Con il patrocinio di

Telematica e privacy: cosa si può fare (e cosa no) per monitorare la flotta aziendale

Telematica e privacy: cosa si può fare (e cosa no) per monitorare la flotta aziendale
I Fleet Manager (ma anche le società di noleggio) rischiano di sottovalutare i problemi legati al GDPR. Abbiamo chiesto cosa è lecito fare e cosa no direttamente al Garante per la protezione dei dati personali.

IN QUESTO ARTICOLO

La telematica ha reso possibili oggi una serie di servizi molto utili per le flotte aziendali: dalla manutenzione predittiva, alla prevenzione dei furti, alla localizzazione dei veicoli rubati, al perseguimento di finalità di tipo assicurativo, fino al monitoraggio dello stile di guida per la riduzione dei consumi e degli incidenti stradali e alla geolocalizzazione dei mezzi.

Il monitoraggio del veicolo, in ambito aziendale, però, può facilmente sconfinare anche in un controllo a distanza del lavoratore. Le normative europee in materia di protezione dei dati personali (GDPR) e lo Statuto dei Lavoratori pongono però limiti severi per tutelare i dipendenti.

Quali sono questi limiti e come inserire la telematica senza rischiare multe salate da parte del Garante della Privacy?

Ne abbiamo parlato con Francesco Modafferi, dirigente del Dipartimento attività economiche e lavoro del Garante per la protezione dei dati personali.

LE LIMITAZIONI ALL’USO DEI DATI

Quando si pianifica una rilevazione di dati personali tramite dispositivi installati sui veicoli aziendali, è necessario effettuare una serie di valutazioni preliminari per definire correttamente basi giuridiche finalità, proporzionalità, misure di sicurezza e assetto di governance del trattamento.

Occorre inoltre assicurare il pieno rispetto delle garanzie previste dall’art. 4 della legge n. 300/1970 (Statuto dei lavoratori), al quale fa rinvio l’art. 114 del Codice privacy.

Ciò in quanto i dispositivi elettronici installati sulle autovetture rientrano tra le apparecchiature dalle quali può derivare anche il controllo a distanza dell’attività dei lavoratori e possono di conseguenza essere installate, di norma, solo previo accordo sindacale o autorizzazione dell’Ispettorato del lavoro, sempre che il loro utilizzo sia ricollegabile a una delle seguenti finalità:

  • esigenze organizzative e produttive
  • sicurezza del lavoro
  • tutela del patrimonio aziendale

Ogni trattamento di dati personali deve poi essere comunque effettuato nel pieno rispetto dei principi stabiliti dall’articolo 5 del Regolamento (UE) 2016/679.

LE DOMANDE CHE DEVONO AVERE RISPOSTA CORRETTA

In sintesi, occorre rispondere correttamente a una serie di domande:

  • Il trattamento si fonda su una base giuridica adeguata (compreso le norme lavoristiche), è svolto in modo coerente con quanto comunicato all’interessato e garantisce modalità chiare e accessibili di informazione?
  • Limitazione della finalità: i dati sono raccolti per scopi determinati, espliciti e legittimi, ed eventuali trattamenti successivi risultano compatibili con le finalità originarie della raccolta?
  • Minimizzazione dei dati: i dati trattati sono adeguati, pertinenti e limitati a quanto strettamente necessario rispetto alle finalità perseguite?
  • Esattezza e aggiornamento: sono state previste misure ragionevoli per garantire la tempestiva rettifica o cancellazione dei dati inesatti rispetto alle finalità del trattamento?
  • Limitazione della conservazione: la conservazione dei dati è limitata a un periodo non superiore a quello necessario per il conseguimento delle finalità per cui sono stati raccolti?
  • Integrità e riservatezza: sono state adottate misure tecniche e organizzative adeguate per proteggere i dati da trattamenti non autorizzati o illeciti, nonché da perdita, distruzione o danno accidentale?
Francesco Modafferi, dirigente del Dipartimento attività economiche e lavoro del Garante per la protezione dei dati personali

“In sostanza, per evitare errori, occorre saper maneggiare bene gli strumenti di base della protezione dei dati personali che offre strumenti collaudati per gestire la complessità nell’applicazione della tecnologia al trattamento dei dati” sostiene Modafferi all’inizio del nostro colloquio.

VALUTAZIONE DEL LEGITTIMO INTERESSE (LIA)

Posto che, nell’ambito del rapporto di lavoro, i dati dei dipendenti possono essere trattati quando risultano necessari all’esecuzione del contratto o all’adempimento di specifici obblighi di legge, nei casi in cui vengono utilizzati strumenti tecnologici che consentono seppur indirettamente attività di controllo la base giuridica è l’osservanza delle norme di settore in materia di controlli a distanza.

In via generale, quando il titolare individui come base giuridica il legittimo interesse, è comunque essenziale procedere a una corretta Valutazione del Legittimo Interesse (LIA – Legitimate Interest Assessment)”.

Si tratta del test di bilanciamento documentato richiesto dal GDPR (art. 6, par. 1, lett. f), volto a verificare che gli interessi o i diritti e le libertà fondamentali dell’interessato non prevalgano sugli interessi perseguiti dal titolare.

Non vale il consenso

«Nell’ambito del rapporto di lavoro, il consenso non costituisce di regola una base giuridica idonea per il trattamento dei dati personali, poiché non può considerarsi realmente libero in ragione della posizione di subordinazione del lavoratore nel contesto aziendale; sono circoscritti i casi in cui il consenso possa essere una idonea condizione di liceità», ricorda Modafferi.

Ne consegue che non è necessario (né opportuno) richiedere un’autorizzazione al dipendente: ciò che rileva è il rispetto delle garanzie previste dallo Statuto dei lavoratori e la corretta definizione del trattamento, che rappresentano i presupposti essenziali per procedere in modo conforme alla normativa.

VALUTAZIONE DI IMPATTO SULLA PROTEZIONE DEI DATI (DPIA)

Un altro elemento essenziale è la DPIA (Data Protection Impact Assessment o Valutazione di Impatto sulla Protezione dei Dati) prevista dall’art. 35 del GDPR per valutare la conformità di un trattamento e adottare tutte le contromisure più opportune in relazione ai rischi per i diritti e le libertà delle persone fisiche coinvolte.

A differenza della LIA, che ha la funzione di legittimare un trattamento fondato sul legittimo interesse del titolare, la DPIA è finalizzata a individuare e mitigare i rischi elevati derivanti dall’impiego di nuove tecnologie o da trattamenti effettuati su larga scala.

Pertanto, se la finalità perseguita è il monitoraggio dello stile di guida preordinato a garantire la sicurezza del lavoro, occorre dimostrare che il trattamento rispetta i principi di proporzionalità, necessità e minimizzazione dei dati, assicurando che le informazioni raccolte siano strettamente funzionali allo scopo e non eccedenti rispetto alle esigenze operative.

«La DPIA è richiesta quando il trattamento dei dati presenta rischi elevati per i diritti e le libertà delle persone. Con il provvedimento n. 467 del 2018, il Garante ha chiarito che rientrano tra i trattamenti che richiedono sempre una valutazione d’impatto quelli effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici – inclusi i sistemi di videosorveglianza e di geolocalizzazione – che comportano la possibilità di controllare a distanza l’attività dei dipendenti», spiega Modafferi.

Il ruolo del DPO

È opportuno ricordare che la responsabilità legale e operativa in materia di protezione dei dati personali ricade direttamente sul Titolare del trattamento, ossia sull’impresa nel suo complesso.

Qualora il Titolare abbia designato un Responsabile della protezione dei dati (DPO – Data Protection Officer), è comunque fondamentale acquisirne il parere, prima di procedere alla definizione della DPIA, così da verificare che tutti gli aspetti rilevanti siano stati adeguatamente considerati.

Molte aziende scelgono inoltre di affiancare al personale interno anche un consulente esterno in materia di protezione dati o uno studio legale/società di consulenza specializzata.

A differenza del DPO – che svolge anche un vero e proprio ruolo di vigilanza indipendente e la cui designazione deve essere notificata al Garante – il consulente esterno fornisce solo un supporto operativo nella predisposizione della documentazione e nell’impostazione dei processi.

TITOLARE DEL TRATTAMENTO

Di regola, il titolare del trattamento dei dati del lavoratore è la società datrice di lavoro; questa precisazione è importante in quanto, nei gruppi societari, la capogruppo potrà di norma operare in qualità di responsabile del trattamento.

La Capogruppo non può avere sempre accesso a tutti i dati

Il Garante ha precisato che nell’ambito dei gruppi di imprese individuati in conformità alla legge (art. 2359 cod. civ.; d.lgs 2 aprile 2002, n. 74), posto che le società del gruppo hanno di regola una distinta ed autonoma titolarità del trattamento in relazione ai dati personali dei propri dipendenti e collaboratori, “le società controllate e collegate possono delegare la società capogruppo a svolgere adempimenti in materia di lavoro, previdenza ed assistenza sociale per i lavoratori indicati dalla legge […]: tale attività implica la designazione della società capogruppo quale responsabile del trattamento” (v. Linee guida del Garante in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati, provv. 23 novembre 2006, n. 53; par. 32).

In assenza di un atto giuridico di regolazione dei flussi di dati personali tra la società italiana e la capogruppo (anche alla luce dei richiamati indici presenti nella legislazione italiana e di quanto già chiarito dal Garante) non è pertanto consentito ricorrere al legittimo interesse come base giuridica per la comunicazione di dati dei dipendenti tra la società e la capogruppo.

REGISTRO DEI TRATTAMENTI

L’articolo 30 del Regolamento include, tra gli adempimenti fondamentali in capo al titolare, la tenuta del Registro delle attività di trattamento. Si tratta di un documento che raccoglie le principali informazioni relative alle operazioni di trattamento svolte e che deve essere messo a disposizione dell’Autorità di controllo in caso di richiesta.

Il Registro rappresenta inoltre uno strumento operativo di grande utilità per il datore di lavoro: consente di mantenere una visione aggiornata dei trattamenti effettuati, di individuare eventuali criticità e di programmare le necessarie attività di valutazione e analisi del rischio, in piena applicazione del principio di accountability, che richiede al titolare di dimostrare la conformità dei trattamenti alla normativa.

Quando bisogna chiedere l’autorizzazione all’ispettorato territoriale del lavoro o l’accordo sindacale?

L’installazione di dispositivi che consentono al datore di lavoro di conoscere la posizione del dipendente o il suo stile di guida, durante la giornata lavorativa, è subordinata al previo accordo collettivo stipulato con la rappresentanza sindacale unitaria o con le rappresentanze sindacali aziendali, come previsto dall’articolo 4 dello Statuto dei lavoratori.

In generale, tutti i dati riconducibili a una persona fisica dai quali possa derivare anche un controllo indiretto dell’attività lavorativa – ad esempio la posizione in un determinato momento o le modalità di guida – possono essere trattati lecitamente solo all’interno di tale cornice di liceità, che costituisce il presupposto imprescindibile per ogni ulteriore valutazione di conformità.

Ad esempio, come ricorda Modafferi, «i dati relativi allo stile di guida costituiscono a pieno titolo dati personali, in quanto riconducibili a una persona fisica».

A tal proposito, il Garante ha recentemente adottato un provvedimento sanzionatorio, nei confronti di una multinazionale che aveva installato sulle auto aziendali concesse ai dipendenti in fringe benefit un dispositivo telematico satellitare capace di rilevare i comportamenti di guida, violando diverse disposizioni in materia di protezione dei dati e senza rispettare le garanzie previste dallo Statuto dei lavoratori.

Leggi Anche: Il Garante dice no al controllo dello stile di guida dei lavoratori

Qualora le finalità alla base del progetto che si intende avviare possano essere raggiunte con dati anonimi, l’attività potrà prescindere dalle garanzie previste dallo Statuto (ad es. progetti di manutenzione predittiva dei veicoli).

A tale scopo occorre però verificare sempre che i dati raccolti non siano riferibili – neppure indirettamente – a una persona fisica identificata o identificabile.

Ad esempio, se il veicolo è assegnato ad inizio del turno senza associare direttamente il nome dell’autista, occorre verificare che quest’ultimo non possa essere comunque identificato, attraverso la consultazione del registro del programma di lavoro/registro delle assegnazioni giornaliero.

Solo in presenza di dati privi di qualsiasi collegamento con il lavoratore viene meno il rischio di controllo, anche indiretto, dell’attività svolta, e dunque non si applicano le garanzie previste dall’articolo 4 dello Statuto dei lavoratori.

Attenzione alla vita personale (non si possono MAI raccogliere dati fuori dall’ambito di lavoro)

In particolare, non è mai consentito raccogliere dati sullo stile di guida quando il lavoratore utilizza l’auto per scopi privati. Una simile attività di monitoraggio si porrebbe infatti in diretto contrasto con l’articolo 8 dello Statuto dei lavoratori, che tutela la sfera privata del dipendente e vieta qualsiasi forma di profilazione non collegata alle esigenze strettamente lavorative.

Come racconta Modafferi, «nel provvedimento sopra citato il Garante ha accertato che la società, attraverso il dispositivo installato sui veicoli aziendali utilizzati dai dipendenti in fringe benefit, raccoglieva i dati relativi a tutti i viaggi effettuati, così che il punteggio sullo stile di guida veniva calcolato sulla base del numero complessivo degli eventi rilevati dal dispositivo, inclusi quelli riferiti ai tragitti svolti nel tempo libero».

Leggi Anche: Controllare il cellulare dei dipendenti è legale?

Privacy by design

Quando i dati vengono raccolti da soggetti terzi – ad esempio una società di noleggio o di leasing – per il perseguimento di proprie finalità, tali soggetti assumono la qualifica di titolari autonomi del trattamento. Di conseguenza, spetta direttamente a loro garantire la conformità dei trattamenti alla disciplina in materia di protezione dei dati personali, adempiendo a tutti gli obblighi previsti dal GDPR in relazione alle attività svolte.

Leggi Anche: Come i noleggiatori usano i nostri dati

La trasparenza del trattamento è un requisito essenziale

La disciplina di protezione dati prevede che l’interessato sia sempre informato rispetto alla raccolta e all’uso dei sui dati personali (principio di trasparenza).

Tale adempimento assume un particolare significato nell’ambito del rapporto di lavoro, laddove l’articolo 4 dello Statuto dei lavoratori prevede, al comma 3, che i dati raccolti tramite strumenti aziendali – inclusi quindi anche quelli installati sui veicoli – possono essere utilizzati a tutti i fini connessi al rapporto di lavoro, solo se vengono rispettate due condizioni di legittimità, entrambe tassative:

  • Il rispetto della normativa sulla protezione dei dati personali, quindi dei principi e degli obblighi previsti dal GDPR.
  • Un’adeguata informazione preventiva al lavoratore, che deve ricevere una comunicazione chiara, completa e facilmente accessibile in cui siano spiegati l’uso degli strumenti aziendali e le modalità con cui possono essere effettuati eventuali controlli.

La qualità dell’informativa è decisiva. «Il suo scopo dovrebbe essere quello di informare realmente le persone e renderle consapevoli dell’impatto del trattamento dei loro dati personali» osserva Modafferi.

Nella pratica, le informative sono invece spesso costruite secondo logiche esclusivamente formali o legali e raramente consentono agli interessati di cogliere con chiarezza gli elementi essenziali. La lunghezza del documento non è quasi mai proporzionale alla sua comprensibilità.

È possibile, invece, adottare scelte redazionali che favoriscano una comprensione immediata, riducendo al minimo la verbosità e mettendo in evidenza ciò che davvero interessa all’utente.

Una buona informativa dovrebbe permettere di rispondere, senza ambiguità, a domande tipo:

  • Chi è il titolare del trattamento?
  • Quali dati vengono trattati?
  • Come vengono trattati?
  • A chi vengono comunicati i dati?
  • È prevista una profilazione o forme di analisi automatizzata?

Secondo l’esperto, un’informativa efficace è quella che consente all’interessato di trovare subito le risposte, senza dover decifrare un testo eccessivamente tecnico o prolisso.

«Se un’auto in pool è dotata di un dispositivo di geolocalizzazione, possiamo applicare una vetrofania che lo segnali chiaramente, includendo anche un QR code che rimanda a un testo con maggiori spiegazioni» suggerisce Modafferi.

Allo stesso tempo, è opportuno verificare che la soluzione tecnologica utilizzata sia in grado di segnalare in tempo reale all’utilizzatore del veicolo quando la geolocalizzazione è attiva, così da consentirgli di controllare in ogni momento che il trattamento non ecceda i limiti previsti e non si estenda a situazioni non consentite.

Quando interviene l’Authority

Il Garante può intervenire sia su reclamo del dipendente, sia d’ufficio, quando viene a conoscenza di possibili violazioni della normativa privacy — anche, ad esempio, a seguito di un’inchiesta giornalistica o di segnalazioni pubbliche.

Quando, all’esito del procedimento, l’Autorità applica una sanzione amministrativa, l’entità della stessa viene determinata sulla base di diversi fattori, tra cui:

  • la gravità della violazione;
  • la durata della violazione;
  • il numero di persone coinvolte;
  • la tipologia di dati trattati e la loro sensibilità;
  • il grado di negligenza o dolo del titolare;
  • le misure adottate per attenuare gli effetti della violazione;
  • eventuali precedenti del titolare o comportamenti collaborativi durante l’istruttoria.

La valutazione è quindi complessiva e tiene conto sia dell’impatto concreto sui diritti degli interessati, sia della capacità del titolare di dimostrare la propria accountability.

Poiché le sanzioni devono avere un effetto dissuasivo, il Regolamento (UE) prevede che esse siano proporzionate al volume di affari dell’impresa destinataria.

Ciò significa che, a parità di gravità della violazione, una PMI sarà soggetta a una sanzione più contenuta rispetto a una grande società o a una multinazionale, proprio perché l’importo deve essere adeguato alla capacità economica del titolare e idoneo a produrre un impatto deterrente.

La disciplina sulla protezione dei dati personali prevede, oltre all’eventuale applicazione delle sanzioni amministrative da parte dell’Autorità, anche la possibilità per l’interessato – cioè la persona i cui dati sono stati trattati illecitamente, come ad esempio un dipendente che ritenga violata la propria privacy – di rivolgersi al giudice civile qualora ritenga di aver subito un danno, materiale o immateriale, derivante dal trattamento che lo riguarda.

In questo caso, l’interessato può chiedere il risarcimento, ai sensi dell’articolo 82 del GDPR, che riconosce un vero e proprio diritto al ristoro per le conseguenze pregiudizievoli subite.

***

CONTINUA A LEGGERE SU FLEETMAGAZINE.COM

Per rimanere sempre aggiornato seguici sul canale Telegram ufficiale e Google News.
Iscriviti alla nostra Newsletter e aggiungici alle tue fonti preferite di Google per non perderti le ultime novità di Fleet Magazine.

Abbiamo parlato di:
Le nostre inchieste Telematica
Iscriviti alla newsletter
Resta sempre aggiornato

Con la newsletter di Fleet Magazine ricevi anteprime, news e approfondimenti dal mondo della Mobilità

Condividi
Leggi anche

CASE AUTOMOBILISTICHE