Diritti interna

Doveri interna

ricerca avanzata

Trattamento di dati personali di dipendenti effettuato attraverso la localizzazione di dispositivi smartphone e tablet - 30 novembre 2017 [7522639]

[doc. web n. 7522639]

Trattamento di dati personali di dipendenti effettuato attraverso la localizzazione di dispositivi smartphone e tablet - 30 novembre 2017

Registro dei provvedimenti
n. 505 del 30 novembre 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito "Codice");

ESAMINATA la richiesta di verifica preliminare presentata da Yomax Servizi di Onofrio Bombino & C. s.a.s. ai sensi dell´articolo 17 del Codice;

VISTI gli atti d´ufficio;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Antonello Soro;

PREMESSO

1.1 Trattamento di dati personali di dipendenti effettuato attraverso la localizzazione di dispositivi smartphone e tablet.

Yomax Servizi di Onofrio Bombino & C. s.a.s. (di seguito, la società) ha presentato una richiesta di verifica preliminare ai sensi dell´art. 17 del Codice, in relazione alla prospettata installazione di un´applicazione denominata "Sistema di controllo qualità distribuzione materiali pubblicitari" sui dispositivi smartphone o tablet forniti in dotazione ai dipendenti incaricati della verifica della qualità della distribuzione di materiale pubblicitario (volantini, depliant commerciali e simili) effettuata da soggetti terzi, allo scopo di realizzare "maggior efficienza nella rendicontazione dell´attività di verifica sulla distribuzione di volantini e posta cartacea […] che intende sostituire i moduli cartacei ed i fogli excel attualmente in uso" (istanza 6.2.2017, p. 2). L´applicazione, secondo quanto indicato nell´istanza, sarà attivata dal dipendente incaricato dell´attività di controllo (controller), che potrà accedere al sistema attraverso credenziali di autenticazione (username e password).

1.2. In particolare la società intende utilizzare tale sistema tecnologico (ideato e gestito dalla stessa) nell´ambito della fornitura di servizi ai committenti di campagne di marketing, consistenti nel controllo di qualità della distribuzione del materiale pubblicitario effettuato da terzi. Tale attività, effettuata in base alla indicazione ˗ fornita dai committenti ˗ delle aree e dell´intervallo di tempo in cui si svolgerà la distribuzione di materiale pubblicitario, consiste nella realizzazione di "rilevazioni a campione sulle aree geografiche/località richieste dal cliente, verificando in particolare che in corrispondenza delle cassette postali sia stato realmente consegnato il materiale pubblicitario […]" (cfr. istanza cit., p. 2-3). In tal modo l´applicazione predisposta dalla società, comprensiva della funzionalità di geolocalizzazione, consentirà "una forma più precisa di attestazione della compiuta attività" (cfr. istanza cit., p. 5). Il soggetto con mansioni di supervisore, attraverso un pannello di controllo web per la gestione del sistema, "assegnerà ad ogni singolo controller le verifiche da svolgere (intese come descrizione della zona geografica da controllare) e il numero dei controlli di qualità previsti per ogni zona". Al committente del servizio sarà consegnato un report finale privo dei dati identificativi dei controller (cfr. istanza cit., p. 6). Il supervisore, attraverso la app, avrà accesso allo "stato dei controlli sulla qualità, potendo così verificare l´andamento dell´attività e i risultati delle rilevazioni effettuate" (cfr. istanza cit., p. 5). Il sistema è configurato in modo da assegnare a ciascun controllo di qualità "un codice numerico di identificazione, unitamente al dato pseudonimizzato (mediante ID numerico) del controller che lo deve effettuare" (cfr. istanza cit., p. 6-7) nonché "un intervallo orario predeterminato entro cui lo stesso potrà essere effettuato" (cfr. istanza cit., p. 8). Il sistema tecnologico inoltre, in applicazione del principio di privacy by default, sarà predisposto "in modo tale che ogni controller possa […] visualizzare esclusivamente il riepilogo delle zone da lui verificate e non anche schermate e/o dati ulteriori riferiti ad altri operatori" (cfr. istanza cit., p. 9). La funzionalità di localizzazione è configurata in modo "da non inviare né ricevere alcuna informazione sulla posizione del controller se non su iniziativa dello stesso" (cfr. istanza cit., p. 10). La società ha dichiarato che "si atterrà, in quanto applicabili, alle prescrizioni ed alle raccomandazioni contenute nel provvedimento [del Garante] del 1° marzo 2007, n. 13 […]". Inoltre, poiché i dispositivi aziendali "potranno essere utilizzati anche per un utilizzo personale, Yomax intende dotarsi di un disciplinare tecnico che equilibri tale utilizzo promiscuo, in conformità a quanto prescritto dalle [Linee guida per posta elettronica e internet]" (cfr. istanza cit., p. 18-19).

