Gentili colleghi,
ritenendo di fare cosa gradita nei confronti degli associati e non, lo Staff ILA, segnala che Per i sistemi di geolocalizzazione rimane necessario l’accordo sindacale – come previsto dallo Statuto dei lavoratori – e va garantita la riservatezza dei dipendenti.< Verifica preliminare. Trattamento di dati personali di dipendenti effettuato attraverso la localizzazione di veicoli aziendali – 16 marzo 2017<
Altre notizie utili su Sito ILA – Ispettori del lavoro Associati<<, Pagina Facebook ILA – Ispettori del lavoro Associati<<
Lavoro: geolocalizzazione flotte aziendali, sì con accordo sindacale<
Questa la decisione del Garante della privacy [doc. web n. 6275314<] in merito alla richiesta di verifica preliminare presentata da una compagnia che offre servizi idrici e assistenza in caso di problemi alla rete. In base alla documentazione presentata, la localizzazione geografica dei veicoli utilizzati per gli interventi sarà attivata per molteplici scopi come l’ottimizzazione delle richieste di intervento o delle emergenze, l’innalzamento delle condizioni di sicurezza sul lavoro dei dipendenti, la corretta manutenzione dei veicoli, la tutela del patrimonio aziendale, il calcolo del tempo di lavoro effettivo oppure la gestione di eventuali incidenti stradali o di sanzioni subite per violazioni del codice della strada. Nel corso dell’istruttoria l’Autorità ha riconosciuto il legittimo interesse della società a rilevare la posizione dei propri mezzi per le molteplici finalità indicate, ma solo nel pieno rispetto della privacy dai lavoratori. Visto che tale sistema potrebbe consentire il controllo a distanza dei lavoratori, anche dopo le modifiche introdotte dal cosiddetto Jobs Act, per poterlo attivare dovrà prima essere raggiunto un apposito accordo con le rappresentanze sindacali o, in sua assenza, si dovrà richiedere l’autorizzazione all’Ispettorato nazionale del lavoro. Dovranno inoltre essere attentamente definite le modalità di raccolta, di elaborazione e di conservazione dei dati di geolocalizzazione e degli altri dati personali, differenziando le tutele in base alla singola finalità perseguita. Ad esempio, se la società intende avvalersi del sistema di localizzazione per la regolare tenuta del libro unico del lavoro, potrà conservare i dati necessari per cinque anni. I dati da utilizzare in caso di contestazione di violazione amministrativa con modalità non immediata, invece, potranno essere conservati al massimo per 90 giorni, ovvero il tempo previsto dalla normativa per notificare un eventuale verbale di contestazione. Al termine del periodo individuato, i dati personali raccolti dovranno essere automaticamente cancellati o anonimizzati. Deve essere inoltre escluso il monitoraggio dei tracciati percorsi, salvo il possibile trattamento dei relativi dati in forma aggregata o anonima per finalità statistiche e di programmazione del lavoro. Dovranno essere adottate anche precise misure di sicurezza e l’accesso ai dati trattati dovrà essere consentito al solo personale incaricato, definendo per i dati di geolocalizzazione appositi profili autorizzativi individuali per ogni singolo utente. |
La società potrà comunque avviare il trattamento delle informazioni sulla posizione geografica dei veicoli di lavoro solo dopo aver effettuato la notificazione al Garante e aver fornito un’informativa completa ai dipendenti.
Registro dei provvedimenti
n. 138 del 16 marzo 2017
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;
VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito “Codice”);
ESAMINATA la richiesta di verifica preliminare presentata da Livenza Tagliamento Acque S.p.A. ai sensi dell’articolo 17 del Codice;
VISTI gli atti d’ufficio;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE la prof.ssa Licia Califano;
PREMESSO
1. Trattamento di dati personali di dipendenti effettuato attraverso la localizzazione di veicoli aziendali.
Livenza Tagliamento Acque S.p.A. (di seguito, la società) ha presentato una richiesta di verifica preliminare ai sensi dell’art. 17 del Codice, in relazione al trattamento dei dati personali connesso alla prospettata installazione di un sistema dotato di una funzionalità di localizzazione satellitare dei veicoli aziendali “tramite una connessione GSM/GPRS al “data Center” della Società Selecta Digital Service Srl, il quale elabora i dati e li rende disponibili [alla società] tramite un servizio di centrale WEB” (cfr. istanza 4.4.2016, p. 2).
