Dispositivi aziendali e geolocalizzazione: a quali condizioni?

Con doc. web n. 3505371 del 9.10.2014, all’esito di una verifica preliminare richiesta da Wind Telecomunicazioni Spa ai sensi dell’art. 17 Codice privacy il Garante ha chiarito a quali condizioni è possibile e lecita (ai fini privacy) la geolocalizzazione dello smartphone in uso al lavoratore.

La compagnìa telefonica chiedeva la possibilità di attivare un sistema che, attraverso tecniche di geolocalizzazione del device in uso ai propri tecnici, le consentisse di rilevarne periodicamente la posizione sul territorio.

Finalità dichiarate:

– miglioramento dei livelli di servizio, assicurando una pianificazione ottimizzata del lavoro;

– supportare la gestione delle attività d’emergenza …mediante la conoscenza della posizione dei tecnici e l’identificazione del tecnico più qualificato e più vicino al sito per il quale è richiesto l’intervento;

– supportare le misure di sicurezza a tutela dei tecnici coinvolti in attività di servizio allocate in aree remote e/o disagiate.

Con la precisazione da parte del Titolare del trattamento che i dati relativi alla posizione geografica dei dipendenti non saranno utilizzati per finalità diverse da quelle rappresentate “né potranno essere usati […] per qualsivoglia fine disciplinare“.

Una tecnologia di questo tipo tratta dati del lavoratore quali l’ID del dispositivo aziendale ad esso affidato, il numero di telefono, le coordinate GPS del dispositivo (e dunque del tecnico) durante lo svolgimento dell’attività operativa e le coordinate GPS della “home base del tecnico per la determinazione dell’area di competenza“.

Questo provvedimento del Garante è molto interessante per vedere la metodologia applicata al fine di segnare il confine di liceità del trattamento dati laddove vi siano interessi contrapposti e talvolta confliggenti.

Spiega il Garante che “Il descritto trattamento …presenta caratteristiche particolari proprio in considerazione dell’utilizzo di un dispositivo smartphone messo a disposizione dei dipendenti allo scopo di procedere alla raccolta dei dati di localizzazione. Tali dispositivi, in considerazione delle normali potenzialità d’uso nonché in ragione dell’utilizzo oramai comune degli stessi, possono essere agevolmente impiegati anche per finalità diverse da quelle lavorative …Inoltre lo smartphone è, per le proprie caratteristiche, destinato inevitabilmente a “seguire” la persona che lo detiene, indipendentemente dalla distinzione tra tempo di lavoro e tempo di non lavoro. Il descritto trattamento pertanto presenta rischi specifici per la libertà (es. di circolazione e di comunicazione), i diritti (v. artt. 10, D.Lg. 276/2003 e 8, l. n. 300/1970) e la dignità del dipendente e richiede una specifica ed attenta valutazione da parte dell’Autorità“.

Il Garante ha ritenuto lecite le finalità del trattamento prospettate dal Titolare in quanto dettate da esigenze di ottimizzazione della gestione e del coordinamento degli interventi effettuati dai tecnici sul campo, migliorando la qualità del servizio ma certamente utile anche a migliorare le condizioni di sicurezza del lavoro effettuato dai tecnici stessi.

Ne deriva che i trattamenti di dati in questione soddisferebbero esigenze organizzative e produttive ma anche di sicurezza del lavoro, in linea con quanto stabilito dalla disciplina sul controllo a distanza dei dipendenti (cfr. artt. 11, co. 1 lett. a) e 114 del Codice privacy e 4 Statuto dei Lavoratori, nella formulazione ante-Jobs Act). Va precisato che la società Istante ha correttamente attivato le necessarie procedure autorizzative previste dall’art. 4 dello Statuto dei Lavoratori.

Il provvedimento del Garante dunque, attuando il c.d. bilanciamento di interessi, individua un legittimo interesse al trattamento di tale tipologia di dati (diversi da quelli sensibili) in relazione alle finalità rappresentate.

Il Garante, infine, ha ritenuto il trattamento in esame rispettoso dei principi di pertinenza e non eccedenza, considerato che la rilevazione della posizione del lavoratore non avviene continuativamente ma ogni 10 minuti e che ogni volta che lo smartphone rileva una posizione viene automaticamente cancellata quella precedente (con cancellazione dell’ultima rilevazione nel momento in cui termina la giornata lavorativa del dipendente).

Nell’ultima parte del provvedimento il Garante prescrive le misure idonee di sicurezza da adottare al fine di tutela dei dati trattati (garantire che le informazioni presenti sul dispositivo mobile visibili o utilizzabili dall’applicazione installata siano riferibili esclusivamente a dati di geolocalizzazione, impedire l’eventuale trattamento di dati ultronei, posizionamento di un’icona che indichi che la funzionalità di localizzazione è attiva, anche quando l’app lavora in background).

Ovviamente i trattamenti in esame devono essere resi noti in via preventiva con adeguata informativa agli interessati, che devono essere posti nella condizione di conoscere chiaramente finalità e modalità del trattamento e di esercitare i diritti di cui all’art. 7 Codice Privacy.

Devono inoltre essere notificati al Garante e rispettare, in quanto applicabili, le prescrizioni e raccomandazioni contenute nelle “Linee guida per posta elettronica e internet” del 2007.

La dettagliata ricostruzione fornita e il gran numero di elementi presi in considerazione dal Garante per dichiarare ammissibile il trattamento evidenzia la necessità di valutazioni caso per caso che tengano conto della concreta situazione aziendale e degli interessi coinvolti da bilanciare.

Il provvedimento in commento è reperibile al seguente link.