Trattamento di dati personali connesso ad una funzionalità di localizzazione di dispositivi smartphone

Vedi anche newsletter del 3 novembre2014

Trattamento di dati personali connesso ad unafunzionalità di localizzazione di dispositivi smartphone

PROVVEDIMENTO DEL 11 SETTEMBRE 2014

Registrodei provvedimenti  n. 401 dell'11 settembre 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti, e del dott. GiuseppeBusia, segretario generale;

VISTO ilCodice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n.196, di seguito "Codice") ;

ESAMINATAla richiesta di verifica preliminare presentata da Ericsson Telecomunicazionis.p.a. ai sensi dell'art. 17 del Codice;

VISTIgli atti d'ufficio;

VISTE leosservazioni formulate dal segretario generale ai sensi dell'art. 15 delregolamento del Garante n. 1/2000;

RELATOREla prof.ssa Licia Califano;

PREMESSO

1.Trattamento di dati personali dei dipendenti effettuato attraverso lalocalizzazione di dispositivi smartphone.

1.1.Ericsson Telecomunicazioni s.p.a. (di seguito: la società) ha presentato il 1∞aprile 2014 una richiesta di verifica preliminare ai sensi dell'art. 17 delCodice, in relazione al trattamento di dati personali connesso all'attivazionedi una nuova funzionalità di localizzazione di dispositivi smartphone cheverrebbero forniti in dotazione dalla società ai propri dipendenti nell'ambitodi un sistema di Work Force Management (WFM) già esistente.

Talidispositivi, dotati di GPS (Global Positioning System) capace di effettuare lalocalizzazione geografica "con un'accuratezza di 31 m circa",sarebbero in grado di comunicare al sistema WFM la propria posizione con unaperiodicità temporale prestabilita pari a 15 minuti. Il dato relativo allageolocalizzazione così raccolto non sarebbe acquisito in modo permanente dalsistema bensì automaticamente cancellato in modo tale che "saràdisponibile solo l'ultimo dato di localizzazione pervenuto, ovvero la nuovaposizione rilevata annulla e sostituisce la precedente" (cfr.comunicazione dell'1.4.2014, par. 1, "Chiarimenti sul funzionamento delsistema di geo-localizzazione"). Secondo quanto dichiarato dalla società,pertanto, tramite l'attivazione di tale funzionalità "non viene mantenutoe non si ha a disposizione il tracciamento del percorso. Il sistema mantienesolo i dati master (ad esempio siti, attrezzature, ecc) mentre i datitransazionali (ad esempio dettaglio dei WO) vengono eliminati dal sistema dopo16 giorni dalla chiusura. Dopo questo periodo di tempo i dati vengonodistrutti" (cfr. comunicazione cit., par. 4, "Storicizzazione delleinformazioni").

I datipersonali complessivamente trattati dal sistema sarebbero: "cognome, nome,Service Area, Skill tecnico (es. radio, transmission, power, ecc), Home Base(ovvero dove il tecnico prende servizio), Attività svolta, dato dell'ultimalocalizzazione rilevato tramite funzionalità GPS dell'applicazione" (cfr.comunicazione cit., par. 4, "Trattamento Dati e Principio di base").

Gliscopi che la società intende perseguire (cfr. comunicazione cit., par. 2,"Specifica delle esigenze che impongono l'introduzione del sistema di geo-localizzazione")attraverso l'attivazione della menzionata funzionalità di localizzazione sono:

a. disporre l'intervento di propri tecnici in modotale da consentire il rispetto dei termini contrattuali stipulati con iclienti, che risultano "particolarmente stringenti in quanto l'attività dimanutenzione condotta [dalla società] deve supportare la continuità delservizio pubblico offerto dal cliente, inclusa la pronta gestione deiripristini in caso di emergenze non ultime quelle generate da disastri naturali/ambientali";

b. intervenire (più) rapidamente con personalespecializzato in caso di calamità naturali;

c. migliorare il coordinamento operativo dei"circa 330 tecnici dislocati sul territorio", in modo tale da poter"indirizzare prontamente i tecnici in servizio con le idonee competenze piùprossimi al sito oggetto dell'intervento richiesto";

d. incrementare la sicurezza dei tecnici stessi incaso di incidenti o situazioni di difficoltà.