1.1. In particolare, quanto alle caratteristiche del sistema che si intende utilizzare, la società ha dichiarato che:
a. i dati raccolti saranno anche quelli “rilevati dal lettore di badge […] installato sui veicoli” (cfr. istanza cit., p. 2);
b. attraverso l’accesso all’area “riservata [alla società] del portale www.selsat.it<, immettendo la propria username e password personali gli incaricati appositamente designati possono accedere alle informazioni della flotta aziendale e quindi valutare lo stato dei mezzi (fermi o in movimento), verificarne i percorsi eseguiti, valutare le soste” (cfr. istanza cit., p. 2);
c. i dati relativi alla localizzazione geografica sono conservati “per il tempo strettamente necessario […] presso il “Data Center” [della società] Selecta […] cui può accedervi solo il personale di quest’ultima per fini manutentivi”, mentre “Selsat s.r.l. è un mero rivenditore e non ha accesso alcuno al sistema informatico né effettua alcun trattamento di dati” (cfr. istanza cit., p. 2);
d. il sistema consente di “gestire in modo compiuto gli adempimenti correlati al rapporto di lavoro (ad esempio registrando i tempi di carico e scarico del veicolo che […] costituiscono comunque «tempo di lavoro» […]), nonché quelli connessi alla gestione dei rapporti contrattuali con la clientela” (cfr. istanza cit., p. 3);
e. “dalla reportistica si possono desumere la distanza percorsa e la velocità media del veicolo (necessaria al responsabile della logistica e ai coordinatori di settore per distribuire i carichi di lavoro […]) nonché i tempi di percorrenza” (cfr. istanza cit., p. 3)
f. il sistema “si attiva solo a seguito dell’accensione dell’auto da parte del dipendente” (cfr. istanza cit., p. 3);
g. la società ha “impartito apposite istruzioni, agli incaricati e al responsabile designato, affinché la posizione del veicolo non sia monitorata continuativamente, ma solo per l’espletamento delle mansioni assegnate e nell’ambito delle finalità perseguite” (cfr. istanza cit., p. 3);
h. la società Selecta Digital Service è stata designata responsabile del trattamento ai sensi dell’articolo 29 del Codice (cfr. istanza cit., p. 3);
i. i dipendenti della società autorizzati ad accedere ai dati raccolti dal sistema sono stati designati incaricati del trattamento (in particolare le seguenti figure: amministratori di sistema; direttore generale; responsabile del servizio logistica; responsabile del parco automezzi e addetto alla logistica; responsabili del servizio nei riguardi del personale coordinato) (cfr. istanza cit., p. 3).
Il sistema, pertanto, è finalizzato a (cfr. istanza cit., p. 5),:
• “gestire il tempestivo intervento degli operatori in caso di guasti alla rete o agli impianti del servizio idrico integrato”;
• “garantire la sicurezza dei lavoratori con particolare attenzione ai lavoratori cd. «in solitudine»”;
• gestire i “rapporti contrattuali con l’utenza”;
• “impartire disposizioni logistiche e scambiare comunicazioni col personale conducente dei veicoli […] in caso di urgenze o sopravvenienze”;
• provvedere agli “adempimenti correlati al rapporto di lavoro (compilazione del rapporto di guida, commisurazione del tempo di lavoro)”;
• verificare la “congruità e [l’]efficacia del sistema di distribuzione dei carichi di lavoro”;
• “verificare il rispetto delle prescrizioni normative di marcia su strada pubblica alla luce di eventuali sanzioni amministrative”;
• tutelare il “patrimonio aziendale”;
• rilevare “l’esatta ubicazione degli automezzi in caso di incidente stradale e in caso di furto”;
• “ricostruire la dinamica di eventuali sinistri”.
1.3. La società ha altresì rappresentato che “il 10 luglio 2014 Acque del Basso Livenza S.p.A. aveva siglato con le RSU l’accordo per l’installazione di un analogo sistema e che il predetto accordo è stato poi confermato e sottoscritto dalle RSU anche [per Livenza Tagliamento Acque S.p.A.] in data 9.12.2014 mediante Accordo Unico Quadro” (cfr. istanza cit., p. 2 e All. 2-3).
1.4. A seguito di una richiesta di integrazioni e chiarimenti la società ha rappresentato che:
a. a parziale rettifica di quanto indicato nell’istanza “il lettore di badge all’interno dei veicoli aziendali assolve all’unica funzione di associare al veicolo stesso un utente determinato” e i relativi dati personali non sono trattati dal sistema (cfr. nota pervenuta 16.6.2016, p. 1);
b. attraverso l’elaborazione di report (da parte di Selsat) la società potrà valutare i carichi di lavoro effettivi computando a tale scopo anche le soste “operative”, nel corso delle quali “il veicolo risulta fermo ma con la chiave quadro attivata” (cfr. nota cit., p. 4);
c. “i dati di posizionamento del veicolo consentirebbero di accertare il posizionamento dello stesso nell’ambito del sinistro denunciato, la sua velocità e la sua direzione di marcia. I dati stessi verrebbero conservati nel server del Responsabile esterno società Selecta Digital Service Srl […] fino ad un massimo di 24 mesi, conformemente al termine previsto dall’art. 2947, comma 2, del codice civile” (cfr. nota cit., p. 5);
d. il sistema Selsat può generare un documento riassuntivo (report) “su base mensile oppure con una scadenza più ampia” contenente “le principali informazioni dello storico delle corse di un mezzo: ora di inizio e fine attività, i Km totali, i percorsi eseguiti, la direzione di marcia, il numero di punti rilevati. In particolare per ogni punto sono disponibili le seguenti informazioni: Stato e direzione del mezzo, Chiave quadro (On/Off), Località, Ora di generazione del punto, Velocità rilevata in quale momento, numero di satelliti che hanno acquisito il punto, Fix (ossia la validità del punto ottenuto dai satelliti a seconda della bontà del segnale), Km percorsi dal punto precedente, Km totali (in progressione), Ora inserimento del punto a terra” (cfr. nota cit., p. 5-6);
e. gli operatori incaricati “procederebbero alla consultazione della posizione geografica dei veicoli solo quando è necessario in relazione alle finalità perseguite” (cfr. nota cit., p. 6).
1.5. Con successiva nota la società ha ulteriormente precisato che:
a. i report predisposti periodicamente dal sistema (cfr. precedente punto 1.4., lett. i) “non contengono informazioni che consentono di risalire all’identità del conducente (codice matricola) ed hanno un valore puramente statistico”; lo scopo perseguito è di poter “verificare l’efficacia della programmazione […] nella erogazione dei servizi” nonché individuare i mezzi maggiormente utilizzati per gestire con efficienza la rotazione degli stessi (cfr. nota pervenuta 10.10.2016, p. 1-2);
b. il trattamento di dati associati al nominativo dei conducenti avverrà invece “solo quando strettamente necessario nell’ambito delle finalità dichiarate”, effettuando “due distinte interrogazioni del sistema” (in sostanza associando i dati estratti dal rapporto “con il documento […] che elenca i conducenti che si sono accreditati sul veicolo”) (cfr. nota cit., p. 2);
c. con riferimento all’impostazione del sistema circa la periodizzazione temporale della rilevazione del dato di localizzazione, la società “per scongiurare il rischio di ottenere riscontri errati […] sentito anche il produttore del sistema, ritiene di poter impostare la temporizzazione dell’invio del segnale ogni 30 secondi” (cfr. nota cit., p. 3).
