Diritti interna

Doveri interna

ricerca avanzata

Trattamento di dati personali dei dipendenti mediante dispositivi indossabili - 28 febbraio 2019

VEDI ANCHE: Newsletter del 25 marzo 2019

 

AVR S.p.A.
Via Francesco Tensi, 116
00133 Roma

 


Azienda Ambientale di Pubblico Servizio S.p.A.
Via dell’Artigianato, 39/B
57121 Livorno

 

Trattamento di dati personali dei dipendenti mediante dispositivi indossabili -28 febbraio 2019


1. Con riferimento al procedimento avviato d’ufficio dall’Autorità circa i trattamenti dei dati personali dei dipendenti effettuato da AVR S.p.A. (di seguito, la società) mediante dispositivi tecnologici indossabili (sul polso) consegnati ai lavoratori, esaminate le note di riscontro della società e di AAMPS S.p.A. alle richieste di informazioni formulate dall’Ufficio, si osserva quanto segue.

2.1. AVR S.p.A., con nota del 31 maggio 2018, ha dichiarato che:

a. “il sistema […] è in fase di sperimentazione pertanto non può considerarsi attivo anche al fine del trattamento dei dati” (v. nota 31.5.2018, lett. a.);

b. “il dispositivo «Discovery Mobile Gps Gprs” è composto da: 1. un lettore di tag RFID con tecnologia UHF; 2. un modulo GPRS integrato; 3. un modulo GPS integrato” (v. nota cit., lett. b.);

c. “i dispositivi non sono nominativi ma sono collegati alle zone di spazzamento. Ciò significa che il dispositivo «A» è collegato al giro di spazzamento «I» […]. L’operatore che in quella particolare giornata lavorativa è assegnato alla zona «I» avrà in dotazione il dispositivo «A»” (v. nota cit., lett. d.);

d. “i dati che verranno raccolti, […] che attualmente non vengono né raccolti né trattati, hanno come finalità in primo luogo l’adempimento di un obbligo contrattuale imposto da A.Am.P.S. S.p.A., la quale in qualità di stazione appaltante per i servizi di igiene urbana sul territorio del Comune di Livorno, ha richiesto alla scrivente società di procedere all’inserimento di una nuova tecnologia nell’ambito del servizio svuotamento dei cestini gettacarte” (v. nota cit., lett. c.);

e. in particolare “la stazione appaltante ha richiesto ad AVR S.p.A. di fornire un dispositivo di lettura RFid con tecnologia GPS al fine di mappare costantemente la collocazione sul territorio dei cestini, allo scopo di verificare costantemente se ci sono stati spostamenti non autorizzati/illeciti del cestino” (v. nota cit., lett. c.);

f. il sistema è inoltre preordinato a “ri-parametrare le frequenze di svuotamento sulla base dei dati statistici rilevati” (v. nota cit., lett. c.);

g. la società ha “aperto un confronto con le Organizzazioni Sindacali […] per l’introduzione di un sistema GPS sui veicoli aziendali”; inoltre la società “sta valutando di procedere, d’intesa con le OO.SS., alla sostituzione dei così detti «braccialetti» con dispositivi differenti ma con funzionalità equivalenti” (v. nota cit., lett. i. e j.).

2.2. Con successiva nota di riscontro del 26 luglio 2018 la società ha altresì dichiarato che:

a. “la sperimentazione è iniziata in data 11 aprile 2018” ed i dipendenti “sono stati informati attraverso le RSU e mediante una breve informativa” (v. nota 26.7.2018, p. 1, nota 1, che reca copia di un testo, privo di data e di sottoscrizione, che sarebbe stato “dato in visione” ai dipendenti);

b.“ai lavoratori è stato comunicato che i dati non sarebbero stati né raccolti né trattati e la sperimentazione avrebbe avuto l’esclusiva finalità di permettere al personale interessato di comprendere il funzionamento del dispositivo e le modalità di utilizzo in termini pratici” (n. nota cit., p. 1);

c. la società “visto il clamore mediatico provocato dall’introduzione dello strumento presso il cantiere dello spazzamento manuale di Livorno […] ha ritenuto preferibile ed opportuno confrontarsi con le OO.SS. […]. A seguito di tale confronto, in data 11 giugno 2018, l’Azienda le RSU e le organizzazioni sindacali hanno concluso un accordo per l’utilizzo dei lettori RFID nell’ambito del servizio di spazzamento manuale e meccanizzato, lavaggio portici, raccolta e trasporto dei rifiuti solidi urbani e dei rifiuti speciali in appalto per conto dell’Azienda AAMPS S.p.A.” (n. nota cit., p. 3);

