g-docweb-display Portlet

Verifica preliminare. Trattamento dei dati personali derivanti dalla rilevazione di coordinate satellitari relative alla geolocalizzazione di apparati elettronici di tipo radio mobili e veicolari - 24 maggio 2017 [6495708]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

VEDI ANCHE Newsletter del 30 giugno 2017

 

[doc. web n. 6495708]

Verifica preliminare. Trattamento dei dati personali derivanti dalla rilevazione di coordinate satellitari relative alla geolocalizzazione di apparati elettronici di tipo radio mobili e veicolari - 24 maggio 2017

Registro dei provvedimenti
n. 247 del 24 maggio 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito "Codice");

VISTO il provvedimento n. 370 del 4 ottobre 2011 (Sistemi di localizzazione dei veicoli nell´ambito del rapporto di lavoro, in www.garanteprivacy.it,  doc. web n. 1850581);

ESAMINATA la richiesta di verifica preliminare presentata da Anconambiente S.p.A. ai sensi dell´articolo 17 del Codice;

VISTI gli atti d´ufficio;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Augusta Iannini;

PREMESSO

1. L´istanza della società.

1.1. Anconambiente S.p.A. (di seguito, la società) - società a capitale interamente pubblico e gestore per conto di vari committenti (comuni o consorzi di comuni, ed in particolare, il consorzio Conero Ambiente) dei servizi di igiene urbana della provincia di Ancona (raccolta differenziata e trasporto rifiuti solidi urbani) - ha presentato una richiesta di verifica preliminare ai sensi dell´articolo 17 del Codice con riguardo al "trattamento dei dati personali derivanti dalla rilevazione di coordinate satellitari relative alla geolocalizzazione di apparati elettronici di tipo radio mobili e veicolari". Le finalità che la società intende perseguire sarebbero quelle di "agevolare le comunicazioni del personale operativo", "ottimizzare l´impiego delle risorse presenti sul territorio e migliorarne la gestione ed il coordinamento", incrementare la sicurezza del personale, specie se operante in aree "remote o disagiate, come la discarica del Comune di Chiaravalle", razionalizzare la gestione del servizio in termini di copertura delle aree oggetto di intervento e "tutelare il patrimonio aziendale (rappresentato dai mezzi stessi)" (cfr. istanza 25.9.2015 e nota 3.2.2016 p. 5).

1.2. La società ha successivamente precisato che:

a. il trattamento dei dati riguarderà "il personale addetto ai servizi di igiene urbana, con qualifica di operaio e autista" (nota del 3.2.2016, cit.);

b. solo con riguardo al "personale addetto alla gestione dell´impianto di produzione di biogas realizzato mediante una rete di captazione localizzata sulla discarica del Comune di Chiaravalle [… verrà implementata ] anche la funzione di "uomo a terra"", atteso l´isolamento dell´area (cfr., p. 2, nota cit.);

c. i dispositivi mobili/portatili, consegnati alle squadre che svolgono i vari servizi "a piedi" senza l´ausilio di mezzi (es. servizio di spazzamento manuale) sono dotati di sistema di geolocalizzazione con modalità "in tempo reale"(cfr. p. 2 nota cit.; e pp. 1 e 6, lett. c), nota 20.10.2016) che consente la visualizzazione del codice del dispositivo sulla mappa cartografica del territorio ma non la memorizzazione dei dati di geolocalizzazione "in quanto la successiva richiesta sostituisce l´ultima posizione rilevata" (p. 2, nota 3.2.2016, cit.);