1.6. Da ultimo la società ha integrato la documentazione resa specificando che:
a. con riferimento alla finalità di gestione dei rapporti contrattuali ed al miglioramento della qualità del servizio, l’utilizzo del sistema potrebbe comportare “indirettamente il trattamento dei dati identificativi di un operatore chiamato ad intervenire e comunque sarebbero trattati per il tempo strettamente necessario per evadere la richiesta di intervento o assistenza” (nota ricevuta il 6.3.2017, punto 3);
b. allo scopo di incrementare l’efficienza dei servizi resi alla clientela, “saranno trattati i soli dati idonei a rilevare, quando necessario, la posizione dei veicoli nonché le informazioni indispensabili alla compilazione del rapporto di guida e per la commisurazione dei costi da imputare alla clientela” (nota cit., punto 5);
c. in relazione alla necessità di “verificare il rispetto delle prescrizioni normative di marcia su strada pubblica alla luce di eventuali sanzioni amministrative […] in caso in cui […] sia notificato un verbale di accertamento di violazione delle norme del Codice della Strada ˗ esclusivamente nelle ipotesi di mancata contestazione immediata al conducente del veicolo (ad es. autovelox) ˗ l’azienda ricorrerebbe al sistema per rilevare l’ubicazione del mezzo, la direzione di marcia e la velocità del veicolo relativi all’intervallo temporale tra i 30 secondi prima e i 30 secondi successivi all’infrazione contestata. [La società] è poi in grado di risalire indirettamente al conducente del mezzo mediante il codice matricola da questi utilizzato per l’identificazione. […] La finalità è anche quella di precostituirsi elementi a discolpa in caso di errata contestazione da parte dell’Ente che ha elevato la sanzione (ad esempio in caso di clonazione delle targhe o errata rilevazione da parte del dispositivo utilizzato)” (nota cit., punto 7);
d. in relazione, infine, all’utilizzo del sistema “in caso di incidente stradale”, la società ha chiarito che “l’installazione del sistema è finalizzata alla ricostruzione cinematica dei sinistri che coinvolgono i veicoli di proprietà […]. In tal caso i dati raccolti dal sistema (posizione, direzione di marcia, velocità relativi all’intervallo temporale tra i 30 secondi prima e i 30 secondi successivi l’evento) saranno conservati per un periodo di tempo coincidente con il termine di prescrizione previsto dall’art. 2947, comma 2, del codice civile. Per quanto riguarda il caso di furto […] si ricorrerebbe al sistema satellitare nelle ipotesi i cui un veicolo venga sottratto mentre il motore è acceso, ad es. se il conducente lascia il mezzo in moto e scende per una qualsiasi necessità. Ciò consente di trasmettere la posizione alle forze dell’ordine” (nota cit., punto 9).
2. Liceità del trattamento dei dati di localizzazione. Bilanciamento di interessi.
2.1. In base a quanto rappresentato dalla società nel corso del procedimento (anche attraverso successive integrazioni e chiarimenti), il sistema che si intende utilizzare consente di effettuare la localizzazione geografica degli autoveicoli aziendali per una pluralità di scopi, relativi all’ottimizzazione della gestione delle attività aziendali in occasione di richieste di intervento o emergenze (anche in vista dell’adeguamento ai livelli di garanzia e qualità delle prestazioni rese, individuati dalla Carta dei servizi); all’innalzamento delle condizioni di sicurezza sul lavoro dei dipendenti; alla più efficiente programmazione delle attività sul territorio e degli interventi di manutenzione dei veicoli; all’effettiva commisurazione del tempo di lavoro; alla gestione di eventuali sinistri; al rafforzamento della sicurezza della flotta aziendale in caso di furto; alla gestione delle contestazioni di violazione amministrativa di disposizioni del Codice della strada, anche a tutela dei diritti della società.
Per quanto il sistema sia configurato in modo da non contemplare la diretta identificabilità dei conducenti ˗ coerentemente con il principio di minimizzazione del trattamento dei dati ˗ l’identità dei singoli dipendenti è ricavabile dalla consultazione dei documenti relativi all’autenticazione a bordo del veicolo effettuata all’inizio del turno di lavoro (cfr. supra, punto 1.4. lett. a.), con conseguente applicazione della disciplina in materia di protezione dei dati personali.