Con riferimento all´applicazione della disciplina di settore in materia di controlli a distanza sull´attività dei dipendenti, la società ha chiarito che "i dati personali oggetto di trattamento mediante l´utilizzo dell´App non potranno in alcun modo essere utilizzati per scopi diversi da quelli dichiarati (ad es. per scopi disciplinari)". A tal proposito la società ha altresì dichiarato che provvederà ad inoltrare "richiesta di autorizzazione preventiva alla sede territoriale dell´Ispettorato nazionale del lavoro" (cfr. istanza cit., p. 17-18).

1.3. Quanto alle caratteristiche specifiche del sistema che si intende utilizzare la società, in riscontro ad una richiesta di elementi presentata dall´Ufficio, ha chiarito che:

a. "la posizione del controller non verrà in alcun modo rilevata ad intervalli predeterminati. Il controller ha la possibilità di azionare la rilevazione esclusivamente nel lasso di tempo in cui compie il controllo e sempre attraverso un suo comportamento attivo […]. Al di fuori [di tale] congiunzione temporale […], l´app non permette in alcun modo l´attivazione del rilevamento" (cfr. nota della società 20 giugno 2017, p. 2);

b. il controller, pertanto, anche in base alle circostanze del caso concreto deciderà se procedere alla rilevazione geografica da parte del sistema "ad ogni civico controllato" oppure se "imputare i dati raccolti precedentemente durante il sopralluogo, dinanzi ad un unico civico di una certa via/piazza e la sua posizione verrà georeferenziata solamente in corrispondenza di quell´indirizzo" (cfr. nota cit., p. 2-3);

c. la localizzazione "risponde alla finalità organizzativa di fornire un riscontro geografico al committente circa l´effettiva attività di controllo qualità sul territorio" (cfr. nota cit., p. 3);

d. in alcuni casi predeterminati il controller potrà effettuare foto con il dispositivo, a corredo dell´attività effettuata, all´unico scopo di "poter offrire ai committenti […] una documentazione […] adeguata in riferimento ad alcune anomalie e/o particolarità riscontrate durante il controllo […]"; in proposito la società intende fornire "specifiche istruzioni formative circa il divieto di fotografare citofoni e cartellonistica da cui sia possibile (anche solo potenzialmente) evincere le generalità dei residenti e/o domiciliatari" (cfr. nota cit., p. 3);

e. la società ha in organico, allo stato, dodici persone in funzione di controllers ed una in funzione di supervisore (cfr. nota cit., p. 4);

f. il supervisore "potrà visionare il nominativo del controller associato al suo identificativo numerico trattato dal sistema solo ed esclusivamente per finalità di organizzazione del lavoro, logistica e rendicontazione degli stipendi" (cfr. nota cit., p. 4);

g. i dati di localizzazione raccolti "sono inseriti automaticamente solo su file di report […] immagazzinati sui sistemi [della società]. Queste informazioni sono poi conservate […] per un periodo massimo di 10 giorni […] trascorsi [i quali] dai report vengono automaticamente cancellati i dati identificativi […] e i dati sulla georeferenziazione; tutte le […] informazioni, così […] anonimizzate, sono mantenute per scopi statistici di analisi del servizio" (cfr. nota cit., p. 4);

h. il termine di conservazione delle informazioni raccolte, nei modi indicati, è stato individuato alla luce "delle tempistiche medie di precedenti contestazioni da parte di committenti" (cfr. nota cit., p. 4-5);

i. il sistema è configurato in modo da permettere al supervisore di "verificare la connettività ad internet dell´app mentre viene utilizzata dai controller", ciò "unicamente [al fine della] verifica del corretto funzionamento operativo dei sistemi nella fascia oraria prevista per la rilevazione" (cfr. nota cit., p. 5);

j.  per quanto riguarda le modalità di funzionamento del comando vocale "questa funzionalità consente al controller di dichiarare le informazioni in modalità vocale senza dover necessariamente utilizzare la modalità manuale (tastiera dello smartphone). Il sistema vocale è utilizzato solo in locale e possono essere compilati i relativi campi solo per diretta imputazione" (cfr. nota cit., p. 6).

