La rilevazione della posizione (e con essa il tracciamento del percorso) del lavoratore tramite GPS viene classificata dal GDPR come vero e proprio Trattamento dei dati personali con tutta una serie di problematiche sotto il profilo della Privacy.
Tale esigenza può nascere dall’interesse legittimo del Datore di lavoro sia di verificare la conformità e l’utilizzo degli strumenti aziendali alle disposizioni in materia di sicurezza sul lavoro, sia di tutelare la proprietà aziendale contro eventuali furti o danneggiamenti. Evidenti sono però anche le conseguenze in cui si può incorrere sotto il profilo di tutela della Privacy dei lavoratori.
Come avviene la geolocalizzazione
I dati di localizzazione, o dati sulla posizione, sono le informazioni che indicano la posizione geografica dell'apparecchiatura terminale di un utente (es. smartphone) trattate da una rete o da un servizio di comunicazione elettronica.
In particolare sono i dati relativi alla: - latitudine; - longitudine; - altitudine; - direzione di marcia; - ora di registrazione della posizione.
Questi dati, che nella maggior parte dei casi derivano dai dispositivi che l'utente indossa, (come ad esempio smart band o fitness tracker) o che porta con sé (come smartphone o tablet), se raccolti in sequenza consentono di tracciare gli spostamenti delle persone nello spazio.
Ma come possono essere raccolti? Ad oggi esistono varie modalità di raccolta dei dati: - Tramite GPS (Global Positioning System, cioé la rete satellitare).
I dispositivi sono in grado di rilevare la propria posizione tramite la rete satellitare indipendentemente da ricezioni telefoniche o via Internet, anche se talvolta le condizioni meteorologiche o varie interferenze possono influenzarne l'accuratezza. - Tramite reti Wi-Fi.
I dispositivi mobili possono ricavare la loro posizione eseguendo la scansione delle reti Wi-Fi (o dei punti di accesso) nelle vicinanze, esistono molti database dei router wireless.
- Tramite Beacon Bluetooth.
I Beacon sono piccoli trasmettitori radio che usano segnali Bluetooth unidirezionali, possono essere collegati a vari oggetti (come ad esempio le chiavi o il portafoglio) e installati in luoghi fisici come negozi o uffici, e, se l'utente acconsente alla connessione Bluetooth, possono trasmettere informazioni e dedurre la posizione del dispositivo.
- Tramite le torri cellulari utilizzate per la fornitura del servizio di comunicazione cellulare.
I gestori di telefonia sanno sempre approssimativamente dove si trova un dispositivo perché questo dialoga continuamente con le torri (che emettono costantemente degli "ID Tower" unici) al fine di poter instradare la comunicazione (telefonica o Internet). Dalla presenza in una "cella" e dalla forza del segnale può essere dedotta approssimativamente la posizione del dispositivo. Di questo tracciamento l'operatore tiene un registro che può essere consultato solo dalle forze di polizia.
- Tramite una combinazione di segnali.
I moderni smartphone combinano più segnali dalle fonti sopra indicate per calcolare la posizione in maniera più precisa, anche accorpando le informazioni fornite dagli innumerevoli sensori come l'altimetro e l'accelerometro.
Trattamento dei dati di geolocalizzazione
I dati sulla posizione sono considerati dati personali, e in molti paesi sono soggetti ad una tutela rafforzata. Ad esempio negli Usa la Corte Suprema ha affermato che i dati sulla posizione sono in grado di rivelare informazioni sui comportamenti e la vita personale delle persone.
In Italia il trattamento di dati relativi alla localizzazione delle persone trova la propria disciplina sia nel Regolamento Europeo sulla protezione dei dati personali (GDPR), sia nella cosìddetta direttiva ePrivacy (che in un prossimo futuro sarà sostituita da un nuovo Regolamento ePrivacy).
Secondo la direttiva ePrivacy, solo i fornitori dei servizi di comunicazione o quelli di servizi a valore aggiunto possono trattare i dati di localizzazione, sia in forma anonima che integrale (in base al consenso dell'interessato), a patto che l’elaborazione di tali dati sia necessaria per la finalità relativa ai servizi a valore aggiunto.
Ma cos'è un servizio a valore aggiunto?
Un servizio a valore aggiunto è un servizio che richiede il trattamento di dati di traffico o localizzazione oltre a quello necessario per la trasmissione di una comunicazione o la fatturazione relativa a tale comunicazione.
Ad esempio sono servizi a valore aggiunto quelli che individuano la posizione dell'utente chiamante per fornire assistenza in caso di emergenze o avarìe del veicolo.
Il consenso non può essere relativo a più finalità, ma deve essere specifico per il servizio (potrebbe non essere sufficiente un consenso unico alla sottoscrizione del contratto), e la relativa informativa deve essere corredata dall'indicazione di che tipi di dati sulla posizione verranno trattati, per quale scopo, per quanto tempo e se verranno comunicati a terzi.
Geolocalizzazione in ambito aziendale
Da sempre l’utilizzo di sistemi di rilevamento della posizione è particolarmente delicato in ambito lavoristico.
Oggi non si tratta solo di geolocalizzare la flotta aziendale, ma anche i dispositivi tecnologici (anche indossabili) affidati ai lavoratori per assolvere i compiti loro assegnati.
È noto che il controllo a distanza del datore di lavoro sia illecito quando si configuri “occulto", cioè perpetrato senza rispettare le prescrizioni stabilite dall’art. 4 dello Statuto dei Lavoratori. Non è infatti corretto ritenere che ogni forma di controllo “a distanza” risulti illecita.
Nel caso in cui il datore di lavoro, per esigenze organizzative/produttive, per la sicurezza del lavoro o per la tutela del patrimonio aziendale, intenda utilizzare sistemi dai quali possa derivare un possibile controllo difensivo (ad eccezione degli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e quelli di registrazione degli accessi e delle presenze), dovrà ottenere, prima ancora di installarli, la prescritta autorizzazione da parte della sede territoriale competente dell’Ispettorato Nazionale del Lavoro.
Il sistema tecnologico di localizzazione dovrà inoltre essere conforme al GDPR nel rispetto dei principi di Privacy By Design e Privacy By Default.
Ciò significa che il Titolare del Trattamento dovrà progettare ed impostare il sistema in modo tale che siano salvaguardate libertà e dignità del lavoratore, nel rispetto del principio di minimizzazione dei dati e di limitazione dei tempi di conservazione dei dati raccolti.
Ma da quando, con il diffondersi della pandemia, è subentrato lo smart working, la domanda sorge spontanea: un datore di lavoro può geolocalizzare un dipendente in smart working? Ovvero, è possibile installare un GPS su un device dato in uso per vedere da quale luogo un dipendente sta lavorando?
Il Jobs Act ha modificato l’articolo 4 dello Statuto dei Lavoratori che disciplina i poteri di controllo a distanza nei confronti dei lavoratori subordinati.
Secondo la nuova norma è consentito fare un controllo, anche a distanza, sugli strumenti di lavoro utilizzati per svolgere le mansioni anche senza bisogno dell’autorizzazione dell’Ispettorato del lavoro o un accordo sindacale. Ma questo può avvenire solo se i dipendenti sono stati adeguatamente informati.
Il Garante della Privacy ha invece dichiarato che gli strumenti di geolocalizzazione non costituiscono strumenti di lavoro, ma strumenti di controllo e che solo eccezionalmente si possono considerare strumenti di lavoro.
Quindi, riassumendo:
Se smartphone e tablet sono indispensabili possono essere geolocalizzati, senza bisogno di un accordo sindacale o dell’autorizzazione dell’Ispettorato del lavoro;
Se sono necessari per esigenze organizzative e produttive, per la sicurezza e la tutela del patrimonio aziendale, gli strumenti di geolocalizzazione possono essere installati, previo accordo sindacale o autorizzazione dell’Ispettorato del lavoro;
Invece se non rispondono a nessuna finalità sopra elencata, ma servono solo a controllare, non possono essere mai installati.
Per chiarire questi e molti altri aspetti inerenti le disposizioni del Garante Privacy oltre agli adempimenti in materia di protezione dei trattamenti di dati personali e GDPR, contattaci senza impegno, saremo lieti di fornirti la nostra consulenza gratuita!
Chiamaci -> Cel. +39 371 46 371 45 - 371 46 30 129
Scrivici -> E-mail: info@enterprise-solutions.net
Chatta -> Cliccando sul box "Serve aiuto" o sul bottone blu con i 3 puntini ". . ." dal tuo smartphone.