GPS nel rapporto di lavoro: dalla notificazione alla valutazione di impatto

La vicenda giudiziaria e il decisum della Corte

La vicenda trae origine dall’ordinanza ingiunzione notificata dal Garante per la protezione dei dati personali ad una società esercente attività di trasporto merci su strada, per avere “omesso di provvedere alla notificazione prevista dall’articolo 37, comma 1, lettera a)”,  di un sistema di geolocalizzazione installato sui propri mezzi di trasporto.

 Nel giudizio di opposizione, il Tribunale di Sondrio aveva accolto la tesi prospettata dall’Azienda sul rilievo che il sistema di geolocalizzazione era stato fornito da una società terza, che ne aveva autonomamente ideato e sviluppato le funzionalità per poter fornire i propri servizi ai clienti.

 Tale sentenza veniva successivamente cassata con rinvio a seguito del ricorso proposto dal Garante: la Corte di legittimità con ordinanza Cass. n. 26987/2003 stabiliva, infatti, che in caso di impresa esercente attività di trasporto di merci su strada per conto terzi, la messa a disposizione delle credenziali di accesso ai dati di geolocalizzazione dei clienti è condizione sufficiente ai fini dell’attribuzione a tale impresa della qualificazione del ruolo di Titolare del trattamento dei dati.

Il Tribunale di Sondrio, in sede di giudizio di rinvio, nuovamente accoglieva l’opposizione proposta dalla società, ritenendo, tra l’altro, che il sistema da questa utilizzato non era idoneo a consentire l'identificazione delle persone adibite alla guida. In particolare, il giudice di rinvio riteneva che l'eventuale identificazione non avveniva direttamente, richiedendo “un'ulteriore attività deduttiva e/o presuntiva”.

Ed è su questo punto che è intervenuta la Cassazione in esame – a  seguito del ricorso proposto dal Garante - stabilendo che l’utilizzo di sistemi di geolocalizzazione GPS sui veicoli aziendali utilizzati dai dipendenti, comporta, ai sensi dell'art 37, comma 1, lettera a), del d.lgs. n. 196 del 2003, vigente ratione temporis, l’obbligo di notificazione al Garante per la protezione dei dati personali, anche qualora i dati non siano associati immediatamente dal sistema informativo al nominativo dei lavoratori interessati, atteso che il datore di lavoro, Titolare del trattamento, è di regola in condizione di risalire in ogni momento al lavoratore di volta in volta assegnatario di ciascun veicolo.

La disciplina di protezione dei dati personali – precisa la Corte - non troverebbe, infatti, applicazione solo ove le informazioni concernenti la gestione del parco automezzi fossero trattate senza poter essere in alcun modo ricondotte ai lavoratori.

Nella fattispecie esaminata, invece, considerati il numero ristretto degli automezzi (quattro) e degli autisti (quattro), è stato ritenuto che la società poteva agevolmente risalire al conducente dell’automezzo, considerato che ogni automezzo era assegnato ad un determinato autista.

La normativa applicabile ratione temporis

La questione esaminata dalla Corte ha ad oggetto, come anticipato, l’interpretazione e la definizione del campo di applicazione dell’obbligo di notificazione all’Autorità Garante stabilito dall’articolo 37 d.lgs. 196 del 2003, applicabile ratione temporis, con specifico riferimento alla fattispecie della geolocalizzazione.  

Prima di entrare nel dettaglio del ragionamento seguito dalla Cassazione, è opportuno evidenziare che l’obbligo di cui all’art. 37 citato è stato abrogato dal d.lgs. 10 agosto 2018, 101,  che ha introdotto modifiche e integrazioni al testo del d.lgs. 196/2003,  al fine di adeguare la normativa nazionale alle disposizioni del Regolamento europeo 2016/679  del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (GDPR).

Tale abrogazione, tuttavia, non  ha fatto venir meno la necessità di adottare misure tecniche ed organizzative a garanzia dei diritti e delle libertà delle persone, così come evidenzieremo in prosieguo.

Tornando all'analisi dell'articolo 37, d.lgs. 196/2003, va sottolineato che il  comma 1, lett.a) di tale articolo stabiliva che  “il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda: a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica”.

Il medesimo articolo, al comma 2, prevedeva, altresì che il Garante può individuare, nell’ambito dei trattamenti di cui al comma 1, eventuali trattamenti non suscettibili di arrecare pregiudizio ai diritti e alle libertà dell’interessato “ e pertanto sottratti all’obbligo di notificazione”.

 In ragione di tale previsione, il Garante ha emanato la delibera n. 1 del 31 Marzo 2004 “Provvedimento relativo ai casi da sottrarre all'obbligo di notificazione”, nell’ambito della quale ha stabilito, tra l'altro, che dovessero essere sottratti all'obbligo di notificazione “i trattamenti di dati che indicano la posizione geografica di mezzi di trasporto aereo, navale e terrestre effettuati esclusivamente a fini di sicurezza del trasporto”.