2. Liceità del trattamento dei dati di localizzazione. Bilanciamento di interessi.

In base a quanto rappresentato dalla società nel corso del procedimento, il sistema tecnologico prospettato consente di effettuare la localizzazione geografica dei dispositivi aziendali forniti ai dipendenti (smartphone/tablet) allo scopo di certificare ai propri clienti con maggior precisione ed efficacia ˗ rispetto ai sistemi in uso ˗ l´effettuazione delle attività di controllo sulla qualità della distribuzione di materiale pubblicitario.

Gli scopi perseguiti con l´installazione del sistema, così come rappresentati dalla società, considerata la loro riconducibilità a finalità organizzative e produttive conformemente a quanto stabilito dall´articolo 4, comma 1, della legge 20 maggio 1970, n. 300 (come modificato dall´art. 23, d. lgs. 14.9.2015, n. 15) risultano in termini generali leciti anche alla luce della normativa di settore in materia di controlli a distanza dei dipendenti. Nel caso di specie, infatti, il sistema di localizzazione dei dispositivi aziendali non è direttamente preordinato all´esecuzione della prestazione lavorativa, con conseguente applicazione del menzionato articolo 4, comma 1 (si veda sul punto la circolare n. 2 del 7 novembre 2016 dell´Ispettorato nazionale del lavoro: "in linea di massima e in termini generali […] i sistemi di geolocalizzazione rappresentano un elemento «aggiunto» agli strumenti di lavoro, non utilizzati in via primaria ed essenziale per l´esecuzione dell´attività lavorativa").

La società ha dichiarato che provvederà ad attivare la procedura di garanzia prevista dal medesimo articolo 4, comma 1, dinanzi alla competente articolazione territoriale dell´Ispettorato nazionale del lavoro.

Ciò considerato, anche alla luce delle successive valutazioni (par. 3 e 4), relative alla necessità e proporzionalità dei trattamenti che si intendono effettuare nonché delle misure impartite a tutela degli interessati, si ritiene che i descritti trattamenti possano essere effettuati, nei confronti dei dipendenti, per effetto del presente provvedimento che, in applicazione della disciplina sul c.d. "bilanciamento di interessi" (ai sensi dell´articolo 24, comma 1, lett. g) del Codice), individua un legittimo interesse del titolare al trattamento di tale tipologia di dati (che non rientra nel novero dei dati sensibili) in relazione alle finalità rappresentate.

3. Principi di necessità e proporzionalità dei trattamenti. Tempi di conservazione.

Le modalità di trattamento dei dati personali da parte del sistema tecnologico prospettato, così come rappresentate dalla società, in particolare la pseudonimizzazione dei dati dei controller e la circostanza che il trattamento dei dati relativi alla sua posizione geografica non sia effettuato ad intervalli predeterminati né continuativamente, bensì esclusivamente al momento dell´attivazione da parte del controller (di fronte ad un numero civico o in un punto determinato della verifica a campione) risultano conformi ai principi di necessità, pertinenza e non eccedenza in relazione alle finalità perseguite dalla società (art. 11, comma 1, lett. d) del Codice; si veda in proposito quanto stabilito dall´Autorità nei provv.ti 11 settembre 2014, n. 401, doc. web n. 3474069 e 9 ottobre 2014, n. 448, doc. web n. 3505371).

Si prende altresì atto che la società ha dichiarato che il supervisore potrà accedere al sistema (ed ai dati di localizzazione) esclusivamente per finalità di gestione, coordinamento e migliore organizzazione dell´attività (cfr. precedente punto 1.3., lett. f.).

Con riferimento, poi, ai rapporti predisposti per i committenti, si prende atto che tali documenti, opportunamente, non contengono i dati identificativi dei controller (cfr. precedente punto 1.2.).

