Garante per la protezione
    dei dati personali


Vedi anche:
newsletter del 3 novembre 2014

 

Trattamento di dati personali connesso ad una funzionalità dilocalizzazione di dispositivi smartphone

PROVVEDIMENTO DEL 11 SETTEMBRE 2014

Registro dei provvedimenti
 n. 401 dellì11 settembre 2014

 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro,presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssaGiovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e deldott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali(d.lg. 30 giugno 2003, n. 196, di seguito "Codice") ;

ESAMINATA la richiesta di verifica preliminare presentata daEricsson Telecomunicazioni s.p.a. ai sensi dellìart. 17 del Codice;

VISTI gli atti di ufficio;

VISTE le osservazioni formulate dal segretario generale ai sensidellìart. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Licia Califano;

PREMESSO

1. Trattamento didati personali dei dipendenti effettuato attraverso la localizzazione didispositivi smartphone.

1.1. Ericsson Telecomunicazioni s.p.a. (di seguito: la società)ha presentato il 1 aprile 2014 una richiesta di verifica preliminare ai sensidellìart. 17 del Codice, in relazione al trattamento di dati personali connessoallìattivazione di una nuova funzionalità di localizzazione di dispositivismartphone che verrebbero forniti in dotazione dalla società ai propridipendenti nellìambito di un sistema di Work Force Management (WFM) giàesistente.

Tali dispositivi, dotati di GPS (Global Positioning System)capace di effettuare la localizzazione geografica "con unìaccuratezza di31 m circa", sarebbero in grado di comunicare al sistema WFM la propriaposizione con una periodicità temporale prestabilita pari a 15 minuti. Il datorelativo alla geolocalizzazione così raccolto non sarebbe acquisito in modopermanente dal sistema bensì automaticamente cancellato in modo tale che"sarà disponibile solo lìultimo dato di localizzazione pervenuto, ovverola nuova posizione rilevata annulla e sostituisce la precedente" (cfr.comunicazione dellì1.4.2014, par. 1, "Chiarimenti sul funzionamento delsistema di geo-localizzazione"). Secondo quanto dichiarato dalla società,pertanto, tramite lìattivazione di tale funzionalità "non viene mantenutoe non si ha a disposizione il tracciamento del percorso. Il sistema mantienesolo i dati master (ad esempio siti, attrezzature, ecc) mentre i datitransazionali (ad esempio dettaglio dei WO) vengono eliminati dal sistema dopo16 giorni dalla chiusura. Dopo questo periodo di tempo i dati vengonodistrutti" (cfr. comunicazione cit., par. 4, "Storicizzazione delleinformazioni").

I dati personali complessivamente trattati dal sistemasarebbero: "cognome, nome, Service Area, Skill tecnico (es. radio,transmission, power, ecc), Home Base (ovvero dove il tecnico prende servizio),Attività svolta, dato dellìultima localizzazione rilevato tramite funzionalitàGPS dellìapplicazione" (cfr. comunicazione cit., par. 4, "TrattamentoDati e Principio di base").

Gli scopi che la società intende perseguire (cfr. comunicazionecit., par. 2, "Specifica delle esigenze che impongono lìintroduzione delsistema di geo-localizzazione") attraverso lìattivazione della menzionatafunzionalità di localizzazione sono:

a.     disporrelìintervento di propri tecnici in modo tale da consentire il rispetto deitermini contrattuali stipulati con i clienti, che risultano "particolarmentestringenti in quanto lìattività di manutenzione condotta [dalla società] devesupportare la continuità del servizio pubblico offerto dal cliente, inclusa lapronta gestione dei ripristini in caso di emergenze non ultime quelle generateda disastri naturali/ambientali";

b.    intervenire(più) rapidamente con personale specializzato in caso di calamità naturali;

c.     migliorareil coordinamento operativo dei "circa 330 tecnici dislocati sulterritorio", in modo tale da poter "indirizzare prontamente i tecniciin servizio con le idonee competenze più prossimi al sito oggettodellìintervento richiesto";

d.    incrementare lasicurezza dei tecnici stessi in caso di incidenti o situazioni di difficoltà.