d. i dispositivi veicolari, installati sui mezzi adibiti alla raccolta "porta a porta" saranno dotati di vetrofanie ben visibili in base alle indicazioni del Garante; rispetto ad essi la funzionalità di geolocalizzazione opererebbe in modalità "rilevamento del percorso" (cfr. p. 2 nota cit.; e pp.4 e 6, lett. c), nota 21.10.2016) che sarebbe idonea a "rileva[re] i dati di geolocalizzazione ogni 30 secondi" […] "per poter verificare e attestare il passaggio puntuale su tutti i punti di raccolta" (p. 5, 21.10. 2016 e nota 3.2.2016, cit.); solo in ipotesi particolari potrebbe essere possibile visualizzare il codice del dispositivo sulla mappa cartografica, ove necessario, per coordinare modifiche in tempo reale ai servizi pianificati (cfr., p. 2, nota 21.10.2016, cit.); i dati sarebbero "memorizzarti a sistema per confrontarli […] con il percorso di raccolta rifiuti previsti nel turno stesso e produrre una reportistica in merito agli scostamenti tra servizio previsto e servizio effettivamente svolto"; di tali informazioni terrebbe conto l´Ufficio turni nell´ambito dell´attività di pianificazione dei turni successivi, consentendo di dare la priorità alle aree eventualmente non coperte dai turni precedenti (pp. 2 e 3, nota cit.);

e. i dati rilevati, inviati alla centrale operativa e memorizzati, consistono nel "codice del dispositivo, data, ora, secondi, coordinate geografiche" ma "non contengono informazioni relative al lavoratore assegnato alla guida del mezzo su cui è montato il dispositivo veicolare, quindi sono nativamente anonimi" e "dopo l´invio i dati vengono automaticamente cancellati dal dispositivo"(cfr. p. 4, nota 21.10. 2016, cit.);

f. tali informazioni (in particolare il raffronto tra servizio effettivamente reso e servizio previsto) come richiesto nei capitolati di appalto per l´affidamento dei servizi di igiene urbana, verrebbero inviati su supporto magnetico con report mensili al committente del servizio (nel caso di specie, il Consorzio Conero Ambiente) e "conservati per tutta la durata del servizio, fino comunque a 5 anni per l´intera flotta utilizzata" (p. 3, nota cit.);

g. più in generale, l´Ufficio turni provvede alla generazione settimanale dei turni di servizio mediante il sistema (c.d. software di "vestizione dei turni"); i vari turni sono "[…]identificati da "codice  percorso (indica una sequenza ordinata di vie da percorrere per eseguire il servizio); tipo di servizio (raccolta rifiuti per tipologia-carta, plastica-vetro ecc..- pulizia strade); tipo di attrezzatura da assegnare; "data e ora di inizio e fine servizio"; "operatori assegnati allo specifico servizio in base alla disponibilità" (desunta dall´elenco degli operatori disponibili, senza indicazione del motivo della non disponibilità dell´operatore, che resta di competenza dell´Ufficio del Personale);

h. "analogamente il [diverso] software che raccoglie i dati  [di geolocalizzazione] dei servizi svolti sul territorio e la posizione [geografica] delle squadre e dei mezzi […] non associa in alcun modo le radio agli operatori a cui è stata assegnata, ma esclusivamente al codice del turno"; a fine turno "l´intera sequenza di rilevamenti effettuati durante lo svolgimento del servizio stesso verrà messa a confronto automaticamente dallo stesso software con la sequenza di punti di raccolta georeferenziati che compongono [un determinato] percorso"; tanto, al fine di "accertare se il servizio è stato svolto regolarmente (se sono stati toccati tutti i punti di raccolta)"(p. 2 e 3, cit. e pp. 4 e 5 nota 21.10.2016);

i. "non è presente alcun collegamento automatico tra il software di predisposizione dei turni […] e il [diverso] sistema di geolocalizzazione": "non è quindi possibile produrre report generalizzati con le posizioni e i percorsi e che mostrino esplicitamente i nominativi o gli identificativi dei lavoratori" atteso che i report volti a verificare gli scostamenti che vengono generati "ogni giorno, contengono solo il codice del dispositivo radio)" ma non i nominativi degli operatori che hanno svolto il servizio (cfr. p. 7 e 8, lett. e) nota 21.10.2016, cit.;

j. "nei casi in cui vengano rilevate ripetute anomalie sulla copertura di uno o più servizi" la Direzione del Personale e la Direzione Tecnica si riservano di "analizzare i dati nel loro complesso, compresa l´analisi dettagliata dei nominativi degli operatori a cui sono stati assegnati i servizi al fine di monitorare il corretto svolgimento degli stessi e poter attuare gli opportuni aggiustamenti e ottimizzazioni nella pianificazione dei turni di servizio" e "di utilizzare le informazioni raccolte, nel rispetto di quanto previsto dalla normativa sulla Privacy e tutelando la riservatezza e la dignità dei lavoratori, a tutti i fini connessi al rapporto di lavoro" (p. 5, nota cit.); l´utilizzo di tali informazioni sarebbe volto a rilevare eventuali "ripetute anomalie nella copertura d uno o più servizi" e le relative cause (p. 7, lett. e) nota 21.10.2016, cit.).

