Sempre più aziende installano impianti di geolocalizzazione GPS sui veicoli in dotazione ai collaboratori, per motivi di: sicurezza, organizzazione del lavoro, tutela del patrimonio, agevolazioni assicurative, etc.
Esistono diverse società che forniscono un sistema di controllo “chiavi in mano”, dando la possibilità di effettuare una scansione anche molto frequente della posizione del veicolo, della velocità media, delle fermate e via discorrendo.
Fin qui è tutto noto.
Siamo però sicuri che tutto sia a “norma di GDPR”? Spesso non lo è. Ma facciamo un passo indietro.
Il diritto del lavoro, espresso dalla legge 300, stabilisce che, di norma tranne alcune eccezioni, il datore di lavoro non possa controllare a distanza il lavoratore. Questo principio, riporta il tema sotto due riflettori: quello del diritto del lavoro e quello della privacy.
In passato, l’installazione di un sistema di geolocalizzazione, necessitava sempre di due specifiche autorizzazioni:
- da parte della sigla sindacale di riferimento o dal Dipartimento Territoriale dello Ispettorato del Lavoro;
- dall’ufficio di autorità del Garante della Privacy.
Oggi, la situazione è leggermente diversa. Infatti, le modifiche introdotte dal D.lgs. 151/2015 introducono due possibili motivazioni per evitare le autorizzazioni sindacali e dei Dtl:
- quando la loro installazione è indispensabile allo svolgimento dell’attività aziendale;
- quando l’installazione è richiesta da specifiche normative (per es.: trasporto di valori superiori a 1,5 milioni di euro).
Qualsiasi altra motivazione di carattere assicurativo, organizzativo, di sicurezza sul lavoro o produttivo è vista, dall’Ispettorato Nazionale del Lavoro, come “elemento aggiuntivo” dell’attività svolta.
Esistono situazioni piuttosto ambigue, nelle quali determinare se l’autorizzazione sia obbligatoria non è affatto semplice, dato che si presta a varie interpretazioni. Tuttavia, nel dubbio, vista la rilevanza penale della sanzione comminabile, è consigliato, richiederla all’ufficio preposto.
Una modifica sostanziale della normativa, in tema di privacy, rende molto più chiaro l’adempimento in questo ambito: non è più necessario richiedere l’autorizzazione al Garante della Privacy, in quanto, secondo il Regolamento Europeo 679/2016, definito Gdpr, considerato il concetto di “accountability”, cioè di responsabilizzazione del titolare dei trattamenti, che deve mettere in atto tutte le misure idonee (artt. 24 e 32), quest’ultimo deve valutare, attraverso “l’analisi di impatto privacy” (art. 35 – DPIA), quali siano le criticità dell’impianto, gli impatti sui diritti dei soggetti interessati in caso di data breach, i rischi generali e le misure da adottare per tutelare i dati trattati.
“L’analisi di impatto” (DPIA: Data Protection Impact Assesment) è un documento redatto secondo i dettami del regolamento europeo che deve essere rinnovato ogni tre anni e conservato con la documentazione privacy aziendale.
Importante, inoltre, la redazione di un’informativa specifica, da consegnare agli utilizzatori dei veicoli e l’applicazione di alcune regole:
- adottare un sistema che consenta di disattivare la localizzazione durante le pause e nei periodi di tempo libero, se il veicolo è in utilizzo “full time”;
- stabilire una frequenza di localizzazione del dispositivo non troppo serrata;
- evitare la consultazione continuativa della localizzazione, tranne che nei casi in cui sia assolutamente necessaria;
- evitare la conservazione dei dati per periodi di tempo troppo lunghi, se non giustificati da una valida motivazione.
Ricordiamo che la pratica di assesment, definita DPIA o “analisi di impatto privacy” è necessaria anche nei casi di: videosorveglianza; controllo accessi con dati biometrici; trattamenti massivi di dati particolarmente sensibili e/o riguardanti i minori e profilazione.
Maggiori indicazioni e altre casistiche che richiedono la DPIA, sono disponibili a pag. 116 del regolamento europeo, disponibile sul nostro sito, al seguente link.
Oppure, direttamente sul sito del Garante della Privacy: https://www.garanteprivacy.it/
Il consenso del lavoratore non serve, come non serve nel caso di installazione di videosorveglianza, fondamentalmente per 2 motivi:
- in questi casi, la base giuridica non è il consenso esplicito, ma il legittimo interesse (art. 6);
- la firma del dipendente potrebbe essere interpretata come un atto coercitivo da parte del datore.
Una firma raccolta per finalità che non lo richiedono, potrebbe addirittura essere deleteria, in quanto dimostrazione di una scarsa cultura rispetto alla normativa sulla privacy. L’art. 29 del Gdpr prevede, infatti, che, chiunque tratti dati personali, ad esclusione delle finalità domestiche, deve ricevere un’adeguata formazione sui principi di base della normativa.
Daniele Umberto Spano
Amministratore di Kruzer S.r.l. e DPO (Data Protection Officer)
Per approfondimenti, adeguamenti, consulenza privacy e analisi di sicurezza del sistema informatico contattaci CLICCANDO QUI