Principio questo che è stato ulteriormente precisato nel Provvedimento dell’Autorità Garante del 23 Aprile 2004, rubricato “Chiarimenti  sui trattamenti da notificare al Garante”, nel quale si è specificato che la localizzazione va notificata quando permette di individuare in maniera continuativa- anche con eventuali intervalli- l'ubicazione sul territorio o in determinate aree geografiche, in base ad apparecchiature o dispositivi elettronici detenuti dal titolare o dalla persona, oppure collocati sugli oggetti. “La localizzazione deve comunque permettere di risalire all'identità degli interessati, anche indirettamente, attraverso appositi codici” (punto 2).

Più specifico e dettagliato è stato l’intervento del Garante con riferimento ai sistemi di localizzazione utilizzati nell'ambito del rapporto di lavoro, nella consapevolezza che tali strumenti possono rendersi necessari per esigenze organizzative, produttive o di sicurezza del lavoro.

Il Provvedimento n.  370 del 4 ottobre 2011, rubricato “Sistemi di localizzazione dei veicoli nell'ambito del rapporto di lavoro” ha evidenziato che i dati relativi all'ubicazione dei veicoli in quanto, direttamente o indirettamente, associati ai lavoratori, costituiscono informazioni personali riferibili ai lavoratori stessi,  con la conseguenza che trova in questi casi applicazione la disciplina contenuta nel Codice della privacy “, anche nel caso in cui i dati di localizzazione del veicolo non siano associati immediatamente dal sistema informativo al nominativo dei lavoratori interessati, atteso che il datore di lavoro, Titolare del trattamento, è di regola in condizione di risalire in ogni momento al lavoratore di volta in volta assegnatario di ciascun veicolo. “La disciplina di protezione dei dati personali non trova invece applicazione ove le informazioni concernenti la gestione del parco automezzi (quali quelle relative al consumo di carburante e commisurazione delle distanze percorse dai singoli veicoli, utilizzate di regola al fine di programmare un'efficiente manutenzione), siano trattate senza poter essere in alcun modo ricondotte ai lavoratori” (Provvedimento 370 del 2011, 1.1.).

In ogni caso- prosegue il Provvedimento - è evidente che la localizzazione dei veicoli può comportare una forma di controllo a distanza dell'attività dei lavoratori, il che impone anche il rispetto della disciplina dettata dall'art. 4 della legge 300/1970 (va rilevato che il testo dell’art. 4 richiamato in questo Provvedimento è quello antecedente alla riforma attuata dal d.lgs. 151/2015).

Il Garante, conseguentemente, stabilisce che se sono adottate le garanzie previste dall'articolo 4, comma 2 (vecchio testo) della legge n.300 del 1970 (accordo sindacale o autorizzazione amministrativa), i datori di lavoro possono effettuare lecitamente il trattamento dei dati personali relativi all'ubicazione dei veicoli dei propri dipendenti per soddisfare esigenze organizzative, produttive, ovvero per la sicurezza sul lavoro .

 Ciò in ragione del fatto che il Provvedimento, applicando la disciplina sul cosiddetto bilanciamento degli interessi di cui all’art. 24, comma 1, lett.g, d.lgs. 196 del 2003, ante riforma, individua nel legittimo interesse del titolare, la base giuridica che rende lecito il trattamento di tale tipologia dei dati.

La liceità del trattamento richiede tuttavia, come specificato nel Provvedimento l’adozione di garanzie specifiche: il datore di lavoro deve evitare il monitoraggio costante dei veicoli, deve dimostrare che la necessità di vigilare sull'esatta ubicazione dei dipendenti derivi da una finalità legittima e che tale necessità non si ponga in contrasto con i diritti e le libertà fondamentali dei dipendenti.

 È altresì necessario che i sistemi siano opportunamente configurati in modo da consentire il trattamento soltanto dei dati pertinenti e non eccedenti,  che sia ridotta al minimo l'utilizzazione dei dati personali e dei dati identificativi in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possano essere realizzate mediante dati  anonimi o modalità alternative; anche i tempi di conservazione delle diverse tipologie di dati devono essere contenuti,  tenendo conto delle finalità in concreto perseguite,  dopodiché gli stessi devono essere cancellati o resi anonimi.

È inoltre prevista la necessità di  fornire un'idonea informativa ai lavoratori sulla natura dei dati trattati e sulle caratteristiche del sistema, cosicché risulti chiaramente che il veicolo è soggetto a localizzazione.

Viene, infine stabilito che il trattamento dei dati di localizzazione deve formare oggetto di notificazione al Garante (Provvedimento 370, punto 5.3, lett.a).