Ciò posto, "nessun utilizzo dei dati potrà avvenire perfinalità diverse da quelle dichiarate, come ad esempio per scopidisciplinari".

Precisato pertanto che la funzione di geolocalizzazione "sarà finalizzata alla sola gestione operativa delle attività dimanutenzione", secondo quanto dichiarato, non sono conseguentementepreviste forme di interazione "con altri sistemi aziendali quali, a merotitolo esemplificativo, quelli deputati al time reporting" (cfr.comunicazione cit., par. 5, "Interazione tra il sistema digeo-localizzazione ed ulteriori sistemi/strumenti elettronici aziendali").

La società ha inoltre dichiarato che fornirà ai tecnicispecifiche istruzioni operative in ordine alla attivazione e disattivazionedella "applicazione GPS [ä] per rendere possibile lìutilizzo alternativodello ´smart phoneª durante lìorario di lavoro (con tracking GPS) e fuoriorario di lavoro (senza GPS tracking)"; sarà inoltre data indicazione di"mantenere tale funzionalità attiva durante lìorario di lavoro fatti salvigli usuali casi di interruzione previsti dal [ä] rapporto di lavoro, quali adesempio il proprio turno mensa" (cfr. comunicazione cit., par. 4,"Attivazione e Disattivazione dellìapplicazione"). La società hainoltre dichiarato che provvederà a fornire agli interessati unìapposita informativarelativa alle caratteristiche del trattamento, anche attraverso lapredisposizione di uno specifico "protocollo" (cfr. comunicazionecit., par. 7, "Informativa degli interessati").

Per quanto riguarda, infine, il rispetto della disciplinavigente in materia di controlli a distanza dei dipendenti la società si èimpegnata "ad adottare le garanzie previste dallìart. 4 comma 2 della L.n. 300 del 1970 e quindi a raggiungere un accordo con le OO.SS. o, in difetto,ad acquisire lìautorizzazione del competente organo del Ministero del Lavoro edelle politiche sociali" (cfr. comunicazione cit., par. 6, "Liceitàdel trattamento e bilanciamento di interessi").

1.2. A seguito di una richiesta di chiarimenti ed integrazioniformulata dallìAutorità (in data 7.5.2014), la società ha successivamenteprecisato che:

a.      iltrattamento di dati personali relativi alla localizzazione dei dispostivismartphone avviene mediante accesso dellìutente "allìapplicazione ´WFMClick Mobile Touchª attraverso unìautenticazione basata su userid epassword"; la password deve essere modificata dopo il primo accessorispettando determinati requisiti minimi di sicurezza (cfr. nota del 20.5.2014,p. 1);

b.     lapossibilità tecnica di accedere alla posizione geografica del dispositivo in unmomento dato al di fuori dellìintervallo temporale prestabilito (15 minuti)"non sussiste" (cfr. nota cit., p. 5);

c.      idati c.d. transazionali, "di natura operativa e [che] contengono leinformazioni relative agli ordinativi di lavoro [ä] sono memorizzati localmentee quindi sono presenti solo sul dispositivo mobile. [...] Lìoperazione dicancellazione compiuta dallìutente tramite la funzione ´clear stored dataªdetermina la rimozione dei suddetti dati dal dispositivo mobile" (cfr.nota cit., p. 5);

d.     posto che"al termine dellìorario di lavoro ovvero in occasione delle consentiteinterruzioni dellìattività lavorativa (es. pausa pranzo) il dipendente puòdisattivare manualmente lìapplicazione" in ogni caso, anche qualora ildipendente non provvedesse alla disattivazione manuale "lìapplicazione sidisattiverà automaticamente dopo 120 minuti di inattività" (cfr. notacit., p. 5);

e.      incaso di furto o smarrimento del dispositivo si prevede "lìimmediato bloccodellìutenza mobile attraverso la denuncia alle AA.GG. e la richiesta di bloccoallìoperatore telefonico" (cfr. nota cit., p. 6);

f.      quanto ai tempi di conservazione "il sistema WFM, relativamente ai dati dilocalizzazione, mantiene solo la località di partenza del FT e lìultimaposizione conosciuta. Nessuna informazione storica relativa alla localizzazioneè mantenuta nel Sistema" (cfr. All. nota cit., punto 2.4 "Conservazionedei dati").

1.3 Con successiva nota del 30.6.2014, rispondendo ad ulterioririchieste dellìAutorità, la società ha infine specificato che:

a. "le informazioni che sarannoscambiate tra il tecnico di campo ed il sistema WFM sono esclusivamentefinalizzate allìassegnazione e gestione dei work order, non sono previste alladata interazioni con altre informazioni presenti sul dispositivo mobile (es.dati di traffico telefonico, sms, posta elettronica o altro)"; la società,in proposito, intende impartire ai dipendenti apposite istruzioni relative allanecessaria adozione di "misure organizzative procedurali da osservare perevitare trattamenti di dati non attinenti ai work order quali ad esempio: nonriportare in eventuali aree di commento disponibili con gli SMS o emailscambiate con il WFM riferimenti alla vita privata dei singoli, disattivarelìapplicazione di geolocalizzazione presente sullo smart-phone al di fuoridegli orari di lavoro" (cfr. nota 30.6.2014, p. 2);

b. il sistema consente (cosìrettificando quanto affermato in precedenti comunicazioni allìAutorità) lavisualizzazione in tempo reale del dato di localizzazione benché "solo edesclusivamente [in relazione] ad esigenze di assegnazione e gestione dei workorder ai tecnici di campo, per soddisfare i requisiti dei servizi operati sullereti dei Clienti operatori di telecomunicazioni" (cfr. nota cit., p. 3).

2. Trattamento didati personali dei dipendenti attraverso la localizzazione di dispositivismartphone.

Il trattamento di dati personali che la società ha sottoposto averifica preliminare è connesso allìattivazione di unìapplicazione (ClickSchedule) del sistema di gestione della mano dìopera già in uso (WFM), in gradodi  interagire – attraverso lìapplicazione ClickMobile-WAP –con i dispositivi mobili geolocalizzati (smartphone) posti in dotazione aitecnici che effettuano interventi sul campo.

Tale trattamento, rispetto alle ipotesi prese in considerazionedallìAutorità nel provvedimento di carattere generale n. 370 del 4 ottobre 2011, relativo allìutilizzo di sistemi dilocalizzazione dei veicoli nellìambito del rapporto di lavoro, presentacaratteristiche particolari proprio in considerazione dellìutilizzo di undispositivo smartphone messo a disposizione dei dipendenti allo scopo diprocedere alla raccolta dei dati di localizzazione. Tali dispositivi, inconsiderazione delle normali potenzialità dìuso nonché in ragione dellìutilizzooramai comune degli stessi, possono essere agevolmente impiegati anche perfinalità diverse da quelle lavorative. Tali ulteriori (e comuni) modalità diimpiego sono dìaltra parte (ragionevolmente) consentite dalla società (cfr.punto 1.1 laddove ci si riferisce allì"lìutilizzo alternativo dello ´smartphoneª durante [ä] e fuori [lì]orario di lavoro"). Inoltre lo smartphoneè, per le proprie caratteristiche, destinato inevitabilmente a"seguire" la persona che lo possiede, indipendentemente dalladistinzione tra tempo di lavoro e tempo di non lavoro.

Il descritto trattamento pertanto presenta rischi specifici perla libertà (es. di circolazione e di comunicazione), i diritti (v. artt. 10,D.Lg. 276/2003 e 8, l. n. 300/1970) e la dignità del dipendente e richiede unaspecifica ed attenta valutazione da parte dellìAutorità.

3. Liceità deltrattamento dei dati di localizzazione: bilanciamento di interessi.

3.1 Le finalità del trattamento, così come rappresentate dallasocietà, risultano lecite. La funzionalità di localizzazione geograficaconsente infatti di ottimizzare la gestione ed il coordinamento degli interventieffettuati dai tecnici sul campo, incrementandone la tempestività a frontedelle richieste dei clienti, soprattutto in caso di emergenze e/o calamitànaturali. La localizzazione consente altresì di rafforzare le condizioni disicurezza del lavoro effettuato dai tecnici stessi, permettendo lìinvio miratodi eventuali soccorsi soprattutto in aree remote o non facilmente raggiungibilie comunque di supportare più rapidamente i lavoratori in caso di difficoltà.

I trattamenti di dati personali, pertanto, sarebbero effettuatinellìambito del rapporto di lavoro per soddisfare esigenze organizzative eproduttive ovvero per la sicurezza del lavoro, coerentemente con quantostabilito dalla disciplina di settore in materia di controllo a distanza deidipendenti (cfr. artt. 11, comma 1, lett. a) e 114 del Codice e 4, legge n.300/1970). In proposito la società ha dichiarato che le informazioni riferibiliai possessori dei dispositivi saranno utilizzate per finalità non riconducibilia quelle di controllo degli stessi, tanto che nessun "utilizzo dei datipotrà avvenire per finalità diverse da quelle dichiarate, come ad esempio perscopi disciplinari" (comunicazione 1.4.2014, par. 2.3). Il menzionatosistema, sempre in base a quanto sostenuto, non potrà interagire con altrisistemi aziendali, compresi quelli volti a valutare il corretto adempimentodella prestazione lavorativa.

3.2 Pertanto, considerato anche che la società ha dichiarato cheprocederà ad attivare le procedure previste dallìart. 4, comma 2, della legge n.300/1970 visto che la localizzazione di dispostivi associati a dipendentiidentificati può comportare il controllo a distanza dellìattività degli stessi,il menzionato trattamento potrà essere lecitamente effettuato anche senza ilconsenso degli interessati, per effetto del presente provvedimento che, inapplicazione della disciplina sul c.d. bilanciamento di interessi (art. 24,comma 1, lett. g) del Codice), individua un legittimo interesse al trattamentodi tale tipologia di dati (diversi da quelli sensibili) in relazione allefinalità rappresentate.

4. Principi dipertinenza e non eccedenza del trattamento.

4.1 Il trattamento dei dati di localizzazione per le finalitàsopra indicate appare altresì nel complesso conforme ai principi di necessitànonché di pertinenza e non eccedenza (artt. 3 e 11, comma 1, lett. d), delCodice), alla luce delle circostanze rappresentate nellìistanza e inparticolare considerato che:

a.      nonsi effettuerebbe (di regola) la rilevazione continuativa di dati relativi allalocalizzazione geografica dei tecnici bensì con periodizzazione temporale paria 15 minuti;

b.     il sistemasarebbe configurato in modo tale da memorizzare solo lìultima informazionerelativa alla localizzazione del dispositivo al termine di una determinatasessione di lavoro, procedendo a cancellare automaticamente la rilevazioneprecedente.

4.2 Tuttavia, posto che la società ha dichiarato che il sistemaè configurato in modo tale da consentire agli utenti autorizzati allìaccesso lavisualizzazione in tempo reale dei dati di localizzazione, anche al di fuoridella periodizzazione stabilita in via ordinaria (cfr. punto 1.3, lett. b.),lìAutorità ritiene di prescrivere, come misura posta a tutela dei diritti degliinteressati, che tale eventuale trattamento di dati in tempo reale avvenga soloin presenza di specifiche esigenze (ad es. legate al verificarsi di situazionidi emergenza e/o di pericolo per il dipendente), individuate allìinterno diappositi protocolli che individuino anche i soggetti legittimati adaccedere  con tale modalità al sistema.