Ciòposto, "nessun utilizzo dei dati potrà avvenire per finalità diverse daquelle dichiarate, come ad esempio per scopi disciplinari".

Precisatopertanto che la funzione di geolocalizzazione "sarà finalizzata allasola gestione operativa delle attività di manutenzione", secondo quantodichiarato, non sono conseguentemente previste forme di interazione "conaltri sistemi aziendali quali, a mero titolo esemplificativo, quelli deputatial time reporting" (cfr. comunicazione cit., par. 5, "Interazione trail sistema di geo-localizzazione ed ulteriori sistemi/strumenti elettroniciaziendali").

Lasocietà ha inoltre dichiarato che fornirà ai tecnici specifiche istruzionioperative in ordine alla attivazione e disattivazione della "applicazioneGPS [ä] per rendere possibile l'utilizzo alternativo dello ´smart phoneªdurante l'orario di lavoro (con tracking GPS) e fuori orario di lavoro (senzaGPS tracking)"; sarà inoltre data indicazione di "mantenere talefunzionalità attiva durante l'orario di lavoro fatti salvi gli usuali casi diinterruzione previsti dal [ä] rapporto di lavoro, quali ad esempio il proprioturno mensa" (cfr. comunicazione cit., par. 4, "Attivazione eDisattivazione dell'applicazione"). La società ha inoltre dichiarato cheprovvederà a fornire agli interessati un'apposita informativa relativa allecaratteristiche del trattamento, anche attraverso la predisposizione di unospecifico "protocollo" (cfr. comunicazione cit., par. 7,"Informativa degli interessati").

Perquanto riguarda, infine, il rispetto della disciplina vigente in materia dicontrolli a distanza dei dipendenti la società si è impegnata "ad adottarele garanzie previste dall'art. 4 comma 2 della L. n. 300 del 1970 e quindi araggiungere un accordo con le OO.SS. o, in difetto, ad acquisirel'autorizzazione del competente organo del Ministero del Lavoro e dellepolitiche sociali" (cfr. comunicazione cit., par. 6, "Liceità deltrattamento e bilanciamento di interessi").

1.2. Aseguito di una richiesta di chiarimenti ed integrazioni formulata dall'Autorità(in data 7.5.2014), la società ha successivamente precisato che:

a. il trattamento di dati personali relativi allalocalizzazione dei dispostivi smartphone avviene mediante accesso dell'utente"all'applicazione ´WFM Click Mobile Touchª attraverso un'autenticazionebasata su userid e password"; la password deve essere modificata dopo ilprimo accesso rispettando determinati requisiti minimi di sicurezza (cfr. notadel 20.5.2014, p. 1);

b. la possibilità tecnica di accedere alla posizionegeografica del dispositivo in un momento dato al di fuori dell'intervallotemporale prestabilito (15 minuti) "non sussiste" (cfr. nota cit., p.5);

c. i dati c.d. transazionali, "di naturaoperativa e [che] contengono le informazioni relative agli ordinativi di lavoro[ä] sono memorizzati localmente e quindi sono presenti solo sul dispositivomobile. [...] L'operazione di cancellazione compiuta dall'utente tramite lafunzione ´clear stored dataª determina la rimozione dei suddetti dati daldispositivo mobile" (cfr. nota cit., p. 5);

d. posto che "al termine dell'orario dilavoro ovvero in occasione delle consentite interruzioni dell'attivitàlavorativa (es. pausa pranzo) il dipendente può disattivare manualmentel'applicazione" in ogni caso, anche qualora il dipendente non provvedessealla disattivazione manuale "l'applicazione si disattiverà automaticamentedopo 120 minuti di inattività" (cfr. nota cit., p. 5);

