Mentre le imprese fanno ancora i conti con il GDPR, il Garante Privacy richiama l’attenzione sul tema della geolocalizzazione e nuove tecnologie, confermando la compatibilità tra rispetto della privacy ed esigenze aziendali
Il caso riguarda una società che effettua servizi di vigilanza privata e trasporto valori (soggetta a uno specifico quadro legislativo) che ha richiesto una verifica preliminare per attivare la geolocalizzazione, su smartphone e tablet, del personale tramite una applicazione che – monitorando gli spostamenti dei dipendenti – offre maggiore sicurezza per le pattuglie e consente di ottimizzare l’organizzazione degli spostamenti effettuati. I dati raccolti sono le coordinate del dispositivo nonché la velocità del veicolo. A garanzia della privacy dei lavoratori, i dati non saranno conservati per oltre 24 ore (salvo particolari esigenze) e il loro trattamento cesserà al termine dell’attività lavorativa con la riconsegna dei dispositivi stessi. L’applicazione verrà attivata tramite codice identificativo e password forniti dalla centrale operativa. In questo modo, si garantisce che i dipendenti non vengano direttamente identificati dal sistema (pseudonimizzazione).
La società – a seguito di richiesta di chiarimenti da parte del Garante – ha specificato che i dispositivi aziendali non verranno assegnati sempre al medesimo dipendente, ma consegnati – tra quelli disponibili – a inizio turno e sarà compito del capo zona registrare su un file dedicato a quale guardia ciascun dispositivo è stato affidato per ogni turno. La posizione geografica verrà rilevata ogni due minuti in modo da garantire un tempestivo intervento in caso di emergenza. Secondo il Garante, considerata la particolare attività svolta, tale intervallo – di per sé molto ravvicinato – non contrasta con i principi di necessità, pertinenza e non eccedenza rispetto alle finalità perseguite. L’accesso in tempo reale ai dati di localizzazione sarà effettuato da personale autorizzato della centrale operativa e solo in caso di necessità o emergenza. Il Garante ha richiesto che vengano individuati profili differenziati di autorizzazione relativi alle diverse tipologie di dati e di operazioni eseguibili. Sottolinea inoltre la necessità di procedere alla designazione quale responsabile esterno del trattamento il fornitore del software. La società esclude l’utilizzo dei dati “per finalità di controllo dei dipendenti ovvero per scopi disciplinari”, tanto è vero che non è prevista l’attivazione della funzionalità “controllo orario sull’entrata in servizio”.
Il Garante, con il provvedimento n. 232 del 18 aprile 2018, si è espresso in termini positivi, ritenendo lecito, necessario e proporzionato, il trattamento previsto, richiedendo tuttavia alcune correzioni a maggior tutela del lavoratore. In particolare, l’Autorità chiede che venga posizionata sul dispositivo un’icona che indichi quando la localizzazione è attiva e che, trascorso un dato periodo di inattività dell’operatore, il sistema oscuri la posizione geografica dei dipendenti. Non mancano i riferimenti agli adempimenti necessari: informativa per i dipendenti, rispetto delle misure di sicurezza idonee atte a preservare l’integrità dei dati trattati e prevenire l’accesso agli stessi da parte di soggetti non autorizzati; predisposizione di misure che garantiscano agli interessati l’esercizio dei diritti previsti dagli artt. 15 e seguenti del Regolamento generale sulla protezione dei dati (UE) 2016/679. Interessante il richiamo al GDPR che prevede in casi simili che sia il titolare del trattamento, nel rispetto del principio di responsabilizzazione di cui all’art. 24, a valutare autonomamente la conformità del trattamento alla disciplina vigente, provvedendo alla realizzazione di una valutazione di impatto ex art. 35 del citato Regolamento, attivando la consultazione preventiva ai sensi dell’art. 36.
Emanuela Pasino consultant Colin & Partners – www.consulentelegaleinformatico.it