5. Misure edaccorgimenti posti a tutela dei diritti degli interessati.

5.1. Considerate le menzionate potenzialità dei dispostivismartphone e segnatamente la possibilità di raccogliere per loro tramite, ancheaccidentalmente, informazioni relative alla vita privata del dipendente, la società dovrà:

a.     adottarespecifiche misure idonee a garantire che le informazioni presenti suldispositivo mobile visibili o utilizzabili dallìapplicazione installata siano riferibiliesclusivamente a dati di geolocalizzazione nonché ad impedire lìeventualetrattamento di dati ultronei (es. dati relativi al traffico telefonico, aglisms, alla posta elettronica o altro);

b.    configurare ilsistema in modo tale che sul dispositivo sia posizionata unìicona che indichiche la funzionalità di localizzazione è attiva; lìicona dovrà essere semprechiaramente visibile sullo schermo del dispositivo, anche quando lìapplicazioneClick Mobile Touch lavora in background.

5.2. In applicazione del principio di correttezza (art. 11,comma 1, lett. a) del Codice) i trattamenti in esame devono essere resi notiagli interessati, i quali devono essere posti nella condizione di conoscerechiaramente finalità e modalità del trattamento. A tal fine la società dovràfornire ai dipendenti una puntuale informativa, comprensiva di tutti glielementi contenuti nellìart. 13 del Codice.

5.3 Si ritiene inoltre opportuno che tra le istruzioni dafornire ai dipendenti relativamente allìutilizzo del dispositivo, si raccomandidi effettuare periodicamente la pulizia dei dati memorizzati localmenteattraverso lìattivazione della funzione "clear stored data" (cfr.punto 1.2, lett. c.), fatte salve eventuali esigenze di conservazione da partedel lavoratore .

6. Adempimentiulteriori e misure di sicurezza.

6.1. Resta fermo che:

a.     considerato che il dispositivo che si intende installare comporta iltrattamento di dati relativi alla localizzazione, la società è tenuta adeffettuare la notificazione ai sensi dellìart. 37, comma 1, lett. a), delCodice;

b.     la societàdovrà attenersi, in quanto applicabili, alle prescrizioni ed alleraccomandazioni contenute nel provvedimento n. 13 del 1ƒ marzo 2007 "Lineeguida per posta elettronica e internet" (doc. web n. 1387522) (es. in casodi trattamenti effettuati in occasione della predisposizione di idonee misuredi sicurezza per assicurare la disponibilità e lìintegrità di sistemiinformativi e di dati; a seguito della riconsegna del dispositivo per interventidi manutenzione o a seguito della cessazione del rapporto di lavoro);

c.      gliinteressati potranno esercitare i diritti di cui agli artt. 7 ss. del Codice inrelazione ai dati personali che li riguardano rilevati mediante il dispositivoin esame;

d.     dovrannoessere adottate le misure di sicurezza previste dagli artt. 31 ss. del Codiceal fine di preservare lìintegrità dei dati trattati e prevenire lìaccesso aglistessi da parte di soggetti non autorizzati.

TUTTO CIOì PREMESSO IL GARANTE

1. ai sensi dellìart. 17 del Codice,preso atto della richiesta di verifica preliminare presentata da EricssonTelecomunicazioni s.p.a. in relazione ai trattamenti da effettuare mediantelìattivazione di una funzionalità di localizzazione di dispositivi mobilismartphone forniti in dotazione ai propri dipendenti per finalitàorganizzative, produttive e connesse alla sicurezza del lavoro, ritieneammissibile il trattamento da effettuarsi nei termini di cui in motivazione,fermo restando che:

a.      lasocietà, quali misure necessarie, dovrà:

i. adottare specifiche misure idoneea garantire che le informazioni presenti sul dispositivo mobile visibili outilizzabili dallìapplicazione installata siano riferibili esclusivamente adati di geolocalizzazione nonché ad impedire lìeventuale trattamento di datiultronei (es. dati relativi al traffico telefonico, agli sms, alla postaelettronica o altro);

