L’uso di braccialetti elettronici sui dipendenti è rispettoso dei principi di necessità e proporzionalità se la geo-localizzazione viene effettuata soltanto una volta a settimana e non riguarda tutti i turni di servizio

Scarica PDF Stampa
Avv. Pier Paolo Muià – Dott.ssa Maria Muià

Garante per la protezione dei dati personali: Trattamento di dati personali dei dipendenti mediante dispositivi indossabili – 28 febbraio 2019

Fatto

Con il provvedimento in commento il Garante della privacy ha deciso una procedura d’ufficio instaurata dallo stesso garante per valutare i trattamenti di dati personali dei dipendenti che una società aveva compiuto attraverso l’uso di braccialetti elettronici da polso.

In particolare in data 11 aprile 2018 la società sottoposta al procedimento di ufficio – la quale aveva vinto un bando comunale per svolgere attività a favore della municipalizzata che si occupa della gestione dei rifiuti urbani – aveva consegnato ai propri dipendenti, che svolgevano il servizio di spazzamento su strada, dei braccialetti elettronici attraverso i quali effettuare la lettura di etichette elettroniche (che sarebbero servite per dimostrare il lavoro svolto su ogni cestino getta rifiuti), i quali braccialetti erano dotati anche di un GPS che permetteva la localizzazione del dispositivo medesimo.

Le finalità per le quali erano stati dati i braccialetti al personale dipendente, a detta della società, erano di formazione dei propri lavoratori sull’uso del dispositivo, in modo da poterlo poi impiegare per garantire il controllo della qualità dei servizi da essa resi alla società municipalizzata, mentre non avrebbero dovuto compiere alcune attività di raccolta di dati personali dei dipendenti né tantomeno della loro conservazione.

Volume consigliato

Il nuovo codice della privacy

Il 19 settembre 2018 è entrato in vigore il decreto legislativo n.101 che ha modificato profondamente il Codice privacy in modo da renderlo conforme alla disciplina prevista dal GDPR. Conseguentemente, da tale data, il Garante privacy, l’Autorità Giudiziaria e ogni pubblica amministrazione, ente o società, impresa o professionista sono tenuti a dare piena e integrale applicazione alla disciplina. Agile e completa, quest’opera fornisce a tutti gli operatori, pubblici e privati, gli strumenti per comprendere in modo chiaro e semplice le novitàintrodotte dal decreto attuativo, attraverso una lettura integrata con i relativi riferimenti alle disposizioni del GDPR, per consentire al Professionista di adempiere ai vari obblighi relativi alla protezione dei dati personali.Con un linguaggio semplice e chiaro, l’autore analizza i singoli articoli del decreto attuativo corredati da un primo commento esplicativo in combinato con l’esame delle disposizioni del codice privacy ancora in vigore, attraverso i necessari richiami alle disposizioni del GDPR che la nuova disciplina va ad attuare.PIER PAOLO MUIÀ Dopo aver conseguito la maturità classica, si è laureato in Giurisprudenza presso l’Università degli Studi di Firenze. Esercita la professione di avvocato tra Firenze, Prato e Pistoia, occupandosi in particolare di diritto di internet, pri- vacy e IP, nonché responsabilità medica. È autore di diverse monografie sulle materie di sua competenza nonché di numerose pubblicazioni sulle principali riviste giuridiche nazionali ed è referente di dette materie per il portale telematico giuridico Diritto.it. È stato relatore in diversi convegni.

Pier Paolo Muià | 2019 Maggioli Editore

19.00 €  15.20 €

Il parere del Garante

Il Garante per la protezione dei dati personali, assunte le informazioni richieste alla stessa società, ha preliminarmente ricordato che in base al principio di accountability, di cui al GDPR, il titolare del trattamento deve adottare le misure tecniche e organizzative che risultino idonee a garantire il rispetto della normativa in materia di privacy, dopodiché ha ritenuto che, nel caso di specie, non vi fossero i presupposti per adottare un provvedimento di tipo correttivo di cui all’art. 58 del GDPR, anche se ha precisato che la società debba comunque effettuare una valutazione di impatto sulla protezione dei dati, in considerazione delle caratteristiche dei braccialetti elettronici dalla stessa adottati, e deve garantire il rispetto dell’obbligo di conformare i trattamenti dei dati personali ai principi in materia di privacy.

