g-docweb-display Portlet

Provvedimento del 19 luglio 2018 [9039945]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9039945]

 

VEDI ANCHE

Provvedimento del 18 ottobre 2018

Provvedimento del 28 giugno 2018

Provvedimento del 19 luglio 2018

Registro dei provvedimenti
n. 427 del 19 luglio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”);

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati);

VISTI gli esiti degli accertamenti ispettivi effettuati presso Faiella Nicola s.r.l. in relazione al trattamento di dati personali effettuato attraverso un sistema di localizzazione geografica fornito da Visirun S.p.A.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Licia Califano;

PREMESSO

1. Accertamenti ispettivi effettuati presso la Faiella Nicola s.r.l..

1.1. All’esito degli accertamenti ispettivi effettuati l’8 e 9 novembre 2017 dal Nucleo Speciale Privacy della Guardia di finanza ˗ su delega dell’Autorità ˗ presso la sede legale della Faiella Nicola s.r.l. (di seguito, anche solo “la società”), in relazione al trattamento di dati personali effettuato mediante un sistema di localizzazione geografica di veicoli aziendali e di videosorveglianza nell’ambito dell’attività di raccolta e trasporto di rifiuti (anche speciali e pericolosi), di trasporto acqua e merci nonché di esecuzione di lavori di espurgo è emerso che:

a. la società per lo svolgimento della propria attività utilizza una flotta di 16 automezzi, di cui 13 dotati di sistema di geolocalizzazione “i cui dispositivi sono stati forniti […] dalla Visirun s.p.a”; in relazione a tale sistema la titolarità del trattamento “è in capo” alla società (cfr. verbale accertamenti ispettivi 8-9.11.2017, p. 2-3);

b. il sistema di localizzazione è stato attivato “qualche settimana” dopo la stipula del contratto con il fornitore del servizio (Visirun s.p.a, già Mobivision s.r.l.) avvenuto il 12 maggio del 2012 (cfr. verbale cit., p. 3);

c.  al sistema accede l’amministratore unico della società, tramite collegamento al sito web/area clienti del fornitore del servizio ed autenticazione attraverso “indirizzo di posta elettronico societario […] e […] apposita password di 14 caratteri” (cfr. verbale cit., p. 3);

d. il sistema consente di “visualizzare su mappa elettronica la posizione dei 13 automezzi […]; localizzare gli automezzi più vicini ad un indirizzo specifico; controllare il percorso, il tempo di guida e la velocità media tenuta da ogni veicolo; avere un report riassuntivo in tempo reale dello stato degli automezzi […]; vedere l’elenco della flotta monitorata con sistema GPS, riportando i dati della targa, la data, lo stato del mezzo, la mappa cartografica, le soste/fermate effettuate; aggiornare la posizione geografica dell’automezzo ogni due minuti” (cfr. verbale cit., p. 3);

e. in relazione a 5 automezzi il sistema “prevede un servizio […] che ci avvisa immediatamente se uno dei cinque automezzi esce fuori dai confini della regione Campania” (cfr. verbale cit., p. 3-4);

f. la società “acconsente espressamente al trasferimento [al fornitore] dei dati necessari all’utilizzo del servizio, nonché alla loro memorizzazione e conservazione in banche dati” del fornitore stesso (cfr. verbale cit., p. 4);

g. “la società predispone e consegna ad ogni autista un programma giornaliero, contenente i dati identificativi dell’autista e l’elenco dei clienti da visitare” (cfr. verbale cit., p. 3);

h. il sistema di localizzazione è stato installato, “anche in considerazione del forte tasso di criminalità presente nei territori” dove la società svolge la propria attività, “per fini di tutela di beni e persone ed anche soprattutto perché richiesto dal Ministero dell’Ambiente, in quanto […] la società è obbligata all’iscrizione al sistema di controllo della tracciabilità dei rifiuti (SISTRI)” (cfr. verbale cit., p. 4);

i. prima dell’installazione del sistema gli autisti sono stati informati oralmente ed hanno fornito “verbalmente il loro consenso”; la società ha organizzato corsi di formazione sul sistema di localizzazione dei veicoli (cfr. verbale cit., p. 4);

j. “all’interno degli automezzi non vi sono vetrofanie di avviso di automezzo sottoposto a localizzazione” (cfr. verbale cit., p. 4);

k. la società “non ha provveduto ad individuare incaricati del trattamento per la geolocalizzazione […] né […] ha provveduto ad individuare incaricati del trattamento […] i dipendenti che svolgono trattamenti di dati personali, con mansioni di reception, contabilità e amministrative né […] in relazione ai dipendenti che visualizzano in tempo reale le immagini riprese dai due monitor relativi al sistema di videosorveglianza” (cfr. verbale cit., p. 5);

l. l’accesso al “gestionale informatico interno […], attraverso il quale si provvede alla gestione dei rifiuti e della contabilità della società” è effettuato dall’amministratore unico il quale ha altresì “provveduto a creare ulteriori sei password di accesso al […] gestionale, che [sono comunicate] al personale amministrativo […], in caso di […] autorizzazione all’effettuazione di operazioni di inserimento e/o di consultazione dati […]. Le password non sono assegnate personalmente ai dipendenti […]” (cfr. verbale cit., p. 6);

