La problematica disciplina della geolocalizzazione dei dispositivi aziendali. Un peculiare caso di bilanciamento di interessi contrapposti tra normativa privacy e giuslavoristica
di Raffaele Riccio
Premessa
L’imminente armonizzazione della normativa privacy a livello comunitario, a seguito del Regolamento europeo 2016/679, ha avuto inevitabili ripercussioni sulla questione dell’utilizzo, da parte del datore di lavoro, di strumenti di controllo a distanza dei lavoratori dipendenti. Si pensi, solo per citare alcuni esempi, all’impiego di sistemi di videosorveglianza, all’utilizzo della posta elettronica e ai dispositivi mobili aziendali, al badge per il corretto conteggio delle ore lavorative. Il continuo e costante avanzare della tecnologia, infatti, continua ad alimentare questioni normative sempre più complesse: diventa fondamentale, a tal proposito, valutare gli ambiti di liceità e i limiti di utilizzo di determinati strumenti tecnologici in grado di incidere in modo determinante sugli aspetti della vita e dei diritti dei singoli individui.
L’attenzione, nel caso di specie, è rivolta soprattutto al sempre più frequente utilizzo, in ambito lavorativo, di sistemi GPS (Global Positioning System)[1], gli strumenti di localizzazione geografica dai quali può derivare anche un controllo dei lavoratori da parte del datore di lavoro: quest’ultimo, infatti, tramite tali sistemi di rilevamento della posizione geografica, potrebbe monitorare l’esatta posizione dei veicoli aziendali (o di altri strumenti elettronici[2]) impiegati dai lavoratori durante lo svolgimento dell’attività lavorativa e, quindi, raccogliere dati riconducibili, direttamente o indirettamente, ai dipendenti.
La questione è ricca di spunti e di riflessioni e, soprattutto, si presenta altamente problematica dal momento che impone di bilanciare una serie di contrapposti interessi, quelli dell’impresa e quelli dei singoli lavoratori. Un’impresa, infatti, può ricorrere agli strumenti di geolocalizzazione per il soddisfacimento di esigenze organizzative e produttive, per migliorare la sicurezza sul lavoro, la tutela del patrimonio aziendale e per semplificare le prestazioni lavorative dei dipendenti. L’interesse principale dei lavoratori dipendenti, invece, è quello relativo all’adeguata tutela della propria riservatezza rispetto alle attività di controllo a distanza effettuate dal datore di lavoro. Attraverso la geolocalizzazione, infatti, i dati relativi alla posizione geografica di un mezzo (veicolo, tablet, smartphone) possono permettere l’identificazione, direttamente o meno, del lavoratore. Tutto questo determina un problema di rispetto di diritti fondamentali dell’individuo[3] e, in modo particolare, di tutela del diritto alla privacy del lavoratore, con inevitabile applicazione della normativa sulla protezione dei dati personali.
Al datore di lavoro, dunque, si richiede il rispetto di specifiche disposizioni normative e, soprattutto, la gestione di determinati adempimenti per il corretto utilizzo di un sistema di geolocalizzazione dei veicoli e dei dispositivi aziendali.
La normativa giuslavoristica
La prima normativa di riferimento è quella prevista ex art. 4, legge n. 300/1970 (Statuto dei lavoratori) che disciplina l’impiego degli strumenti di controllo a distanza dei lavoratori, tra i quali ben possono ricomprendersi i sistemi di geolocalizzazione. Non è ancora ben chiaro, tuttavia, se l’istallazione di apparecchiature di geolocalizzazione pone a carico del datore di lavoro gli adempimenti di cui al comma 1, art. 4. Legge n. 300/1970 (accordo sindacale o autorizzazione amministrativa) o al comma 2 (alcun accordo o autorizzazione).
Si ricorda infatti che, nell’attuale formulazione dell’art. 4, comma 1, legge n. 300/1970, così come modificato dal Jobs Act (D.lgs. 151/2015), il precedente divieto di utilizzo di sistemi di controllo a distanza dei lavoratori è stato abrogato. Al datore di lavoro, dunque, è oggi concesso di impiegare strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori per esigenze organizzative e produttive, per la sicurezza sul lavoro e per la tutela del patrimonio aziendale, previo raggiungimento di un accordo sindacale tra il datore di lavoro e le RSA o, in alternativa, un’autorizzazione amministrativa (Direzione territoriale del Lavoro o Ministero del Lavoro, a seconda dei casi). Tuttavia, il comma 2 dell’art. 4, dispensa il datore di lavoro da tali ultimi adempimenti nei soli casi in cui gli strumenti che consentono anche un controllo a distanza dei lavoratori siano utilizzati da questi ultimi per rendere la prestazione lavorativa.
Nel caos interpretativo[4] sorto in merito alla destinazione funzionale degli strumenti di geolocalizzazione, risulta interessate la posizione dell’Ispettorato Nazionale del lavoro[5] secondo cui i sistemi di localizzazione satellitare devono generalmente inquadrarsi alla stregua di elementi aggiunti rispetto agli strumenti di lavoro veri e propri, con consequenziale necessità, al fine del loro impiego, dell’accordo sindacale o dell’autorizzazione amministrativa. Solo eccezionalmente, invece, tali sistemi possono divenire veri strumenti di lavoro e, in particolare, quando sono impiegati dai lavoratori dipendenti per la concreta esecuzione della prestazione lavorativa.
La normativa privacy
Il rispetto della normativa privacy s’impone alle imprese ogniqualvolta i dati raccolti tramite i sistemi di geolocalizzazione possano essere ricondotti in qualche modo ai lavoratori dipendenti.
