Garante per la protezione dei dati personali: provvedimento n. 8 del 9 gennaio 2020
Riferimenti normativi: art. 4, comma 1, legge 20.5.1970, n. 300; art. 58, par. 2, lett. F, D del GDPR
Fatto
Alcuni lavoratori di una nota Società di telefonia avevano conferito mandato ad un’associazione sindacale affinché presentasse al Garante per la protezione dei dati personali un reclamo contro la Società datrice di lavoro, rea di aver posto in essere un trattamento illecito dei dati personali dei lavoratori, attraverso un sistema informatico installato sui dispositivi smartphone dei dipendenti che svolgevano mansioni di tecnico “on field”.
Tale sistema informatico era stato adottato dal datore di lavoro, ed autorizzato come indicato dallo Statuto dei lavoratori dall’Ispettorato del Lavoro, per finalità organizzative e di tutela del patrimonio e sicurezza.
Secondo, però, quanto sostenuto dalla parte sociale, che aveva presentato il reclamo davanti all’Autorità Garante, il sistema informatico oltre a consentire alla Società di utilizzare i dati raccolti per finalità organizzative e di tutela del patrimonio e sicurezza, come stabilito dalla normativa vigente, forniva alla Società i dati relativi ai tempi della prestazione e delle modalità di esecuzione della prestazione. Tale ultimo trattamento era però in contrasto sia con il provvedimento di autorizzazione dell’Ispettorato del Lavoro sia con le disposizioni poste dalla disciplina di protezione dei dati personali in materia di profilazione degli interessati. In riferimento a quest’ultimo aspetto l’Associazione sindacale sosteneva che i dati raccolti con il sistema informatico venivano acquisiti, conservati e trattati per il «funzionamento di sistemi di incentivazione economica».
Oltre all’illecito trattamento dei dati personali, nel reclamo presentato al Garante la parte sociale si lamentava dell’informativa resa dalla Società ai lavoratori e relativa alle modalità di utilizzo dei dati raccolti con il sistema informatico di cui si discute. I reclamanti sostenevano che l’informativa resa era lacunosa, generica e incompleta e prospettava un trattamento e una conservazione dei dati raccolti eccedente, non pertinente e ulteriore rispetto a quanto autorizzato. Inoltre prevedeva un controllo diretto ed invasivo nelle attività lavorative ed una conservazione dei dati dei singoli lavoratori, prevista per 6 mesi, sproporzionata rispetto alle finalità dichiarate e autorizzate. Inoltre, secondo quanto sostenuto da parte reclamante, l’informativa estendeva l’accesso indiscriminato e non filtrato dei dati a troppi soggetti.
Per tutto quanto sopra, l’Associazione sindacale aveva chiesto all’Autorità Garante di ordinare alla società di specificare: (i) tipologia e modalità dei trattamenti effettuati con il sistema informatico; (ii) tipologia dei controlli che la società si riserva di effettuare; (iii) disporre una limitazione del trattamento relativamente ai dati eccedenti la mera finalità di ottimizzazione degli interventi, nonché per finalità di attestazione della presenza e per la mera tutela del patrimonio aziendale con accesso limitato alle richieste dell’autorità giudiziaria; (iv) accertare l’eccedenza della conservazione di tutti i dati per il periodo di 6 mesi, disponendo una limitazione e cancellazione dei dati trattati oltre le 24 ore; (v) accertare l’inidoneità dell’informativa fornita ai dipendenti.
Successivamente al reclamo di cui si parla, il Garante privacy aveva ricevuto un ulteriore reclamo relativo al medesimo sistema informatico da parte di altre Associazione sindacali, le quali aveva sostenuto, lamentando, che il sistema informatico era in grado di raccogliere informazioni di carattere personale presenti sui dispositivi (email, immagini, dati traffico), il cui uso è consentito anche al di fuori dell’orario di lavoro.
