Aggiornato al 28 febbraio 2018
Parte a cura di Giovanna De Minico
Scheda a cura di Miriam Viggiano
Nel periodo di riferimento considerato (Giugno 2017-Febbraio 2018), non si registrano provvedimenti di carattere generale del Garante per la protezione dei dati personali (di seguito ‘Garante’)1.
Per tale motivo, come in altri casi, nello spirito e nell’economia delle presenti note, si ritiene, in ogni caso, utile dare conto di provvedimenti approvati nel predetto periodo che, pur non avendo carattere generale, si segnalano per la delicatezza delle questioni affrontate dal Garante e la rilevanza delle prescrizioni impartite.
In tale quadro, ci si soffermerà su alcuni provvedimenti approvati in materia di lavoro, relativi a casi particolari di geo-localizzazione dei dipendenti o di registrazione di dati a loro riferiti contenuti nel telefono aziendale.
Il riferimento è ai seguenti provvedimenti sul: 1) «Trattamento di dati personali di dipendenti effettuato attraverso la localizzazione di veicoli e di dispositivi radio ricetrasmittenti in dotazione alla polizia locale»2; 2) «Trattamento di dati personali di dipendenti effettuato attraverso la localizzazione di dispositivi smartphone e tablet»4; 3) «Trattamento dei dati personali dei dipendenti cui è stato assegnato un telefono aziendale»4.
Tutte le predette fattispecie investono richieste di verifiche preliminari5, per le quali il Garante ha prescritto ai titolari6 misure volte a rendere il trattamento conforme alla disciplina rilevante in materia di protezione dei dati personali, fermo restando in ogni caso il rispetto degli adempimenti previsti dalla disciplina vigente relativi all’informativa7, alla notificazione al Garante8, all’adozione delle misure di sicurezza9, al garanzia dell’esercizio da parte dei soggetti interessati dei diritti previsti dagli articoli 7 ss. del d. lgs. n. 196/2003.
Più nello specifico, in relazione al provvedimento riguardante il «trattamento di dati personali di dipendenti effettuato attraverso la localizzazione di veicoli e di dispositivi radio ricetrasmittenti in dotazione alla polizia locale» – indicato supra al n. 1) – il Garante si è espresso in relazione all’installazione di un sistema di localizzazione satellitare (GPS) sui veicoli e sulle radio ricetrasmittenti portatili affidate al personale in servizio. La finalità del predetto sistema di localizzazione risiedeva nella necessità di realizzare il «coordinamento dei veicoli e degli operatori sul campo nonché nella gestione di eventuali emergenze, anche a tutela degli operatori stessi, attraverso il flusso di dati consultabili in tempo reale nella sala operativa» e nella di raccogliere i «dati necessari alla rendicontazione delle attività effettuate dalle pattuglie nelle diverse aree dei comuni associati in vista della consuntivazione e ripartizione dei costi sostenuti (spese per il carburante, chilometraggio di ciascun veicolo e relativa usura dello stesso, tipologia di servizi svolti nei rispettivi territori comunali)».
Il Garante, considerando lecite le finalità descritte, ha precisato che – fermo restando l’attivazione della procedura di garanzia prevista dall’articolo 4, comma 1, della legge 20 maggio 1970, n. 300 e all’accordo con le rappresentanze aziendali – in ogni caso è possibile effettuare trattamenti dei dati personali riferiti ai dipendenti nel rispetto dei principi di liceità, finalità, proporzionalità, pertinenza e non eccedenza10.
Nel caso di specie il trattamento di dati personali è stato ritenuto proporzionato, in quanto «il personale autorizzato presente all’interno della sala operativa (il responsabile del servizio o un suo delegato) potrà visualizzare sul monitor, “in tempo reale”, la posizione dei veicoli e dei dispositivi radio trasmittenti e, se del caso, identificare l’operatore esclusivamente allo scopo di coordinare le attività e di gestire eventuali emergenze», e la predetta «identificazione potrà avvenire attraverso il raffronto dei registri cartacei dei turni di servizio e della presa in carico dei dispositivi con i dati di geolocalizzazione delle ricetrasmittenti e dei veicoli, posto che il sistema è configurato in modo da non consentire la diretta identificabilità degli interessati».
Inoltre, il sistema è risultato conforme ai «princìpi di pertinenza e non eccedenza dei dati trattati» in relazione «alla periodizzazione prescelta (due rilevamenti al minuto)». In tale quadro, è stata altresì prevista, quale misura di garanzia, «la distruzione dei registri di presa in carico dei dispositivi prima dell’inizio del nuovo turno di servizio, in modo da non permettere l’identificazione degli operatori in relazione ai dati di localizzazione memorizzati», rispetto alle quali il Garante ha prescritto la necessità di «adottare misure organizzative preordinate alla effettiva cancellazione dei dati idonei ad identificare gli interessati (contenuti nei moduli di presa in carico)» entro le 24 ore del giorno successivo.
Quanto alle misure di sicurezza, l’Autorità di protezione dei dati personali ha disposto, quale misura necessaria, che il titolare del trattamento configuri «il sistema in modo da consentire l’accesso ai dati trattati al solo personale autorizzato, tramite l’assegnazione di credenziali di autenticazione differenziate, individuando profili autorizzativi personalizzati e limitando quanto più possibile l’assegnazione di profili con funzionalità di modifica ed estrazione dei dati».
