Il Garante ha accolto il ricorso di un gruppo di dipendenti, condannando l’azienda a mostrare tutti i dati in suo possesso
Quando si parla di geolocalizzazione dei dipendenti, spesso dietro esigenze di sicurezza si nasconde anche un intento di controllo a distanza dell’attività lavorativa.
Si tratta di tutti quei sistemi che permettono all’azienda di monitorare i lavoratori da remoto, come telecamere, impianti audiovisivi e dispositivi GPS.
Per fare esempi concreti:
Su questo tema, la norma principale è l’articolo 4 dello Statuto dei LavoratoriSi tratta della legge 300/1970, che ha introdotto importanti norme a tutela della libertà e dignità dei lavoratori, della libertà sindacale, dell’attività sindacale nei luoghi di lavoro e norme sul collocamento More, il quale stabilisce che gli strumenti da cui può derivare anche solo la possibilità di controllo a distanza dell’attività dei lavoratori possono essere utilizzati solo per esigenze organizzative, di sicurezza o di tutela del patrimonio aziendale.
Per poterli utilizzare, è necessario un accordo con le rappresentanze sindacali aziendali (RSU(La Rappresentanza Sindacale Unitaria (RSU) è un organo di rappresentanza sindacale all’interno dei luoghi di lavoro, pubblici e privati. La RSU viene eletta da tutti i lavoratori presenti in azienda, siano o meno iscritti ad una sigla sindacale) More o RSA). Se l’accordo non viene raggiunto, l’azienda deve richiedere un’autorizzazione preventiva all’Ispettorato del Lavoro.
Questa regola non si applica agli strumenti che usi direttamente per svolgere il tuo lavoro (come un terminale di cassa o un computer) o a quelli che registrano gli accessi e le presenze.
Strumenti come l’auto aziendale o lo smartphone con GPS, anche se ti vengono affidati per lavorare, non sono considerati strumenti indispensabili per svolgere la prestazione.
Quindi, se tramite lo smartphone si arriva alla geolocalizzazione dei dipendenti, è necessaria l’autorizzazione con un accordo sindacale o dall’Ispettorato del Lavoro.
L’uso del GPS sui mezzi aziendali è consentito solo per esigenze organizzative, produttive, di sicurezza o tutela del patrimonio, come previsto dall’articolo 4 dello Statuto dei Lavoratori.
Tuttavia, anche in questo caso è necessario un accordo sindacale (RSU o RSA) o, in alternativa, l’autorizzazione dell’Ispettorato del Lavoro. Il tracciamento non deve mai trasformarsi in un controllo indiscriminato e deve rispettare la privacy del lavoratore.
L’installazione di sistemi di geolocalizzazione dei dipendenti è ammessa solo se risponde a esigenze organizzative e produttive, di sicurezza del lavoro o di tutela del patrimonio aziendale. In assenza di questi presupposti, non è possibile ottenere l’autorizzazione, né da parte delle rappresentanze sindacali né dall’Ispettorato del lavoro.
Dopo aver ottenuto l’autorizzazione, l’azienda è tenuta a fornire un’informativa sulla privacy, cioè un documento che informa i dipendenti sull’utilizzo del GPS, sui tempi di conservazione dei dati e sui diritti riconosciuti ai lavoratori in merito al trattamento dei propri dati personali.
Per utilizzare in modo lecito un sistema di geolocalizzazione, l’azienda non può limitarsi ad avere l’autorizzazione e fornire l’informativa. È necessario che il trattamento dei dati rispetti i principi di liceità, proporzionalità e pertinenza, come stabilito dalla normativa sulla privacy.
Le decisioni del Garante per la Privacy in materia di localizzazione GPS sui veicoli aziendali hanno chiarito alcuni punti fondamentali:
Quando si parla di dati personali, è importante sapere che la nozione di trattamento è estremamente ampia. Comprende qualsiasi operazione sui dati, anche non automatizzata: dalla raccolta alla registrazione, dalla conservazione alla modifica, fino alla cancellazione. Qualunque uso dei dati, compresa la consultazione o la comunicazione, rientra nel trattamento.
Il Garante della Privacy ha chiarito che i dati raccolti attraverso i dispositivi di geolocalizzazione dei dipendenti sono da considerare a tutti gli effetti dati personali. Ad esempio, è stato osservato che la geolocalizzazione tramite smartphone aziendali comporta il trattamento di dati sulla posizione geografica dei lavoratori, anche solo nel momento in cui avviene l’attività lavorativa, come la lettura di contatori.
