Il periodo di conservazione dei dati personali deve essere commisurato alla finalità perseguita con il trattamento

Il periodo di conservazione dei dati personali deve essere commisurato alla finalità perseguita con il trattamento

di Muia' Pier Paolo, Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

Versione PDF del documento

Avv. Pier Paolo Muià – Dott.ssa Maria Muià

Garante per la protezione dei dati personali: provvedimento n. 8 del 9 gennaio 2020

Riferimenti normativi: art. 4, comma 1, legge 20.5.1970, n. 300; art. 58, par. 2, lett. F, D del GDPR

Fatto

Alcuni lavoratori di una nota Società di telefonia avevano conferito mandato ad un’associazione sindacale affinché presentasse al Garante per la protezione dei dati personali un reclamo contro la Società datrice di lavoro, rea di aver posto in essere un trattamento illecito dei dati personali dei lavoratori, attraverso un sistema informatico installato sui dispositivi smartphone dei dipendenti che svolgevano mansioni di tecnico “on field”.

Tale sistema informatico era stato adottato dal datore di lavoro, ed autorizzato come indicato dallo Statuto dei lavoratori dall’Ispettorato del Lavoro, per finalità organizzative e di tutela del patrimonio e sicurezza.

Secondo, però, quanto sostenuto dalla parte sociale, che aveva presentato il reclamo davanti all’Autorità Garante, il sistema informatico oltre a consentire alla Società di utilizzare i dati raccolti per finalità organizzative e di tutela del patrimonio e sicurezza, come stabilito dalla normativa vigente, forniva alla Società i dati relativi ai tempi della prestazione e delle modalità di esecuzione della prestazione. Tale ultimo trattamento era però in contrasto sia con il provvedimento di autorizzazione dell’Ispettorato del Lavoro sia con le disposizioni poste dalla disciplina di protezione dei dati personali in materia di profilazione degli interessati. In riferimento a quest’ultimo aspetto l’Associazione sindacale sosteneva che i dati raccolti con il sistema informatico venivano acquisiti, conservati e trattati per il «funzionamento di sistemi di incentivazione economica».

Oltre all’illecito trattamento dei dati personali, nel reclamo presentato al Garante la parte sociale si lamentava dell’informativa resa dalla Società ai lavoratori e relativa alle modalità di utilizzo dei dati raccolti con il sistema informatico di cui si discute. I reclamanti sostenevano che l’informativa resa era lacunosa, generica e incompleta e prospettava un trattamento e una conservazione dei dati raccolti eccedente, non pertinente e ulteriore rispetto a quanto autorizzato. Inoltre prevedeva un controllo diretto ed invasivo nelle attività lavorative ed una conservazione dei dati dei singoli lavoratori, prevista per 6 mesi, sproporzionata rispetto alle finalità dichiarate e autorizzate. Inoltre, secondo quanto sostenuto da parte reclamante, l’informativa estendeva l’accesso indiscriminato e non filtrato dei dati a troppi soggetti.

Per tutto quanto sopra, l’Associazione sindacale aveva chiesto all’Autorità Garante di ordinare alla società di specificare: (i) tipologia e modalità dei trattamenti effettuati con il sistema informatico; (ii) tipologia dei controlli che la società si riserva di effettuare; (iii) disporre una limitazione del trattamento relativamente ai dati eccedenti la mera finalità di ottimizzazione degli interventi, nonché per finalità di attestazione della presenza e per la mera tutela del patrimonio aziendale con accesso limitato alle richieste dell’autorità giudiziaria; (iv) accertare l’eccedenza della conservazione di tutti i dati per il periodo di 6 mesi, disponendo una limitazione e cancellazione dei dati trattati oltre le 24 ore; (v) accertare l’inidoneità dell’informativa fornita ai dipendenti.

Successivamente al reclamo di cui si parla, il Garante privacy aveva ricevuto un ulteriore reclamo relativo al medesimo sistema informatico da parte di altre Associazione sindacali, le quali aveva sostenuto, lamentando, che il sistema informatico era in grado di raccogliere informazioni di carattere personale presenti sui dispositivi (email, immagini, dati traffico), il cui uso è consentito anche al di fuori dell’orario di lavoro.

Ricevuti i reclami, il Garante per la protezione dei dati personali ha rivolto alla Società datrice di lavoro una richiesta di informazioni, che la Società ha prontamente accolto.

