o identificabile”, afferma che la persona fisica possa essere identificata anche solo indirettamente. Pur non essendo collegati direttamente al singolo dipendente quanto piuttosto alla zona di spazzamento, è anche vero che, anche indirettamente, sia facilmente possibile individuare il lavoratore incrociando i dati provenienti dai bracciali con i registri contenenti i turni di lavoro (e ciò in particolar modo quando in un determinato turno vi sia un solo lavoratore o un numero comunque esiguo).

Pertanto, ciò rende tale tecnologia idonea ad effettuare un trattamento dei dati personali dei lavoratori. È ora fondamentale comprendere se il trattamento possa o meno essere considerato lecito alla luce dei principi dettati dal nuovo Regolamento europeo. Il Garante specifica infatti che I registri nei quali sono contenuti i turni di lavoro vengano redatti dall’azienda in formato cartaceo (così conservati per sette giorni) o, alternativamente, in formato digitale (e conservati per il tempo necessario a gestire eventuali contestazioni da parte della società appaltante).

L’Autorità di controllo, a questo proposito, in ossequio a quanto disposto dall’art. 5, par. 1, lettera d) del GDPR relativamente al principio di “limitazione della conservazione”, ha evidenziato la necessità per la società di individuare tempi di conservazione dei registri strettamente necessari alle finalità in concreto perseguite. Risulterà poi fondamentale adottare misure organizzative e tecnologiche per mantenere distinte le basi di dati nel caso in cui le informazioni non siano più necessarie al fine della ricostruzione di fatti oggetto di contestazione. Sarà dunque indispensabile descrivere nel dettaglio i casi specifici in cui sarà possibile incrociare i dati provenienti dai registri e quelli provenienti dal dispositivo indossabile. Accorgimenti simili dovranno poi essere adottati per quanto concerne i dati raccolti dalla lettura giornaliera dei cosiddetti “tag”.

Lo scopo perseguito mediante l’utilizzo di tale sistema è quello di adempiere a quanto disposto nel capitolato d’appalto dalla società appaltante ossia la consuntivazione del servizio di svuotamento dei cestini getta carte nel comune. Per comprendere la liceità o meno del trattamento è importante anche analizzare le modalità attraverso cui tale scopo viene perseguito e, in particolare, è fondamentale chiedersi se il sistema di geolocalizzazione sia o meno necessario al perseguimento dello stesso.

Nel capitolato d’appalto non viene fatto alcun riferimento al sistema di geolocalizzazione. L’utilizzo di un sistema GPS viene infatti paventato solamente in un momento successivo, mediante l’invio di una seconda nota integrativa. Precedentemente, la società appaltante, in occasione della indicazione dei servizi integrativi per il periodo 2017-2018, aveva fatto esclusivo riferimento alla “lettura tag a partire dal febbraio 2018”, mentre la gestione di eventuali spostamenti dei cestini non fissati al suolo doveva essere gestita conformemente a quanto indicato nel capitolato d’appalto, ossia tramite segnalazione con nastro bicolore ed apposita e-mail. Da quanto detto, pare emergere una mancanza di necessità relativamente ad un sistema di geolocalizzazione non previsto inizialmente dalla stazione appaltante. L’accordo stipulato tra la società e le organizzazioni sindacali ha però previsto l’attivazione del sistema GPS al massimo per un turno settimanale, previa la comunicazione al lavoratore. Da quanto sopra, dunque, risulta salvo il rispetto del principio di minimizzazione dei dati di cui all’art. 5, par. 1, lettera c, del GDPR. Il rispetto dei principi di necessità e proporzionalità rende infatti lecito il trattamento dei dati personali relativamente a tale servizio.

La decisione del Garante a tutela dei lavoratori

Ferma restando la necessità per la società di adeguarsi agli obblighi prescritti nel provvedimento, al fine di realizzare un trattamento dei dati personali dei lavoratori conforme ai dettami del Regolamento europeo, l’Autorità ha evidenziato la necessità di tutelare la dignità dei singoli lavoratori. Pertanto, anche in ossequio a quanto previsto dall’accordo stipulato tra la società e le organizzazioni sindacali, è emerso il bisogno di individuare una tipologia di dispositivo che anche relativamente alle sue caratteristiche esteriori non sia lesiva della dignità del dipendente.

Per quanto attiene all’informativa ex art. 13 GDPR, viene rilevato che la società avrebbe provveduto ad informare i dipendenti coinvolti unicamente fornendo in un primo momento una breve informativa (il cui testo è sprovvisto di data e sottoscrizione) e in un secondo un’informativa recante 72 sottoscrizioni di dipendenti prettamente “per presa visione”. Anche in relazione a ciò, dunque, il Garante ha specificato la necessità di aggiornare l’informativa suddetta conformandola a quanto prescritto dal provvedimento.

Infine, alla luce di quanto disposto dall’articolo 35 del Regolamento europeo, il Garante ha imposto alla società di effettuare una valutazione d’impatto sulla protezione dei dati in relazione all’uso di dispositivi tecnologici che per la natura, l’oggetto, il contesto e le finalità del trattamento possono presentare elevati rischi per i diritti e le libertà delle persone fisiche interessate.

 

Redazione Diritto dell’Informatica

 

Ultimi aggiornamenti

intelligenza artificiale settimana lavorativa
Avv. Giuseppe Croari – Dott.ssa Francesca Gattarello Ad oggi sono notoriamente risaputi i vantaggi che l’intelligenza artificiale ha apportato anche nel mondo del lavoro (a tal proposito vi segnaliamo questo articolo). A ciò si aggiunga la maggiore consapevolezza che la società ha acquisito, negli ultimi anni, […]
contratto vendere webinar
Hai mai pensato al tuo contratto come a un’arma segreta per il successo? Probabilmente no. La maggior parte delle persone considera il contratto come un ostacolo burocratico, un documento noioso e pieno di “legalese” incomprensibile. Ma se ti dicessi che il tuo contratto può essere molto […]
tiktok
Cosa è successo? È notizia di pochi giorni fa l’apertura da parte della Commissione Europa di una indagine e di un procedimento formale nei confronti della piattaforma cinese TikTok per aver violato regole e norme che l’Unione Europea si è data a tutela degli utenti tra […]

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.