Ricevuti i reclami, il Garante per la protezione dei dati personali ha rivolto alla Società datrice di lavoro una richiesta di informazioni, che la Società ha prontamente accolto.
Nelle note esplicative la Società ha descritto le modalità di acquisizione dei dati di geolocalizzazione, specificando che questi sono acquisiti dal sistema informatico solo a seguito di uno specifico comando che il tecnico attiva sullo smartphone di servizio ai fini della gestione di un guasto, per il quale è necessario geo-referenziare il punto in cui viene rilevato il guasto di un cavo trasmissivo nel tracciato urbano o extraurbano. Dopo aver annunciato le ulteriori funzionalità del sistema informatico che in futuro verranno attivate e elencato i dati trattati, la Società si è soffermata a spiegare le finalità perseguite e le modalità dei trattamenti, escludendo la possibilità di accedere a dati o informazioni privati e personali conservati sullo smartphone di servizio in relazione all’uso promiscuo, affermando di trattare solo quei dati legati all’esecuzione della prestazione lavorativa.
A queste informazioni si sono poi susseguite ulteriori spiegazioni da parte della Società, sia per iscritto che con audizione verbale.
La decisione del Garante
Terminata l’istruttoria, l’Autorità Garante si è espressa in merito ai due reclami alla Ella indirizzati riscontrando profili di illiceità nel trattamento dei dati posto in essere dalla Società di telecomunicazioni, come lamentato dalla parte ricorrente.
In particolare, il Garante per la protezione dei dati personali ha rilevato, in primo luogo, che a differenza di quanto comunicato ai lavoratori con l’informativa, nella quale la Società informava i dipendenti che i dati raccolti sarebbero stati conservati per 6 mesi, in realtà i dati personali riferiti ai singoli interessati venivano conservati per 5 anni. Un così lungo termine di conservazione era finalizzato, secondo quanto dichiarato dalla Società, per la gestione del dispacciamento delle attività, per la gestione dei reclami dei clienti, per la gestione di eventuali richieste da parte dell’Autorità Giudiziaria, per esigenze di tutela del patrimonio aziendale, per l’accertamento di illeciti e di anomalie rilevanti, emerse dall’analisi dei dati aggregati. Rilevato quanto appena descritto, il Garante ha ritenuto accertato l’illiceità dell’informativa rilasciata ai dipendenti, avendo omesso di informare correttamente i lavoratori sugli effettivi tempi di conservazione dei dati personali riferiti ai tecnici “on field”.
A tal proposito, il Garante ha ribadito l’esigenza di individuare i tempi di conservazione delle diverse tipologie di dati personali in relazione a ciascuno degli scopi in concreto perseguiti, evitando il riferimento “a blocchi” di fasce temporali omogenee, facendo riferimento, in primo luogo, alla finalità principale per la quale il sistema è stato adottato.
A conclusione della sua disamina, il Garante ha adottato alcuni provvedimenti correttivi.
Ha disposto la limitazione definitiva del trattamento dei dati raccolti mediante il sistema informatico in esame. Ha ordinato alla Società di modificare le informative rese ai dipendenti, con riguardo alle operazioni di conservazione dei dati, risultate non conformi al GDPR. Ha ordinato alla Società di individuare la tipologia di dati personali la cui conservazione è necessaria per il perseguimento della relativa finalità di trattamento individuando tempi di conservazione delle diverse tipologie di dati raccolti effettivamente commisurati a ciascuno degli scopi in concreto perseguiti in riferimento alle singole fasi del trattamento. Ha disposto di configurare il sistema in modo da rendere sempre visibile sullo schermo del dispositivo un’icona che indichi che la funzionalità di localizzazione è attiva.
Volume consigliato
Privacy e GDPR: Manuale applicativo con esempi e casistiche settorialiIl volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder. Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM. Monica Mandico | 2019 Maggioli Editore 32.00 € 30.40 € |
Scrivi un commento
Accedi per poter inserire un commento