Il Garante ha accolto il ricorso di un gruppo di dipendenti, condannando l’azienda a mostrare tutti i dati in suo possesso
Controlli, GPS e trattamento dei dati: con il provvedimento numero 403/2023 il Garante della Privacy ha stabilito che, se richiesto dai lavoratori, il datore è obbligato a fornire tutti i dati in suo possesso riguardo gli spostamenti rilevati dai sistemi di geolocalizzazione.
La vicenda ha riguardato due lavoratori che si occupavano di lettura dei contatori del gas e della luce. Per poter eseguire le letture, la datrice di lavoro aveva messo a disposizione dei dipendenti uno smartphone dotato di localizzazione GPS, in modo da aiutarli a individuare il contatore e inviare in tempo reale i dati relativi ai consumi. Tempo dopo, i lavoratori hanno richiesto l’accesso a tutti i propri dati trasmessi dal dispositivo e conservati dalla società.
Quando si parla di dati personali, è opportuno precisare che la definizione di “trattamento di dati” è molto ampia, in quanto riguarda “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.
Secondo il Garante della privacy, il caso proposto dai lavoratori rientra senza dubbio nell’ambito del trattamento di dati personali: “Dalla geolocalizzazione dei dipendenti tramite smartphone in uso la Società ha trattato dati relativi ai reclamanti, in particolare la loro posizione geografica, quantomeno nel momento della lettura dei contatori”.
Uno degli aspetti più importanti della disciplina nazionale e comunitaria sulla tutela della privacy riguarda il diritto di accesso ai propri dati personali, anche nel contesto lavorativo.
In particolare, l’articolo 15 del Regolamento UE 2016/679 sul trattamento e la protezione dei dati personali prevede che “l’interessato [abbia] il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, di ottenere l’accesso” a una serie di dati e informazioni personali. In effetti, i lavoratori avevano avanzato alla datrice di lavoro proprio questa richiesta, sostenendo che fosse necessaria per l’esercizio del diritto di difesa, in modo da poter richiedere le differenze retributive dimostrate dagli spostamenti raccolti con il GPS.
Secondo la legge, l’azienda che conserva i dati è effettivamente obbligata a fornirli al dipendente che ne faccia richiesta. Il già citato articolo 15 del Regolamento prevede infatti che “il titolare del trattamento [fornisca] una copia dei dati personali oggetto di trattamento. (…). Se l’interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell’interessato, le informazioni sono fornite in un formato elettronico di uso comune”.
Sulla base di queste premesse, il Garante della Privacy ha ritenuto che l’azienda non avesse soddisfatto la richiesta dei lavoratori.
Nello specifico, la società, “nel riscontrare formalmente le richieste, non ha però comunicato gli specifici dati relativi ai reclamanti trattati, tra l’altro, attraverso la geolocalizzazione sul terminale loro fornito nell’ambito della prestazione lavorativa”, ma “si è limitata ad indicare le modalità e le finalità del trattamento dei dati relativi alla geolocalizzazione”.
Sotto questo aspetto, il Garante ha affermato che “il diritto riconosciuto all’interessato di accedere ai propri dati oggetto di trattamento nonché alle informazioni previste dall’art. 15 del Regolamento, in applicazione dei principi di trasparenza e correttezza […], non può ritenersi soddisfatto attraverso il mero rinvio a quanto contenuto nell’informativa sul trattamento dei dati di cui agli art. 13 e 14 del Regolamento, senza alcun riferimento al trattamento effettuato nel concreto”.
Ma quali dati, dunque, l’azienda avrebbe dovuto mettere a disposizione dei lavoratori?
In generale, tutti i dati in suo possesso e relativi al sistema di geolocalizzazione dei dipendenti: essendo “trattati” dalla società e consentendo di associare un nominativo a un codice, il lavoratore interessato ha senza dubbio il diritto ad accedervi, così come l’azienda ha l’obbligo di garantirne l’esibizione.
Il Garante della Privacy ha ritenuto che “la Società avrebbe dovuto fornire un completo riscontro alle istanze di esercizio del diritto di accesso anche comunicando i dati relativi alla geolocalizzazione dei reclamanti, nonché le informazioni espressamente richieste”. Per questo motivo, l’azienda è stata condannata all’esibizione dei dati e a una sanzione pecuniaria di 20.000 euro.
Leggi anche:
Si può installare il GPS nell’auto aziendale?