Gli scopi perseguiti con l’installazione del sistema, così come rappresentati dalla società, considerata la loro riconducibilità a finalità organizzative e produttive nonché legate alla sicurezza del lavoro e alla tutela del patrimonio aziendale conformemente a quanto stabilito dall’articolo 4, comma 1, della legge 20 maggio 1970, n. 300 (come modificato dall’art. 23, d. lgs. 14.9.2015, n. 15) risultano in termini generali leciti anche alla luce della normativa di settore in materia di controlli a distanza dei dipendenti. Nel caso di specie, infatti, il sistema di localizzazione dei veicoli non è direttamente preordinato all’esecuzione della prestazione lavorativa, con conseguente applicazione del menzionato articolo 4, comma 1 (si veda sul punto, in senso conforme, la circolare n. 2 del 7 novembre 2016 dell’Ispettorato nazionale del lavoro, ai sensi della quale: “in linea di massima e in termini generali […] i sistemi di geolocalizzazione rappresentano un elemento «aggiunto» agli strumenti di lavoro, non utilizzati in via primaria ed essenziale per l’esecuzione dell’attività lavorativa”).
Risulta altresì, in proposito, che la società ha provveduto a stipulare due accordi con le organizzazioni sindacali (in data 10 luglio e 9 dicembre 2014, nel corso di procedimenti di fusione e costituzione di nuova società), ai sensi dell’articolo 4 della predetta legge n. 300/1970, richiamato dall’articolo 114 del Codice. Tali accordi, in particolare, riguardano l’adozione di sistemi di localizzazione per finalità di sicurezza dei lavoratori (c.d. uomo a terra) e dei veicoli aziendali in caso di furto (con conseguente riduzione dei premi assicurativi), anche in vista della informatizzazione dei registri d’uso dei veicoli e dell’ottimizzazione della gestione delle attività aziendali sul territorio. Resta inteso che, in relazione alle ulteriori finalità perseguite con il sistema ed alle relative modalità di trattamento, la società dovrà provvedere ad integrare l’accordo stipulato con la rappresentanza sindacale ovvero, in assenza di tale accordo, a richiedere l’autorizzazione da parte dell’ufficio del lavoro competente.
Ciò considerato, anche alla luce delle successive valutazioni (par. 3, 4 e 5), relative a finalità e proporzionalità dei trattamenti che si intendono effettuare nonché delle misure impartite a tutela degli interessati, si ritiene che i descritti trattamenti possano essere effettuati, nei confronti dei dipendenti, per effetto del presente provvedimento che, in applicazione della disciplina sul c.d. “bilanciamento di interessi” (ai sensi dell’articolo 24, comma 1, lett. g) del Codice), individua un legittimo interesse al trattamento di tale tipologia di dati (che non rientra nel novero dei dati sensibili) in relazione alle finalità rappresentate.
2.2. Parimenti, con riferimento ai dati trattati in caso di sinistri per finalità di tutela dei diritti, la società potrà comunicare i dati raccolti attraverso il sistema in esame all’istituto assicuratore per effetto del presente provvedimento che, in applicazione della predetta disciplina sul “bilanciamento di interessi”, individua un legittimo interesse dell’assicuratore della responsabilità civile connessa alla circolazione dei veicoli (nei cui confronti possono essere fatti valere i diritti ai sensi degli articoli 144 e 149, decreto legislativo 7 settembre 2005, n. 209, “Codice delle assicurazioni private”).
3. Principi di finalità e proporzionalità dei trattamenti.
In relazione a ciascuna delle finalità rappresentate la società è tenuta ad individuare i dati in concreto pertinenti e non eccedenti oggetto di trattamento da parte del sistema e, se previsti, i relativi tempi di conservazione (v. quanto già affermato dal Garante con provvedimento di carattere generale sui sistemi di localizzazione dei veicoli nell’ambito del rapporto di lavoro: provv. 4 ottobre 2011, n. 370, doc. web n. 1850581<, spec. n. 3). Al riguardo si osserva quanto segue.