2. Trattamento di dati personali dei dipendenti effettuato attraverso la localizzazione di dispositivi radio mobili e  dispositivi veicolari.

2.1. Alla luce della documentazione in atti emerge che la società intende utilizzare per le dichiarate finalità (cfr. punto 1.1.) - riconducibili ad esigenze organizzative e produttive, di sicurezza del lavoro e tutela del patrimonio aziendale-,  un sistema radiomobile digitale per le comunicazioni del personale operativo che espleta le attività di propria competenza nel territorio in cui vengono gestiti i vari servizi di raccolta differenziata e trasporto rifiuti solidi urbani.      La società ha intenzione di dotare il personale operativo di un dispositivo mobile e di un dispositivo veicolare installato sui veicoli assegnati al personale per lo svolgimento dei servizi di igiene urbana.

I dispositivi non sarebbero assegnati in maniera fissa ai dipendenti, ma di volta in volta attribuiti sulla base dei servizi da svolgere nel rispetto di turni predeterminati da uno specifico software adibito alla "predisposizione turni". In particolare, "gli operatori dotati di radio mobile nonché i conducenti dei mezzi su cui saranno installati i terminali veicolari, dovranno abilitare la funzionalità che consente l´invio del dato sulla geolocalizzazione all´inizio dell´orario di lavoro e disabilitarla al termine dello stesso" con possibilità di disattivazione "in ogni ipotesi di sospensione dell´orario di lavoro" inclusa la pausa pranzo.

I dipendenti, cui la società si impegna a rendere completa informativa ai sensi dell´articolo 13 del Codice, sarebbero comunque avvisati dello stato di attivazione della funzione di posizionamento mediante apposita icona disponibile sullo schermo del dispositivo. I dipendenti dovranno comunque tenere attiva la funzionalità GPS durante il normale svolgimento della prestazione lavorativa per consentire la consuntivazione del servizio stesso, ossia gli scostamenti tra servizio previsto e quello svolto. Durante l´attivazione della funzione di geolocalizzazione, l´invio del dato riferito alle coordinate geografiche avverrebbe ogni 30 secondi.

Se con riguardo ai dispositivi mobili, il dato sulla geolocalizzazione non sarebbe oggetto di conservazione, in quanto ogni successiva registrazione sovrascriverebbe la precedente, per i dispositivi veicolari, il sistema metterebbe a disposizione una funzionalità di "rilevamento del percorso" che prevederebbe la memorizzazione e conservazione per un periodo di 5 anni, come richiesto dai capitolati di gara, in un apposito database ("sistema di geolocalizzazione", p. 8, nota 21.10.2016, cit.), dei dati rilevati (codice del dispositivo veicolare, data, ora del rilevamento e coordinate geografiche), al fine di consentire il confronto fra i punti di raccolta previsti e quelli effettivamente "svuotati" dai mezzi, attraverso la preliminare georeferenziazione dei diversi punti di raccolta. All´interno del predetto sistema "i dati dei percorsi storicizzati non contengono l´associazione diretta ai nomi degli operatori che hanno svolto il turno di servizio".

L´accesso ai dati sarà consentito ai soli incaricati che saranno dotati di credenziali di accesso personalizzate e i dati saranno trattati nel rispetto della disciplina in materia di misure minime di sicurezza.