In particolare, dall’istruttoria svolta dal Garante, è emerso che il sistema di dispositivi indossabili che la società ha testato e che intende poi adottare a regime permette di trattare dei dati personali relativi a soggetti identificabili (attraverso il confronto con altri dati). Ciò, in considerazione del fatto che detti braccialetti possiedono un numero identificativo univoco e vengono collegati ai luoghi della città in cui si effettua lo spazzamento della strada. Pertanto, collegando tali dati con i registri relativi alle zone di spazzamento e ai singoli lavoratori che ivi effettuano il proprio lavoro in quel dato momento, sarebbe possibile identificare il dipendente che indossa e usa il braccialetto elettronico. In considerazione di ciò, il Garante per la protezione dei dati personali ha evidenziato nel proprio provvedimento che i tempi di conservazione dei dati contenuti nel suddetto registro delle zone di spazzamento devono essere limitati in base alla finalità perseguita e soprattutto devono essere precisate in maniera analitica le ipotesi in cui potrà effettuarsi il confronto di tali registri con i dati dei braccialetti elettronici per finalità difensive della società. Inoltre, il Garante ha altresì evidenziato come la società soggetta al procedimento d’ufficio sia tenuta a adottare delle misure organizzative e tecnologiche per tenere separate il database dei dati ricavati da i braccialetti rispetto al database relativo ai turni di spazzamento.

In secondo luogo, dall’istruttoria effettuata dal Garante è emerso che la finalità dell’uso del braccialetto elettronico è quella di garantire il controllo della qualità dei servizi resi dalla società oggetto del procedimento di ufficio alla municipalizzata che si occupa della gestione del servizio di nettezza urbana, anche attraverso – secondo quanto previsto dal bando comunale – l’utilizzo di sistemi di geo-localizzazione. Ciò rilevato, il Garante ha tuttavia preliminarmente affermato che le clausole contrattuali previste nel bando comunale non possono in ogni caso essere in contrasto con le norme e i principi vigenti in materia di protezione dei dati personali.

Passando, poi, al merito delle clausole contrattuali che disciplinano i rapporti tra la società oggetto di indagine e la municipalizzata, il Garante ha evidenziato come esse prevedano che i dispositivi elettronici siano sempre utilizzati dai lavoratori in ogni turno di lavoro per poter dimostrare di aver effettivamente svuotato i cestini getta rifiuti, ma la funzionalità di geo-localizzazione dovrà essere attivata soltanto per un turno di lavoro a settimana e tale attivazione, inoltre, dovrà essere comunicata preventivamente al lavoratore al quale viene affidato il braccialetto elettronico. In considerazione di quanto previsto all’interno delle suddette clausole contrattuali, quindi, il Garante ha ritenuto che il trattamento di dati effettuato attraverso il dispositivo indossabile di cui sopra sia rispettoso del principio di necessità e di proporzionalità del trattamento in base alle finalità perseguite di cui al GDPR, in quanto la geo-localizzazione verrà effettuata soltanto una volta a settimana e non riguarderà tutti i turni di servizio. Ciò detto, il garante ha precisato che, in ogni caso, i braccialetti elettronici che saranno concretamente utilizzati dovranno essere di tipologia tale da rispettare la dignità dei dipendenti che li indossano.

Infine, il Garante ha ricordato alla società soggetta al procedimento d’ufficio che il Regolamento europeo per la protezione dei dati personali, all’articolo 35, stabilisce che, qualora vengono utilizzate nuove tecnologie che possano presentare un rischio elevato per i diritti e libertà delle persone fisiche, il titolare del trattamento per effettuare una valutazione di impatto sulla protezione dei dati personali. In considerazione di ciò, il Garante, ritenuto che i braccialetti elettronici tassabili rientrino fra le nuove tecnologie di cui sopra, ha ricordato alla società oggetto del procedimento di ufficio che dovrà compiere una valutazione di impatto sulla protezione dei dati personali dei propri lavoratori in considerazione delle concrete caratteristiche che ha il braccialetto elettronico impiegato.

 

 

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento