Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Trasporto pubblico: geolocalizzazione e sicurezza dei passeggeri - 5 giugno 2008 [1531604]

[doc. web n. 1531604]
[v. Newsletter 12 luglio 2008]

english version

Trasporto pubblico: geolocalizzazione e sicurezza dei passeggeri - 5 giugno 2008

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;

Esaminata la richiesta di verifica preliminare presentata da Air Pullman S.p.A. ai sensi dell'art. 17 del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

Visti gli atti d'ufficio;

Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Mauro Paissan;

PREMESSO

1. Trattamento di dati mediante sistemi di localizzazione satellitare e di sistemi di registrazione di eventi di guida
1.1. Air Pullman S.p.A., società che gestisce linee di trasporto pubblico, ha presentato una richiesta di verifica preliminare ai sensi dell'art. 17 del Codice, relativa al trattamento di dati personali dei conducenti dei veicoli in dotazione –nonché di quelli a disposizione delle società controllate "Air Pullman Noleggi s.r.l." e "Saco s.r.l."– conseguente all'utilizzo di un sistema satellitare di localizzazione basato su tecnologia Gps (Global Positioning System). Tale sistema, comprensivo della gestione di una banca dati e del portale messi a disposizione della società di trasporto, verrebbe fornito da Digigroup s.r.l. (di seguito, denominata "fornitore del servizio").

Unitamente ai trattamenti effettuati mediante il sistema, la cui installazione è presupposto per partecipare a gare relative all'affidamento di servizi di trasporto pubblico locale, verrebbero trattate, con l'ausilio del fornitore del servizio, ulteriori informazioni relative allo "stile di guida" del conducente e ad alcuni parametri (quali la pressione nei serbatoi freni a inizio e fine frenata e la velocità del veicolo, anche durante la frenata) rilevati in occasione di eventuali sinistri mediante un dispositivo di registrazione e trasmissione dei dati ("event data recorder", denominato dalla società "black box").

Nel complesso, la società sarebbe in grado di:

a. localizzare geograficamente i propri veicoli su una mappa cartografica e di conoscerne velocità e direzione;

b. verificare l'osservanza, da parte dei conducenti, della normativa in tema di circolazione stradale e delle prescrizioni aziendali;

c. valutare la sicurezza e il "comfort" della condotta di guida degli autisti;

d. analizzare il consumo di carburante (e l'efficienza energetica) nella fase di marcia;

e. ricostruire la dinamica di eventuali sinistri;

f. riscontrare anomalie tecnico-meccaniche dei veicoli.

1.2. Secondo quanto prospettato dalla società, il trattamento di dati personali riferiti ai conducenti per mezzo di un codice identificativo appositamente cifrato, associati a quelli necessari per la localizzazione del veicolo (posizione in tempo reale del veicolo, data e ora di transito, velocità sostenuta e direzione percorsa), servirebbe a "garantire la sicurezza dei passeggeri e del mezzo rintracciandone sul percorso la posizione, per ogni necessità di intervento che assicuri l'espletamento del servizio a favore dei passeggeri e la possibilità di assistenza ai medesimi" (cfr. richiesta di verifica preliminare, p. 4).

Le predette informazioni, acquisite automaticamente dal sistema di bordo secondo criteri concordati previamente con il fornitore del servizio (all'accensione e allo spegnimento del veicolo; ogni cinque minuti con veicolo fermo o in movimento; ogni cinque km con veicolo in movimento; all'inizio e al termine di ogni fermata: cfr. allegato A alla menzionata richiesta), confluirebbero in una banca dati gestita dal fornitore medesimo.

Gli stessi dati, unitamente al servizio per la loro elaborazione (come, ad esempio, il tracciato del percorso effettuato), sarebbero resi fruibili all'azienda dal fornitore attraverso un portale ad accesso riservato, denominato "i-Nets" (cfr. richiesta di verifica preliminare, cit., p. 6); non verrebbero trattati, comunque, dati personali relativi ai passeggeri trasportati (cfr. richiesta di verifica preliminare, cit., p. 3).

1.3. Con riferimento alle funzionalità correlate alla sicurezza stradale e al consumo energetico, la società intende acquisire i dati identificativi dei conducenti associati a informazioni relative alle loro "condotte di guida". Le informazioni (riferite, in particolare, ai tempi di permanenza oltre il numero massimo di giri motore consentito, al superamento delle velocità massime, al "comfort di guida" durante la marcia e in sede di frenata e al consumo energetico connesso all'utilizzo dell'acceleratore) sarebbero trattate solo in forma di indici medi e non sulla base di dati analitici.

Le medesime informazioni sarebbero utilizzate esclusivamente per finalità connesse al "rispetto delle prescrizioni normative di marcia su strada pubblica" (cfr. richiesta di verifica preliminare cit., p. 4) e alla corresponsione di trattamenti economici premianti a beneficio dei lavoratori che conformino il proprio stile di guida agli standard della società (in coerenza con la politica di incentivazione da essa portata avanti, che "formerebbe oggetto di negoziazione a livello aziendale": cfr. verbale di incontro del 31 marzo 2008). Anche le informazioni in questione confluirebbero all'interno di una banca dati fruibile dall'azienda per mezzo del portale "i-Nets".

1.4. La sicurezza dei dati personali sarebbe monitorata e implementata costantemente mediante accorgimenti tecnici atti a garantire la loro protezione (cfr. richiesta di verifica preliminare, cit., p. 9). In particolare, l'accesso al portale "i-Nets" –e, conseguentemente, a tutte le informazioni ivi contenute– verrebbe consentito esclusivamente previo inserimento di una password associata a un identificativo utente ("UserId"), in funzione del profilo di autorizzazione predefinito con il fornitore.

2. Protezione dei dati personali, localizzazione e registrazione della condotta di guida
Con esclusione delle funzionalità del sistema utilizzato dalla società per la telediagnostica del veicolo (punto 1.1. lett. f), in relazione al quale la società ha dichiarato che verranno trattate informazioni riconducibili non agli autisti, ma al solo veicolo: cfr. verbale di riunione, cit.), il caso sottoposto a verifica preliminare riguarda un trattamento di dati personali riferiti ai conducenti, con particolare riferimento alla localizzazione.

I dati relativi all'ubicazione dei veicoli, infatti, se associati a codici identificativi dei conducenti, costituiscono anche informazioni personali riconducibili agli interessati (art. 4, comma 1, lett. b), del Codice). Ciò, anche nel caso in cui i dati di localizzazione del veicolo non siano associati immediatamente dal sistema informativo al nominativo dei conducenti (o a codici ad essi attribuiti), atteso che la società sarebbe comunque in condizione di risalire in ogni momento al conducente assegnatario di ciascun veicolo (cfr., in proposito, Parere n. 5/2005 sull'uso di dati relativi all'ubicazione al fine di fornire servizi a valore aggiunto del Gruppo di lavoro ex art. 29, direttiva n. 95/46/Ce, WP115, p. 10; v. altresì Parere n. 4/2007 sul concetto di dati personali del Gruppo di lavoro ex art. 29, direttiva n. 95/46/Ce, WP136, p. 11).

Anche gli ulteriori dati trattati per il tramite del fornitore del servizio, quali quelli relativi allo "stile di guida" o registrati mediante la "black box", devono ritenersi dati personali, essendo riconducibili (anche in un secondo momento, ad esempio in occasione di sinistro) ad azioni poste in essere dai conducenti.

A tali trattamenti trova pertanto applicazione la disciplina contenuta nel Codice.

Per tutte le finalità indicate nel presente provvedimento, il trattamento dovrà quindi avvenire con modalità comunque rispettose, in concreto, dei diritti e delle libertà fondamentali, nonché della dignità degli interessati (art. 2, primo comma, del Codice) e dovrà essere svolto, in ogni caso, in conformità all'art. 11, comma 1, lett. a) del medesimo Codice, con le garanzie e procedure espressamente previste a tutela dei lavoratori dall'art. 4 della legge n. 300/1970.

3. Rapporto tra società di trasporto pubblico locale (titolare del trattamento) e fornitore del servizio
L'esternalizzazione delle attività finalizzate all'esecuzione del servizio sopra descritto, grazie a un apposito contratto di collaborazione, asseconda legittime esigenze organizzative in base alle quali la società di trasporto, "titolare del trattamento", si avvale del fornitore del servizio che viene a rivestire, ai sensi dell'art. 29 del Codice, il ruolo di "responsabile del trattamento" (in tal senso cfr. i pareri resi il 19 dicembre 1998, in www.garanteprivacy.it, doc. web n. 
41941 e l'8 giugno 1999, doc. web n. 1092666).