e. in caso di furto o smarrimento del dispositivo siprevede "l'immediato blocco dell'utenza mobile attraverso la denuncia alleAA.GG. e la richiesta di blocco all'operatore telefonico" (cfr. nota cit.,p. 6);

f. quanto ai tempi di conservazione "il sistemaWFM, relativamente ai dati di localizzazione, mantiene solo la località dipartenza del FT e l'ultima posizione conosciuta. Nessuna informazione storicarelativa alla localizzazione è mantenuta nel Sistema" (cfr. All. notacit., punto 2.4 "Conservazione dei dati").

1.3 Consuccessiva nota del 30.6.2014, rispondendo ad ulteriori richieste dell'Autorità,la società ha infine specificato che:

a. "le informazioni che saranno scambiate tra iltecnico di campo ed il sistema WFM sono esclusivamente finalizzateall'assegnazione e gestione dei work order, non sono previste alla datainterazioni con altre informazioni presenti sul dispositivo mobile (es. dati ditraffico telefonico, sms, posta elettronica o altro)"; la società, inproposito, intende impartire ai dipendenti apposite istruzioni relative allanecessaria adozione di "misure organizzative procedurali da osservare perevitare trattamenti di dati non attinenti ai work order quali ad esempio: nonriportare in eventuali aree di commento disponibili con gli SMS o emailscambiate con il WFM riferimenti alla vita privata dei singoli, disattivarel'applicazione di geolocalizzazione presente sullo smart-phone al di fuori degliorari di lavoro" (cfr. nota 30.6.2014, p. 2);

b. il sistema consente (così rettificando quantoaffermato in precedenti comunicazioni all'Autorità) la visualizzazione in temporeale del dato di localizzazione benché "solo ed esclusivamente [inrelazione] ad esigenze di assegnazione e gestione dei work order ai tecnici dicampo, per soddisfare i requisiti dei servizi operati sulle reti dei Clientioperatori di telecomunicazioni" (cfr. nota cit., p. 3).

2.Trattamento di dati personali dei dipendenti attraverso la localizzazione didispositivi smartphone.

Iltrattamento di dati personali che la società ha sottoposto a verificapreliminare è connesso all'attivazione di un'applicazione (Click Schedule) delsistema di gestione della mano d'opera già in uso (WFM), in grado di interagire – attraverso l'applicazione ClickMobile-WAP – con idispositivi mobili geolocalizzati (smartphone) posti in dotazione ai tecniciche effettuano interventi sul campo.

Taletrattamento, rispetto alle ipotesi prese in considerazione dall'Autorità nelprovvedimento di carattere generale n. 370 del 4 ottobre 2011, relativoall'utilizzo di sistemi di localizzazione dei veicoli nell'ambito del rapportodi lavoro,presenta caratteristiche particolari proprio in considerazione dell'utilizzo diun dispositivo smartphone messo a disposizione dei dipendenti allo scopo diprocedere alla raccolta dei dati di localizzazione. Tali dispositivi, inconsiderazione delle normali potenzialità d'uso nonché in ragione dell'utilizzooramai comune degli stessi, possono essere agevolmente impiegati anche perfinalità diverse da quelle lavorative. Tali ulteriori (e comuni) modalità diimpiego sono d'altra parte (ragionevolmente) consentite dalla società (cfr.punto 1.1 laddove ci si riferisce all'"l'utilizzo alternativo dello ´smartphoneª durante [ä] e fuori [l']orario di lavoro"). Inoltre lo smartphone è,per le proprie caratteristiche, destinato inevitabilmente a "seguire"la persona che lo possiede, indipendentemente dalla distinzione tra tempo dilavoro e tempo di non lavoro.

