Molto spesso aziende e relativo management ignorano i profili normativi propedeutici ad una corretta e lecita installazione di un sistema di localizzazione satellitare. E’ quello che è successo all’ANAS S.p.A., che il 7 marzo scorso è stata oggetto di un provvedimento dell’Autorità Garante per la Protezione dei Dati Personali (clicca qui per leggerlo). Il Garante ha in tal sede dichiarato illeciti i trattamenti di dati personali realizzati attraverso una tecnologia costituita, tra l’altro, da un sistema di geolocalizzazione su veicoli aziendali, che consentiva il controllo a distanza dell’attività lavorativa.
Abbiamo chiesto in materia un approfondimento all’Avv. Marco Soffientini, Coordinatore del Comitato Scientifico di Federprivacy.
L’azienda si era giustificata affermando che la possibilità di attivare la telecamera da remoto e la registrazione continuativa dei dati di localizzazione dei veicoli erano funzionali allo svolgimento delle proprie attività istituzionali connesse alla sorveglianza e sicurezza stradale, nonché ad assicurare la sicurezza dei lavoratori. In caso di necessità, ed in particolare in situazioni di emergenza, la conoscenza della posizione dei veicoli sul territorio consente infatti di coordinare ed ottimizzare gli interventi (cfr. verbale 17 maggio 2012, p. 6 – cit. Provv. 7.03.2013).
Ma motivi di sicurezza e controlli discontinui non sono argomentazioni valide per superare le garanzie poste a tutela dei lavoratori dall’omonimo Statuto e dalla disciplina Privacy.
Il tema del controllo a distanza dei lavoratori è stato affrontato dall’Autorità Garante per la protezione dei dati personali anche nel provvedimento 01.08.2012 (clicca qui per leggerlo), dove ha affrontato la materia dei localizzatori satellitari nell’ambito del rapporto lavorativo, in seguito ad una formale “segnalazione”, pervenuta da parte di due guardie giurate dipendenti di un istituto di vigilanza, per presunti profili di violazione della disciplina privacy in relazione all’avvenuta installazione, a bordo di alcuni autoveicoli in dotazione all’istituto, di un sistema di geolocalizzazione.
Secondo i dipendenti, la società di vigilanza avrebbe omesso la richiesta al Garante di verifica preliminare ai sensi dell’articolo 17 del D.Lgs n.196/2003 (Codice Privacy) e fornito una inidonea informativa ex art. 13 del Codice Privacy. Infine, a giudizio dei segnalanti, quale ulteriore profilo di illiceità nel trattamento, vi sarebbe stata l’inosservanza dell’art. 4, l. 20 maggio 1970, n. 300 (c.d. Statuto dei Lavoratori), in quanto i dispositivi installati avrebbero consentito un controllo a distanza dell’attività dei lavoratori.
L’istruttoria avviata dall’Autorità Garante ha evidenziato profili di fondatezza nella segnalazione: “La società, attraverso il sistema di cui si è dotata – che consente la localizzazione di veicoli di servizio in caso di necessità – tratta dati personali dei dipendenti (segnatamente la loro possibile posizione), essendo le informazioni relative alla posizione del veicolo associabili ad altri dati (nel caso di specie, quelli relativi al conducente cui il mezzo risulta assegnato o ai componenti della pattuglia con la quale il personale della sala operativa è in contatto), sì da rendere riconducibile la fattispecie concreta all’art. 4, comma 1, lett. b), del Codice”.
Ne segue, pertanto, l’obbligo di attivare da parte dell’Istituto di Vigilanza la procedura di cui all’art. 4, co. 2, L. n.300/1970, secondo la quale gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive, ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l’Ispettorato del lavoro, dettando, ove occorra, le modalità per l’uso di tali impianti.
Pertanto la società di vigilanza avrebbe dovuto interpellare le RSA aziendali, se presenti, e raggiungere un accordo sindacale ad hoc, oppure presentare una domanda di autorizzazione all’utilizzo del sistema di localizzazione alla competente Direzione Territoriale del Lavoro (DTL).
Le osservazioni del Garante, inoltre, hanno evidenziato come la società non avesse preventivamente fornito un’idonea informativa agli interessati ai sensi dell’art. 13 del Codice Privacy.
In particolare, l’Autorità Garante ha censurato l’informativa fornita dall’azienda in merito al trattamento, in quanto approssimativa e carente degli elementi di cui all’articolo 13 del Codice Privacy, con particolare riferimento alla mancata indicazione dei soggetti ai quali i dati personali possono essere comunicati (art. 13, lett. d) e l’indicazione dei diritti dell’interessato di cui all’articolo 7 del Codice Privacy (art. 13, lett. e).
Il Garante ha ulteriormente precisato che: “. . . in base al principio di correttezza del trattamento (art. 11, comma 1, lett. a), del Codice), l’informazione fornita ai dipendenti dovrebbe essere in grado di mettere in condizione gli interessati di comprendere compiutamente le “modalità” e le circostanze rilevanti del trattamento che li riguarda, con una più chiara descrizione del funzionamento del sistema installato, dei casi nei quali lo stesso può essere attivato e dei soggetti che possono venire a conoscenza dei dati.
A tal fine, il titolare del trattamento dovrebbe pertanto provvedere alla formalizzazione ed alla comunicazione agli interessati di un apposito protocollo nel quale siano specificati i casi e le procedure di attivazione di tale meccanismo.