Nelle note esplicative la Società ha descritto le modalità di acquisizione dei dati di geolocalizzazione, specificando che questi sono acquisiti dal sistema informatico solo a seguito di uno specifico comando che il tecnico attiva sullo smartphone di servizio ai fini della gestione di un guasto, per il quale è necessario geo-referenziare il punto in cui viene rilevato il guasto di un cavo trasmissivo nel tracciato urbano o extraurbano. Dopo aver annunciato le ulteriori funzionalità del sistema informatico che in futuro verranno attivate e elencato i dati trattati, la Società si è soffermata a spiegare le finalità perseguite e le modalità dei trattamenti, escludendo la possibilità di accedere a dati o informazioni privati e personali conservati sullo smartphone di servizio in relazione all’uso promiscuo, affermando di trattare solo quei dati legati all’esecuzione della prestazione lavorativa.

A queste informazioni si sono poi susseguite ulteriori spiegazioni da parte della Società, sia per iscritto che con audizione verbale.

La decisione del Garante

Terminata l’istruttoria, l’Autorità Garante si è espressa in merito ai due reclami alla Ella indirizzati riscontrando profili di illiceità nel trattamento dei dati posto in essere dalla Società di telecomunicazioni, come lamentato dalla parte ricorrente.

In particolare, il Garante per la protezione dei dati personali ha rilevato, in primo luogo, che a differenza di quanto comunicato ai lavoratori con l’informativa, nella quale la Società informava i dipendenti che i dati raccolti sarebbero stati conservati per 6 mesi, in realtà i dati personali riferiti ai singoli interessati venivano conservati per 5 anni. Un così lungo termine di conservazione era finalizzato, secondo quanto dichiarato dalla Società, per la gestione del dispacciamento delle attività, per la gestione dei reclami dei clienti, per la gestione di eventuali richieste da parte dell’Autorità Giudiziaria, per esigenze di tutela del patrimonio aziendale, per l’accertamento di illeciti e di anomalie rilevanti, emerse dall’analisi dei dati aggregati. Rilevato quanto appena descritto, il Garante ha ritenuto accertato l’illiceità dell’informativa rilasciata ai dipendenti, avendo omesso di informare correttamente i lavoratori sugli effettivi tempi di conservazione dei dati personali riferiti ai tecnici “on field”.

A tal proposito, il Garante ha ribadito l’esigenza di individuare i tempi di conservazione delle diverse tipologie di dati personali in relazione a ciascuno degli scopi in concreto perseguiti, evitando il riferimento “a blocchi” di fasce temporali omogenee, facendo riferimento, in primo luogo, alla finalità principale per la quale il sistema è stato adottato.

A conclusione della sua disamina, il Garante ha adottato alcuni provvedimenti correttivi.

Ha disposto la limitazione definitiva del trattamento dei dati raccolti mediante il sistema informatico in esame. Ha ordinato alla Società di modificare le informative rese ai dipendenti, con riguardo alle operazioni di conservazione dei dati, risultate non conformi al GDPR. Ha ordinato alla Società di individuare la tipologia di dati personali la cui conservazione è necessaria per il perseguimento della relativa finalità di trattamento individuando tempi di conservazione delle diverse tipologie di dati raccolti effettivamente commisurati a ciascuno degli scopi in concreto perseguiti in riferimento alle singole fasi del trattamento. Ha disposto di configurare il sistema in modo da rendere sempre visibile sullo schermo del dispositivo un’icona che indichi che la funzionalità di localizzazione è attiva.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Monica Mandico, 2019, Maggioli Editore

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad...



Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

pier-paolo-muia

Muia' Pier Paolo

Co-founder dello Studio Legale "MMP Legal", svolge la professione di avvocato in Firenze, Prato e Pistoia, occupandosi in via principale con il suo staff di responsabilità professionale e civile; internet law, privacy e proprietà intellettuale nonchè diritto tributario. In particolare, svolge attività di assistenza e difesa sia di professionisti destinatari di richieste di risarcimento  danni per inadempimento professionale sia di soggetti danneggiati da sinsitri, soprattutto per malpractice medica; consulenza relativamente alla gestione e alla tutela dei dati personali in ogni area e settore di attività nonché assistenza e difesa, stragiudiziale e giudiziale, per quanto riguarda i contratti e i rapporti tramite internet ed in generale tutte le problematiche relative ai servizi on line ed ai correlati diritti; redazione di accordi di licenza e cessione di marchi, dei diritti di sfruttamento economico delle opere dell'ingegno, di know-how e di brevetti; difesa giudiziale per la tutela dei diritti d'autore e di brevetti, marchi e disegni, nonché avverso attività di concorrenza sleale; difesa e rappresentanza nei giudizi dinanzi alle commissioni tributarie. Per Diritto.it è Referente delle sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio. Pagina Facebook: https://www.facebook.com/studiolegalemasimuia/?ref=br_rs Pagina Instagram: https://www.instagram.com/mmp_studiolegale/


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

Ricevi tutte le novità di Diritto della settimana 
in una pratica email  direttamente nella tua casella di posta elettronica!

Non abbandonare Diritto.it
senza iscriverti alla newsletter!