m. la società “provvederà immediatamente a formalizzare per iscritto gli incarichi ai dipendenti […]”(cfr. verbale cit., p. 7);

n. non sono state attuate le procedure di cui all’articolo 4, legge n. 300/1970 sia perché i dispositivi di localizzazione sono stati “obbligatoriamente installa[ti] sugli automezzi aziendali al fine dell’iscrizione al Sistri” sia perché il sistema “non prevede il controllo continuo dell’automezzo ma ad intervalli di tempo e non consente di risalire all’identità del conducente” (cfr. verbale cit., p. 7);

o. la società non ha effettuato la notificazione al Garante in quanto “come da relazione tecnica inviata […] dalla Visirun s.p.a. […] la stessa ha provveduto a notificare al Garante i trattamenti di dati relativi alla geolocalizzazione […]” (cfr. verbale cit., p. 7);

p. è stata accertata la presenza di un sistema di videosorveglianza, attivo, composto da quattro telecamere “situate nelle aree esterne” e da due monitor collocati all’interno degli uffici, in assenza di alcuna informativa (cfr. verbale cit., p. 2);

q. l’impianto di videosorveglianza è funzionante da circa un anno, prevede la memorizzazione e conservazione delle immagini per 24 ore, “con sovrascrittura ed automatica cancellazione […]” ed è preordinato alla tutela del patrimonio aziendale (cfr. verbale cit., p. 7);

r. considerato che non sono stati apposti i cartelli informativi relativi all’impianto di videosorveglianza la società “provvederà tempestivamente ad assolvere all’obbligo dell’informativa” (cfr. verbale cit., p. 8);

s. anche in relazione all’impianto di videosorveglianza non sono state attuate le procedure di cui all’articolo 4, legge n. 300/1970 (cfr. verbale cit., p. 8).

1.2. Con nota inviata in data 23 novembre 2017 ad integrazione e parziale correzione di quanto dichiarato nel corso dell’ispezione in loco, la società ha precisato che:

a. il titolare del trattamento effettuato mediante il sistema di geolocalizzazione è “Mobivision s.r.l. (ora, Visirun S.p.A.) come stabilito dall’art. 5 dell’informativa ex art. 13 d.lgs. n. 196/2003, di cui alle condizioni generali del contratto inerente il servizio Visirun” (cfr. nota 23.11.2017, p. 1);

b. “i dispositivi Visirun sono dotati di una funzione […] “Privacy” che permette al dipendente della società […] di disabilitare la localizzazione del veicolo e la memorizzazione dei relativi dati” (cfr. nota cit., p. 3);

c. in data successiva agli accertamenti ispettivi è stata fornita ai dipendenti un’informativa sull’impianto di videosorveglianza (datata 23.11.2017 e recante la sottoscrizione di 17 dipendenti, prodotta in copia).

2. Ulteriore attività istruttoria.

2.1. Ritenuto illecito il trattamento effettuato dalla Faiella Nicola s.r.l., all’esito degli accertamenti è stato redatto nei suoi confronti verbale di contestazione di violazione amministrativa n. 94/2017 del 30 novembre 2017, in relazione alla violazione dell’obbligo di fornire un’idonea informativa agli interessati (ex art. 161 del Codice), all’omessa designazione del responsabile del trattamento (art. 162, comma 2-ter del Codice) e all’omessa notificazione al Garante (ex art. 163 del Codice) con riferimento al sistema di localizzazione geografica, nonché in relazione alla violazione dell’obbligo di fornire un’idonea informativa agli interessati (ex art. 161 del Codice) e per inosservanza delle misure di sicurezza (ex art. 33 del Codice) con riferimento al sistema di videosorveglianza.

L’autonomo procedimento sanzionatorio avviato con il predetto verbale di contestazione di violazione amministrativa n. 94/2017 è stato definito dall’Autorità con ordinanza ingiunzione n. 383 adottata il 14 giugno 2018.

2.2. La società ha poi inviato una nota ricevuta l’11 gennaio 2018 e, con la quale ha ribadito le sue posizioni già espresse, in particolare con riferimento alla ritenuta titolarità del trattamento dei dati di localizzazione in capo al fornitore del servizio (cfr. nota 11.1.2018, p. 2), ha altresì rappresentato di aver a suo tempo fornito un’informativa ai dipendenti sul sistema di localizzazione sia attraverso l’informativa ai sensi dell’art. 13 del Codice allegata al contratto di lavoro (nella quale è indicato che “la posizione degli automezzi muniti di satellitare e quindi degli autisti è in ogni momento nota al personale addetto alla logistica”; cfr. nota cit., Doc. 1) sia attraverso l’organizzazione di corsi di formazione (in particolare il corso dal titolo “Informativa dipendenti-localizzazione dei veicoli aziendali” datata 3.11.2016; cfr. nota cit., Doc. 2). Quanto all’informativa relativa al sistema di videosorveglianza la società ha dichiarato di aver fornito “oralmente” gli elementi indicati dall’articolo 13 del Codice, e di aver altresì “acquisito il […] consenso” dei dipendenti (cfr. nota cit., p. 8).

