Dott.ssa Michela D'Ezio - giovedì 18 aprile 2019

Trattamento dei dati personali dei lavoratori e braccialetti elettronici: la bocciatura da parte del Garante (provvedimento del 28 febbraio 2019)

Con provvedimento del 28 febbraio 2019 il Garante per la privacy si è opposto all’impiego da parte di una società dei braccialetti elettronici al polso dei propri dipendenti, invitandola ad utilizzare dispositivi elettronici alternativi non lesivi della dignità della persona.

L’Autorità ha deciso di intervenire d’ufficio sull’onda dell’interesse mediatico suscitato dalla vicenda.

All’esito delle indagini condotte è emerso che la società aveva consegnato a più di 70 dipendenti addetti alla pulizia delle strade dei dispositivi indossabili, dotati anche di un GPS, con i quali effettuare la lettura delle etichette elettroniche collocate sui cestini getta rifiuti e segnalare l’eventuale spostamento di quelli non ancorati al suolo.

La società sosteneva che i dispositivi, ancora in fase sperimentale, avevano come unico intento (in quella fase) quello di addestrare il personale all’uso dell’apparecchio, senza procedere ad alcuna attività di raccolta e successiva conservazione di dati. Inoltre poiché gli stessi non erano nominativi ma semplicemente collegati alle zone di spazzamento, erano inidonei a funzionare quale strumento di controllo a distanza dei lavoratori.

Obiettivo finale dichiarato della società era solamente quello di rendicontare il lavoro svolto all’Azienda municipalizzata comunale.

Il Garante ha rilevato in primo luogo che il sistema fosse assolutamente idoneo a consentire il trattamento di dati personali riferibili ad interessati ben identificabili: infatti “sebbene i braccialetti siano collegati alle zone di spazzamento e non ai singoli dipendenti, attraverso i registri dei turni di lavoro è possibile individuare il dipendente che ha effettuato le rilevazioni dei tag e, quando previsto, la relativa geolocalizzazione mediante il GPS.” 

Il Garante ha, quindi, prescritto alla società di individuare tempi di conservazione dei registri, cartacei e digitali, strettamente necessari a gestire le eventuali contestazioni da parte della società municipalizzata e descrivere nel dettaglio i casi specifici nei quali sarà possibile incrociare le informazioni.

L’Autorità, pur prendendo atto della limitata funzionalità della localizzazione geografica e ritendendo tale configurazione non in contrasto con i principi di necessità e proporzionalità del GDPR rispetto alle finalità perseguite dalla società, ha tuttavia ritenuto necessario individuare una differente tipologia di dispositivo che, anche per le sue caratteristiche esteriori, non sia lesiva della dignità dei lavoratori.

Infine l’Autorità ha sottolineato anche la necessità di effettuare la DPIA (la valutazione di impatto sulla protezione dei dati), che così come previsto dal GDPR, deve essere eseguita quando la tipologia di trattamento preveda l’uso di nuove tecnologie che per natura, oggetto, contesto e finalità possano presentare un rischio elevato per i diritti e le libertà degli interessati.

In conclusione, nonostante l’Autorità abbia ritenuto di non dover emanare alcun provvedimento sanzionatorio, la società coinvolta è obbligata a conformare i trattamenti dei dati relativi ai dipendenti ai principi di protezione dei dati, nei termini da loro indicati.