Quanto ai tempi di conservazione dei dati raccolti si ritiene che la tempistica individuata (10 giorni), in relazione allo scopo di ricostruire dettagliatamente l´attività svolta in caso di reclami e contestazioni da parte dei clienti, sia conforme ai menzionati principi di necessità e proporzionalità. Risulta parimenti conforme ai menzionati principi l´indicazione di un breve termine di conservazione delle fotografie eventualmente scattate dal controller nei soli casi ritenuti necessari per documentare particolari condizioni riscontrate nel corso della verifica di qualità della distribuzione (cfr. istanza 6.2.2017, p. 9).

Si prende infine atto che in caso di ulteriori trattamenti per finalità statistiche il titolare procederà alla preventiva anonimizzazione dei dati (cfr. punto 1.3., lett. g.).

4. Misure ed accorgimenti posti a tutela dei diritti degli interessati.

Considerata la particolarità dei dati trattati, il sistema dovrà essere configurato in modo tale che sul dispositivo aziendale sia posizionata un´icona che indichi che la funzionalità di localizzazione è attiva. Considerate inoltre le ordinarie potenzialità d´uso dei menzionati dispositivi aziendali che potranno essere utilizzati anche per fini personali (cfr. punto 1.2.), la società dovrà adottare specifiche misure idonee ad impedire l´eventuale trattamento di dati ultronei tratti dal dispositivo (es. dati relativi al traffico telefonico, agli sms, alla posta elettronica o altro).

Si prende infine atto che la società ha dichiarato che si atterrà, in quanto applicabili, alle prescrizioni ed alle raccomandazioni nei casi previsti nel provvedimento del Garante n. 13 del 1° marzo 2007 "Linee guida per posta elettronica e internet" (doc. web n. 1387522) (es. in caso di trattamenti effettuati in occasione della predisposizione di idonee misure di sicurezza per assicurare la disponibilità e l´integrità di sistemi informativi e di dati; a seguito della riconsegna del dispositivo per interventi di manutenzione o a seguito della cessazione del rapporto di lavoro) e che provvederà ad adottare un disciplinare tecnico sull´uso consentito dei dispositivi.

5. Adempimenti previsti dalla legge.

Resta fermo che la società, prima dell´inizio dei descritti trattamenti - come del resto già rappresentato nell´istanza - è tenuta in base alla normativa vigente a:

a. effettuare la notificazione al Garante ai sensi dell´articolo 37, comma 1, lett. a), del Codice;

b. fornire ai dipendenti della società coinvolti dai descritti trattamenti, un´informativa comprensiva di tutti gli elementi contenuti nell´articolo 13 del Codice (tipologia di dati, finalità e modalità del trattamento, compresi i tempi di conservazione), anche in conformità al principio di correttezza in base al quale il titolare è tenuto a rendere chiaramente riconoscibili agli interessati i trattamenti che intende effettuare (art. 11, comma 1, lett. a), del Codice);

c. adottare le misure di sicurezza previste dagli articoli 31 ss. del Codice al fine di preservare l´integrità dei dati trattati e prevenire l´accesso agli stessi da parte di soggetti non autorizzati;

d. predisporre misure al fine di garantire agli interessati l´esercizio dei diritti previsti dagli articoli 7 e seguenti del Codice.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell´articolo 17 del Codice, a conclusione della verifica preliminare, ammette il trattamento di dati personali da parte di Yomax Servizi di Onofrio Bombino & C. s.a.s. mediante il sistema di localizzazione geografica dei dispositivi aziendali, illustrato nei termini di cui in motivazione e, ove il trattamento sia effettivamente svolto, prescrive che la società, quali misure necessarie, debba:

a. configurare il sistema in modo tale che sul dispositivo sia posizionata un´icona che indichi che la funzionalità di localizzazione è attiva;

b. adottare specifiche misure idonee ad impedire l´eventuale trattamento di dati ultronei tratti dal dispositivo (es. dati relativi al traffico telefonico, agli sms, alla posta elettronica o altro).

Ai sensi degli articoli 152 del Codice e 10 del decreto legislativo n. 150 del 2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 30 novembre 2017

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia