Garante privacy: Flotte aziendali, sistemi GPS con privacy incorporata
Il Garante per la protezione dei dati personali, nella newsletter n. 443 del 31 luglio 2018, ha, tra le altre cose, analizzato i sistemi GPS all’interno delle autovetture facenti parte della flotta aziendale.
Queste le disposizioni fornite dal garante:
“La privacy va tutelata fin dalla fase di progettazione di un prodotto o di un servizio. L’Autorità, in applicazione del Regolamento Ue, ha ingiunto per la prima volta a un fornitore di servizi di geolocalizzazione, di incorporare il “diritto alla privacy” direttamente nelle funzionalità del prodotto, attenendosi al principio di minimizzazione dei dati e a quello di privacy by design e privacy by default. Il cliente potrà cosi usufruire di un sistema pienamente adattabile alle proprie esigenze organizzative e di sicurezza.
Il servizio “standard” dovrà essere rimodulato con particolare riguardo agli intervalli temporali di rilevazione della posizione geografica dei veicoli (allo stato fissati, rispettivamente, tra i 30 e i 120 secondi) ed ai tempi di conservazione dei dati (ora stabiliti in 365 giorni) nonché alla memorizzazione e messa a disposizione delle mappe di tutti i percorsi effettuati. La società dovrà, inoltre, informare chiaramente i propri clienti circa la possibilità di adattare le caratteristiche del servizio alle concrete finalità perseguite. La funzione che consente la disattivazione del GPS dovrà essere resa disponibile per tutti i tipi di abbonamento al servizio senza eccessivi costi aggiuntivi. L’intervento del Garante ha preso l’avvio dalla segnalazione di un dipendente di una società che utilizza il servizio di localizzazione sulla propria flotta aziendale e si è reso necessario a causa della diffusione sul mercato del servizio le cui caratteristiche non sono risultate conformi alla normativa in materia di protezione dei dati e a quella sui controlli a distanza dei lavoratori.
Dagli accertamenti, svolti dall’Autorità anche con la collaborazione ispettiva della Guardia di Finanza, è emerso, infatti, che il sistema, delle cui caratteristiche peraltro i dipendenti non erano stati informati, consentiva il monitoraggio continuo dell’attività del dipendente, in violazione dei principi di necessità e proporzionalità. Per di più, visto che le autovetture potevano essere utilizzate anche al di fuori dell’orario di lavoro e pure da congiunti dei dipendenti, tale sproporzionata attività di raccolta e conservazione dei dati tratti dalla geolocalizzazione del veicolo consentiva di fornire informazioni sul lavoratore non rilevanti rispetto allo svolgimento dell’attività lavorativa (in violazione di legge, in particolare dell’art. 8 dello Statuto dei lavoratori) nonché su terzi estranei.
Il Garante, quindi, ha vietato l’ulteriore trattamento dei dati alla società che ha installato il sistema ed ha altresì prescritto al fornitore di adeguare il sistema alla disciplina europea sulla protezione dei dati.”
Fonte: Garante per la protezione dei dati personali
Localizzazione di veicoli aziendali – 28 giugno 2018
Registro dei provvedimenti
n. 396 del 28 giugno 2018
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;
VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”);
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati);
VISTA la segnalazione presentata da XX concernente il trattamento di dati personali riferiti all’interessato effettuato da Tesserini s.r.l. attraverso un sistema di localizzazione geografica fornito da Visirun S.p.A.;
ESAMINATA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE la prof.ssa Licia Califano;
PREMESSO
1.1. La segnalazione nei confronti della società.
Un dipendente (all’epoca dei fatti segnalati) della Tesserini s.r.l. (di seguito, la società) ha lamentato con segnalazione che quest’ultima avrebbe effettuato il trattamento di dati personali a sé riferiti mediante l’installazione di un dispositivo GPS a bordo dell’autovettura aziendale, in assenza di una previa informativa o, comunque, della comunicazione di una policy aziendale relativa all’esistenza ed alle caratteristiche essenziali del sistema di geolocalizzazione. Tale sistema tecnologico avrebbe consentito al datore di lavoro la raccolta ed il successivo trattamento di dati relativi alla posizione geografica del dipendente anche al di fuori dell’orario di servizio, considerato che i veicoli aziendali sarebbero stati affidati con “autorizzazione all’utilizzo promiscuo”, senza obbligo di riconsegna del veicolo al termine della prestazione lavorativa.