3.1. In relazione all’ottimizzazione della gestione dell’attività di fornitura del servizio ed al coordinamento degli interventi anche a seguito di chiamate o emergenze, i dati, come dichiarato dalla società, dovranno essere trattati dal sistema non continuativamente bensì con una periodizzazione temporale strettamente aderente ai menzionati principi di pertinenza e non eccedenza in relazione alle finalità perseguite (ai sensi degli artt. 11, comma 1, lett. d) del Codice) (si veda in proposito quanto stabilito dall’Autorità, oltre che nel citato provvedimento generale n. 370/2011, nel provv. 7 luglio 2011, n. 284, doc. web n. 1828354<).
Si prende altresì atto che la società ha dichiarato di voler trattare dati identificativi solo nel momento in cui ciò si renda necessario per impartire disposizioni a fronte di richieste di intervento, segnalazioni ed emergenze (anche riferite ai dipendenti stessi) e, in particolare, “per il tempo strettamente necessario per evadere la richiesta di intervento o assistenza” (cfr. precedente punto 1.6., lett. a.).
Con riferimento, poi, ai rapporti predisposti periodicamente dal sistema (mensilmente o “con scadenza più ampia”) al fine di poter effettuare una più efficiente programmazione dei servizi resi e dell’attività di manutenzione dei singoli veicoli, si rileva che in base a quanto dichiarato questi non “consentono di risalire all’identità del conducente” ed “hanno valore puramente statistico” (cfr. precedente punto 1.5., lett. a.).
3.2. Con riguardo ai dati necessari a ricostruire la dinamica di eventuali sinistri occorsi ai veicoli (localizzazione geografica, velocità, direzione di marcia), il trattamento prospettato ˗ consistente nell’eventuale conservazione dei dati raccolti in un limitato ambito temporale (30 secondi precedenti e successivi all’evento), esclusivamente a seguito del verificarsi di un incidente ˗ risulta altresì conforme al principio di pertinenza e non eccedenza rispetto alle finalità perseguite (art. 11, comma 1, lett. d) del Codice).
Conformemente a quanto già ammesso dal Garante in precedenza, il trattamento potrà prevedere un breve termine di conservazione ritenuto necessario in vista dello svolgimento delle attività di ricezione e verifica della denuncia di sinistro da parte degli incaricati della società (cfr., da ultimo, provv. 25 febbraio 2016, n. 78, doc. web n. 4807812<, par. 3).
3.3. In relazione, infine, al prospettato trattamento per finalità di tutela dei diritti in caso di (eventuale) contestazione di violazione amministrativa con modalità non immediata (v. artt. 196, commi 3 e 4 e 201, comma 1-bis, lett. e), d. lgs. 30.4.1992, n. 285 “Nuovo codice della strada” e succ. mod. e artt. 384, 385 e 386, D.P.R. 16.12.1992, n. 495 “Regolamento di esecuzione e di attuazione del nuovo codice della strada” e succ. mod.), la configurazione del sistema in modo tale da consentire la conservazione dei dati raccolti in un arco temporale limitato (anche in questo caso individuato in 30 secondi precedenti e successivi il fatto oggetto del verbale di contestazione), per il periodo di tempo strettamente necessario all’eventuale ricezione della relativa notifica ossia 90 giorni (ai sensi del citato art. 201, d. lgs. 192/1992), in vista dell’esclusiva finalità di documentare eventuali errori dei dispostivi automatici di rilevamento delle infrazioni o comunque di contestare la riconducibilità dell’illecito alla società, è parimenti conforme al menzionato principio di pertinenza e non eccedenza rispetto alle finalità perseguite. Benché, infatti, l’individuazione del conducente risultante effettivamente alla guida del veicolo aziendale in un dato giorno e nell’orario di servizio sia ricavabile già dalla consultazione dei documenti relativi all’autenticazione effettuata con il badge a bordo del veicolo, l’utilizzo di alcuni dati raccolti con il sistema di localizzazione può contribuire all’eventuale contestazione del verbale nelle ipotesi rappresentate dalla società (considerato anche che il verbale di contestazione non immediata deve contenere “gli elementi di tempo, di luogo e di fatto” della violazione: cfr. art. 385, comma 1, D.P.R. 495/1992, cit.).