Spesso capita che l’auto aziendale o lo smartphone vengano concessi al dipendente per un uso promiscuo, cioè anche fuori dall’orario di lavoro e persino da familiari. In queste situazioni, l’uso del GPS richiede particolari cautele, perché il rischio è quello di monitorare gli spostamenti del dipendente nel tempo libero o addirittura di soggetti estranei all’azienda.
Un sistema di geolocalizzazione che rileva la posizione anche fuori dall’orario lavorativo, o che può tracciare persone diverse dal dipendente, non è lecito. Si tratta infatti di un comportamento che viola le norme sulla privacy e supera i limiti del controllo consentito.
La vicenda ha riguardato due lavoratori che si occupavano di lettura dei contatori del gas e della luce. Per poter eseguire le letture, la datrice di lavoro aveva messo a disposizione dei dipendenti uno smartphone dotato di localizzazione GPS, in modo da aiutarli a individuare il contatore e inviare in tempo reale i dati relativi ai consumi.
Tempo dopo, i lavoratori hanno richiesto l’accesso a tutti i propri dati trasmessi dal dispositivo e conservati dalla società. Il Garante della Privacy con il provvedimento numero 403/2023 ha stabilito che, se richiesto dai lavoratori, il datore è obbligato a fornire tutti i dati in suo possesso riguardo gli spostamenti rilevati dai sistemi di geolocalizzazione.
Uno degli aspetti più rilevanti della normativa europea e nazionale sulla privacy riguarda il diritto di accesso ai propri dati personali, compresi quelli raccolti in ambito lavorativo.
L’articolo 15 del Regolamento UE 2016/679 (GDPR) stabilisce che ogni interessato ha il diritto di sapere se un soggetto sta trattando i suoi dati personali e, in caso positivo, può accedere a una serie di informazioni, tra cui una copia dei dati oggetto del trattamento.
Nel caso specifico, alcuni lavoratori avevano chiesto alla datrice di lavoro di poter accedere ai dati GPS registrati sui loro spostamenti, sostenendo che tali informazioni fossero fondamentali per esercitare il diritto di difesa, in vista di un’azione volta al riconoscimento delle differenze retributive.
Secondo quanto stabilito dal GDPR, l’azienda è obbligata a fornire tali dati su richiesta del lavoratore. E se la richiesta viene inviata per via elettronica, le informazioni devono essere consegnate in formato digitale, facilmente consultabile e leggibile.
Sulla base di queste premesse, il Garante per la Protezione dei Dati Personali ha ritenuto che l’azienda non avesse adempiuto correttamente alla richiesta di accesso presentata dai lavoratori.
In particolare, è stato rilevato che la società, pur rispondendo formalmente alla richiesta, non aveva comunicato i dati effettivamente trattati attraverso la geolocalizzazione dei dispositivi assegnati ai dipendenti per lo svolgimento della prestazione lavorativa. Si era limitata, invece, a fornire indicazioni generiche sulle modalità e finalità del trattamento.
Secondo il Garante, questo approccio non è sufficiente a soddisfare il diritto di accesso riconosciuto all’interessato dall’articolo 15 del Regolamento UE 2016/679, che richiede non solo informazioni generali, ma anche dettagli concreti sui dati personali effettivamente trattati. Il semplice rinvio all’informativa prevista dagli articoli 13 e 14 del Regolamento non è idoneo, se non viene accompagnato dalla documentazione concreta relativa al trattamento effettuato sul singolo lavoratore.
Ma quali dati avrebbe dovuto mettere a disposizione l’azienda? In generale, tutti i dati raccolti tramite il sistema di geolocalizzazione e riconducibili ai singoli lavoratori. Poiché tali dati permettono di associare un nominativo a uno specifico codice o percorso, il diritto di accesso deve essere garantito, e l’azienda ha l’obbligo di fornirli su richiesta.
Secondo il Garante per la Privacy, la società avrebbe dovuto rispondere in modo completo alle richieste, includendo i dati registrati tramite geolocalizzazione e ogni altra informazione richiesta espressamente dai dipendenti. L’omissione ha portato all’obbligo di esibizione dei dati e alla sanzione amministrativa di 20.000 € inflitta all’azienda.
Leggi anche:
Controllo dei dipendenti da parte del datore di lavoro: regole e limiti