1.2. La società, in risposta ad una prima richiesta di elementi formulata dall’Ufficio, ha dichiarato che:
a. nello svolgimento della propria attività, consistente nella “distribuzione e commercializzazione di impianti per saldatura e macchine per saldare” e della relativa assistenza ai clienti, ha installato su furgoni aziendali, “atteso l’elevato valore dei macchinari trasportati”, dispositivi di geolocalizzazione mediante sistema GPS (cfr. nota 27.7.2016, p. 1, lett. a);
b. i furgoni aziendali dotati di tali dispositivi, sui quali sono state apposte “vetrofanie conformi al provvedimento di carattere generale emesso dal Garante […] rientrano ogni sera presso la sede di Rignano sull’Arno […] pertanto nessun controllo tramite sistemi di localizzazione avviene al di fuori dell’orario di lavoro” (cfr. nota cit., p. 1, lett. a);
c. il sistema, oltre alla posizione geografica del veicolo, consente di trattare dati relativi ai “consumi di carburante, [ai] chilometri progressivi percorsi e la velocità media” (cfr. nota cit., p. 2, lett. b);
d. le finalità perseguite sono logistiche ed organizzative (possibilità di “effettuare un intervento di riparazione con il veicolo più vicino in zona […], assicurare inoltre una più efficiente gestione del parco veicoli”) nonché volte a “garantire la sicurezza e l’incolumità dei lavoratori ed infine [a] prevenire e contrastare eventi criminosi ai danni dei beni aziendali” (cfr. nota cit., p. 2, lett. b);
e. il “sistema di localizzazione, completo del servizio di televigilanza H24, consente di ottenere elevati sconti in sede assicurativa” (cfr. nota cit., p. 2, lett. b);
f. con riferimento all’osservanza della disciplina in materia di controlli a distanza, “attesa la modifica normativa dell’art. 4 L. 300/1970 […] in applicazione della disciplina sul c.d. «bilanciamento di interessi», è stato riconosciuto il trattamento di tali dati […], senza richiedere il consenso dell’interessato, rendendosi sufficiente una informativa completa allo stesso lavoratore” (cfr. nota cit., p. 2, lett. b);
g. i dati trattati “sono automaticamente registrati sul server del fornitore del servizio e cancellati decorsi 365 giorni mediante sovrascrittura dei dati più recenti” (cfr. nota cit., p. 2, lett. c);
h. la società può “consultare in tempo reale le suddette informazioni tramite un’interfaccia web ad accesso riservato mediante l’inserimento di username e password” (cfr. nota cit., p. 3, lett. c);
i. il trattamento è “effettuato sia presso la sede della Tesserini s.r.l. tramite il Responsabile dei Servizi Generali e Organizzazione, in persona del legale rappresentante pro-tempore, sia presso il fornitore del sistema di localizzazione designato come «responsabile esterno» per le attività connesse alla sicurezza informatica e adempimenti di notifica ai sensi dell’art. 37 comma 1 lett. a)” del Codice (cfr. nota cit., p. 3, lett. d);
j. ai dipendenti interessati “è stata rilasciata ampia informativa ex art. 13 del D. lgs. 196/2003” (cfr. nota cit., p. 3, lett. e).
1.3. Con successive note di riscontro ad ulteriori richieste di chiarimenti, la società ha altresì dichiarato che:
a.“l’accesso ai dati di localizzazione dei furgoni aziendali non è effettuato in maniera costante e continuativa […] bensì unicamente in occasione delle finalità logistiche e di organizzazione”; più precisamente “l’accesso ai dati di rilevazione GPS” è effettuato, in concreto, “una volta al mese circa” (cfr. nota ricevuta il 20.10.2016, p. 1 e 2);
b.“il sistema […] è configurato in modo tale da registrare i dati sul server fino ai 365 giorni antecedenti. Tale opzione […] non è in alcun modo modificabile dal fruitore finale del servizio” (cfr. nota cit., p. 2);
c. il soggetto designato responsabile esterno del trattamento è il fornitore del servizio di localizzazione, Visirun S.p.A., che “ha adempiuto agli obblighi di effettuare la notificazione al Garante”, fornendo in proposito alla società specifica attestazione (cfr. All. 1, nota 20.10.2016 cit., contenente copia di una email datata 14.10.2016 proveniente da Visirun con la quale dichiara “di aver assolto, tramite procedura formale […], agli obblighi di legge per la protezione dei dati personali in relazione al trattamento di dati che indicano la posizione geografica […], secondo l’art. 37 del D. lgs. 196/2003”);
d. “l’intervallo temporale con cui il sistema esegue la rilevazione della posizione geografica è pari a 120 secondi come da specifica del servizio di abbonamento Visirun Light” (cfr. nota ricevuta il 30.3.2017, p. 2);
e. quanto alle modalità di consultazione dei dati raccolti dal sistema, questo “riporta geograficamente la posizione Gps del furgone, nonché […] il percorso effettuato dal medesimo lungo la mappa, con l’indicazione dei chilometri percorsi e del relativo tempo impiegato con il calcolo […] della velocità media” (cfr. nota cit., p. 2);
f. la società ha affidato al responsabile esterno Visirun S.p.A. compiti relativi alle modalità del trattamento e alle misure di sicurezza (cfr. nota cit., p. 1-2);
g. il dispositivo è allo stato installato su “5 furgoni aziendali […]. Ad eccezione del furgone muletto e salvo diverse esigenze organizzative, gli altri quattro sono assegnati ciascuno ai medesimi dipendenti e di tale assegnazione non viene memorizzato alcun dato” (cfr. nota ricevuta il 24.10.2017, p. 1);
h. “i report del sistema non consentono di risalire all’identità del conducente, ma le informazioni ricavabili hanno un valore puramente statistico [e] hanno lo scopo di implementare la sicurezza dei lavoratori, verificare l’efficienza della programmazione […], nonché individuare i mezzi maggiormente utilizzati per gestire con efficienza la rotazione degli stessi, al rafforzamento della flotta aziendale in caso di furto, nonché ai vantaggi economici relativi alla scontistica in sede assicurativa” (cfr. nota cit., p. 1-2).
1.4. Visirun S.p.A., fornitore del servizio di localizzazione utilizzato dalla società, rispondendo a due richieste di elementi da parte dell’Ufficio ha precisato che:
a. il contratto stipulato con Tesserini s.r.l. avente ad oggetto la fornitura del servizio di localizzazione satellitare di autovetture è stato sottoscritto in data 16.2.2012 ed è, allo stato, ancora in essere (nota ricevuta il 19.6.2017, p. 1);
b. il sistema fornito consente al cliente di effettuare la “verifica, in tempo reale, della posizione dell’autovettura aziendale”; la “verifica del percorso effettuato dall’autovettura […] nell’arco della giornata”; nonché di esaminare la “reportistica di base della percorrenza chilometrica, tempi di guida, soste, etc.” (cfr. nota cit., p. 2);
c. con riferimento alla tipologia dei dati trattati in occasione della fornitura del servizio “Visirun […] non ha alcun interesse/intenzione a conoscere, in alcun momento, il nominativo della persona alla guida del veicolo aziendale” (cfr. nota cit., p. 2);
d. Tesserini s.r.l. ha designato Visirun S.p.A. quale responsabile esterno del trattamento, con un “documento […] generico […]”; inoltre Visirun “non ha mai ricevuto, da parte di Tesserini, ulteriori istruzioni e/o indicazioni relative al trattamento dei dati raccolti nell’erogazione del servizio, contrariamente a quanto dichiarato da Tesserini” (cfr. nota cit., p. 3);
e. “i dispositivi di localizzazione forniti […], quando rilevano il movimento dell’autovettura su cui sono installati, iniziano ad acquisire automaticamente le coordinate geografiche e la velocità GPS del veicolo medesimo; la rilevazione delle coordinate avviene con intervalli di 60 secondi; i dispositivi inviano, ad intervalli predefiniti di 120 secondi, la posizione dell’autoveicolo aziendale al Centro Servizi Visirun”; il cliente può accedere ai dati raccolti e conservati presso il Centro servizi attraverso il sito web www.visirun.com, utilizzando le proprie credenziali di accesso (cfr. nota cit., p. 3);
f. i dati raccolti, relativi a ciascuna autovettura del cliente, “così come avviene per tutte le versioni «standard» del servizio – vengono cancellati da tutti i sistemi di Visirun, automaticamente, decorsi 365 giorni (1 anno) dal loro primo trattamento” (cfr. nota cit., p. 4);
g. “su richiesta espressa dei propri clienti, Visirun offre la possibilità ai medesimi di personalizzare alcune modalità del trattamento dei dati, tra cui: l’intervallo temporale con cui il sistema effettua la rilevazione della posizione geografica e i tempi di conservazione dei dati” (cfr. nota cit., p. 4);
h. Tesserini s.r.l. “non ha mai richiesto alcune di queste modifiche”(cfr. nota cit., p. 4);
i. Visirun ha effettuato “già nel 2009 (quale Mobivision s.r.l.) – la notificazione al Garante […] ai sensi dell’articolo 37 del [Codice], successivamente aggiornata […] a fronte delle intervenute modifiche societarie” posto che “nei confronti dei propri clienti, può affiancare al Servizio descritto […], una serie di funzionalità ulteriori e differenti: è nell’erogazione di queste funzionalità ulteriori ([…] mai […] richieste da Tesserini) che Visirun, sempre in qualità di «responsabile del trattamento» […], potrebbe trattare dati personali dei propri clienti” (cfr. nota cit., p. 6);
j. attraverso la funzionalità “Comunicazione con l’operatore tramite l’invio di messaggi di testo”, indicata nel contratto di fornitura del servizio stipulato con Tesserini s.r.l., è possibile “inserire, in totale autonomia, [ulteriori] dati e informazioni, tra cui un «numero di telefono» […] direttamente dal cliente” (cfr. nota ricevuta il 18.10.2017, p. 2).