2.2. Accanto al predetto sistema di geolocalizzazione e al consueto sistema di gestione del personale, la società intende implementare –come già visto- un "sistema di predisposizione turni" – configurato in modo da consentire, per ogni specifico servizio, l´assegnazione dei dispositivi (veicolari o mobili) ai dipendenti identificati nominativamente; tale sistema consente di trattare i seguenti dati: codice  percorso, tipo di servizio, tipo di attrezzatura, data e ora di inizio e fine servizio, operatori assegnati.

Sebbene, stando a quanto dichiarato dalla società, il sistema di geolocalizzazione non sia idoneo a consentire un´associazione diretta tra le coordinate geografiche e i singoli operatori, e i due sistemi sarebbero progettati come logicamente separati, l´associazione dei dipendenti ad un particolare dispositivo veicolare potrebbe essere comunque sempre operata dalla società per il tramite delle direzioni competenti, confrontando manualmente i report prodotti dai rispettivi sistemi. La società ha infatti rappresentato che intenderebbe riservarsi di utilizzare tutti i dati raccolti "a fronte di rilevate ripetute anomalie nella gestione del servizio […] nel rispetto di quanto previsto dalla normativa sulla Privacy e tutelando la riservatezza e la dignità dei lavoratoti, a tutti i fini connessi al rapporto di lavoro".

RILEVATO

3. Liceità del trattamento dei dati di localizzazione.

3.1. Il trattamento che la società intende effettuare riguarda dati personali relativi alla posizione geografica (artt. 4, commi 1, lett. b) e 2, lett. i) e 37, comma 1, lett. a) del Codice) di dispositivi portatili e di quelli veicolari installati sulla flotta impiegata nel servizio erogato dalla società (e indirettamente dei lavoratori assegnatari dei mezzi).

Contrariamente a quanto sostenuto dalla società, tali dati non possono considerarsi anonimi, ai sensi dell´articolo 4, comma 1, lett. n) del Codice, essendo comunque sempre possibile procedere all´associazione tra questi ed un interessato identificabile. Anche quando i dati di localizzazione del veicolo non siano associati immediatamente al nominativo dei lavoratori interessati, ma, come nel caso di specie, solo mediante confronto manuale tra i report prodotti dal sistema di gestione dei percorsi con i dati raccolti dal sistema, logicamente separato, di predisposizione dei turni, il datore di lavoro è in condizione di risalire in ogni momento al lavoratore di volta in volta assegnatario di ciascun dispositivo e del relativo veicolo.

Il sistema che la società intende implementare consente, infatti, ancorché tramite incrocio e consultazione di informazioni conservate in archivi o sistemi separati, di risalire al veicolo o al dispositivo su di esso installato e, di conseguenza, all´identità dell´operatore, consentendo di ricostruirne, anche indirettamente, l´attività (art. 4, comma 1, lett. b), del Codice; cfr., in proposito, Provv. 4.10.2011, cit., punto 1; Parere n. 5/2005 del 5 novembre 2005 sull´uso di dati relativi all´ubicazione al fine di fornire servizi a valore aggiunto del Gruppo di lavoro articolo 29 per la protezione dei dati, WP 115, p. 10; v. altresì Parere n. 4/2007 sul concetto di dati personali, WP 136, p. 11).

Da ciò consegue l´applicabilità ai trattamenti in esame della disciplina in materia di protezione dei dati personali.

Oltre a tale normativa, deve altresì essere rispettata la disciplina lavoristica in materia di impiego di "strumenti dai quali derivi anche la possibilità di controllo a distanza dell´attività dei lavoratori" (artt. 11, comma 1, lett. a) e 114 del Codice e art. 4, comma 1, l. 20 maggio 1970, n. 300, come modificato dall´art. 23 del d. lg. n. 151/2015).

Da questo punto di vista, le finalità che la società intende perseguire e rappresentate nell´istanza (ottimizzazione e razionalizzazione del servizio anche in relazione agli obblighi di consuntivazione dello stesso, rafforzamento della sicurezza dei dipendenti e tutela di beni aziendali, cfr. punto 1.1.) appaiono riconducibili a quelle "esigenze organizzative e produttive, per la sicurezza del lavoro e per tutela del patrimonio aziendale" , in presenza delle quali il legislatore consente controlli a distanza.