ii. configurare il sistema in modotale che sul dispositivo sia posizionata unìicona che indichi che lafunzionalità di localizzazione è attiva; lìicona dovrà essere semprechiaramente visibile sullo schermo del dispositivo, anche quando lìapplicazioneClick Mobile Touch lavora in background (punto 5.1, lett. b.);

iii. consentire lìeventualetrattamento dei dati in tempo reale solo in presenza di specifiche esigenze (ades. legate al verificarsi di situazioni di emergenza e/o di pericolo per ildipendente), individuate allìinterno di appositi protocolli (punto 4.2);

iv. consentire lìaccesso ai datitrattati ai soli incaricati della società che, in ragione delle mansioni svolteo degli incarichi affidati, possono prenderne legittimamente conoscenza;

b.   la società, qualemisura opportuna, dovrà raccomandare ai dipendenti di effettuare periodicamentela pulizia dei dati memorizzati localmente attraverso lìattivazione dellafunzione "clear stored data", fatte salve eventuali esigenze diconservazione da parte del lavoratore (punto 5.3);

c.    la società dovrànotificare al Garante il trattamento dei dati relativi alla localizzazione(punto 6.1, lett. b);

d.   ai dipendenti dellasocietà, unitamente agli elementi previsti dallìart. 13 del Codice, dovrannoessere fornite informazioni chiare e complete sulla natura dei dati trattati esulle caratteristiche del dispositivo, tenuto conto delle finalità mediante lostesso perseguite (punto 5.2); i dipendenti dovranno altresì esserecompiutamente informati sulle ipotesi in cui è consentita la disattivazionedella funzione di localizzazione nel corso dellìorario di lavoro nonché circa leeventuali conseguenze nel caso in cui la disattivazione avvenga con modalitànon consentite;

e.    la società dovràattenersi, in quanto applicabili, alle prescrizioni ed alle raccomandazionicontenute nel provvedimento n. 13 del 1 marzo 2007 "Linee guida per posta elettronica e internet"(es. in caso di trattamenti effettuati in occasione della predisposizione diidonee misure di sicurezza per assicurare la disponibilità e lìintegrità disistemi informativi e di dati; a seguito della riconsegna del dispositivo perinterventi di manutenzione o a seguito della cessazione del rapporto dilavoro);

f.     gliinteressati potranno esercitare i diritti di cui agli artt. 7 ss. del Codice inrelazione ai dati personali che li riguardano rilevati mediante il dispositivoin esame;

g.   dovranno essereadottate le misure di sicurezza previste dagli artt. 31 ss. del Codice al finedi preservare lìintegrità dei dati trattati e prevenire lìaccesso agli stessida parte di soggetti non autorizzati.

2. ai sensi dellìart. 24, comma 1, lett. g) del Codice, inapplicazione della disciplina sul c.d. bilanciamento di interessi, per effettodel presente provvedimento il trattamento descritto può essere effettuato senzache sia necessario acquisire il consenso degli interessati, individuando incapo ad Ericsson Telecomunicazioni s.p.a., in relazione allìinstallazione di unsistema di localizzazione degli smartphone dati in dotazione ai dipendenti, unlegittimo interesse volto a soddisfare esigenze organizzative, produttive elegate alla sicurezza del lavoro previa attivazione delle procedure previstedallìart. 4, comma 2, della legge n. 300/1970 (punto 3.2).

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n.150/2011, avverso il presente provvedimento può essere proposta opposizioneallìautorità giudiziaria ordinaria, con ricorso depositato al tribunaleordinario del luogo ove ha la residenza il titolare del trattamento dei dati,entro il termine di trenta giorni dalla data di comunicazione del provvedimentostesso, ovvero di sessanta giorni se il ricorrente risiede allìestero.

Roma, 11 settembre2014

Il presidente
Soro

Il relatore
Califano

Il segretario generale
Busia