d.  con l’accordo è stato pattuito dalle parti che “i dati acquisiti dai dispositivi mobili di lettura RFID (compresa le georeferenziazione della posizione del cestino getta rifiuti) non potranno mai essere utilizzati a fini disciplinari” (n. nota cit., p. 3);

e. “i dati raccolti e trattati sono necessari al fine di adempiere a prestazioni contrattuali previste dalla stazione appaltante” (n. nota cit., p. 3);

f. “le modalità di funzionamento del dispositivo lo rendono strumento inidoneo a funzionare quale strumento di controllo a distanza dei lavoratori e i dati raccolti sono anonimi, in quanto i dispositivi non sono nominativi e vengono utilizzati in modo promiscuo dai lavoratori” (n. nota cit., p. 3);

g. “il dispositivo per poter funzionare […] deve essere necessariamente attivato volontariamente dall’agente umano […] mediante la pressione di apposito pulsante. Non è possibile alcuna attivazione da remoto” (n. nota cit., p. 4);

h. quando il dispositivo è attivato dall’operatore “entra in modalità lettura e […] è in grado di raccogliere e inviare i dati richiesti solo ove venga accoppiato con un tag RFID. […] Il dispositivo è in grado di leggere i tag RFID da una distanza massima di 50 cm. Una volta attivato […] rimane in tale modalità per un periodo di tempo variabile (e che AVR S.p.A. ha chiesto al fornitore id impostare in 30 secondi).” (n. nota cit., p. 4);

i. “quando il dispositivo è in stand by non raccoglie/invia alcun dato, soprattutto di geolocalizzazione. Al momento dell’accoppiamento (tra “braccialetto” e tag RFID) il dispositivo emette un suono che segnala l’avvenuta lettura” (n. nota cit., p. 4);

j. nella attuale “fase transitoria […] e in attesa di procedere con la scelta condivisa [con le rappresentanze dei dipendenti] del dispositivo da adottare in via definitiva, è stato concordato di disattivare in via originaria il modulo GPS dei dispositivi che quindi, attualmente, non sono in grado di rendere al posizione del cestino getta rifiuti oggetto di lettura” (n. nota cit., p. 4);

k. il sistema di futura installazione è preordinato alla “consuntivazione del servizio reso giornalmente e complessivamente”. Inoltre “i dati verranno utilizzati per l’ottimizzazione e la razionalizzazione del servizio in quanto permetteranno di mettere in luce con quale frequenza ogni singolo cestino necessita di essere cambiato. In questo modo l’azienda potrà riparametrare le frequenze di svuotamento sulla base dei dati statistici rilevati” (n. nota cit., p. 4).

2.3. In riscontro ad una ulteriore richiesta di chiarimenti la società ha chiarito che:

a. “la previsione di strumenti quali la tecnologia GPS è prevista dalla stazione appaltante […] a norma di capitolato speciale di appalto […] e, altresì, dei successivi atti integrativi” (v. nota 28 settembre 2018, p. 3);

b. la società ha provveduto “a far firmare ai lavoratori interessati specifica informativa sul trattamento dei dati personali per i dispositivi RFID-GPS […] e per gli impianti di videosorveglianza” (v. copia di un’informativa datata 11 aprile 2018 e contenente la sottoscrizione “per presa visione” di 72 dipendenti, nota cit., p. 3 e All. 2);

c. i dipendenti interessati dal sistema sono “circa 77 unità […]. Il singolo operatore non ha una zona fissa assegnata […]. I registri dell’accoppiamento tra turno di lavoro, zona e lavoratore vengono redatti su supporto digitale e poi esposti presso l’apposita bacheca […]. Il programma dei turni cartaceo, continuamente oggetto di modifiche e aggiornamenti […] non viene conservato e finita la settimana lavorativa viene distrutto. Il formato digitale del file è conservato all’interno dei server aziendali ed è accessibile solo a personale identificato […]. La programmazione dei turni (in formato digitale) viene conservata per il tempo necessario a controdedurre eventuali diffide della stazione appaltante , finalizzate a contestare disservizi/mancati servizi e, quindi, al solo scopo di contestare la fondatezza della contestazione. Tale dato, quindi, viene conservato solo per il tempo necessario a permettere [alla società] quanto sopra” (v. nota cit., p. 3).

2.4. L’Autorità ha assunto informazioni presso Azienda Ambientale di Pubblico Servizio S.p.A., che, con nota del 28 luglio 2018, ha dichiarato:

a. di aver chiesto ad AVR S.p.A., con lettera del 27 settembre 2017, “l’effettuazione della vuotatura dei cestini tramite lettura tag come servizio integrativo rispetto al contratto in essere relativo allo spazzamento manuale ed altri servizi”;

b. che la consuntivazione del servizio “deriva dalla necessità di comprovare le effettive vuotature dei sacchi dei cestini gettacarte trattandosi di un servizio di igiene urbana che [la società] a sua volta deve garantire nell’ambito del contratto di servizio sottoscritto con il Comune di Livorno. A tale scopo le informazioni necessarie sono: data/ora vuotatura, codice del lettore tag apposto sul cestino”;

c. che “la finalità dell’utilizzo degli strumenti in questione […] è legata alla necessità di comprovare l’effettiva vuotatura dei cestini, e di rilevare il loro posizionamento considerato che alcuni non sono fissati al suolo e soggetti, pertanto, ad essere spostati […]”. In proposito la società ha allegato copia di una nota del 30.5.2018 “contenente chiarimenti in ordine ai contenuti contrattuali del servizio aggiuntivo”.

3.1. In base alle dichiarazioni effettuate e agli atti prodotti nel corso del procedimento dinnanzi all’Autorità da AVR S.p.A., sotto la propria responsabilità ai sensi e per gli effetti di cui all’art. 168 del d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito: Codice), come novellato dal d.lg. 10 agosto 2018, n. 101, emerge che la società, in data 11 aprile 2018, ha consegnato ai dipendenti che svolgono servizio di spazzamento su strada dispositivi indossabili sul polso (tipo “braccialetto”) idonei ad effettuare la lettura di etichette elettroniche (tag) mediante tecnologia RFID ed altresì dotati di funzionalità di localizzazione geografica mediante sistema GPS. Durante la sperimentazione il sistema, secondo quanto dichiarato, avrebbe avuto esclusivamente la funzione di addestrare il personale all’uso del dispositivo, senza procedere ad alcuna attività di raccolta e successiva conservazione di dati (v. precedente punto 2.2., lett. b.). La società avrebbe provveduto ad informare i dipendenti coinvolti (in proposito la società ha fornito nel corso del procedimento dapprima copia di un’informativa sprovvista di data e sottoscrizione, successivamente, in allegato al riscontro alla terza richiesta di informazioni, copia di un’informativa datata 11.4.2018, recante 72 sottoscrizioni di dipendenti per “presa visione”; nell’informativa è anche presente il riferimento all’avvio dei “dovuti passaggi con le OO.SS. e le RSU”).

3.2.1. Ciò premesso - e fermo restando il rispetto del principio di responsabilizzazione di cui all’art. 5, par. 2, del Regolamento (UE) 2016/679 (di seguito: Regolamento), ai sensi del quale il titolare del trattamento, essendo competente per il rispetto della disciplina in materia, è tenuto ad adottare sotto la propria responsabilità le misure tecniche e organizzative adeguate al perseguimento del predetto fine - il Collegio del Garante, nell’adunanza del 28 febbraio u.s., ha esaminato la documentazione in atti e ha formulato le seguenti osservazioni.

Quanto alle caratteristiche del sistema che la società intende adottare, si osserva in primo luogo che questo è idoneo a consentire il trattamento di dati personali riferibili (benché indirettamente, attraverso il raffronto con altri dati) ad interessati identificabili (v. art. 4, n. 1, del Regolamento). Infatti, sebbene i dispositivi indossabili (ed il relativo numero identificativo univoco) saranno collegati alle zone di spazzamento e non ai singoli dipendenti, attraverso i registri contenenti il turno di lavoro, la zona di spazzamento e l’identità del lavoratore, sarà possibile individuare il dipendente che ha effettuato le rilevazioni dei tag e, quando previsto, la relativa localizzazione geografica mediante GPS, in particolare qualora il turno in una determinata zona di spazzamento sia effettuato da un solo dipendente (o da un numero esiguo di dipendenti) (v. precedente punto 2.3., lett. c.). Tali registri sono redatti in formato cartaceo (e conservati per sette giorni, poi distrutti) e in formato digitale nei server aziendali esclusivamente, secondo quanto dichiarato, per il tempo necessario a gestire eventuali contestazioni da parte della stazione appaltante.