La società, quindi, ha correttamente provveduto ad acquisire specifica autorizzazione da parte della Direzione territoriale del lavoro di Ancona, la quale ha autorizzato l´impiego del descritto sistema (cfr., nota prot. n. 3073 del 9 febbraio 2016, in atti; sul punto v. pure Ispettorato Nazionale del Lavoro, circolare n. 2/2016 del 7.11.2016, ma già, seppur con riguardo al quadro normativo previgente, provv. del Garante 4.10.2011, cit., spec., punti 2.2. e 2.3).

3.2. Tutto ciò premesso, il trattamento che la società intende effettuare mediante il descritto sistema risulta in termini generali lecito. Analogamente, la maggior parte delle misure prospettate dalla società e le modalità di configurazione del sistema, salvo quanto si dirà ai successivi punti 5 e 6, risultano proporzionate alle finalità perseguite (art. 11, comma 1, lett. a), d) ed e) del Codice).

4. Bilanciamento di interessi.

Si ritiene pertanto, alla luce delle valutazioni sopra esposte circa la conformità del sistema ai principi di protezione dei dati e considerate le misure poste a tutela degli interessati indicate nei successivi punti 5 e 6, che i descritti trattamenti possano essere effettuati, nei confronti dei dipendenti, per effetto del presente provvedimento che, in applicazione della disciplina sul c.d. "bilanciamento di interessi" (art. 24, comma 1, lett. g) del Codice), individua un legittimo interesse al trattamento di tale tipologia di dati in relazione alle finalità rappresentate.

5. Principi di finalità e proporzionalità e tempi di conservazione.

5.1. Per il conseguimento di ciascuna delle finalità legittimamente perseguite potranno formare oggetto di trattamento, mediante sistemi opportunamente configurati, solo i dati necessari, pertinenti e non eccedenti (artt. 3 e 11, comma 1. lett. d), del Codice).

Inoltre i tempi di conservazione delle diverse tipologie di dati personali trattati dovranno essere commisurati a ciascuno degli scopi in concreto perseguiti, salva la conservazione in presenza di eventuali obblighi di legge gravanti sul titolare del trattamento (art. 11, comma 1. lett. e), del Codice).

5.2. In particolare, con riguardo alla programmazione dei turni, i dati personali oggetto di trattamento mediante il corrispondente sistema (codice  percorso, tipo di servizio, tipo di attrezzatura, data e ora di inizio e fine servizio; operatori assegnati) potranno essere conservati per tutta la durata del rapporto di lavoro e, comunque, nel rispetto dello specifico termine prescrizionale previsto dalla legge (art. 2948 c.c.).

Con riguardo all´utilizzo per la pianificazione dei turni e l´assegnazione delle priorità del servizio (cfr., punto 1.2., lett. d)), da parte del personale preposto all´Ufficio turni della reportistica generata dal sistema di geolocalizzazione, contenente informazioni relative agli scostamenti tra servizio previsto e servizio effettivamente svolto, si fa presente che gli eventuali dati personali ivi riportati che rendano anche indirettamente identificabile il lavoratore (in particolare, il codice del dispositivo), dovranno essere opportunamente anonimizzati.

5.3. Con riguardo alla consuntivazione del servizio, svolta mediante l´invio all´ente affidatario di report periodici (trasmessi su supporto magnetico, di regola, mensilmente) si fa presente che tale documentazione dovrà contenere solo le informazioni strettamente necessarie a consentire il raffronto tra servizio effettivamente reso e servizio previsto. La società nel rispetto del principio di necessità dovrà dunque procedere all´adozione di opportuni accorgimenti in modo che nei menzionati report non ricorrano dati che siano, anche indirettamente, riconducibili agli interessati quale è, ad esempio, il codice del dispositivo (artt. 3 del Codice; provv. 2 ottobre 2014, doc. web n. 3534543).

5.4. Come già riportato al punto 1.2., lett. j), la società ha dichiarato di voler riservare alla Direzione tecnica e alla Direzione del personale di accedere ai dati, già raccolti ai sensi dell´articolo 4, comma 1, della legge n. 300/1970 e contenuti nei due distinti sistemi (rispettivamente quello di geolocalizzazione e quello di predisposizione dei turni), in presenza di "ripetute anomalie" nella gestione del servizio al fine di analizzarli "per la risoluzione di tali anomalie" nell´ambito della copertura del servizio.