Il quadro normativo attuale: l’obbligo della valutazione d’impatto ex art. 35 GDPR

Come già rilevato, l’art. 37, d.lgs. 196/2003 è stato abrogato dal d.lgs. 101/2018, che ha adeguato la normativa nazionale alle disposizioni del Regolamento  europeo 2016/679: l’obbligo di notificazione è dunque venuto meno.

Non sono venute meno però le garanzie a tutela dei diritti e delle libertà delle persone fisiche, avendo il Regolamento europeo introdotto una serie di misure obbligatorie per il titolare del trattamento, finalizzate proprio ad assicurare la predetta tutela.

Ci si riferisce, per quanto attiene l’analisi in oggetto, al processo aziendale denominato valutazione di impatto del trattamento (Data Protection Impact Assessment o DPIA), disciplinato dall’art. 35 del Regolamento.

Si tratta di un processo inteso a garantire e dimostrare la conformità di un trattamento dei dati personali rispetto alle norme vigenti, valutando la necessità e la proporzionalità del trattamento e gestendo gli eventuali rischi per i diritti e le libertà delle persone derivanti dal trattamento stesso.

La valutazione di impatto, quindi, è l’analisi dei potenziali effetti che un evento indesiderato potrebbe avere su un’attività o su una situazione, ed è lo strumento cardine tramite il quale il titolare effettua l’analisi dei rischi derivanti dai trattamenti posti in essere.

Questo strumento si configura come un’emanazione diretta del principio di accountability che, come noto, rappresenta il principio cardine del GDPR, imponendo ai titolari del trattamento di adottare misure tecniche e organizzative proattive per garantire la protezione dei dati personali. In altre parole, non basta che il titolare adotti misure conformi alla normativa, essendo necessaria la dimostrazione di tale conformità, tramite la predisposizione di idonea documentazione, quale, appunto, la valutazione dei rischi e il registro dei trattamenti.

Va evidenziato che è proprio questa nuova ratio immanente alla normativa europea, che spiega l’abolizione di alcuni istituti presenti nella normativa nazionale ante Regolamento, primo, fra tutti, l’obbligo di notifica dei trattamenti all’Autorità di controllo.

Nel nuovo quadro normativo disegnato dal legislatore, infatti, l’intervento dell’Autorità di controllo si pone ex post, ovvero successivamente alle determinazioni assunte dal titolare, al quale spetta il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, nel rispetto delle disposizioni legislative e alla luce dei criteri specifici indicati dal Regolamento.

L’art 35 del Regolamento stabilisce che quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate, il titolare deve svolgere una valutazione di impatto prima di darvi inizio.

Le Linee guida concernenti la valutazione di impatto sulla protezione dei dati, adottate dal Gruppo articolo 29 (WP248) il 4 aprile 2017 e successivamente modificate il 4 ottobre 2017, offrono alcuni chiarimenti in materia, precisando quando una valutazione di impatto sia obbligatoria, le modalità di svolgimento, nonché chiarendo la necessità che tale valutazione venga interpretata come un processo soggetto a revisione continua, piuttosto che come un adempimento una tantum.

Per quanto qui più direttamente di interesse, va richiamato il Provvedimento del Garante n. 467 dell’11 ottobre 2018, rubricato “Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679”,  che, nell’Allegato 1, stabilisce al punto 5, che sono – obbligatoriamente - da sottoporre a valutazione d’impatto i “ trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti”.

Qualora il titolare del trattamento/datore di lavoro intenda utilizzare uno strumento di geolocalizzazione, dovrà pertanto necessariamente effettuare una valutazione di impatto, al fine di verificare i rischi connessi al trattamento ed adottare misure adeguate, atte a limitare i rischi stessi.

Ovviamente (e in estrema sintesi), gli adempimenti gravanti sul datore di lavoro non si esauriscono con la predetta valutazione: occorre, infatti, considerare che l’adozione di sistemi di geolocalizzazione può realizzare un controllo a distanza dell’attività dei lavoratori e che pertanto andranno rispettate tutte le garanzie previste dall’articolo 4 dello statuto dei lavoratori, Ivi compresa l’ “adeguata informazione” ai lavoratori delle modalità d’uso degli strumenti e di effettuazione dei controlli.

Dal punto di vista della normativa sulla tutela dei dati personali, sarà, inoltre, necessario individuare la base giuridica che renda lecito il trattamento, nonché verificare il rispetto dei principi stabiliti dal Regolamento.

I dati personali pertanto, dovranno essere trattati in modo lecito, corretto e trasparente; dovranno essere raccolti per finalità determinate, esplicite e legittime (minimizzazione dei trattamenti); dovranno essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (minimizzazione dei dati); dovranno essere esatti e se necessario aggiornati; dovranno essere conservati per un tempo limitato e dovranno essere trattati in modo da garantirne un’adeguata sicurezza, attraverso l’adozione di misure tecniche ed organizzative che evitino e/ o limitino trattamenti non autorizzati, illeciti o danni accidentali.