3.2.2. In proposito si rammenta alla società la necessità di individuare tempi di conservazione dei registri strettamente necessari rispetto alla finalità perseguita (avuto riguardo ad eventuali tempistiche relative alle contestazioni di inadempimento di obblighi contrattuali), di indicare preventivamente e tassativamente i casi specifici (descritti nel dettaglio) nei quali si renderà necessario interconnettere le informazioni allo scopo di poter ricostruire fatti oggetto di contestazione, nonché la necessità di adottare misure organizzative e tecnologiche per mantenere distinte (segregate) le basi di dati (in particolare quelli trattati attraverso i menzionati registri) qualora non sia più necessaria l’eventuale interconnessione in vista dell’eventuale ricostruzione di fatti oggetto di contestazione ma sia comunque necessaria per fini amministrativi l’ulteriore conservazione dei registri dei turni (v. art. 5, par. 1, lett. d), del Regolamento, “limitazione della conservazione”).

3.3.1. Lo scopo principale perseguito dalla società nella adozione del sistema, in base a quanto dichiarato, è quello di adempiere a quanto prescritto nel capitolato d’appalto (datato aprile 2015) predisposto da Azienda Ambientale di Pubblico Servizio S.p.A., in relazione alla consuntivazione del servizio effettuato. In proposito si osserva preliminarmente che l’art. 24 del capitolato prevede in termini generali che in relazione ai servizi di spazzamento manuale, diserbo, raccolta foglie e pulizia spiagge “il controllo della qualità delle prestazioni svolte sarà effettuato attraverso un sistema di rilevamento geosatellitare”. Tuttavia il successivo art. 35, nel descrivere la specifica attività di spazzamento manuale, prevede che in relazione all’attività di “svuotamento e cambio sacco […] dei cestini getta carte” l’operatore dovrà, tra l’altro, “accertare […] il corretto posizionamento del cestino stesso, segnalando in caso contrario con nastro bicolore il guasto che dovrà essere segnalato all’Appaltatore via e-mail”. Si osserva altresì che la nota inviata da Aamps S.p.A. ad AVR S.p.A., datata 27 settembre 2017 e contenente la “Richiesta di servizi integrativi per il 2017-2018” relativamente al servizio di “spazzamento manuale, diserbo, raccolta foglie, pulizia spiagge ed altri servizi opzionali”, fa espresso riferimento alla attività di “effettuazione dell’attestazione della svuotatura dei cestini tramite lettura tag a partire dal febbraio 2018” (v. nota AVR S.p.A. 28.7.2018, All. 2). Solo con la nota del 30 maggio 2018 (comunque successiva all’avvio del procedimento da parte di questa Autorità) Aamps S.p.A., ad ulteriore integrazione, fa espresso riferimento alla rilevazione, tra gli altri, dei dati riferiti alle “coordinate GPS del punto ove è avvenuta la lettura del tag” (v. allegato nota Aamps S.p.A. 28.7.2018).

In conclusione emerge che specifiche esigenze di controllo della qualità dei servizi resi da effettuarsi anche mediante sistemi di geolocalizzazione sono state rappresentate ad AVR S.p.A. da parte di Aamps S.p.A. attraverso l’invio di note contenenti clausole integrative del contratto in data 30 maggio 2018. Infatti in precedenza la società appaltante, in occasione della indicazione dei “servizi integrativi” per il periodo 2017-2018, aveva fatto riferimento alla “lettura tag a partire dal febbraio 2018”, mentre la gestione di eventuali spostamenti dei cestini non fissati al suolo doveva essere gestita conformemente a quanto indicato nel capitolato d’appalto (tramite segnalazione con nastro bicolore e apposita email). Non risulta dunque che al momento dell’inizio della sperimentazione (11.4.2018) fossero state rappresentate alla società specifiche esigenze di adozione di sistemi di geolocalizzazione per la gestione del predetto fenomeno di spostamento dei cestini.

Resta fermo, ad ogni buon conto, che il contenuto delle clausole contrattuali non può disporre in contrasto con le disposizioni ed i principi vigenti in materia di protezione dei dati personali (in particolare, liceità, correttezza, trasparenza, finalità, minimizzazione dei dati, in base all’art. 5 del Regolamento).

3.3.2. Allo stato, in base a quanto pattuito nell’accordo dell’11 giugno 2018 (stipulato ai sensi dell’art. 4, co. 1, l. 20.5.1970, n. 300, la cui osservanza costituisce condizione di liceità del trattamento ai sensi dell’art. 114 del Codice), il “dispositivo mobile volto a permettere l’attestazione della vuotatura dei cestini getta rifiuti” dovrà essere utilizzato dai lavoratori “per ogni turno di lavoro”, mentre l’attivazione della funzionalità di geolocalizzazione sarà attivata “al massimo per un turno di lavoro a settimana”. L’attivazione della predetta funzionalità “verrà comunicata al lavoratore prima della consegna del dispositivo o mediante programmazione nel tempo dei turni che prevedano l’impiego della tecnologia satellitare” (v. verbale di accordo 11.6.2018, par. C), in All. 4, nota AVR S.p.A. 28.9.2018).