Ildescritto trattamento pertanto presenta rischi specifici per la libertà (es. dicircolazione e di comunicazione), i diritti (v. artt. 10, D.Lg. 276/2003 e 8,l. n. 300/1970) e la dignità del dipendente e richiede una specifica ed attentavalutazione da parte dell'Autorità.

3.Liceità del trattamento dei dati di localizzazione: bilanciamento di interessi.

3.1 Lefinalità del trattamento, così come rappresentate dalla società, risultanolecite. La funzionalità di localizzazione geografica consente infatti diottimizzare la gestione ed il coordinamento degli interventi effettuati daitecnici sul campo, incrementandone la tempestività a fronte delle richieste deiclienti, soprattutto in caso di emergenze e/o calamità naturali. Lalocalizzazione consente altresì di rafforzare le condizioni di sicurezza dellavoro effettuato dai tecnici stessi, permettendo l'invio mirato di eventualisoccorsi soprattutto in aree remote o non facilmente raggiungibili e comunquedi supportare più rapidamente i lavoratori in caso di difficoltà.

Itrattamenti di dati personali, pertanto, sarebbero effettuati nell'ambito delrapporto di lavoro per soddisfare esigenze organizzative e produttive ovveroper la sicurezza del lavoro, coerentemente con quanto stabilito dalladisciplina di settore in materia di controllo a distanza dei dipendenti (cfr.artt. 11, comma 1, lett. a) e 114 del Codice e 4, legge n. 300/1970). Inproposito la società ha dichiarato che le informazioni riferibili ai possessoridei dispositivi saranno utilizzate per finalità non riconducibili a quelle dicontrollo degli stessi, tanto che nessun "utilizzo dei dati potrà avvenireper finalità diverse da quelle dichiarate, come ad esempio per scopidisciplinari" (comunicazione 1.4.2014, par. 2.3). Il menzionato sistema,sempre in base a quanto sostenuto, non potrà interagire con altri sistemiaziendali, compresi quelli volti a valutare il corretto adempimento dellaprestazione lavorativa.

3.2Pertanto, considerato anche che la società ha dichiarato che procederà adattivare le procedure previste dall'art. 4, comma 2, della legge n. 300/1970visto che la localizzazione di dispostivi associati a dipendenti identificatipuò comportare il controllo a distanza dell'attività degli stessi, ilmenzionato trattamento potrà essere lecitamente effettuato anche senza ilconsenso degli interessati, per effetto del presente provvedimento che, inapplicazione della disciplina sul c.d. bilanciamento di interessi (art. 24,comma 1, lett. g) del Codice), individua un legittimo interesse al trattamentodi tale tipologia di dati (diversi da quelli sensibili) in relazione allefinalità rappresentate.

4.Principi di pertinenza e non eccedenza del trattamento.

4.1 Iltrattamento dei dati di localizzazione per le finalità sopra indicate apparealtresì nel complesso conforme ai principi di necessità nonché di pertinenza enon eccedenza (artt. 3 e 11, comma 1, lett. d), del Codice), alla luce dellecircostanze rappresentate nell'istanza e in particolare considerato che:

a. non si effettuerebbe (di regola) la rilevazionecontinuativa di dati relativi alla localizzazione geografica dei tecnici bensìcon periodizzazione temporale pari a 15 minuti;

b. il sistema sarebbe configurato in modo tale damemorizzare solo l'ultima informazione relativa alla localizzazione deldispositivo al termine di una determinata sessione di lavoro, procedendo acancellare automaticamente la rilevazione precedente.

4.2Tuttavia, posto che la società ha dichiarato che il sistema è configurato inmodo tale da consentire agli utenti autorizzati all'accesso la visualizzazionein tempo reale dei dati di localizzazione, anche al di fuori della periodizzazionestabilita in via ordinaria (cfr. punto 1.3, lett. b.), l'Autorità ritiene diprescrivere, come misura posta a tutela dei diritti degli interessati, che taleeventuale trattamento di dati in tempo reale avvenga solo in presenza dispecifiche esigenze (ad es. legate al verificarsi di situazioni di emergenzae/o di pericolo per il dipendente), individuate all'interno di appositiprotocolli che individuino anche i soggetti legittimati ad accedere contale modalità al sistema.