Ciò sempre che l’accesso ai dati avvenga esclusivamente a seguito della ricezione della menzionata notifica e che i dati vengano automaticamente cancellati (o anonimizzati, tenuto conto della definizione di dato anonimo contenuta nell’art. 4, comma 1, lett. n) del Codice) decorso il termine di 90 giorni. I dati oggetto di trattamento possono essere esclusivamente quelli pertinenti rispetto al perseguimento della relativa finalità.
4. Tempi di conservazione.
4.1. Posto che in base ai principi di necessità, pertinenza e non eccedenza i tempi di conservazione delle diverse tipologie di dati personali eventualmente trattati devono essere individuati tenendo conto di ciascuna delle finalità in concreto perseguite, con riguardo alla rappresentata necessità di conservare i dati trattati in caso di sinistri, conformemente al termine previsto dall’articolo 2947, comma 2, del codice civile (ventiquattro mesi), si ritiene che tale trattamento non si ponga in contrasto con i menzionati principi posti dal Codice (artt. 3 e 11 del Codice, analogamente a quanto già ritenuto in casi analoghi; v. provv. 25 febbraio 2016, n. 78, doc. web n. 4807812<). La società dovrà individuare un breve termine di conservazione ritenuto necessario per la ricezione e la valutazione della denuncia di sinistro da parte del personale addetto (cfr. precedente punto 3.2.).
4.2. In relazione ai trattamenti effettuati per finalità di tutela dei diritti in caso di contestazione di violazione amministrativa con modalità non immediata, l’Autorità ritiene che la prospettata conservazione dei dati raccolti dal sistema ˗ esclusivamente in vista della ricezione di notificazione di verbale di contestazione ˗ e l’eventuale accesso ai dati relativi ai 30 secondi precedenti e successivi il fatto oggetto di contestazione, possa avvenire nel termine di 90 giorni (v. precedente punto 3.3.), conformemente ai principi di necessità e proporzionalità (artt. 3 e 11 del Codice). La società dovrà predisporre meccanismi di cancellazione automatica delle informazioni memorizzate allo scadere del termine previsto.
4.3. Qualora la società, poi, intenda avvalersi del sistema di localizzazione ˗ in relazione alla rappresentata finalità di “gestione degli adempimenti correlati al rapporto di lavoro” e in particolare alla commisurazione del rapporto di lavoro ˗ anche per la regolare tenuta del libro unico del lavoro, potrà conservare per cinque anni i dati necessari, con esclusivo riferimento alle informazioni che nello stesso devono essere annotate in base alla disciplina di riferimento (artt. 3 e 11, comma 1. lett. d) ed e), del Codice) (cfr. Provv. generale 370/2011 cit., punto 3.2.).
4.4. Ad esclusione delle ipotesi precedentemente indicate, e limitatamente ai dati strettamente necessari al perseguimento delle relative finalità con le modalità stabilite, il sistema non potrà conservare i dati raccolti. E’ in particolare escluso il monitoraggio dei tracciati percorsi, ferma restando la possibilità di successivi utilizzi di dati previa anonimizzazione degli stessi e/o utilizzo in forma aggregata (cfr. precedente par. 3.1., anche con riferimento ai rapporti periodici elaborati dal sistema).
5. Misure ed accorgimenti posti a tutela dei diritti degli interessati.
Considerata la particolarità dei dati trattati attraverso un unico sistema tecnologico in relazione a finalità distinte, la società è tenuta ad adottare le misure di seguito indicate a tutela dei diritti degli interessati:
a. configurare il sistema in modo da rilevare la posizione geografica con una cadenza temporale strettamente proporzionata alle finalità perseguite e in modo da consentire la conservazione dei dati trattati esclusivamente nelle ipotesi e con le modalità precedentemente indicate (cfr. precedenti par. 3.1., 4.1, 4.2. e 4.3.);
b. configurare il sistema in modo da consentire l’accesso ai dati trattati al solo personale incaricato. Per quanto riguarda l’accesso ai dati di localizzazione devono essere assegnate credenziali di autenticazione differenziate per ogni incaricato, individuando profili autorizzativi personalizzati e limitando quanto più possibile l’assegnazione di profili con funzionalità di modifica ed estrazione dei dati;
c. adottare misure preordinate alla cancellazione automatica dei dati dopo la decorrenza, nei casi previsti, degli eventuali termini di conservazione;
d. adottare altresì misure di tipo organizzativo e tecnologico volte ad anonimizzare i dati raccolti qualora siano ulteriormente utilizzati per finalità statistiche e di programmazione.