Il fornitore del servizio, chiamato a operare in base a un apposito incarico, non gode di spazi di autonomia in ordine alle finalità perseguibili (salva la necessaria autonomia dal punto di vista tecnico per fornire il servizio richiesto), atteso che il potere decisionale in relazione alle medesime finalità rimane in capo alla società di trasporto (cfr. in tal senso già il parere del 9 dicembre 1997, doc. web n. 30915; Provv. 16 febbraio 2006, doc. web n. 1242592).

Pertanto, l'accordo con la società di trasporto deve permettere di delimitare gli obiettivi da raggiungere, di orientare al loro esclusivo perseguimento le operazioni di trattamento dei dati effettuate dal fornitore del servizio e di individuare analiticamente i dati pertinenti e non eccedenti da trattare (artt. 4, comma 1, lett. g) e 29 del Codice). L'attività del fornitore del servizio deve essere vincolata dalle istruzioni impartite dal titolare, che devono a loro volta tener conto delle prescrizioni stabilite dal Garante con il presente provvedimento.

4. Liceità, finalità e pertinenza del trattamento rispetto alla localizzazione
La finalità del trattamento dichiarata dalla società in relazione al funzionamento del sistema Gps risulta lecita. Il sistema di localizzazione del veicolo (e indirettamente del conducente) è preordinato a rendere più efficiente il servizio di trasporto pubblico locale (con una migliore allocazione dei mezzi in dotazione, specie in caso di sopravvenienze), consentendo di fornire un'informazione tempestiva a vantaggio della società che gestisce il servizio di trasporto (oltre che, eventualmente, dell'utenza), anche per l'eventuale attività di reportistica nei confronti dell'ente pubblico affidante e per il monitoraggio del servizio (cfr. artt. 14, comma 3, lett. f), 18, comma 3-quater, lett. a) e 19, comma 3, lett. c) d.lg. 19 novembre 1997, n. 422, Conferimento alle regioni ed agli enti locali di funzioni e compiti in materia di trasporto pubblico locale). Le informazioni verranno utilizzate anche per incrementare le condizioni di sicurezza del conducente e delle persone trasportate (cfr. nota della società del 12 marzo 2008).

Per tali finalità verranno trattati i dati relativi alla localizzazione dei veicoli, ivi compresa la loro direzione e velocità media tenuta negli intervalli spazio-temporali sopra indicati (punto 1.2.).

Risulta conforme al principio di necessità (art. 3 del Codice) l'adozione di opportuni accorgimenti al fine di non rendere conoscibile al fornitore del servizio i dati identificativi dei conducenti, attribuendo a questi ultimi, come dichiarato dalla società, codici cifrati (v. punto 1.2.).

Per quanto riguarda le predette finalità, funzionali al perseguimento di esigenze organizzative e produttive e a un incremento della sicurezza del lavoro, la società, assolti gli obblighi previsti dall'art. 4 della legge 20 maggio 1970, n. 300, potrà avvalersi del sistema di localizzazione e trattare i dati personali necessari al suo funzionamento (nello stesso senso v. il decreto del Ministero del lavoro e delle politiche sociali, Direzione generale della tutela delle condizioni di lavoro, Divisione IV, 24 giugno 2004, in tema di installazione di impianti di controllo satellitare su autovetture di pronto intervento di un'impresa erogatrice di gas, nonché la risposta a una istanza di interpello del medesimo Ministero, Direzione generale per l'attività ispettiva, prot. n. 25/I/0006585 del 28 novembre 2006, in materia di localizzazione mediante computer palmari assegnati in dotazione a informatori scientifici del farmaco).