Si prende pertanto atto che l’operatività della funzionalità di localizzazione geografica sarà limitata (allo stato e salve future pattuizioni) ad un turno settimanale e non riguarderà tutti i turni di servizio. Tale configurazione risulta conforme ai principi di necessità e proporzionalità in relazione alle finalità perseguite (v. art. 5, par. 1, lett. c), del Regolamento, “minimizzazione dei dati”).

Si rammenta in ogni caso alla società la necessità di individuare modalità di trattamento dei dati raccolti mediante la lettura giornaliera dei tag sui cestini getta rifiuti conformi ai richiamati principi di protezione dei dati, compresi i tempi di conservazione, limitando la memorizzazione ai dati strettamente necessari per il raggiungimento della finalità perseguita (v. art. 5, par. 1, lett. c) ed e), del Regolamento).

3.4. Considerato anche che il dispositivo dovrà essere utilizzato dai dipendenti per ogni turno di servizio (seppure con diverse funzionalità) si rammenta la necessità di individuare una tipologia di dispositivo che, anche per le sue caratteristiche esteriori, non sia lesiva (o comunque risulti tale nella percezione degli interessati) della dignità del dipendente, ciò anche coerentemente con quanto indicato nel menzionato accordo dell’11 giugno 2018 (“[i] dispositivi avranno una morfologia idonea al rispetto degli operatori e della loro sicurezza e la scelta dello strumento sarà oggetto di formale accordo tra le parti”, v. accordo cit., Par. C), n. 20).

3.5. E’ emerso che nel modello di informativa ai dipendenti datata 11 giugno 2018 (v. Allegato nota AVR S.p.A. 28.9.2018, “Informativa sull’utilizzo di tecnologia GPS installata sui mezzi aziendali e su strumenti di lavoro (lettori RFID, ecc.)”, che contiene in calce la sottoscrizione di alcuni lavoratori per presa visione) quanto alle finalità dei sistemi si fa riferimento ad “esigenze di sicurezza [e] tutela del patrimonio aziendale” che, con riguardo all’uso dei “dispositivi mobili”, non sono menzionate né nelle note di riscontro inviate all’Autorità nel presente provvedimento né nel menzionato accordo dell’11 giugno 2018.

Si rammenta pertanto alla società la necessità di provvedere ad aggiornare la menzionata informativa da fornire ai dipendenti ai sensi dell’art. 13 del Regolamento, escludendo il riferimento alla menzionata finalità relativamente al trattamento dei dati da effettuarsi mediante dispositivi mobili.

3.6. Quanto alla prospettata installazione di sistemi di localizzazione dei veicoli aziendali utilizzati per lo svolgimento del servizio oggetto del contratto di appalto con Aamps S.p.A. (v. verbale di accordo 11.6.2018, cit. par. B) “Apparecchiatura satellitare”) si rammenta alla società la necessità di conformare i predetti sistemi ai già richiamati principi di necessità e proporzionalità rispetto alle finalità perseguite (v. art. 5, par. 1, lett. c), del Regolamento), anche alla luce della contestuale prossima adozione del sistema (e del relativo trattamento di dati) basato sui “dispositivi mobili” e delle possibili correlazioni tra i due sistemi (v. Provv. 24.5.2017, n. 247, doc. web n. 6495708).

3.7. Si ricorda, infine, alla società ad effettuare una valutazione di impatto sulla protezione dei dati alla luce delle concrete caratteristiche del sistema tecnologico che si intende adottare, ai sensi di quanto previsto dall’art. 35 del Regolamento con riguardo alle tipologie di trattamento che, allorché prevedano “l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, [possono] presentare un rischio elevato per i diritti e le libertà delle persone fisiche” (con riferimento ai trattamenti transfrontalieri, si veda l’Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d'impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679, approvato con provv. 11 ottobre 2018, spec. punto 5, doc web n. 9058979).

4. Alla luce dei suesposti risultati dell’attività istruttoria, si ritiene pertanto che non vi siano i presupposti per l’adozione di un provvedimento da parte del Garante, ai sensi dell’art. 143 del d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali) come novellato dal d.lg. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679”, fermo restando l’obbligo per la società di conformare i trattamenti di dati relativi ai dipendenti ai principi di protezione dei dati nei termini indicati.

IL SEGRETARIO GENERALE
Avv. Giuseppe Busia