• 30 OTTOBRE 2019
  • |
  • Approfondimenti Tecnici

Dati personali del lavoratore e dispositivi indossabili

Con una pronuncia del 28 febbraio 2019 il Garante per la protezione dei dati personali ha portato a conclusione un procedimento aperto d’ufficio sull’onda dell’interesse mediatico suscitato dalla vicenda avente protagonista un’azienda appaltatrice di servizi di pulizia che, nell’aprile del 2018, aveva consegnato ad una settantina di dipendenti addetti alla nettezza delle strade dei dispositivi indossabili – dotati tra l’altro di sistema GPS – utili all’effettuazione della lettura delle etichette elettroniche collocate sui cestini getta rifiuti ed a segnalare l’eventuale spostamento di quelli non ancorati al suolo con l’obiettivo dichiarato di rendicontare all’appaltante azienda municipalizzata comunale il lavoro svolto.

Durante la prima fase di sperimentazione, secondo quanto dichiarato dall’impresa, il sistema avrebbe dovuto esclusivamente addestrare il personale all’uso del dispositivo, senza procedere ad alcuna attività di raccolta e successiva conservazione di dati.

In realtà l’Autorità Garante ha osservato in primo luogo quanto il sistema fosse idoneo a consentire il trattamento di dati personali riferibili ad interessati identificabili; sebbene i dispositivi indossabili (ed il relativo numero identificativo univoco) fossero collegati alle zone di spazzamento e non ai singoli dipendenti, attraverso i registri contenenti il turno di lavoro, la zona di spazzamento e l’identità del lavoratore, vi era la possibilità di individuare l’operatore che effettuava le rilevazioni e, quando previsto, la relativa localizzazione geografica mediante GPS, in particolare qualora il turno in una determinata zona di spazzamento venisse effettuato da un solo dipendente o da un numero esiguo di lavoratori.

Lo scopo principale perseguito dall’impresa nell’adozione del sistema, per quanto dichiarato in fase di istruttoria, era quello di adempiere a quanto prescritto nel capitolato d’appalto predisposto dal committente in relazione alla consuntivazione del servizio effettuato.

Resta fermo, ad ogni buon conto, che il contenuto delle clausole contrattuali non può disporre in contrasto con le norme ed i principi vigenti in materia di protezione dei dati personali (in particolare, liceità, correttezza, trasparenza, finalità, minimizzazione dei dati, in base all’art. 5 del Regolamento UE) e che, va ricordato, la società – nella sua qualità di Titolare del trattamento – deve effettuare una valutazione di impatto sulla protezione dei dati alla luce delle concrete caratteristiche del sistema tecnologico che si intende adottare, ai sensi di quanto previsto dall’art. 35 dello stesso Regolamento, con riguardo alle tipologie di trattamento che, allorché prevedano “l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, [possono] presentare un rischio elevato per i diritti e le libertà delle persone fisiche”.

Il Garante ha, inoltre, ribadito la necessità di

-    individuare tempi di conservazione dei registri contenenti i dati raccolti strettamente necessari rispetto alla finalità perseguita, anche avuto riguardo ad eventuali tempistiche relative alle contestazioni di inadempimento di obblighi contrattuali;

-    indicare preventivamente, tassativamente e dettagliatamente i casi specifici nei quali è necessario interconnettere le informazioni allo scopo di poter ricostruire fatti oggetto di contestazione, nonché la necessità di adottare misure organizzative e tecnologiche per mantenere distinte (segregate) le basi di dati qualora non sia più necessaria l’eventuale interconnessione in vista dell’eventuale ricostruzione di fatti oggetto di contestazione ma sia comunque necessaria per fini amministrativi l’ulteriore conservazione dei registri dei turni.

Alla luce di quanto raccolto al termine dell’attività istruttoria è stata riscontrata l’assenza dei presupposti per l’adozione di un provvedimento da parte del Garante, ai sensi dell’art. 143 del d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali) come novellato dal d.lg. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679”, fermo restando l’obbligo per l’appaltatrice di conformare i trattamenti di dati relativi ai dipendenti ai principi di protezione dei dati nei termini previsti.

Viene quindi bocciato dal Garante il “braccialetto elettronico” al polso degli operatori ecologici e viene invitata l’azienda ad utilizzare dispositivi alternativi che non ledano la dignità della persona e che, comunque, non siano percepiti come tali dai lavoratori (anche per forma, peso, colore, etc.).


Luca Bianchin, Consulente del lavoro