5.Misure ed accorgimenti posti a tutela dei diritti degli interessati.

5.1.Considerate le menzionate potenzialità dei dispostivi smartphone e segnatamentela possibilità di raccogliere per loro tramite, anche accidentalmente,informazioni relative alla vita privata del dipendente, la società dovrà:

a. adottare specifiche misure idonee a garantire chele informazioni presenti sul dispositivo mobile visibili o utilizzabilidall'applicazione installata siano riferibili esclusivamente a dati digeolocalizzazione nonché ad impedire l'eventuale trattamento di dati ultronei(es. dati relativi al traffico telefonico, agli sms, alla posta elettronica oaltro);

b. configurare il sistema in modo tale che suldispositivo sia posizionata un'icona che indichi che la funzionalità dilocalizzazione è attiva; l'icona dovrà essere sempre chiaramente visibile sulloschermo del dispositivo, anche quando l'applicazione Click Mobile Touch lavorain background.

5.2. Inapplicazione del principio di correttezza (art. 11, comma 1, lett. a) delCodice) i trattamenti in esame devono essere resi noti agli interessati, iquali devono essere posti nella condizione di conoscere chiaramente finalità emodalità del trattamento. A tal fine la società dovrà fornire ai dipendenti unapuntuale informativa, comprensiva di tutti gli elementi contenuti nell'art. 13del Codice.

5.3 Siritiene inoltre opportuno che tra le istruzioni da fornire ai dipendentirelativamente all'utilizzo del dispositivo, si raccomandi di effettuareperiodicamente la pulizia dei dati memorizzati localmente attraversol'attivazione della funzione "clear stored data" (cfr. punto 1.2,lett. c.), fatte salve eventuali esigenze di conservazione da parte dellavoratore .

6.Adempimenti ulteriori e misure di sicurezza.

6.1.Resta fermo che:

a. considerato che il dispositivo che si intendeinstallare comporta il trattamento di dati relativi alla localizzazione, lasocietà è tenuta ad effettuare la notificazione ai sensi dell'art. 37, comma 1,lett. a), del Codice;

b. la società dovrà attenersi, in quanto applicabili,alle prescrizioni ed alle raccomandazioni contenute nel provvedimento n. 13 del1∞ marzo 2007 "Linee guida per posta elettronica e internet" (doc.web n. 1387522) (es. in caso di trattamenti effettuati in occasione dellapredisposizione di idonee misure di sicurezza per assicurare la disponibilità el'integrità di sistemi informativi e di dati; a seguito della riconsegna deldispositivo per interventi di manutenzione o a seguito della cessazione delrapporto di lavoro);

c. gli interessati potranno esercitare i diritti dicui agli artt. 7 ss. del Codice in relazione ai dati personali che liriguardano rilevati mediante il dispositivo in esame;

d. dovranno essere adottate le misure di sicurezzapreviste dagli artt. 31 ss. del Codice al fine di preservare l'integrità deidati trattati e prevenire l'accesso agli stessi da parte di soggetti nonautorizzati.

