Garante Privacy – Geolocalizzazione: il dipendente ha diritto di accedere ai dati

Da molti anni l’evoluzione dell’organizzazione del lavoro e i progressi della tecnologia hanno indotto le aziende ad introdurre sistemi di geolocalizzazione (GPS sui veicoli, tablet e smartphone) al fine di ottimizzare le risorse, la produttività, gestire le emergenze, il lavoro disagiato, la sicurezza del lavoro, la tutela del patrimonio datoriale.  Vari sono i profili di criticità, ad es.  il tema del controllo “occulto” a distanza (illecito ex art. 4 della Legge 300/70 – Statuto dei Lavoratori), che si può gestire con accordi sindacali o autorizzazioni pubbliche ITL, ma importanti sono i profili inerenti la riservatezza.

 

Il trattamento dei dati personali, mediante geolocalizzazione degli lavoratori,  è disciplinato dal GDPR, dovendosi implementare la Valutazione d’impatto del trattamento (art. 35 GDPR), verificare il rispetto dei principi generali della privacy (consentendo di trattare per impostazione predefinita solo i dati personali  necessari alla finalità del trattamento, la valutazione dei prodotti presenti sul mercato e delle tecnologie software (art. 25 GDPR), l’Informativa (art. 13 GDPR), in sostanza in caso di uso di sistemi di geolocalizzazione il datore di lavoro ha l’onere di  assicurare “liceità, correttezza e trasparenza e minimizzazione”, come previsto dal Regolamento UE 2016/679, i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c) GDPR).

Nella informativa l’azienda avrà quindi l’obbligo di fornire ai lavoratori l’informativa estesa (di secondo livello) sul trattamento dei dati personali, ai sensi dell’art. 13 GDPR, specificando, tra le altre informazioni, la base giuridica, le modalità di funzionamento del dispositivo di geolocalizzazione e le finalità di trattamento.

Relativamente alla all’informativa breve (di primo livello) e specificatamente per i veicoli aziendali all’interno del mezzo si dovrà applicare una vetrofania recante la dicitura “veicolo sottoposto a localizzazione”, relativamente ai devices mobili l’azienda dovrà evidenziare ua icona visibile che avverta l’utente della attivazione del sistema.  Sul complesso tema recentemente è intervenuto il Garante.

Il Garante per la protezione dei dati personali, con provvedimento del 14 settembre 2023 (n. 403) – nell’ambito di un contenzioso attivato dai lavoratori dipendenti al fine di conoscere i dati della geolocalizzazione (su smartphone) ai fini del rimborso kilometrico – ha statuito che i dipendenti hanno il diritto di richiedere (ed ottenere) i loro dati sulla geolocalizzazione usati dal datore di lavoro per calcolare i rimborsi chilometrici. I dipendenti della società, infatti, avevano invano richiesto al datore (una società di lettura contatori) di acquisire i dati raccolti dal datore attraverso lo smartphone aziendale e sul quale era presente la funzione di geolocalizzazione; con tale sistema l’azienda poteva conoscere il tragitto utile per raggiungere i contatori.

Avendo il datore dato un riscontro ritenuto non confacente i lavoratori avevano inoltrato un reclamo al Garante privacy. Il provvedimento del Garante, dopo una accurata analisi ed una puntuale istruttoria, ha ritenuto che la datrice, in qualità di titolare del trattamento, non avesse fornito agli istanti/reclamanti, a fronte di domande formulate dai lavoratori con chiarezza e analiticità, un riscontro idoneo; in particolare la società non aveva comunicato ai lavoratori i dati trattati attraverso il GPS.  Il garante ha quindi ritenuto la datrice responsabile di una condotta illecita.

La società, infatti, si era limitata nelle proprie comunicazioni ad indicare le modalità e gli scopi per i quali venivano trattati i dati relativi alla geolocalizzazione. Secondo il Garante, infatti, in base ai principi della normativa sulla privacy, dall’uso del GPS deriva indirettamente la geolocalizzazione dei dipendenti, cioè un trattamento dei dati personali da tutelare e comunque normare. Alla società è stata conseguentemente applicata una sanzione di 20mila euro.

(M. Mazzanti)