1.5. All’esito di accertamenti ispettivi disposti dall’Autorità a fronte di circostanze non del tutto chiarite in atti (e di rappresentazioni contrastanti di fatti da parte del segnalante e della società), effettuati dal Nucleo speciale Privacy della Guardia di Finanza in data 14 e 15 febbraio 2018, è emerso che:
a. “Visirun ha fornito alla Tesserini sette dispositivi di geolocalizzazione, ma allo stato attuale sono installati e funzionanti solo cinque […], montati esclusivamente sui furgoni aziendali” (cfr. verbale accertamenti ispettivi 14.2.2018, p. 3);
b.“non c’è un’associazione diretta e univoca dei furgoni ai dipendenti che li utilizzano; […] non c’è alcun tipo di registro relativo all’organizzazione del servizio giornaliero, in quanto l’utilizzo dei furgoni da parte dei dipendenti avviene a seconda delle caratteristiche del servizio da svolgere” (cfr. verbale accertamenti ispettivi 15.2.2018, p. 2);
c. tra la documentazione consegnata nel corso dell’ispezione risulta: la dichiarazione di Visirun S.p.A., datata 14.2.2018, con la quale si rappresenta che Tesserini s.r.l. usufruisce del servizio di localizzazione “dal 2.10.2009 con abbonamento Light copertura nazionale per un totale di 7 localizzatori” (cfr. verbale 14.2.2018, All. 2); copia di autorizzazioni all’utilizzo di automezzo aziendale rilasciate da Tesserini s.r.l. in relazione a ciascun autoveicolo aziendale (sia furgoni che autovetture) con le quali si “autorizza” un elenco di dipendenti identificati (tra i quali il segnalante) “a condurre l’automezzo per esigenze connesse alla operatività aziendale e saltuariamente ed occasionalmente per esigenze di carattere personale”, nonché “si riconosce [ai suddetti conducenti] facoltà degli stessi, limitatamente ed esclusivamente all’utilizzo non aziendale, di concederne l’uso a familiari conviventi, purché abilitati alla guida di autoveicoli nel territorio/nazione ove il medesimo viene utilizzato. Si precisa infine che l’utilizzo per scopi ed esigenze non aziendali del bene concesso in uso, viene regolato in osservanza delle norme fiscali vigenti” (a partire dal 27.8.2014 fino all’11.9.2017) (cfr. verbale 14 e 15.2.2018, All. 11 e 16);
d. “la Visirun ha fornito alla Tesserini sette dispositivi di geolocalizzazione, ma allo stato attuale sono installati e funzionanti solo cinque dispositivi […]. Le due prime installazioni risalgono all’anno 2009 […]”(cfr. verbale 14.2.2018, p. 3);
e. nel corso di verifiche dirette è stato accertato che su ciascun veicolo aziendale era stata apposta la vetrofania contenente l’informativa “minima” circa l’installazione del dispositivo di localizzazione (cfr. verbale 15.2.2018, p. 1).
1.6. Con nota pervenuta dopo l’effettuazione degli accertamenti in loco (in data 2.3.2018), la società ha infine dichiarato che:
a. con riferimento ai due dispositivi di geolocalizzazione tutt’ora oggetto di contratto di fornitura ma che non risulterebbero sui veicoli aziendali in uso, in un caso “con ogni probabilità” non si è provveduto “per mera dimenticanza” a smontare il dispositivo da un veicolo incidentato e destinato alla demolizione (cfr. nota cit., p. 1); in relazione al secondo dispositivo questo “non è stato rinvenuto e si presume che sia stato gettato come rifiuto”, in ogni caso “si esclude fermamente che il predetto dispositivo fosse presente sull’autovettura Mercedes” in uso al segnalante (cfr. nota cit., p. 2);
b. non sono state reperite le “informative del 2009” relative all’installazione di dispositivi di localizzazione geografica fornite agli interessati (cfr. nota cit., p. 2).
2. L’esito dell’istruttoria.
All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, emerge che Tesserini s.r.l., in qualità di titolare, effettua operazioni di trattamento di dati personali dei dipendenti mediante dispositivi di localizzazione geografica dei veicoli aziendali ˗ forniti a partire dal 2 ottobre 2009 (v. precedente punto 1.5., lett. c.) da Visirun S.p.A., designata responsabile del trattamento ˗ che risultano per alcuni profili non conformi alla disciplina in materia di protezione dei dati personali, nei termini di seguito descritti.
In proposito si ritiene preliminarmente che, contrariamente a quanto sostenuto dalla società, gli autisti alla guida dei veicoli aziendali sottoposti a localizzazione siano in concreto identificabili, considerato – quantomeno – il numero limitato dei veicoli stessi (allo stato, secondo quanto accertato, in numero di cinque, di cui uno con funzione di “muletto”), peraltro destinati ciascuno allo svolgimento di servizi determinati, nonché alla luce delle finalità dichiarate dalla società stessa, riconducibili proprio alla necessità di contattare gli autisti per effettuare con rapidità interventi in loco oppure per consentire l’efficiente gestione del parco veicoli e, infine, per garantire la sicurezza dei dipendenti stessi. Inoltre la società, in caso di contestazioni di violazioni amministrative effettuate con modalità non immediata, è tenuta a ricondurre ad un autista determinato la relativa responsabilità.
3. Liceità, necessità, pertinenza e non eccedenza dei trattamenti effettuati.
Gli scopi perseguiti dal titolare del trattamento con l’installazione del sistema soddisfano, secondo quanto rappresentato, la necessità di individuare rapidamente il veicolo più vicino in caso di richiesta di intervento nonché di gestire efficientemente il parco veicoli. Inoltre il sistema consentirebbe alla società di rafforzare la sicurezza dei dipendenti e dei beni aziendali, permettendo nel contempo di ottenere benefici in occasione della stipula di contratti di assicurazione dei veicoli aziendali (v. precedenti punti 1.2. lett. d. e e.).
In relazione a tali finalità è emerso che le concrete modalità di funzionamento del sistema tecnologico adottato consentono alla società, mediante il collegamento con la piattaforma web messa a disposizione dal fornitore del servizio, di visualizzare, attraverso la sezione “Mappa”, in tempo reale la posizione dei veicoli acquisita dal sistema ogni 120 secondi, il loro stato (fermo/in movimento), la velocità nonché dati ulteriori relativi all’utilizzo del veicolo nella giornata in corso (le ore di impegno e di guida, le ore di pausa, la velocità media, indicate sia in totale che distintamente per ciascuna tratta effettuata, anche di pochi minuti). Tali informazioni sono rese disponibili, congiuntamente alla mappa geografica dei percorsi effettuati giornalmente, per un anno (365 giorni) (cfr. nota della società 30.3.2017 All. 3 e 4 e nota Visirun S.p.A. 19.6.2017, All. 4 “Descrizione del servizio erogato a Tesserini s.r.l.”). L’ulteriore sezione “Report” consente all’utente del servizio di estrarre dati totali relativi all’utilizzo dei veicoli (“data”, “veicolo”, “ora inizio”, “ora fine”, “ore impegno”, “ore percorrenza”, “ore guida”, “ore pausa”, “ore riposo”, “ore motore acceso”, “Km”, “Km di guida”) ed anche “estrarre i dati, per ogni veicolo, relativi […] agli ultimi 365 giorni, esportabili anche in formato excel o pdf” (cfr. nota Visirun S.p.A. 19.6.2017, All. 4 “Descrizione del servizio erogato a Tesserini s.r.l.”, p. 2). E’ inoltre consultabile la sezione “Configurazioni”, implementata dal cliente del servizio nonché la funzione “opzionale denominata «Privacy» che permette al conducente del veicolo, attraverso un interruttore che può essere installato (su scelta esclusiva del cliente) nel dispositivo presente nel veicolo, di disabilitare la tracciabilità del veicolo medesimo e quindi la memorizzazione dei relativi dati” (cfr. nota Visirun S.p.A. cit., All. 4, p. 2-3”).
Tali modalità del trattamento e, segnatamente, la raccolta di informazioni particolareggiate sull’attività dei singoli veicoli monitorati dal sistema e, indirettamente, sull’attività degli autisti cui i veicoli sono affidati, quali la ricostruzione su mappa dei percorsi effettuati sia in tempo reale che giornalmente, con ulteriore distinta ricostruzione anche per ciascuna tratta dei percorsi effettuati e delle relative modalità, comprese le pause, con una periodicità della rilevazione estremamente ravvicinata (ogni 120 secondi), non sono proporzionate con gli scopi rappresentati dalla società (v. artt. 11, comma 1, lett. d) del Codice e 5, par. 1, lett. c) del Regolamento (UE) 2016/679) che potrebbero essere utilmente e legittimamente perseguiti con la raccolta di informazioni assai più limitate. Né risulta conforme al principio di proporzionalità la integrale conservazione dei dati raccolti per un esteso periodo di tempo (365 giorni) in relazione alle finalità perseguite (v. artt. 11, comma 1, lett. e) del Codice e 5, par. 1, lett. e) del Regolamento (UE) 2016/679; per l’applicazione dei principi di necessità e proporzionalità in relazione a trattamenti di localizzazione di veicoli aziendali si veda anche quanto stabilito dal Garante in provv. 16.3.2017 n. 138, doc. web n. 6275314; provv. 30.11.2017 n. 505, doc. web n. 7522639 e provv. 24.5. 2017, doc. web n. 6495708).