L’Autorità ha formulato una richiesta di chiarimenti per acquisire ulteriori elementi oltre quelli già esaminati, in base ai quali il trattamento è risultato illecito, allo scopo di impartire le migliori prescrizioni alle società e consentire in modo che le stesse possano conformare, per il futuro, il trattamento alla disciplina vigente in materia di protezione dei dati personali e consentire comunque ogni consentita interlocuzione difensiva.

Faiella Nicola s.r.l., fornendo riscontro con nota pervenuta il 1° marzo 2018, ha dichiarato che:

a. “i veicoli vengono affidati ai dipendenti in base ad un programma di lavoro nel quale sono previsti gli interventi giornalieri […]. Tale documento viene predisposto dall’azienda e successivamente compilato dallo stesso operatore incaricato con i dati dell’attività svolta […]” (cfr. nota 1.3.2018, p. 1);

b. “in caso di violazioni del Codice della strada è possibile risalire al nominativo del dipendente consultando il programma giornaliero” (cfr. nota cit., p. 2);

c. “i dispositivi installati per adempiere all’obbligatoria iscrizione al SISTRI sono del tutto distinti e separati da quelli forniti da Visirun. A quest’ultima la società si è rivolta per aumentare la sicurezza sul lavoro e assicurare una più efficiente gestione e manutenzione del parco veicoli” (cfr. nota cit., p. 3);

d. “i dispositivi […] sono dotati di una funzione specifica, definita «Privacy» che consente al legale rappresentante […] di disabilitare la localizzazione del veicolo e la memorizzazione dei relativi dati” (cfr. nota cit., p. 3);

e. “le credenziali di autenticazione alla piattaforma web sono nella disponibilità esclusiva dell’Amministratore unico che non comunica le credenziali ai dipendenti, fatta eccezione per quelli che trattano dati personali. Questi ultimi possono accedere ai PC aziendali esclusivamente tramite credenziali conferite dall’Amministratore unico, composte da username e password di almeno otto caratteri […]”(cfr. nota cit., p. 4);

f. “in data 20 novembre 2017 sono stati stipulati con le rappresentanze sindacali due accordi quadro concernenti l’utilizzo di impianti di videosorveglianza e apparecchiature di localizzazione satellitare” (cfr. nota cit., p. 4).

2.3. L’Ufficio ha acquisito elementi informativi anche presso il fornitore del servizio di localizzazione dei veicoli, Visirun S.p.A., che in riscontro alle domande formulate ha dichiarato che:

a. in relazione al trattamento di dati effettuato attraverso la fornitura del servizio di localizzazione, Visirun riveste il ruolo di responsabile del trattamento, trattandosi di servizio “reso nell’interesse del cliente”; inoltre Visirun “conosce unicamente i dati (es. targa, localizzatore GPS, odometro, etc.) appartenenti al veicolo della flotta aziendale del cliente” (nota pervenuta il 5.3.2018, p. 1-2);

b. “il servizio è attualmente attivo, con 13 veicoli configurati” (nota cit., p. 2);

c. all’interno delle condizioni generali del servizio stipulate con la società è previsto che “l’utente, in qualità di titolare del trattamento, sarà tenuto a conferire a Visirun, ai sensi e per gli effetti dell’art. 29 del Codice Privacy, l’incarico di responsabile esterno del trattamento […]”; “a seguito delle recenti modifiche all’art. 29 del Codice, per cui è stato introdotto espressamente […] l’obbligo di stipulare con i responsabili esterni atti giuridici in forma scritta, [la società utente dei servizi] ha provveduto [..] a designare come tale Visirun per mezzo di apposita nomina” (nota cit., p. 2-3);

d.  quanto alle caratteristiche del servizio fornito alla società “i dispositivi di localizzazione […] quando rilevano il movimento dell’autovettura […] iniziano ad acquisire automaticamente le coordinate geografiche e la velocità GPS del veicolo medesimo: la rilevazione delle coordinate avviene con intervalli di 30 o 60 secondi (a seconda del modello del localizzatore); i dispositivi inviano, ad intervalli predefiniti di 30, 60 o 120 secondi (sempre in base al modello), la posizione dell’autoveicolo aziendale al centro servizi Visirun […]”; attraverso il collegamento al sito web il cliente può accedere ai seguenti dati: “mappa: dove viene visualizzata la posizione in tempo reale dei veicoli, il loro stato (fermo/movimento), la velocità e i dati di utilizzo nella giornata in corso (ore di impegno, ore di guida e chilometri percorsi). […] è inoltre possibile consultare tutti i percorsi effettuati dai mezzi negli ultimi 365 giorni”; all’interno della sezione Report è possibile consultare “i dati di utilizzo dei veicoli, quali ore di impegno, ore di guida, tempo di fermo e chilometri percorsi. E’ possibile estrarre i dati degli ultimi 365 giorni” (nota cit., p. 4);

e. con riferimento alla funzione opzionale “Privacy” che “permette al lavoratore di disabilitare la tracciabilità del veicolo e la memorizzazione dei relativi dati”, considerato che “tale funzione deve essere abilitata in fase di installazione e necessita di accessori aggiuntivi non forniti con il localizzatore”, i veicoli della società cliente nei cui confronti sono stati effettuati gli accertamenti “non risultano essere stati predisposti all’utilizzo della funzione PRIVACY” (nota cit., p. 4);

f. “su richiesta espressa dei propri clienti” è possibile “personalizzare alcune modalità del trattamento dei dati, tra cui: […] l’intervallo temporale con cui il sistema effettua la rilevazione della posizione geografica; e […] i tempi di conservazione dei dati. Si evidenzia che [la società] non ha mai richiesto alcuna di queste modifiche, limitandosi ad applicare il servizio nella sua versione «standard»” (nota cit., p. 5);

g. con riferimento all’ambito dei trattamenti per i quali Visirun ha effettuato la notificazione al Garante, dandone conto nella “Relazione tecnica” circa la Installazione di impianti satellitari GPS Visirun (cfr. nota cit., All. a3), si è precisato che “la notifica è stata effettuata meramente (e, probabilmente, in maniera errata) a scopo precauzionale, dal momento che l’obbligo della stessa ricade unicamente sul titolare del trattamento” (nota cit., p. 5).

3. Elementi di valutazione a fini prescrittivi.

3.1. Ferma restando l’accertata illiceità del trattamento effettuato dalla Faiella Nicola s.r.l., in qualità di titolare, si ritiene opportuno, con il presente provvedimento, formulare delle prescrizioni nei confronti della società medesima, nonché di Visirun S.p.A., al fine di tutelare gli interessati e di permettere alle stesse di conformare opportunamente, per il futuro, i trattamenti alla disciplina vigente in materia di protezione dei dati personali. 

3.2. Per quanto riguarda il trattamento effettuato da Faiella Nicola s.r.l. dei dati personali riferiti alla geolocalizzazione, sebbene i veicoli non siano assegnati sempre al medesimo dipendente, tuttavia ˗ secondo quanto dichiarato dalla società ˗ l’identità degli autisti è sempre ricavabile dal programma di lavoro giornaliero (v. precedente punto 2.1., lett. b.).

La stessa società peraltro, all’atto della stipula del rapporto di lavoro, in base alla documentazione fornita all’Autorità ha rappresentato ai dipendenti che “la posizione degli automezzi […] e quindi degli autisti” è conosciuta dal personale preposto (v. precedente punto 1.4.).

D’altronde è indubbio che è la società ad aver deciso l’adozione del sistema (ulteriore e distinto rispetto a quello prescritto dalla legge per finalità di tracciamento dei rifiuti) in relazione a specifiche finalità perseguite (organizzative e di sicurezza), utilizzando le concrete modalità di trattamento messe a disposizione dal fornitore del servizio (conformemente a quanto previsto dall’art. 28 del Codice).

Pertanto la società effettua operazioni di trattamento di dati personali riferiti ai propri dipendenti attraverso l’accesso al sistema di geolocalizzazione dei veicoli aziendali fornito da Visirun S.p.A..

Inoltre, la società ha installato un sistema di videosorveglianza, che è risultato attivo, composto da quattro telecamere situate nelle aree esterne e da due monitor collocati all’interno degli uffici.

4. Geolocalizzazione dei veicoli. Liceità, necessità, pertinenza e non eccedenza dei trattamenti effettuati.

E’ emerso che la società utilizza sia dispositivi forniti nell’ambito della procedura di iscrizione al Sistri (cui è tenuta in base alla normativa vigente) sia (distinti) dispositivi forniti da Visirun S.p.A. per finalità di sicurezza e di gestione efficiente del parco veicoli (v. precedente punto 2.1., lett. c.).

In relazione a tali ultime finalità è stato rilevato che le concrete modalità di funzionamento del sistema tecnologico adottato consentono alla società, mediante il collegamento con la piattaforma web messa a disposizione dal fornitore del servizio, di visualizzare, attraverso la sezione “Mappa”, in tempo reale la posizione dei veicoli acquisita dal sistema ogni 120 secondi (v. precedente punto 1.1., lett. d.), il loro stato (fermo/in movimento), la velocità nonché dati ulteriori relativi all’utilizzo del veicolo nella giornata in corso (le ore di impegno e di guida, le pause, la velocità media, indicate sia in totale che distintamente per ciascuna tratta effettuata, anche di pochi minuti). Tali informazioni sono rese disponibili, congiuntamente alla mappa geografica dei percorsi effettuati giornalmente, per un anno (365 giorni) (cfr. “Condizioni generali del contratto inerente il servizio Visirun”, Allegato 3, verbale accertamenti ispettivi 8-9.11.2017, spec. punto 2; Allegato 4, verbale accertamenti cit., contenente le schermate degli accessi effettuati in tempo reale al sistema; nota Visirun S.p.A. 5.3.2018, All. C “Descrizione del servizio erogato a Faiella Nicola s.r.l.”).

Inoltre la sezione “Report” consente alla società di estrarre dati totali relativi all’utilizzo dei veicoli (“ore impegno”, “ore di guida”, “tempo di fermo e chilometri percorsi”) nonché un rapporto “dettagliato con indicata ogni singola tratta effettuata dal veicolo”, visualizzare il dettaglio delle soste per ciascun veicolo (comprensivo di indirizzo e coordinate geografiche rilevate) ed anche “estrarre i dati degli ultimi 365 giorni, esportabili anche in formato excel o pdf” (cfr. nota Visirun S.p.A. 5.3.2018, All. C cit., p. 2). Infine è possibile configurare l’invio di allarmi (tramite notifiche sul sistema) in caso di verificazione di eventi predeterminati (ad es. superamento di una data velocità, l’ingresso o l’uscita del veicolo da un’area geografica specifica; cfr. All. C cit., p. 5).

Tali modalità del trattamento e, segnatamente, la raccolta di informazioni particolareggiate sull’attività dei singoli veicoli monitorati dal sistema e, indirettamente, sull’attività degli autisti cui i veicoli sono affidati, quali la ricostruzione su mappa dei percorsi effettuati sia in tempo reale che giornalmente, con ulteriore distinta ricostruzione anche per ciascuna tratta dei percorsi effettuati e delle relative modalità, comprese le pause, con una periodicità della rilevazione estremamente ravvicinata (ogni 120 secondi, secondo quanto dichiarato), non sono state ritenute proporzionate con gli scopi rappresentati dalla società (v. artt. 11, comma 1, lett. d) del Codice e 5, par. 1, lett. c) del Regolamento (UE) 2016/679) che avrebbero potuto essere utilmente e legittimamente perseguiti con la raccolta di informazioni assai più limitate. Né è risultato conforme al principio di proporzionalità la integrale conservazione dei dati raccolti per un esteso periodo di tempo (365 giorni) in relazione alle finalità perseguite (v. artt. 11, comma 1, lett. e) del Codice e 5, par. 1, lett. e) del Regolamento (UE) 2016/679; per l’applicazione dei principi di necessità e proporzionalità in relazione a trattamenti di localizzazione di veicoli aziendali si veda anche quanto stabilito dal Garante in provv. 16.3.2017 n. 138, doc. web n. 6275314; provv. 30.11.2017 n. 505, doc. web n. 7522639 e provv. 24.5. 2017, doc. web n. 6495708).

Sotto il profilo della proporzionalità del trattamento effettuato, inoltre, è stato osservato che in base a quanto più volte dichiarato dal fornitore del servizio la società non ha (quantomeno) adottato il pur disponibile dispositivo di disattivazione della rilevazione geografica (e della correlata memorizzazione dei dati raccolti) durante le pause consentite dell’attività lavorativa (c.d. funzione Privacy) (v. precedente punto 2.2., lett. e.).

Tutto ciò, peraltro, a fronte di una significativa frequenza di collegamenti giornalieri al sistema da parte della società, come risulta dai log di accesso del semestre 22.8.2017-20.2.2018 forniti da Visirun S.p.A. (cfr. nota Visirun S.p.A. 5.3.2018, All. G).

Il sistema utilizzato è risultato dunque in concreto idoneo a realizzare il monitoraggio continuo dell’attività del dipendente, in violazione dei principi di necessità, pertinenza e non eccedenza (in relazione agli artt. 3 e 11, comma 1, lett. d) e e) del Codice e 5, par. 1, lett. c) e e) del Regolamento (UE) 2016/679), considerato anche che il sistema medesimo è stato utilizzato nella versione “standard”, in assenza di alcuna istruzione impartita al fornitore del servizio circa le caratteristiche essenziali dei trattamenti da effettuare (parametrabili in base alle concrete necessità dei clienti sia per quanto riguarda la periodizzazione temporale della rilevazione geografica che dei tempi di conservazione o attraverso la selezione delle funzionalità astrattamente disponibili; v. precedente punto 2.2., lett. f.).

Né alcuna indicazione sulle caratteristiche tecnologiche del sistema oggetto del contratto di fornitura è risultata contenuta nell’atto di designazione a responsabile del trattamento effettuata dalla società successivamente agli accertamenti in loco (cfr. nota Visirun S.p.A. 5.3.2018, All. B contenente copia della “Nomina a responsabile esterno del trattamento” nei confronti di Visirun S.p.A. in data 23.12 2017). In proposito è stato ritenuto anche che, contrariamente a quanto sostenuto da Visirun S.p.A., tale designazione pure antecedentemente alle modifiche di recente apposte all’art. 29 del Codice doveva essere effettuata per iscritto (v. art. 29, comma 4, previgente: “I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare”).

In definitiva il titolare non ha provveduto a configurare il sistema tecnologico mediante misure adeguate a garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento (cfr. in proposito, oltre ai citati articoli del Codice, l’art. 25 del Regolamento (UE) 2016/679, in attuazione del principio di c.d. privacy by default; si veda anche il Provvedimento di carattere generale in materia di localizzazione dei veicoli nell’ambito del rapporto di lavoro, 4 ottobre 2011, n. 370, in www.garanteprivacy.it, doc. web n. 1850581, laddove il Garante ha stabilito che “nel rispetto del principio di necessità (artt. 3 e 11, comma 1, lett. d), del Codice), la posizione del veicolo di regola non dovrebbe essere monitorata continuativamente dal titolare del trattamento, ma solo quando ciò si renda necessario per il conseguimento delle finalità legittimamente perseguite”).

5. Geolocalizzazione e videosorveglianza. L’informativa all’interessato.

5.1. In relazione all’obbligo, posto in capo al titolare, di informare,  prima dell’inizio dei trattamenti, i dipendenti circa le caratteristiche essenziali degli stessi, come prescritto dall’articolo 13 del Codice (dal 25 maggio 2018 dall’articolo 13 del Regolamento (UE) 2016/679) e conformemente al principio di correttezza di cui all’art. 11, comma 1, lett. a) del Codice (dal 25 maggio 2018 dall’art. 5, par. 1, lett. a) del Regolamento (UE) 2016/679), si è ritenuto che le informative rese non fossero conformi alla disciplina in materia di protezione dei dati personali.

Infatti, nel corso degli accertamenti ispettivi è emerso che, per quanto riguarda i trattamenti di geolocalizzazione, la società non ha apposto sui veicoli geolocalizzati l’informativa “minima” (vetrofania).

Inoltre, per quanto concerne l’informativa completa di tutti gli elementi previsti dal richiamato art. 13 si è ritenuto che l’informativa fornita all’atto della stipula del rapporto di lavoro (v. precedente punto 1.4.) non abbia soddisfatto i requisiti indicati dalla norma, in quanto non contiene alcuna indicazione circa finalità e modalità del trattamento, nonché circa l’ambito di comunicazione ed i soggetti che possono venirne a conoscenza in qualità di responsabili o incaricati. Con riferimento alla dichiarata effettuazione di corsi di formazione per i dipendenti, si è osservato che la società ha, in proposito, fornito copia del programma di un solo corso avente formalmente ad oggetto l’informazione sulla localizzazione dei veicoli, svoltosi in data 3.11.2016 (v. precedente punto 1.4.).

La società, nel corso del procedimento, ha fornito copia di una nuova “Informativa al dipendente con relativo consenso”, recante una sottoscrizione e datata 23.11.2017 (cfr. nota della società 23.11.2017, All. 6).

Pertanto sotto tale profilo i trattamenti effettuati fino alla data del 23.11.2017 sono risultati illeciti.

5.2. Con riferimento alla videosorveglianza, all’esito degli accertamenti in loco è emerso che la società non aveva provveduto ad apporre i cartelli recanti l’informativa “minima”, né ha prodotto ˗ anche nel corso del procedimento ˗ alcuna documentazione relativa all’avvenuto assolvimento dell’obbligo di fornire agli interessati elementi informativi nei termini previsti dall’art. 13 del Codice.

La società, nel corso del procedimento, ha invece fornito copia di una informativa ai dipendenti relativa alla “Installazione di impianto di telecamere per videosorveglianza con registrazioni delle immagini”, datata 23.11.2017 e recante in allegato la sottoscrizione “per presa visione, accettazione e consenso” di 17 dipendenti; all’interno del documento è rappresentato che “sono affissi appositi cartelli […] (per i dipendenti e per i clienti) sia all’interno che all’esterno dei locali soggetti a videosorveglianza”(cfr. nota della società 23.11.2017, All. 2).

Pertanto sono risultati, sotto tale profilo, illeciti i trattamenti effettuati fino alla data del 23.11.2017 (in relazione agli artt. 11, comma 1, lett. a) e 13 del Codice).

5.3. Con riferimento, infine, alla raccolta del consenso dei dipendenti effettuata dalla società si rappresenta che, in termini generali e fatte salve particolari eccezioni, nell’ambito del rapporto di lavoro il consenso non è, in sé, idonea base giuridica del trattamento di dati personali riferiti ai dipendenti (v. in senso conforme Gruppo art. 29, Parere 2/2017 sul trattamento dei dati sul posto di lavoro, WP 249, spec. par. 3.1.1 e 6.2 e Parere 8/2001 sul trattamento dei dati personali nel contesto dell'occupazione, WP 48, 13.9.2001, pag. 3, 23 e 26; Commissione europea, Comunicazione del 6 novembre 2015, COM(2015) 566, pp. 12 e 13; Documento di lavoro su un'interpretazione comune dell'articolo 26, paragrafo 1, della direttiva 95/46/CE, del 24 ottobre 1995, WP 114, 25 novembre 2005, p. 11-12).

6. Geolocalizzazione e videosorveglianza. La disciplina lavoristica.

6.1. E’ stato accertato che la raccolta sistematica dei dati relativi alla posizione dei veicoli e la consultazione delle informazioni messe a disposizione attraverso l’accesso alla piattaforma web, sia in tempo reale sia attraverso elaborazioni e report conservati per un esteso periodo di tempo (365 giorni), consente alla società di effettuare il controllo dell’attività dei dipendenti.

Ciò è risultato in contrasto con la disciplina di settore in materia di controlli a distanza (cfr. artt. 11, comma 1, lett. a) e 114 del Codice e art. 4, legge 20.5.1970, n. 300). Tale disciplina infatti, pure a seguito delle modifiche disposte con l’art. 23 del decreto legislativo 14 settembre 2015, n. 151, non consente l’effettuazione di attività idonee a realizzare il controllo massivo, prolungato e indiscriminato dell’attività del lavoratore (v. Provvedimento generale in materia di localizzazione dei veicoli aziendali cit., spec. par. 3; si vedano anche Gruppo art. 29, Parere 2/2017 sul trattamento dei dati sul posto di lavoro, WP 249, spec. n. 5.7 e Consiglio di Europa, Raccomandazione del 1 aprile 2015, CM/Rec(2015)5, spec. n. 16).

Sotto tale profilo il trattamento effettuato è risultato illecito.

6.2. Con riferimento all’installazione del sistema di videosorveglianza la società non ha provveduto, come richiesto dalla richiamata disciplina sui controlli a distanza ˗ qualora siano impiegati per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale ˗ all’attivazione della procedura di garanzia ivi prevista (accordo collettivo o, in mancanza, autorizzazione della Direzione territoriale del lavoro).

Considerato, tuttavia, che in data 20.11.2017 la società ha sottoscritto un accordo ai sensi dell’art. 4, l. 20.5.1970, n. 300, sotto tale profilo il trattamento effettuato è risultato illecito sino alla data della sottoscrizione dell’accordo.

7. Geolocalizzazione. Omessa notificazione al Garante.

In relazione ai descritti trattamenti di localizzazione geografica la società ha altresì omesso di effettuare la notificazione al Garante, come dovuto fino alla data del 25 maggio 2018 ai sensi dell’articolo 37, comma 1, lett. a) del Codice. Tale obbligo, in base alla disciplina applicabile all’epoca dei fatti oggetto di accertamento, è posto dall’ordinamento a carico del titolare (che, in quanto tale, esercita un potere decisionale del tutto autonomo su finalità e modalità del trattamento; v. art. 28 del Codice), prima dell’inizio dei trattamenti. Nel caso di specie e a tale scopo, dunque, a nulla vale l’avvenuta notificazione effettuata in nome proprio dal fornitore del servizio.

8. Misure di sicurezza.

All’esito degli accertamenti ispettivi è altresì emerso che la società non ha provveduto a designare in qualità di incaricati, fornendo loro specifiche istruzioni (come previsto dall’art. 30 del Codice), i dipendenti che svolgono mansioni correlate all’attività di videosorveglianza nonché relative alle ordinarie attività amministrative e contabili (v. precedente punto 1.1., lett. k.). Secondo quanto dichiarato dalla società, inoltre, anche in relazione ai dati relativi alla geolocalizzazione alcuni dipendenti sono autorizzati a collegarsi alla piattaforma web utilizzando credenziali di autenticazione fornite dall’amministratore unico. In relazione a tale personale non è risultata l’effettuazione della designazione ad incaricato e la contestuale comunicazione di istruzioni (v. precedente punto 2.1., lett. e.). Sotto questo profilo, dunque, i trattamenti effettuati dalla società alla data dell’avvenuto accertamento sono stati ritenuti illeciti in relazione all’articolo 33 del Codice.

9. Illiceità del trattamento e prescrizioni alla Faiella Nicola s.r.l..

9.1. Per i suesposti motivi, considerato che il trattamento dei dati effettuato dalla società attraverso i sistemi di localizzazione dei veicoli aziendali è risultato illecito per violazione degli artt. 3, 11, comma 1, lett. a), d) ed e), 13, 33, 37 e 114 del Codice, si impone, ai sensi dell’art. 58, par. 2, lett. f), del Regolamento (UE) 2016/679, il divieto di ulteriore trattamento dei predetti dati.

9.2. Con riferimento ai trattamenti effettuati con il sistema di videosorveglianza questi sono risultati illeciti per violazione degli artt. 11, comma 1, lett. a), 13 e 114 fino alla data di sottoscrizione dell’accordo ex art. 4. L. n. 300/1970 e la predisposizione e comunicazione ai dipendenti dell’informativa sulle caratteristiche del sistema stesso.

9.3. Si rammenta che ai sensi dell’articolo 11, comma 2, del Codice i dati personali trattati in violazione della disciplina in materia di trattamento dei dati personali “non possono essere utilizzati“.

9.4. Qualora la società decida di utilizzare in futuro un sistema di localizzazione dei veicoli aziendali potrà farlo applicando i principi e le disposizioni del Codice e del Regolamento richiamate nel presente provvedimento, provvedendo altresì ad effettuare una valutazione di impatto sulla protezione dei dati (v. artt. 35 e 36 del Regolamento (UE) 2016/679).

10. Prescrizioni relative alla fornitura del servizio di localizzazione da parte di Visirun S.p.A..

Considerato che dall’attività istruttoria è emerso che la versione standard dei servizi forniti da Visirun S.p.A. comporta trattamenti di dati personali relativi alla posizione geografica accentuatamente dettagliati (anche per la periodizzazione temporale assai ravvicinata: 30, 60 o 120 secondi) e conservati per un lungo periodo di tempo, tenuto altresì conto che tali servizi sono largamente utilizzati per la gestione di flotte aziendali (dunque nell’ambito di rapporti di lavoro), si ritiene necessario impartire al fornitore del servizio di localizzazione alcune misure a tutela dei diritti e delle libertà degli interessati.

In particolare si ingiunge ai sensi dell’art. 58, par. 2, lett. d), del Regolamento (UE) 2016/679, a Visirun S.p.A. di informare i propri clienti, indipendentemente da una richiesta in tal senso, della possibilità di modificare il sistema rispetto alla impostazione standard, selezionando le funzionalità disponibili e modificando i parametri principali in relazione alle finalità perseguite dal cliente/titolare del trattamento. Ciò in base al principio di liceità e correttezza dei trattamenti (v. art. 11, comma 1, lett. a) del Codice e art. 5, par. 1, lett. a) del Regolamento (UE) 2016/679). Tra le informazioni da rendere con evidenza ai clienti dei servizi vi è anche la possibilità di attivare la funzione Privacy (disattivazione del dispositivo), che deve essere resa disponibile in relazione a tutte le modalità di abbonamento ai servizi senza eccessivi costi aggiuntivi.

In ogni caso si ritiene necessario che - in base al principio di minimizzazione dei dati e di quello di privacy by design e by default espressamente richiamati, rispettivamente, dall’art. 5, par. 1, lett. c) e dall’art. 25 del Regolamento (UE) 2016/679 – la versione standard dei servizi offerti attraverso il sistema di localizzazione sia configurato con modalità proporzionate rispetto al diritto alla riservatezza degli interessati (considerato che tra questi i dipendenti costituiscono un numero rilevante), in particolare con riferimento alla periodizzazione temporale della rilevazione della posizione geografica, ai tempi di conservazione dei dati ed alla messa a disposizione e memorizzazione delle mappe dei percorsi effettuati. Si prescrive pertanto a Visirun S.p.A. di modificare l’impostazione standard in base ai principi sopra indicati.

Tali prescrizioni dovranno essere adempiute entro e non oltre il 30 settembre 2018.

TUTTO CIÒ PREMESSO, IL GARANTE

1. ritenuta l’illiceità del trattamento effettuato da Faiella Nicola s.r.l. (v. punti 4, 5, 6, 7 e 8), attraverso il sistema di localizzazione di veicoli aziendali e di videosorveglianza per violazione degli artt. 3, 11, comma 1, lett. a), d) ed e), 13, 33, 37, 114 del Codice, ai sensi dell’art. 58, par. 2, lett. f), del Regolamento (UE) 2016/679, vieta l’ulteriore trattamento dei dati indicati in premessa;

2. ingiunge ai sensi dell’art. 58, par. 2, lett. d), del Regolamento (UE) 2016/679 a Visirun S.p.A., fornitrice del servizio di localizzazione dei veicoli, entro e non oltre il 30 settembre 2018 di:

- informare i propri clienti circa la possibilità di modificare il sistema rispetto alla impostazione standard conformemente alle finalità perseguite nonché circa la possibilità di attivare la funzione che consente la disattivazione del dispositivo, in relazione a tutte le modalità di abbonamento ai servizi senza eccessivi costi aggiuntivi;

- configurare - in base al principio di privacy by design e by default – la versione standard dei servizi offerti attraverso il sistema di localizzazione con modalità proporzionate rispetto al diritto alla riservatezza degli interessati, in particolare con riferimento alla periodizzazione temporale della rilevazione della posizione geografica, ai tempi di conservazione dei dati ed alla messa a disposizione delle mappe dei percorsi effettuati;

3.  ai sensi dell’art. 58, par. 1, del Regolamento (UE) 2016/679, invita i destinatari del provvedimento, altresì, entro 30 giorni dalla data di ricezione presente provvedimento, a comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto vietato e prescritto nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato. Si ricorda che il mancato riscontro alla richiesta ai sensi dell’art. 58 è punito con la sanzione amministrativa di cui all'art. 83, par. 5, lett. e), del Regolamento (UE) 2016/679.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e, nonché dell’art. 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 19 luglio 2018

IL PRESIDENTE
Iannini

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia

Scheda

Doc-Web
9039945
Data
19/07/18

Argomenti


Tipologie

Verifica preliminare