Anche tali operazioni di trattamento devono essere effettuate nel rigoroso rispetto del quadro normativo di riferimento, sia in materia di protezione dei dati, che lavoristico (artt. 3, 11, comma 1, lett. a), b), d), ed e) e 13 del Codice nonché 4, comma 3, l. n. 300/1970).

La disciplina del Codice richiede, in particolare, che l´identificazione degli interessati avvenga "solo in caso di necessità", "per scopi determinati, espliciti e legittimi" e che i dati siano  utilizzabili "in altre operazioni di trattamento in termini compatibili con tali scopi", come, in effetti, appare nel caso prospettato dalla società (individuazione e risoluzione di eventuali gravi irregolarità nella copertura del servizio).

Per rispettare, peraltro, il principio di proporzionalità le operazioni di trattamento potranno essere poste in essere solo a fronte della concreta ricorrenza delle "anomalie", che siano state altresì previamente predeterminate e rese note ai lavoratori unitamente alle modalità con le quali la società si riserva di trattare i dati.

Da quest´ultimo punto di vista, la società dovrà, pertanto, fornire agli interessati ogni dettaglio informativo necessario ad assicurare ai dipendenti piena consapevolezza dei trattamenti che si riserva di effettuare e degli strumenti utilizzati (art. 13 del Codice e 4, comma 3, della legge n. 300/1970).

Quanto ai tempi di conservazione dei dati, resta salva la possibilità di conservare i dati personali trattati dal sistema di geolocalizzazione (in particolare, le coordinate geografiche ed il codice del dispositivo) per il periodo strettamente necessario che andrà commisurato dalla società in modo congruo e proporzionato con riguardo alla specifica finalità perseguita.

Trascorso il predetto termine, i dati dei percorsi storicizzati (effettivamente posti in essere), potranno essere conservati, come richiesto nei capitolati tecnici per l´affidamento del servizio, solo se le informazioni relative alla localizzazione per l´intera flotta utilizzata saranno state opportunamente anonimizzate (artt. 3 e 11, comma 1, lett. e), del Codice; e punto 3, provv. 4.10.2011, cit.).

In tale quadro, dovranno essere comunque adottate specifiche misure a tutela degli interessati, nei termini di cui al successivo punto 6.4..

Resta, peraltro, fermo che, come chiarito in numerosi casi da questa Autorità, ogni operazione di ulteriore trattamento, ancorché effettuata nell´ambito della gestione del rapporto contrattuale con il lavoratore e nell´esercizio del potere di verifica dell´effettivo adempimento della prestazione (artt. 2086, 2087 e 2104 c.c.), deve essere ispirata alla liceità, proporzionalità e gradualità nel trattamento dei dati evitando interferenze ingiustificate nella sfera privata dei lavoratori, pena l´inutilizzabilità dei dati stessi (art. 11, comma 2, del Codice; cfr. punto 5, Provv. 13.07.2016, doc. web n. 5408460; ancorché con riferimento al quadro normativo previgente, con riguardo alla non utilizzabilità del dato sulla geolocalizzazione acquisito in violazione di legge, v. Cass. civ. sez. lav. n. 19922 del 5.10.2016).

6.  Misure ed accorgimenti posti a tutela dei diritti degli interessati.

6.1. Sulla base di quanto rappresentato dalla società, si ritiene che, in ragione delle caratteristiche della soluzione proposta, sia opportuno indicare ulteriori misure, aggiuntive rispetto a quelle individuate in documentazione. Tali misure riguardano i dispositivi veicolari, in quanto si ritiene che per i dispositivi mobili, stante l´assenza di conservazione del dato di geolocalizzazione, le misure individuate dalla società siano congrue.

Al riguardo, dovranno essere impartite, ove necessario, le dovute istruzioni al fornitore del servizio di localizzazione, che andrà designato responsabile del trattamento ai sensi dell´articolo 29 del Codice (cfr. punto 5.2., provv. 4.10.2011, cit.). 