Sotto il profilo della proporzionalità del trattamento effettuato, inoltre, si osserva che la società non ha – quantomeno – adottato il pur disponibile dispositivo di disattivazione della rilevazione geografica durante le pause consentite dell’attività lavorativa (c.d. funzione Privacy utilizzabile, secondo quanto dichiarato da Visirun S.p.A., anche per il tipo di servizio fornito a Tesserini s.r.l.).
Il sistema utilizzato è dunque in concreto idoneo a realizzare il monitoraggio continuo dell’attività del dipendente, in violazione dei principi di necessità, pertinenza e non eccedenza (in relazione agli artt. 3 e 11, comma 1, lett. d) e e) del Codice e 5, par. 1, lett. c) e e) del Regolamento (UE) 2016/679), considerato anche che il sistema medesimo è stato ed è utilizzato nella versione “standard”, in assenza di alcuna istruzione impartita al fornitore del servizio circa le caratteristiche essenziali dei trattamenti da effettuare (parametrabili in base alle concrete necessità dei clienti sia per quanto riguarda la periodizzazione temporale della rilevazione geografica che dei tempi di conservazione o attraverso la selezione delle funzionalità astrattamente disponibili; cfr. All. nota 24.10.2017 contenente copia della designazione del responsabile del trattamento).
In definitiva il titolare non ha provveduto a configurare il sistema tecnologico mediante misure adeguate a garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento (cfr. in proposito, oltre agli articoli sopra citati, anche l’art. 25 del Regolamento (UE) 2016/679, in attuazione del principio di c.d. privacy by default; si veda anche il Provvedimento di carattere generale in materia di localizzazione dei veicoli nell’ambito del rapporto di lavoro, 4 ottobre 2011, n. 370, in www.garanteprivacy.it, doc. web n. 1850581, laddove il Garante ha stabilito che “nel rispetto del principio di necessità (artt. 3 e 11, comma 1, lett. d), del Codice), la posizione del veicolo di regola non dovrebbe essere monitorata continuativamente dal titolare del trattamento, ma solo quando ciò si renda necessario per il conseguimento delle finalità legittimamente perseguite”).
4. L’informativa all’interessato.
In relazione all’obbligo, posto in capo al titolare, di fornire prima dell’inizio dei trattamenti un’informativa ai dipendenti circa le caratteristiche essenziali degli stessi, come prescritto dall’articolo 13 del Codice (dal 25 maggio 2018 dall’articolo 13 del Regolamento (UE) 2016/679) e conformemente al principio di correttezza di cui all’art. 11, comma 1, lett. a) del Codice (dal 25 maggio 2018 anche dall’art. 5, par. 1, lett. a) del Regolamento (UE) 2016/679), mentre nel corso degli accertamenti ispettivi sono risultate apposte sui veicoli le vetrofanie a titolo di informativa “minima”, il titolare non ha fornito all’Autorità elementi idonei a documentare l’avvenuto adempimento dell’obbligo di fornire la dovuta informativa nei termini su esposti a far data dalla sottoscrizione del contratto con il fornitore del servizio di localizzazione (il 2.10.2009), limitandosi a fornire copia di un modello di informativa “in bianco”, privo di data e di sottoscrizione (cfr. All. 1, nota 20.10.2016).
Pertanto i trattamenti effettuati risultano, anche sotto tale profilo, illeciti.
5. La disciplina lavoristica.
La raccolta sistematica dei dati relativi alla posizione dei veicoli e la consultazione delle informazioni messe a disposizione attraverso l’accesso alla piattaforma web, sia in tempo reale sia attraverso elaborazioni e report conservati per un esteso periodo di tempo (365 giorni), consente alla società di effettuare il controllo dell’attività dei dipendenti.
Ciò risulta in contrasto con la disciplina di settore in materia di controlli a distanza (cfr. artt. 11, comma 1, lett. a) e 5, par. 1, lett. a) del Regolamento (UE) 2016/679 in relazione agli artt. 114 del Codice e 4, legge 20.5.1970, n. 300). Tale disciplina infatti, pure a seguito delle modifiche disposte con l’art. 23 del decreto legislativo 14 settembre 2015, n. 151, non consente l’effettuazione di attività idonee a realizzare il controllo massivo, prolungato e indiscriminato dell’attività del lavoratore (v. Provvedimento generale in materia di localizzazione dei veicoli aziendali cit., spec. par. 3; si vedano anche Article 29 Working Party, Opinion 2/2017 on data processing at work, WP 249, spec. n. 5.7. e Consiglio di Europa, Raccomandazione del 1 aprile 2015, CM/Rec(2015)5, spec. n. 16).