TUTTO CIO' PREMESSO IL GARANTE

1. ai sensi dell'art. 17 del Codice, preso atto dellarichiesta di verifica preliminare presentata da Ericsson Telecomunicazionis.p.a. in relazione ai trattamenti da effettuare mediante l'attivazione di unafunzionalità di localizzazione di dispositivi mobili smartphone forniti indotazione ai propri dipendenti per finalità organizzative, produttive econnesse alla sicurezza del lavoro, ritiene ammissibile il trattamento daeffettuarsi nei termini di cui in motivazione, fermo restando che:

a. la società, quali misure necessarie, dovrà:

i. adottare specifiche misure idonee a garantire chele informazioni presenti sul dispositivo mobile visibili o utilizzabilidall'applicazione installata siano riferibili esclusivamente a dati digeolocalizzazione nonché ad impedire l'eventuale trattamento di dati ultronei(es. dati relativi al traffico telefonico, agli sms, alla posta elettronica oaltro);

ii. configurare il sistema in modo tale che suldispositivo sia posizionata un'icona che indichi che la funzionalità dilocalizzazione è attiva; l'icona dovrà essere sempre chiaramente visibile sulloschermo del dispositivo, anche quando l'applicazione Click Mobile Touch lavorain background (punto 5.1, lett. b.);

iii. consentire l'eventuale trattamento dei dati intempo reale solo in presenza di specifiche esigenze (ad es. legate alverificarsi di situazioni di emergenza e/o di pericolo per il dipendente),individuate all'interno di appositi protocolli (punto 4.2);

iv. consentire l'accesso ai dati trattati ai soliincaricati della società che, in ragione delle mansioni svolte o degliincarichi affidati, possono prenderne legittimamente conoscenza;

b. la società, quale misura opportuna, dovràraccomandare ai dipendenti di effettuare periodicamente la pulizia dei datimemorizzati localmente attraverso l'attivazione della funzione "clearstored data", fatte salve eventuali esigenze di conservazione da parte dellavoratore (punto 5.3);

c. la società dovrà notificare al Garante iltrattamento dei dati relativi alla localizzazione (punto 6.1, lett. b);

d. ai dipendenti della società, unitamente aglielementi previsti dall'art. 13 del Codice, dovranno essere fornite informazionichiare e complete sulla natura dei dati trattati e sulle caratteristiche deldispositivo, tenuto conto delle finalità mediante lo stesso perseguite (punto5.2); i dipendenti dovranno altresì essere compiutamente informati sulleipotesi in cui è consentita la disattivazione della funzione di localizzazionenel corso dell'orario di lavoro nonché circa le eventuali conseguenze nel casoin cui la disattivazione avvenga con modalità non consentite;

e. la società dovrà attenersi, in quanto applicabili,alle prescrizioni ed alle raccomandazioni contenute nel provvedimento n. 13 del1 marzo 2007 "Linee guida per posta elettronica e internet" (es.in caso di trattamenti effettuati in occasione della predisposizione di idoneemisure di sicurezza per assicurare la disponibilità e l'integrità di sistemiinformativi e di dati; a seguito della riconsegna del dispositivo perinterventi di manutenzione o a seguito della cessazione del rapporto dilavoro);

f. gli interessati potranno esercitare i diritti dicui agli artt. 7 ss. del Codice in relazione ai dati personali che liriguardano rilevati mediante il dispositivo in esame;

g. dovranno essere adottate le misure di sicurezzapreviste dagli artt. 31 ss. del Codice al fine di preservare l'integrità deidati trattati e prevenire l'accesso agli stessi da parte di soggetti nonautorizzati.

2. ai sensi dell'art. 24, comma 1, lett. g) delCodice, in applicazione della disciplina sul c.d. bilanciamento di interessi,per effetto del presente provvedimento il trattamento descritto può essereeffettuato senza che sia necessario acquisire il consenso degli interessati,individuando in capo ad Ericsson Telecomunicazioni s.p.a., in relazioneall'installazione di un sistema di localizzazione degli smartphone dati indotazione ai dipendenti, un legittimo interesse volto a soddisfare esigenzeorganizzative, produttive e legate alla sicurezza del lavoro previa attivazionedelle procedure previste dall'art. 4, comma 2, della legge n. 300/1970 (punto3.2).

Ai sensidegli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presenteprovvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 11 settembre 2014

Il presidente
Soro

Il relatore
Califano

Il segretario generale
Busia