5. Liceità e finalità rispetto all'osservanza delle prescrizioni normative in materia di circolazione e alla definizione dello "stile di guida"
5.1. In termini generali, del pari lecito risulta il trattamento di dati personali riferiti agli autisti in relazione alla "condotta di guida" osservata (sintetizzata in forma di indici medi) per finalità connesse al "rispetto delle prescrizioni normative di marcia su strada pubblica" (cfr. richiesta di verifica preliminare cit., p. 4). Al riguardo, deve infatti rilevarsi che la sicurezza stradale, specie nell'ambito del trasporto professionale, costituisce per l'ordinamento un obiettivo di primaria rilevanza, come confermato dalla stessa disciplina comunitaria (ad esempio, in tema di cronotachigrafo digitale: cfr. regg. Ce nn. 3821/85, 2135/98 e 561/2006) e nazionale (si pensi alla "Carta di qualificazione del conducente", che obbliga gli esercenti a conseguire una qualificazione iniziale e a sottostare a periodici corsi di formazione: cfr. artt. 14 ss. e 20 d.lg. 21 novembre 2005, n. 286, recante Disposizioni per il riassetto normativo in materia di liberalizzazione regolata dell'esercizio dell'attività di autotrasportatore).

Nel rispetto delle specifiche disposizioni di legge in materia (in particolare, il d.lg. n. 285/1992 "Nuovo codice della strada" e successive modifiche e integrazioni), la società potrà quindi trattare le informazioni relative alle "condotte di guida" dei conducenti.

5.2. Con riguardo al trattamento delle informazioni relative alla "condotta di guida" al fine di riconoscere trattamenti economici premiali "ai lavoratori che conformino il proprio stile di guida agli standard fissati dalla società" (cfr. verbale di riunione cit.), sebbene tali dati siano ricavati mediante l'impiego di "apparecchiature per finalità di controllo a distanza dell'attività dei lavoratori", non può escludersi che il controllo posto in essere sia giustificato da esigenze organizzative e produttive della società di trasporto (art. 4, secondo comma, legge n. 300/1970). Tali sono da ritenersi il risparmio derivante dal monitoraggio delle "condotte di guida" e l'eventuale utilizzo degli indici medi per riconoscere premi ai dipendenti, eventualmente in aggiunta agli elementi attualmente in uso; alla luce dell'accordo aziendale in atti, infatti, il premio di risultato è correlato alla "diminuzione di danni per sinistri interni e passivi" e "all'andamento del parametro fatturato dell'attività di linea su dipendenti medi".

La società dovrà selezionare attentamente i dati pertinenti e non eccedenti ai fini del calcolo degli indici medi che intende utilizzare per riconoscere trattamenti economici premiali ai dipendenti (v. sopra punto 1.3.), tenendo presenti nel trattamento dei dati i limiti di legge in materia (in particolare, per quanto riguarda il divieto operante per le imprese di trasporto di "retribuire i conducenti salariati o concedere loro premi o maggiorazioni di salario in base alle distanze percorse [...], se queste retribuzioni siano di natura tale da mettere in pericolo la sicurezza stradale": art. 10 reg. Ce n. 561/2006 del 15 marzo 2006).

Il trattamento, previo espletamento, da parte della società di trasporto, degli adempimenti richiesti dal menzionato art. 4, dovrà essere altresì svolto nel rispetto degli ulteriori adempimenti formulati al successivo punto 7.

6. Liceità del trattamento rispetto alla tracciabilità dei sinistri mediante la c.d. black box
Ancorché la società non abbia chiarito del tutto in atti la finalità che intende perseguire mediante la c.d. black box (e debba meglio esplicitarla negli atti attuativi del presente provvedimento), con riguardo ai dati dei conducenti dai quali sia possibile ritrarne la condotta in occasione di un sinistro, il trattamento che si intende porre in essere risulta anch'esso, allo stato degli atti, lecito.

Infatti, l'acquisizione di elementi volti alla ricostruzione di un sinistro, oltre che a incrementare, in prospettiva, gli standard di sicurezza dei soggetti trasportati (e, in primo luogo, dello stesso conducente), può rivelarsi utile ai fini dell'accertamento di condotte non conformi alla disciplina in materia di sicurezza stradale e per l'accertamento di eventuali responsabilità in capo ai conducenti medesimi.