Con riferimento alla possibilità che la funzionalità di geolocalizzazione operi anche al di fuori dell’attività lavorativa o comunque del tempo di lavoro (ad es. durante le pause consentite dell’attività), si prende atto che in relazione al caso oggetto di segnalazione non è stato possibile accertare se la vettura in uso al segnalante fosse o meno sottoposta a geolocalizzazione attraverso il sistema. Ciò in quanto la società dichiara di non aver installato il dispositivo fornito di Gps su quel determinato autoveicolo (per quanto la società medesima non sia stata in grado di rintracciare due dispositivi tutt’ora oggetto di contratto di fornitura, v. precedente punto 1.6., lett. a.); mentre il segnalante ha dichiarato di aver appreso casualmente, dopo l’inizio del rapporto di lavoro, dell’operatività del dispositivo collegato al satellitare (si veda in proposito copia di una email, datata 1.2.2016, allegata alla segnalazione, nella quale uno dei titolari della società fa riferimento ad un “impianto satellitare” della cui esistenza il segnalante sarebbe stato informato “verbalmente”).
Risultano in ogni caso in atti i documenti rilasciati dalla società in tempi diversi (il più recente datato 11.9.2017) agli autisti dei veicoli aziendali (anche quelli pacificamente sottoposti a geolocalizzazione) a titolo di “Autorizzazione all’utilizzo di veicolo aziendale”, con i quali il rappresentante legale della società (che sottoscrive), con formula standard, autorizza l’utilizzo del mezzo – ancorché “saltuariamente ed occasionalmente” – “per esigenze di carattere personale”. Si riconosce altresì la facoltà, “limitatamente ed esclusivamente all’utilizzo non aziendale”, di “concederne l’uso a familiari conviventi, purché abilitati alla guida di autoveicoli” (cfr. precedente punto 1.5., lett. c.).
Pertanto la società (come frequentemente previsto in caso di utilizzo di veicoli aziendali) contempla l’utilizzo – seppur occasionale – di veicoli sottoposti al descritto sistema anche per esigenze di carattere personale. In tal modo l’operatività della funzionalità di geolocalizzazione (a maggior ragione se connotata dalle descritte caratteristiche di pervasività e frequenza ravvicinata della rilevazione), in assenza – perdipiù – della possibilità di disattivare il sistema, è idoneo a consentire il trattamento di dati “non rilevanti ai fini della valutazione dell’attitudine professionale” del dipendente, in violazione dell’articolo 8 della legge 20 maggio 1970, n. 300 (si veda sul punto Corte Cass., 19.9.2016, n. 18302 che con riferimento alla violazione del menzionato art. 8 ha ritenuto che “acquisire e conservare dati che contengono (o possono contenere) simili informazioni importa già l’integrazione della condotta vietata”), nonché incidentalmente anche di dati riferiti a terzi.
Anche sotto tale profilo il trattamento effettuato risulta illecito in relazione all’art. 113 del Codice, che richiama il menzionato art. 8, l. 300/1970.
6. Omessa notificazione al Garante.
In relazione ai descritti trattamenti di localizzazione geografica la società ha altresì omesso di effettuare la notificazione al Garante, come dovuto fino alla data del 25 maggio 2018 ai sensi dell’articolo 37, comma 1, lett. a) del Codice. Tale obbligo, in base alla disciplina applicabile all’epoca dei fatti oggetto di accertamento, è posto dall’ordinamento a carico del titolare (che, in quanto tale, esercita un potere decisionale del tutto autonomo su finalità e modalità del trattamento), prima dell’inizio dei trattamenti. Nel caso di specie e a tale scopo, dunque, a nulla vale l’avvenuta notificazione effettuata in nome proprio dal fornitore del servizio, in data 17.2.2009.
7. Conclusioni: illiceità del trattamento.
Per i suesposti motivi, considerato che il trattamento dei dati effettuato dalla società attraverso il descritto sistema di localizzazione dei veicoli aziendali oggetto di accertamento risulta illecito per violazione degli artt. 3, 11, comma 1, lett. a), d) ed e), 13, 37, 113 e 114 del Codice, si impone, ai sensi dell’art. 58, par. 2, lett. f), del Regolamento (UE) 2016/679, il divieto di ulteriore trattamento dei predetti dati.
Si rammenta che ai sensi dell’articolo 11, comma 2, del Codice i dati personali trattati in violazione della disciplina in materia di trattamento dei dati personali “non possono essere utilizzati“.
Qualora la società decida di utilizzare in futuro un sistema di localizzazione dei veicoli aziendali potrà farlo applicando i principi e le disposizioni del Codice e del Regolamento richiamate nel presente provvedimento, provvedendo altresì ad effettuare una valutazione di impatto sulla protezione dei dati (v. artt. 35 e 36 del Regolamento (UE) 2016/679).
8. Prescrizioni relative alla fornitura del servizio di localizzazione da parte di Visirun S.p.A..
Considerato che dall’attività istruttoria è emerso che la versione standard dei servizi forniti da Visirun S.p.A. comporta trattamenti di dati personali relativi alla posizione geografica accentuatamente dettagliati (anche per la periodizzazione temporale assai ravvicinata: 30, 60 o 120 secondi) e conservati per un lungo periodo di tempo, tenuto altresì conto che tali servizi sono largamente utilizzati per la gestione di flotte aziendali (dunque nell’ambito di rapporti di lavoro), si ritiene necessario impartire al fornitore del servizio di localizzazione alcune misure a tutela dei diritti e delle libertà degli interessati.
In particolare si ingiunge ai sensi dell’art. 58, par. 2, lett. d), del Regolamento (UE) 2016/679, a Visirun S.p.A. di informare i propri clienti, indipendentemente da una richiesta in tal senso, della possibilità di modificare il sistema rispetto alla impostazione standard, selezionando le funzionalità disponibili e modificando i parametri principali in relazione alle finalità perseguite dal cliente/titolare del trattamento. Ciò in base al principio di liceità e correttezza dei trattamenti (v. art. 11, comma 1, lett. a) del Codice e art. 5, par. 1, lett. a) del Regolamento (UE) 2016/679). Tra le informazioni da rendere con evidenza ai clienti dei servizi vi è anche la possibilità di attivare la funzione Privacy (disattivazione del dispositivo), che deve essere resa disponibile in relazione a tutte le modalità di abbonamento ai servizi senza eccessivi costi aggiuntivi.
In ogni caso si ritiene necessario che – in base al principio di minimizzazione dei dati e di quello di privacy by design e by default espressamente richiamati, rispettivamente, dall’art. 5, par. 1, lett. c) e dall’art. 25 del Regolamento (UE) 2016/679 – la versione standard dei servizi offerti attraverso il sistema di localizzazione sia configurato con modalità proporzionate rispetto al diritto alla riservatezza degli interessati (considerato che tra questi i dipendenti costituiscono un numero rilevante), in particolare con riferimento alla periodizzazione temporale della rilevazione della posizione geografica, ai tempi di conservazione dei dati ed alla messa a disposizione e memorizzazione delle mappe dei percorsi effettuati. Si prescrive pertanto a Visirun S.p.A. di modificare l’impostazione standard in base ai principi sopra indicati.
Tali prescrizioni dovranno essere adempiute entro e non oltre il 30 settembre 2018.
9. Aspetti sanzionatori.
L’Autorità si riserva di valutare, con autonomo procedimento, la sussistenza dei presupposti per la contestazione di violazioni amministrative nei confronti della società titolare del trattamento, in relazione all’omessa informativa agli interessati e all’omessa notificazione al Garante (v. artt. 13 e 37 del Codice; cfr. precedenti punti 4 e 6).
TUTTO CIÒ PREMESSO, IL GARANTE
1. ritenuto illecito, nei termini di cui in motivazione (punti 3,4,5 e 6), il trattamento effettuato da Tesserini s.r.l. attraverso il sistema di localizzazione di veicoli aziendali in violazione degli artt. 3, 11, comma 1, lett. a), d) ed e), 13, 37, 113 e 114 del Codice, ai sensi degli artt. 143, comma 1, lett. c) del Codice e 58, par. 2, lett. f), del Regolamento (UE) 2016/679, vieta l’ulteriore trattamento dei dati indicati in premessa;
2. ingiunge ai sensi dell’art. 58, par. 2, lett. d), del Regolamento (UE) 2016/679 a Visirun S.p.A., fornitrice del servizio di localizzazione dei veicoli, entro e non oltre il 30 settembre 2018, di:
– informare i propri clienti circa la possibilità di modificare il sistema rispetto alla impostazione standard conformemente alle finalità perseguite nonché circa la possibilità di attivare la funzione che consente la disattivazione del dispositivo, in relazione a tutte le modalità di abbonamento ai servizi senza eccessivi costi aggiuntivi;
– configurare – in base al principio di privacy by design e by default – la versione standard dei servizi offerti attraverso il sistema di localizzazione con modalità proporzionate rispetto al diritto alla riservatezza degli interessati, in particolare con riferimento alla periodizzazione temporale della rilevazione della posizione geografica, ai tempi di conservazione dei dati ed alla messa a disposizione delle mappe dei percorsi effettuati;
3. ai sensi dell’art.58, par. 1, del Regolamento (UE) 2016/679, invita i destinatari del provvedimento, altresì, entro 30 giorni dalla data di ricezione presente provvedimento, a comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto vietato e prescritto nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato. Si ricorda che il mancato riscontro alla richiesta ai sensi dell’art. 58 è punito con la sanzione amministrativa di cui all’art. 83, par. 5, lett. e), del Regolamento (UE) 2016/679.
Ai sensi degli artt. 152 del Codice e 78 del Regolamento (UE) 2016/67, nonché dell’10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.
Roma, 28 giugno 2018
IL PRESIDENTE
Soro
IL RELATORE
Califano
IL SEGRETARIO GENERALE
Busia