6.2. In particolare, con riferimento alla frequenza della rilevazione dei dati di geolocalizzazione, che la società ha prospettato in 30 secondi, con riguardo al servizio di raccolta "porta a porta", adducendo la necessità di verificare il passaggio su tutti i punti di raccolta solitamente corrispondenti ai singoli numeri civici (p. 5, cfr. nota 3.2.2016, cit.), occorre osservare che i principi di necessità e proporzionalità non consentono di regola una rilevazione costante e continuativa della posizione del veicolo (artt. 3 e 11, comma 1, lett. a) e d), del Codice; sul punto, Raccomandazione del 1° aprile 2015, CM/Rec(2015)5, sul trattamento di dati personali nel contesto occupazionale, par. 16; ma già, "Gruppo articolo 29", Parere n. 13, 16 maggio 2011, sui servizi di geolocalizzazione su dispositivi mobili intelligenti, WP 185, p. 15: "il datore di lavoro deve […] evitare il monitoraggio costante [… e che i] dispositivi di tracciamento dei veicoli non sono dispositivi di tracciamento del personale, bensì la loro funzione consiste nel rintracciare o monitorare l´ubicazione dei veicoli sui quali sono installati. I datori di lavoro non dovrebbero considerarli come strumenti per seguire o monitorare il comportamento o gli spostamenti di autisti o di altro personale […]"; e, in senso analogo, punto 3, provv. 4.10.2011, cit.). La rilevazione del dato di geolocalizzazione dovrebbe pertanto essere effettuata solo quando si renda necessario per il conseguimento delle specifiche finalità legittimamente perseguite.

Al fine dunque di contemperare tali principi con le prospettate finalità di efficiente gestione del servizio anche mediante verifica del passaggio del mezzo geolocalizzato presso tutti i punti di raccolta, in assenza di ulteriori esigenze che giustifichino il rilevamento periodico a così elevata frequenza (2 rilevamenti/minuto), occorre configurare opportunamente il sistema.

In particolare la rilevazione del dato di geolocalizzazione dovrà avvenire nel momento in cui l´automezzo giunga in prossimità di un punto di raccolta, vale a dire in relazione a punti predeterminati e precedentemente georeferenziati, che potranno coincidere, a seconda delle valutazioni della società, con tutti o alcuni dei punti di raccolta (c.d. rilevazione "ad eventi").

Tali misure consentiranno alla società di effettuare un confronto fra il percorso preventivato e quello effettivamente svolto, potendo anche utilizzare il dato relativo all´orario di passaggio presso i punti di raccolta effettivamente verificati.

6.3. Solo in presenza di anomalie predeterminate nella gestione di un servizio, non suscettibili di essere risolte mediante un controllo preliminare su dati aggregati, la società potrà prevedere l´attivazione della rilevazione (in tempo reale) della posizione geografica dell´automezzo quando quest´ultimo dovesse effettuare una sosta superiore a un tempo massimo individuato dalla società e comunque non inferiore a cinque minuti (cfr., punto 1.2.). Tanto anche al fine di generare dati di rilevamento non funzionali agli scopi perseguiti derivanti, ad esempio, da soste ai semafori o per effetto del traffico urbano.

6.4. In relazione ai trattamenti effettuati per finalità di rilevamento, analisi e risoluzione di anomalie nella copertura del servizio (cfr. punto 5.4.), con specifico riguardo alla facoltà di effettuare interrogazioni e incrocio dei dati presenti sul sistema di predisposizione turni con i dati contenuti nel sistema di geolocalizzazione (cfr., p. 7, punto e), nota 21.10.2016, cit.), nei limiti della disponibilità degli stessi alla luce dei tempi di conservazione commisurati dalla società in relazione alle diverse specifiche finalità (punti 5.2 e 5.4.), dovranno essere adottate le seguenti misure a tutela degli interessati:

- le interrogazioni ad ambedue i sistemi devono essere consentite solo a un numero ridotto di incaricati operanti presso le competenti unità organizzative, i quali devono essere identificati mediante specifiche credenziali di autenticazione;

- le interrogazioni di cui al punto precedente devono essere registrate, tramite un apposito file di log riportante la data e l´ora dell´operazione, l´operazione effettuata, i codici dei dispositivi/veicoli visualizzati, l´identificativo dell´incaricato;

- tali registrazioni devono avere caratteristiche di completezza, integrità, inalterabilità e durata della conservazione analoghe a quelle richieste per i log degli accessi di cui al provvedimento del Garante del 27 novembre 2008 sugli amministratori di sistema.