Ulteriore profilo deficitario emerso dall’istruttoria del Garante è stata la carenza di una allegazione probatoria da parte della società sulla circostanza di aver reso un’adeguata informativa ai dipendenti. Giusto per chiarezza, si tratta della prova di aver fornito l’informativa e non della necessità di dover raccogliere il consenso dell’interessato, in quanto in applicazione del principio del c.d bilanciamento degli interessi – art. 24, comma 1, lett g) del d.lgs n.196/2003 – (nota 1), l’Autorità Garante ha escluso la necessità di raccogliere il consenso degli interessati.
Il caso esaminato ha comportato l’ordine alla società di adeguarsi alla disciplina privacy ai sensi degli artt. 143, comma 1, lett. b), 144 e 154, comma 1 lett. c), del Codice Privacy, attuando le prescrizioni specifiche dettate dal Garante sull’utilizzo dei sistemi di localizzazione dei veicoli nell’ambito del rapporto di lavoro con il provvedimento 4 ottobre 2011, in Boll. N.370 del 4.10.2011 (leggilo qui).
Il pregio di questo provvedimento è di indicare in maniera chiara e precisa gli adempimenti ai quali i datori di lavoro si devono attenere per installare un sistema di localizzazione satellitare nell’ambito del rapporto di lavoro. Vediamo, brevemente, i punti fondamentali del provvedimento:
a) Al fine di rispettare il principio di necessità espresso dagli articoli 3 e 11 comma 1, lett. d) del Codice Privacy (nota 2), il Garante ha prescritto che la posizione del veicolo non deve essere monitorata continuativamente dal titolare del trattamento, ma solo quando ciò si renda necessario per il conseguimento delle finalità legittimamente perseguite;
b) al fine di rispettare il principio di cui all’articolo 3 del Codice Privacy, i dati personali eventualmente trattati andranno conservati per il tempo strettamente necessario a perseguire la finalità del trattamento e, pertanto, i sistemi informativi e i programmi informatici andranno configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità.
Ne segue che quando i dati di localizzazione sono trattati al fine di rendere una determinata prestazione contrattuale, dovranno essere cancellati o resi anonimi una volta terminata la prestazione.
c) il Titolare del trattamento deve provvedere alle nomine privacy. Quindi andranno nominati “incaricati interni del trattamento”, a norma dell’art. 30 del D.lgs n. 196/2003, tutti coloro che in ragione delle mansioni svolte all’interno dell’azienda trattino dati di localizzazione (es. il personale della sala operativa, o quello incaricato di gestire la logistica, ecc.), mentre saranno designati “responsabili esterni” ai sensi dell’articolo 29 del D.Lgs n.196/2003, i fornitori di servizi di localizzazione del veicolo e di trasmissione della posizione del medesimo.
d) oltre all’informativa, che deve essere completa di tutti gli elementi indicati dall’art. 13 d.lgs n.196/2003, il Garante ha prescritto l’adozione anche di avvisi brevi che segnalino la circostanza della geo-localizzazione del veicolo, fornendo un fac simile (Vedi foto in apertura).
e) il trattamento dei dati di localizzazione deve formare oggetto di notificazione ai sensi dell’art. 37, comma 1, lett. a), del Codice Privacy).
Naturalmente, oltre alle misure prescritte dal provvedimento de quo, il Titolare del trattamento dovrà applicare anche le misure di sicurezza previste dalla disciplina privacy vigente affinché siano ridotti i rischi di distruzione o perdita, anche accidentale, dei dati; accesso non autorizzato e trattamento non consentito o non conforme alle finalità della raccolta.
È opportuno precisare che la legge sulla privacy (artt. 31-36 d.lgs n.196/2003) distingue tra misure c.d. idonee e minime di sicurezza. La distinzione è rilevante in sede di valutazione delle responsabilità civili e penali. Infatti, la mancata adozione di misure minime di sicurezza fa sorgere in capo a chiunque vi sia tenuto le responsabilità penali di cui all’articolo 169 del d.lgs n.196/2003 (nota 3) mentre l’omissione di misure idonee da parte di chiunque cagioni danno ad altri fa scaturire una responsabilità ex art. 2050 c.c. (nota 4).
Un ultimo accenno va dedicato alla c.d. verifica preliminare ex art. 17 (c.d prior checking), che andrà attivata tutte le volte che il trattamento dei dati di localizzazione comporti rischi specifici per i diritti e le libertà fondamentali, non contemplati dal provvedimento esaminato.
NOTE AL TESTO:
(1) Art. 24, comma 1, lett. g: Il consenso non è richiesto, oltre che nei casi previsti nella Parte II, quando il trattamento con esclusione della diffusione sia necessario nei casi individuati dal Garante sulla base dei princìpi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell’interessato;
(2) Art. 3. Principio di necessità nel trattamento dei dati: I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità. Art. 11, comma 1, lett. d: I dati personali oggetto di trattamento sono pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati;
(3) Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall’articolo 33 è punito con l’arresto sino a due anni.
(4) In questo senso, il primo comma dell’articolo 15 del Codice Privacy, secondo il quale “Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile”. La norma assimila il trattamento di dati personali alle attività pericolose, con conseguente applicazione del principio dell’inversione dell’onere della prova. La prova liberatoria dovrà essere fornita da chi tratta i dati e, secondo la giurisprudenza, dovrà consistere nell’aver rispettato “tutte le tecniche note” anche solo astrattamente possibili all’epoca del fatto. In questo senso cfr. Trib. Milano, 19 novembre 1987.