In relazione al secondo provvedimento, sopra identificato al n. 2), inerente al trattamento di dati personali dei dipendenti di una società effettuato attraverso la localizzazione di dispositivi smartphone e tablet, il Garante si è pronunciato in ordine alla «installazione di un’applicazione denominata “Sistema di controllo qualità distribuzione materiali pubblicitari” installata sugli smartphone o tablet» forniti ai dipendenti che devono verificare la «qualità della distribuzione di materiale pubblicitario (volantini, depliant commerciali e simili)». Lo scopo del sistema era quello di migliorare la «rendicontazione dell’attività di verifica sulla distribuzione di volantini e posta cartacea», in sostituzione dei «moduli cartacei [e dei]i fogli excel attualmente in uso».
A tal fine, era previsto il rilevamento della posizione del dipendente «sulle aree geografiche/località richieste dal cliente», per verificare «che in corrispondenza delle cassette postali [fosse] stato realmente consegnato il materiale pubblicitario», effettuando poi «rilevazioni a campione».
Il Garante ha valutato il sistema conforme ai principi di necessità e proporzionalità del trattamento, considerando «Le modalità di trattamento dei dati personali da parte del sistema tecnologico prospettato, così come rappresentate dalla società, in particolare la pseudonimizzazione11 dei dati dei controller e la circostanza che il trattamento dei dati relativi alla sua posizione geografica non sia effettuato ad intervalli predeterminati né continuativamente, bensì esclusivamente al momento dell’attivazione da parte del controller (di fronte ad un numero civico o in un punto determinato della verifica a campione)». È stato, inoltre, ritenuto che i dati personali così raccolti non dovessero essere conservati per più di 10 giorni.
L’Autorità di protezione dei dati ha, infine, prescritto alla società di «configurare il sistema in modo tale che sul dispositivo sia posizionata un’icona che indichi che la funzionalità di localizzazione è attiva» e di «adottare specifiche misure idonee ad impedire l’eventuale trattamento di dati ultronei tratti dal dispositivo (es. dati relativi al traffico telefonico, agli sms, alla posta elettronica o altro)».
L’ultimo provvedimento oggetto delle presenti note – indicato supra al n. 3) – è inerente alla verifica preliminare di un «trattamento dei dati personali dei dipendenti cui è stato assegnato un telefono aziendale». Finalità del predetto trattamento è quella di «“controllo delle fatture del provider del servizio telefonico” nonché di “analisi dell’andamento complessivo dei consumi in modo da valutare nel tempo l’adeguatezza del contratto con il provider […] con l’obiettivo di ridurre i costi aziendali e ottimizzare la qualità del servizio” nonché “rilevare eventuali situazioni anomale di consumi”».
In particolare, i dati raccolti «sarebbero “forniti dal provider per ogni bolletta inviata” e consisterebbero nel: “numero chiamato o chiamante, giorno, ora dell’inizio della telefonata, durata della stessa”». Si tratterebbe, nello specifico, delle «numerazioni delle utenze chiamate, [del]la durata delle comunicazioni, [del] tipo di servizio utilizzato, [dei] paesi di provenienza o di destinazione della chiamata, [del]l’orario di inizio della chiamata». È, in ogni caso, prevista l’«anonimizzazione dei numeri del chiamante e del chiamato, mediante mascheramento delle ultime quattro cifre».
In tale quadro, il Garante ha precisato che, alla luce dei principi di necessità e proporzionalità del trattamento, «potranno essere considerati ai fini del trattamento solo quei dati che costituiscano delle specifiche voci di spesa all’interno della fattura comportando un impatto sui costi effettivamente sopportati dalla società, alla luce della tipologia di tariffazione prescelta (tale circostanza ad esempio non ricorre in caso di tariffe c.d. flat)».
Quanto ai tempi di conservazione dei dati personali è stato ritenuto giustificato «per finalità di “controllo sulle fatture”, anche in vista di contenimento dei costi o di eventuali contestazioni», un «limite temporale non superiore comunque ai sei mesi», in analogia con i tempi di «conservazione dei dati relativi al traffico telefonico» di cui all’art. 123, comma 2, del d. lgs. n. 196/2003.
1 Sulla portata giuridica di provvedimenti prescrittivi di carattere generale approvati dal Garante privacy, si rinvia alle considerazioni già svolte, e alla bibliografia ivi citata, in M. Viggiano, Osservatorio Garante per la protezione dei dati personali (fasc. 1/2014), in www.osservatoriosullefonti.it, Archivio rubriche 2014, Garante privacy.
2 Provvedimento del 19 ottobre 2017, in www.gpdp.it, doc. web n. 7321142.
3 Provvedimento del 30 novembre 2017, in www.gpdp.it, doc. web n. 7522639.
4 Provvedimento dell’11 gennaio 2018, in www.gpdp.it, doc. web n. 7554790.
5 Art. 17, del d. lgs. n. 196 del 30/6/2003, recante il «Codice in materia di protezione dei dati personali».
6 Cfr. art. 4, comma 1, lett. f), del d. lgs. n.196/2003.
7 Art. 13 del d. lgs. n. 196/2003.
8 Art. 37, comma 1, lett. a), del d. lgs. n. 196/2003.
9 Artt. 31 ss. del d. lgs. n. 196/2003.
10 Artt. 11, comma 1, lett. a) e d) e 18, comma 2 del d. lgs. n. 196/2003.
11 Per «pseudonimizzazione» si intende «il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile» (cfr. art. 4, par. 1, n. 5, del Regolamento (UE) 2016/679 del 27 aprile 2016 «relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)».