7. Adempimenti previsti dalla legge.

Resta fermo che la società, prima dell´inizio dei descritti trattamenti - come del resto, per alcuni aspetti, già rilevato nell´istanza -  è tenuta in base alla normativa vigente a:

a. fornire ai dipendenti della società coinvolti dai descritti trattamenti, un´informativa comprensiva di tutti gli elementi contenuti nell´articolo 13 del Codice (tipologia di dati, finalità e modalità del trattamento, compresi i tempi di conservazione), anche in conformità al principio di correttezza in base al quale il titolare è tenuto a rendere chiaramente riconoscibili agli interessati i trattamenti che intende effettuare e le relative modalità (art. 11, comma 1, lett. a) e 13 del Codice; art. 4, comma 3, l. 300/1970);

b. effettuare la notificazione al Garante ai sensi dell´articolo 37, comma 1, lett. a), del Codice;

c. adottare le misure di sicurezza previste dagli articoli 31 ss. del Codice al fine di preservare l´integrità dei dati trattati e prevenire l´accesso agli stessi da parte di soggetti non autorizzati;

d. designare il fornitore del servizio di localizzazione responsabile del trattamento ai sensi dell´articolo 29 del Codice (cfr. punto 6.1.);

e. predisporre misure al fine di garantire agli interessati l´esercizio dei diritti previsti dagli articoli 7 e seguenti del Codice.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell´articolo 17 del Codice, a conclusione della verifica preliminare, ammette il trattamento di dati personali da parte di Anconambiente S.p.A. mediante il sistema di localizzazione geografica dei veicoli aziendali e dei dispositivi mobili, illustrato nei termini di cui in motivazione, e prescrive che la società, quali misure necessarie, debba:

a. configurare il sistema in modo da consentire la conservazione dei dati trattati esclusivamente nelle ipotesi precedentemente indicate e adottare misure preordinate all´anonimizzazione degli stessi dopo la decorrenza dei termini di conservazione commisurati secondo le modalità precedentemente indicate in relazione alle distinte finalità perseguite (punti 5.2 e 5.4.);

b. predisporre i report destinati ad essere messi nella disponibilità dell´ente affidatario del servizio in modo che in essi non ricorrano dati identificativi (ad esempio, codice veicolo; punto 5.3);

c. rilevare i dati di geolocalizzazione in relazione a punti predeterminati, precedentemente georeferenziati, nei termini di cui in motivazione (punto 6.2.);

d. prevedere l´attivazione della rilevazione in tempo reale della posizione geografica dell´automezzo solo in presenza di anomalie predeterminate nella gestione di un servizio, non suscettibili di essere risolte mediante un controllo preliminare su dati aggregati, quando quest´ultimo dovesse effettuare una sosta superiore a un tempo massimo individuato e comunque non inferiore a cinque minuti (punto 6.3.);

e. utilizzare i dati personali identificativi dei lavoratori nel quadro dei trattamenti effettuati per finalità di rilevamento, gestione e risoluzione di "ripetute anomalie" solo a condizione che sia rispettata la disciplina in materia di protezione dei dati personali e lavoristica nei termini di cui in motivazione, nell´ambito dei limiti temporali congruamente individuati e nel rispetto delle specifiche misure indicate (punti 5.4. e 6.4.)

Ai sensi degli articoli 152 del Codice e 10 del decreto legislativo n. 150 del 2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 24 maggio 2017

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia

Scheda

Doc-Web
6495708
Data
24/05/17

Argomenti


Tipologie

Verifica preliminare