La società, anche alla luce delle specifiche previsioni contrattuali in materia (cfr., in particolare, artt. 73 e 74 del vigente Ccnl degli autoferrotranvieri, che pongono in capo all'autista specifiche responsabilità in ordine al rispetto della circolazione stradale e l'eventuale risarcimento dei danni imputabili), potrà trattare le informazioni relative ai conducenti inerenti alla tracciabilità degli eventuali sinistri; la stessa società, al fine di garantire la liceità e correttezza del trattamento (art. 11, comma 1, lett. a), del Codice), dovrà tuttavia provvedere al preventivo espletamento delle procedure richieste dall'art. 4, secondo comma, della legge n. 300/1970; dovrà essere inoltre garantito il rispetto degli ulteriori adempimenti formulati al successivo punto 7.

7. Adempimenti ulteriori
Resta fermo che per tutte le finalità indicate nel presente provvedimento (punti 4-6):

a) ai lavoratori dovranno essere forniti gli elementi prescritti dall'art. 13 del Codice unitamente a compiuti ragguagli sulla natura dei dati trattati e sulle caratteristiche del sistema, tenuto conto delle diverse finalità perseguite (in proposito, cfr. già Provv. 1° marzo 2007, Linee guida del Garante per posta elettronica e internet, doc. web n. 1387522);

b) l'accesso ai dati riferiti ai conducenti, concernenti la localizzazione o inerenti alle "condotte di guida", dovrà essere consentito ai soli incaricati della società che possono prenderne legittimamente conoscenza in ragione delle mansioni svolte (ad esempio, in relazione alla circolazione dei veicoli, il personale incaricato di coordinare il servizio di trasporto pubblico nei diversi turni di lavoro; nel caso degli indici medi utili a misurare la "condotta di guida", agli incaricati operanti nella gestione delle risorse umane);

c) i dati personali non potranno essere conservati per un tempo superiore a quello necessario al conseguimento delle finalità indicate (art. 11, comma 1. lett. e), del Codice). In particolare, le informazioni relative alla localizzazione, opportunamente anonimizzate, potranno essere trattate per le attività di monitoraggio e pianificazione del servizio di trasporto pubblico solo se in forma aggregata (artt. 3 e 11, comma 1, lett. e), del Codice);
d) la società dovrà designare il fornitore del servizio oggetto della verifica preliminare quale responsabile del trattamento ai sensi dell'art. 29 del Codice (v. sopra, punto 3);

e) infine, con specifico riferimento ai dati relativi alla localizzazione, la società dovrà notificare il trattamento nel rispetto di quanto previsto dagli artt. 37 e ss. del Codice.

TUTTO CIÒ PREMESSO IL GARANTE

a conclusione della verifica preliminare relativa all'utilizzo di un sistema di localizzazione satellitare che Air Pullman S.p.A. e le società controllate "Air Pullman Noleggi s.r.l." e "Saco s.r.l." intendono installare per finalità connesse alla gestione di linee di trasporto, prende atto del trattamento di dati personali oggetto di dichiarazioni della società che potrà essere svolto, fermo restando che:

1. agli interessati, unitamente agli elementi da fornire ai sensi dell'art. 13 del Codice, dovranno essere forniti compiuti ragguagli sulla natura dei dati trattati e sulle caratteristiche del sistema, tenuto conto delle diverse finalità perseguite (punto 7);

2. l'accesso ai dati trattati dovrà essere consentito ai soli incaricati della società che, in ragione delle mansioni svolte, possono prenderne legittimamente conoscenza (punto 7);

3. i dati dovranno essere conservati per il tempo necessario al conseguimento delle finalità perseguite. In particolare, le informazioni relative alla localizzazione, opportunamente anonimizzate, dovranno essere trattate per le attività di monitoraggio e pianificazione del servizio di trasporto pubblico solo in forma aggregata (punto 7);

4. per la finalità richiamata al punto 5.2, il trattamento dei dati dovrà avvenire tenuto conto dei limiti di legge in materia, in particolare dell'art. 10 reg. Ce n. 561/2006 del 15 marzo 2006;

5. siano previamente espletate le procedure previste dall'art. 4, secondo comma, della legge n. 300/1970;

6. la società dovrà notificare al Garante il trattamento, con specifico riferimento ai dati relativi alla localizzazione, e designare il fornitore del servizio quale responsabile del trattamento ai sensi dell'art. 29 del Codice.

Roma, 5 giugno 2008

IL PRESIDENTE
Pizzetti

IL RELATORE
Paissan

IL SEGRETARIO GENERALE
Buttarelli