Trattamento dei dati personali dei dipendenti effettuato attraverso la localizzazione di dispositivi smartphone
La materia della geolocalizzazione in ambito lavorativo deve essere analizzata e valutata alla luce del contemperamento con la tutela dei diritti e delle libertà del lavoratore. Nella specie è di particolare importanza svolgere una riflessione in ordine agli obblighi normativamente previsti non solo sotto il profilo giuslavoristico (nel rispetto dell’art. 4 dello Statuto dei Lavoratori – legge n. 300/1970 –) ma anche sotto il profilo della protezione dei dati personali.
L’evoluzione tecnologica sviluppatasi nel corso del tempo ha infatti ampliato notevolmente gli spazi di esercizio del potere di controllo da parte del datore di lavoro, offrendo a quest’ultimo strumenti tecnologici sempre più avanzati. Il Gruppo di lavoro ex art. 29 e ora definito, con l’approvazione e l’entrata in vigore del Regolamento europeo 679/2016, European Data Protection Board (Edpd) – Comitato Europeo per la protezione dei dati –, con parere dell’8 giugno 2017 ha tentato di individuare diversi scenari tipici di controllo, da parte del datore di lavoro, che possono mettere a rischio i diritti e le libertà dei lavoratori – interessati. Si pensi ad esempio al trattamento dei dati personali sui social networks che consente al datore di lavoro di risalire ad informazioni di candidati e/o dipendenti grazie ai loro profili social, o ancora al monitoraggio della strumentazione informatica dei lavoratori.
Ma si pensi anche, e soprattutto, al possibile controllo dei lavoratori posto in essere mediante ricevitori satellitari e sistemi di GPS – geolocalizzazione – installati sulle vetture aziendali o sui dispositivi telefonici assegnati ai lavoratori. Ed infatti, nel caso in cui la rilevazione dei dati dal dispositivo mediante l’attività di geolocalizzazione consente di raccogliere informazioni sui singoli dipendenti (identificati o identificabili) siamo di fronte ad un vero e proprio trattamento di dati che deve essere effettuato in conformità alle disposizioni normative.
In particolare, indipendentemente dal software utilizzato, è necessario implementare le misure tecniche ed organizzative a protezione dei dati prima dell’inizio del trattamento e dunque in fase di progettazione del sistema di geolocalizzazione. In questo modo verranno rispettati i principi della privacy by design e by default per i quali è necessario garantire, per impostazione predefinita, che il software tratti soli i dati necessari per ogni specifica attività di trattamento.
Contemporaneamente sarà necessario predisporre una valutazione di impatto ex art. 35 Gdpr: trattasi di un processo volto a descrivere il trattamento che si intende effettuare, a valutarne la proporzionalità e la necessità rispetto alle finalità perseguite nonché a gestire i rischi per i diritti e le libertà degli interessati ad esso connessi, con l’individuazione dei medesimi e delle misure necessarie ad affrontarli.
Nel caso in cui il software utilizzato è di proprietà di risorse e/o fornitori esterni è necessario che l’azienda ricorra ad un fornitore che sia in grado di “presentare garanzie sufficiente per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento europeo” e che la sua nomina sia contenuta in un contratto che rispetti i requisiti dell’art. 28 Gdpr.
Si ricorda, infine, che l’azienda potrà introdurre tali sistemi di GPS solo a condizione che sia stato raggiunto uno specifico accordo con le rappresentanze sindacali presenti in azienda ovvero, nel caso in cui le stesse non siano presenti o sia difficile il raggiungimento di tale accordo, è necessaria una specifica richiesta in tal senso da effettuare mediante apposita istanza all’Ispettorato del lavoro territorialmente competente.
Da ultimo ma di particolare importanza è l’informativa da fornire ai dipendenti che dovrà contenere tutti gli elementi indispensabili indicati nell’art. 13 del Regolamento europeo.
Per un approfondimento in materia si vedano i provvedimenti del Garante consultabili sul sito istituzionale.[1]
[1] https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9039945;
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9358266