Normative

L’utilizzo dei personal tracker (Gps) in azienda, tra normativa privacy e Statuto dei Lavoratori

Effettuando un bilanciamento tra gli interessi del datore di lavoro e dei lavoratori e ponendo in essere tutti gli adempimenti, è possibile introdurre l’utilizzo dei personal tracker

09 Set 2020

Federica Domenici

Compliance Consultant e Data Protection Officer

La sicurezza sui luoghi di lavoro è un tema di sempre grande attualità, basti pensare che solo nel 2019 l’INAIL ha ricevuto 32.409 denunce per infortuni in cantieri edili, dei quali un gran numero è formato dagli infortuni “gravi”, ovvero che hanno causato un periodo di malattia superiore a 40 giorni oppure conseguenze più gravi fino ad arrivare alla morte del lavoratore. In questa ottica di prevenzione che, soprattutto nei cantieri, le aziende hanno iniziato a introdurre i cd. personal tracker.

Le responsabilità a carico del datore di lavoro

La responsabilità dell’organizzazione, ai sensi del D.lgs. 81/08 (Testo unico sulla sicurezza dei luoghi di lavoro) ricade sul datore di lavoro in quanto titolare del rapporto di lavoro e avente i poteri decisionali e di spesa. Secondo le previsioni dell’art 2087 del Codice Civile  “L’imprenditore è tenuto ad adottare nell’esercizio dell’impresa, le misure che, secondo la particolarità del lavoro, l’esperienza e la tecnica, sono necessarie a tutelare l’integrità fisica e la personalità morale dei prestatori di lavoro.

Non va dimenticata, poi, la responsabilità para-penale a carico dell’ente prevista dal D.lgs. 231/0, che prevede sanzioni interdittive e pecuniarie in caso di commissione di reati presupposto a favore o vantaggio dell’ente, tra i quali reati rientrano anche quelli di cui agli articoli 589 e 590 c.3 c.p.p., commessi in violazione delle norme in materia di salute e sicurezza sul lavoro, ovvero morte e lesioni gravi del lavoratore.

In presenza di un numero sempre maggiore di incidenti nei luoghi di lavoro, in particolare nei cantieri e delle corrispondenti responsabilità in capo ai datori di lavoro, questi sono costantemente alla ricerca di nuove soluzioni, anche di natura tecnologica, che li aiutino nella prevenzione.

Cosa sono i personal tracker

I personal tracker non sono altro che dispositivi portatili forniti ai dipendenti, di solito di piccole dimensioni, che consentono di geolocalizzare, ricevere un alert in caso di uomo a terra, comunicare attraverso un microfono ed effettuare l’ascolto ambientale. Questi servizi sono, nella maggior parte dei casi, forniti da società di vigilanza.

È evidente che, attraverso questi strumenti, vengono effettuati trattamenti di dati dei lavoratori anche di carattere invasivo, come il caso della geolocalizzazione, ai quali conseguono tutta una serie di adempimenti privacy che i datori di lavoro devono porre in essere per assicurare la conformità alla normativa e allo Statuto dei Lavoratori.

Occorre premettere che, in considerazione della tipologia di trattamento posto in essere, il datore di lavoro/rappresentate del titolare del trattamento dovrà, prima ancora di interrogarsi sui requisiti di cui al’art. 4 dello Statuto dei lavoratori, valutare il rispetto dei principi di cui all’art 5 del GDPR, in particolare, necessità, finalità, trasparenza e proporzionalità del trattamento.

La necessità va determinata riflettendo sulla possibilità di utilizzare anche strumenti alternativi e meno invasivi, la finalità attiene all’utilizzo dei dati derivanti unicamente per le finalità di sicurezza sul lavoro e quelle di cui all’art. 4 par. 3 dello Statuto dei lavoratori, ovvero la possibilità di utilizzarli per finalità disciplinari, la trasparenza attiene al fornire ai dipendenti tutte le informazioni sul trattamento e, infine, la proporzionalità richiede un bilanciamento tra la finalità perseguita, lo strumento utilizzato e i diritti e le libertà dei dipendenti.

Il rispetto dei principi generali

È bene soffermarsi sulla questione dei principi, in quanto predisporre tutta la documentazione privacy nella maniera più perfetta possibile non può sopperire al non rispetto anche di un solo principio generale. Si sottolinea, a tal proposito, l’importanza della temporizzazione della geolocalizzazione, la quale non dovrebbe mai essere continua. A tal proposito è intervenuto il Garante nel provvedimento di carattere generale in materia di localizzazione dei veicoli nell’ambito del rapporto di lavoro, 4 ottobre 2011, n. 370, doc. web n. 1850581, il quale pur se riferito alla geolocalizzazione dei veicoli può essere applicato anche ai personal tracker ed agli smartphone. In tale provvedimento generale il Garante prescrive ai datori di lavoro pubblici e privati che si avvalgono di sistemi di localizzazione e di comunicazione della posizione rilevata “quale misura necessaria, nel rispetto del principio di necessità, che la posizione del veicolo non sia di regola monitorata continuativamente dal titolare del trattamento, ma solo quando ciò si renda necessario per il conseguimento delle finalità legittimamente perseguite”.

Anche il “Gruppo di lavoro articolo 29”, nel Parere 13/2011 dedicato alla protezione dei dati relativo ai servizi di geolocalizzazione su dispositivi mobili intelligenti ha confermato che “il datore di lavoro deve […] evitare il monitoraggio costante [… e che i] dispositivi di tracciamento dei veicoli non sono dispositivi di tracciamento del personale, bensì la loro funzione consiste nel rintracciare o monitorare l´ubicazione dei veicoli sui quali sono installati.”

A tal proposito si è espresso anche l’Ispettorato Nazionale del Lavoro nella nota del 4 novembre 2019 con la quale veniva autorizzato l’utilizzo di strumenti Gps da parte di una società. Quello che rileva dalla lettura della nota e che qui interessa in rapporto con i personal tracker, è, come ribadito più volte anche dal Garante Privacy, è la necessità che il dispositivo non tracci in maniera continua il dipendente, ovvero che sia dato la possibilità a questo di disattivare il Gps durante le sue pause lavorative.

È quindi evidente che questo sia un requisito imprescindibile – trattandosi di rispetto dei principi generali di cui all’art. 5 del GDPR – e che, a parere di chi scrive, non può essere sanato dal raggiungimento dell’accordo in sede sindacale. Appurato il rispetto dei principi fondamentali, il datore di lavoro potrà procedere con gli adempimenti autorizzativi.

Personal tracker come gli impianti di videosorveglianza

L’utilizzo dei personal tracker e quindi del Gps rientra, come la videosorveglianza, tra le casistiche di installazione di impianti – non necessari a rendere la prestazione lavorativa – da cui può anche potenzialmente derivare la possibilità di un controllo a distanza del lavoratore, ed è, quindi, lecito l’utilizzo se ha la sua ratio in esigenze organizzative e produttive, di sicurezza del lavoro o di tutela del patrimonio aziendale.

A tal proposito si sono espressi l’Ispettorato Nazionale del Lavoro (in breve I.N.L.) e il Garante per la Protezione dei dati, rispettivamente nella circolare 2/2016 e nei provvedimenti, tra gli altri, del 16 marzo 2017 e del 18 aprile 2018.

WHITEPAPER
Sicurezza OT: tutto quello che c’è da sapere
Sicurezza
Disaster recovery

L’Ispettorato nazionale del lavoro nella circolare 2/2016 ha ritenuto che “In linea di massima, e in termini generali, si può ritenere che i sistemi di sistemi di geolocalizzazione rappresentino un elemento “aggiunto” agli strumenti di lavoro, non utilizzati in via primaria ed essenziale per l’esecuzione dell’attività lavorativa ma, per rispondere a esigenze ulteriori di carattere assicurativo, organizzativo, produttivo o per garantire la sicurezza del lavoro.”

In tali casi si applica, quindi, quanto previsto dall’art. 4 comma 1 dello Statuto dei Lavoratori in base al quale i Gps possono essere installati solo previo accordo stipulato con la rappresentanza sindacale ovvero, in assenza di tale accordo, previa autorizzazione da parte dell’Ispettorato del Lavoro.

Una volta raggiunto l’accordo o ricevuta l’autorizzazione da parte dell’Ispettorato del Lavoro, il datore di lavoro, prima di fornire i personal tracker ai dipendenti, è tenuto a porre in essere tutti gli adempimenti privacy di cui al Regolamento UE 2016/679, vediamoli nel dettaglio.

Gli adempimenti per la privacy

Il primo adempimento privacy è sicuramente la Valutazione di Impatto Privacy (o D.P.I.A.). Difatti, i trattamenti posti in essere attraverso i personal tracker presentano gli elementi che richiedono la DPIA, come chiarito dal Garante nell’allegato 1 al provv. n°467 dell’11 ottobre 2018 in quanto rientranti nell’ambito dei “Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti.”

È bene, in questa fase, documentare attentamente all’interno della D.P.I.A. una serie di informazioni, quali: descrizione dei trattamenti previsti e delle finalità del trattamento; valutazione della necessità e proporzionalità dei trattamenti; valutazione dei rischi per i diritti e le libertà degli interessati; le misure previste per affrontare i rischi e dimostrare la conformità al Regolamento”.

Nel caso specifico che stiamo analizzando sarà bene documentare in particolare le motivazioni relative alla sicurezza sui luoghi di lavoro che hanno portato alla scelta di utilizzare i personal tracker (ad esempio un DVR che presenta rischio alto) piuttosto che l’utilizzo di strumenti meno invasivi per la privacy degli interessati.

La Valutazione di Impatto inoltre, non deve rimanere chiusa in un cassetto, ma deve essere sottoposta a un monitoraggio e un riesame continui.

Altro aspetto di fondamentale importanza è la gestione del rapporto tra il datore di lavoro/titolare del trattamento e la società di vigilanza che fornisce il servizio relativo ai personal tracker. Queste ultime forniscono da remoto il servizio di “sala di controllo”, ricevendo gli alert in caso di uomo a terra, allontanamento dal perimetro del cantiere e comunicandolo al datore di lavoro.

Sarà, quindi, necessario disciplinare i trattamenti attraverso un accordo/nomina quale responsabile esterno del trattamento, avendo particolare cura nell’indicazione delle misure di sicurezza e organizzative che dovranno essere attuate.

All’interno della propria organizzazione, poi, il datore di lavoro è tenuto a fornire l’informativa ai sensi dell’art. 13 del GDPR ai propri dipendenti, formare e dare istruzioni (anche in forma scritta mediante lettera di nomina) i dipendenti/autorizzati e coinvolti nello specifico trattamento relativo ai tracker, ad esempio perché individuati come punto di contatto tra il datore di lavoro e gli istituti di vigilanza/responsabili esterni.

Da ultimo, sarà necessario inserire il trattamento nel registro delle attività di trattamento, il quale si ricorda, deve sempre fornire una fotografia reale dei trattamenti posti in essere dal titolare del trattamento. Nel registro andranno inserite tutte le informazioni, come richieste dall’art. 30 del GDPR, ovvero:

a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare

del trattamento, del rappresentante del titolare del trattamento e del responsabile

della protezione dei dati;

b) le finalità del trattamento;

c) una descrizione delle categorie di interessati e delle categorie di dati personali;

d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi

i destinatari di paesi terzi od organizzazioni internazionali;

e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione

internazionale, compresa l’identificazione del paese terzo o dell’organizzazione

internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione

delle garanzie adeguate;

f ) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;

g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative

di cui all’articolo 32, paragrafo 1.

Conclusioni

In conclusione, se pur i personal tracker diano vita a trattamenti di dati particolarmente articolati e relativi a soggetti ritenuti, dai Garanti privacy europei nel WP 248, vulnerabili, la loro utilità in campo di sicurezza sul lavoro è innegabile, soprattutto per cantieri in luoghi remoti o per attività svolte di notte. È quindi possibile, effettuando un bilanciamento tra gli interessi del datore di lavoro e dei lavoratori e ponendo in essere tutti gli adempimenti di cui alla normativa privacy e allo Statuto dei Lavoratori, introdurre l’utilizzo dei personal tracker. In questa fattispecie la normativa privacy non rappresenta un ostacolo all’utilizzo di questi strumenti, bensì consente di regolamentarne il loro utilizzo garantendo da una parte il rispetto dei diritti e libertà dei lavoratori e dall’altra la sicurezza sui luoghi di lavoro di competenza del datore di lavoro.

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

@RIPRODUZIONE RISERVATA
D
Federica Domenici
Compliance Consultant e Data Protection Officer
Argomenti trattati

Approfondimenti

D
data privacy
G
GDPR
R
risk management

Articolo 1 di 5