La prima regolamentazione specifica sugli strumenti di localizzazione dei veicoli aziendali risale al provvedimento 4 ottobre 2011 dell’Autorità Garante per la privacy. In perfetta coerenza con quanto disposto dal Gruppo dei Garanti europei, il Garante italiano specifica che il datore di lavoro è obbligato al rispetto della normativa del Codice privacy (D.lgs. 196/2003) nei casi in cui i dati relativi all’ubicazione dei veicoli possano essere associati, direttamente o indirettamente, ai lavoratori, divenendo così dati personali a tutti gli effetti. Alla luce del nuovo scenario normativo (da ultimo, si ricorda il D.lgs. 101/2018, ai fini dell’adeguamento del Codice privacy italiano al Regolamento europeo), l’Autorità Garante è tornata a pronunciarsi nuovamente sulla questione dei sistemi di geolocalizzazione[6]. In particolare, riprendendo quanto già sostenuto in passato, s’impone tutt’oggi al datore di lavoro il rispetto di determinati princìpi nonché l’adozione di specifiche misure di sicurezza adeguate ai rischi connessi al trattamento dei dati di geolocalizzazione. Il Garante specifica, a tal proposito, che la posizione del veicolo (o di tablet e smartphone aziendali) non può essere monitorata in modo continuativo dal Titolare, ma solo nei momenti in cui ciò si renda necessario per il conseguimento delle finalità legittimamente perseguite dal predetto, in ossequio ai principio di necessità di cui all’art. 5, par. 1, lett. c) del Regolamento. E’ altresì opportuno che, in base al principio di pertinenza e non eccedenza di cui all’art. 5, par. 1, lett. e), i tempi di conservazione dei dati medesimi siano commisurati tenendo conto delle finalità perseguite in concreto e che, nel rispetto del principio di minimizzazione dei dati, siano raccolti solo i dati effettivamente utili rispetto agli scopi prefissati dal Titolare. È necessario, inoltre, che sui display di tablet e smartphone aziendali sia posizionata un’icona che indichi quando la funzionalità di geolocalizzazione risulta attiva e dovrebbe essere prevista la possibilità di disattivazione della funzione durante le pause lavorative consentite, dandone comunicazione ai lavoratori o, in alternativa, un sistema di oscuramento della posizione geografica dei dipendenti, decorso un dato periodo di inattività dell’operatore.
Al Titolare, inoltre, si impone la corretta designazione delle figure privacy interne ed esterne che sono coinvolte nel trattamento dei dati di geolocalizzazione e, quindi, il conferimento d’incarico a tutti gli autorizzati interni al trattamento, nonché la nomina dei responsabili esterni (in particolare, per i fornitori dei servizi di geolocalizzazione). Se il Titolare, inoltre, è al contempo fornitore del servizio di geolocalizzazione, è opportuno che configuri gli strumenti di localizzazione in modo da garantire che essi raccolgano, per impostazione predefinita, solo i dati personali necessari per il perseguimento di specifiche finalità, secondo il principio della privacy by default ex art. 25 del Regolamento.
Ai sensi dell’art. 13 GDPR, il Titolare è obbligato a fornire idonea e adeguata informativa[7] ai dipendenti geolocalizzati, con la specifica indicazione delle finalità e modalità del trattamento dei dati raccolti, dei tempi di conservazione, della base giuridica e dell’eventuale trasferimento di dati verso Paesi terzi. Il Garante impone, infine, l’adozione di vetrofanie da apporre sui veicoli geolocalizzati a titolo di informativa breve. Infine, il Titolare dovrebbe adottare una policy aziendale che delinei in modo specifico le modalità e le tipologie di controlli effettuabili tramite i dispositivi aziendali geolocalizzati.
A conferma dell’estrema attualità e delicatezza della questione, l’Autorità Garante, in conformità a quanto stabilito ex art. 35 GDPR, nel suo ultimo provvedimento[8] ha inserito il “trattamento dei dati effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici, anche con riguardo ai sistemi di geolocalizzazione” nella lista dei trattamenti rispetto ai quali è doverosa una valutazione d’impatto (Data Protection Impact Assessment) e, cioè, una valutazione sulla sicurezza dei trattamenti medesimi alla luce dei possibili rischi per i diritti e le libertà degli interessati.
In conclusione, il mancato rispetto delle prescrizioni individuate può determinare l’irrogazione di sanzioni amministrative connesse alla violazione degli obblighi del Titolare del trattamento, nonché la sanzione penale di cui all’art. 170 Codice Privacy (inosservanza dei provvedimenti del Garante).
[1] Soffientini M., Privacy, protezione e trattamenti dei dati, Ipsoa, 2018.
[2] Per approfondimenti: Garante per la protezione dei dati personali, provv. 18 aprile 2018 n. 232, doc. web n. 9358266.
[3] Soffientini M., Geolocalizzazione e impatto privacy, in Diritto e pratica del lavoro, 17/2017 p. 889 ss.
[4] Per approfondimenti: Lambrou M, Geolocalizzazione di veicoli aziendali, in Diritto e pratica del Lavoro, 5/2018, p. 297 ss.
[5] Ispettorato Nazionale del Lavoro, circolare n. 2 del 7 novembre 2016.
[6] Garante per la protezione dei dati personali, provv. 28 giugno 2018 n. 396, doc. web. 9023246; provv. 18 aprile 2018 n. 232, doc. web 9358266; provv. 24 maggio 2017 n. 247, doc. web. 6495708; provv. 16 marzo 2017 n. 138, doc. web. 6275314.
[7] Bonacossa P., Datori di lavoro, nuove regole per effettuare i controlli in linea con la privacy, in Privacy – La Nuova disciplina europea, Guida normativa, Il Sole 24 Ore, Febbraio 2018, p. 114 ss.
[8] Garante per la protezione dei dati personali, provv. 11 ottobre 2018 n. 467, doc. web. 9058979.
Autore