6. Adempimenti previsti dalla legge.
Resta fermo che la società, prima dell’inizio dei descritti trattamenti – come del resto, per alcuni aspetti, già rilevato nell’istanza – è tenuta in base alla normativa vigente a:
a. effettuare la notificazione al Garante ai sensi dell’articolo 37, comma 1, lett. a), del Codice;
b. fornire ai dipendenti della società coinvolti dai descritti trattamenti, un’informativa comprensiva di tutti gli elementi contenuti nell’articolo 13 del Codice (tipologia di dati, finalità e modalità del trattamento, compresi i tempi di conservazione), anche in conformità al principio di correttezza in base al quale il titolare è tenuto a rendere chiaramente riconoscibili agli interessati i trattamenti che intende effettuare (art. 11, comma 1, lett. a), del Codice);
c. adottare le misure di sicurezza previste dagli articoli 31 ss. del Codice al fine di preservare l’integrità dei dati trattati e prevenire l’accesso agli stessi da parte di soggetti non autorizzati;
d. considerato che la società ha stipulato, ai sensi dell’art. 4, legge 20.5.1970, n. 300, accordi con le rappresentanze sindacali relativamente all’adozione di dispositivi completi di funzionalità di geolocalizzazione, integrare i predetti accordi oppure, in assenza di accordo, richiedere l’autorizzazione all’Ispettorato nazionale del lavoro con riferimento a tutte le finalità perseguite e in relazione alla relative modalità (cfr. par. 2.1.);
e.predisporre misure al fine di garantire agli interessati l’esercizio dei diritti previsti dagli articoli 7 e seguenti del Codice.
TUTTO CIÒ PREMESSO IL GARANTE
ai sensi dell’articolo 17 del Codice, a conclusione della verifica preliminare, ammette il trattamento di dati personali da parte di Livenza Tagliamento Acque S.p.A. mediante il sistema di localizzazione geografica dei veicoli aziendali, illustrato nei termini di cui in motivazione, e prescrive che la società, quali misure necessarie, debba:
a. configurare il sistema in modo da rilevare la posizione geografica con una cadenza temporale strettamente proporzionata alle finalità perseguite e in modo da consentire la conservazione dei dati trattati esclusivamente nelle ipotesi e con le modalità precedentemente indicate (cfr. parr. 3.1., 4.1, 4.2. e 4.3.);
b. configurare il sistema in modo da consentire l’accesso ai dati trattati al solo personale incaricato. Per quanto riguarda l’accesso ai dati di localizzazione devono essere assegnate credenziali di autenticazione differenziate per ogni incaricato, individuando profili autorizzativi personalizzati e limitando quanto più possibile l’assegnazione di profili con funzionalità di modifica ed estrazione dei dati;
c. adottare misure preordinate alla cancellazione automatica dei dati dopo la decorrenza, nei casi previsti, degli eventuali termini di conservazione (cfr. par. 4.2.);
d. adottare altresì misure di tipo organizzativo e tecnologico volte ad anonimizzare i dati raccolti qualora siano ulteriormente utilizzati per finalità statistiche e di programmazione (cfr. par. 4.4.).
Ai sensi degli articoli 152 del Codice e 10 del decreto legislativo n. 150 del 2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.
Roma, 16 marzo 2017
IL PRESIDENTE
Soro
IL RELATORE
Califano
IL SEGRETARIO GENERALE
Busia
Leave a Reply
Devi essere connesso per inviare un commento.