privacy

Geolocalizzazione dei lavoratori: il diritto di accesso ai dati



Indirizzo copiato

La geolocalizzazione dei lavoratori si pone al centro di un delicato equilibrio tra esigenze operative aziendali e diritti individuali. L’articolo 15 del GDPR, il provvedimento del Garante privacy e la sentenza della Corte di Giustizia dell’Unione Europea delineano un quadro normativo chiaro per le aziende

Pubblicato il 21 dic 2023

Federico Aluigi

Junior Associate, De Berti Jacchia Franchini Forlani

Adriano Garofalo

Studio De Berti Jacchia Franchini Forlani

Jacopo Piemonte

Senior Associate, De Berti Jacchia Franchini Forlani

Gaspare Roma

Partner, De Berti Jacchia Franchini Forlani



shutterstock_1766973596.jpg

La geolocalizzazione dei lavoratori, intesa come la pratica di monitorare la posizione geografica di un dipendente durante l’orario di lavoro, è diventata sempre più diffusa grazie all’uso di tecnologie come i dispositivi GPS e le app per dispositivi mobili. Questa pratica solleva importanti questioni etiche e legali, soprattutto alla luce del Regolamento Generale sulla Protezione dei Dati (GDPR), che è entrato in vigore nell’Unione Europea nel maggio 2018.

Di fatti, il GDPR è progettato per proteggere la privacy e i diritti fondamentali delle persone in relazione al trattamento dei dati personali: quando si tratta di geolocalizzazione dei lavoratori, diventa fondamentale rispettarne i principi chiave, come la trasparenza nel trattamento dei dati, la limitazione della finalità, la minimizzazione dei dati e la garanzia di sicurezza degli stessi.

L’articolo 15 del Gdpr: il diritto di accesso dell’interessato

Spicca, nel compendio di diritti così attribuiti all’interessato, l’articolo 15 del Regolamento[1], rubricato “Diritto di accesso dell’interessato” e pilastro essenziale della protezione dei dati personali dal momento in cui fornisce agli individui il controllo e la trasparenza sul trattamento delle proprie informazioni personali, ivi compresi i dati relativi alla posizione geografica. Esso si configura così in un rapporto di strumentalità rispetto a ulteriori diritti – quali il diritto di chiedere la rettifica o la cancellazione dei dati – in quanto l’interessato può consapevolmente esercitarli solo avendo conoscenza delle informazioni relative al trattamento dei propri dati personali. A ragione di ciò, l’esercizio del diritto di accesso non è soggetto a limiti temporali[2] e non richiede come condizione l’esistenza di una lesione lamentata dall’interessato.

Il Provvedimento del Garante sulla geolocalizzazione

Su queste premesse, è di particolare rilievo un provvedimento[3] del Garante per la Protezione dei Dati Personali (Garante) del 14 settembre 2023, emanato sulla base di un reclamo che lamentava l’impossibilità, per dei lavoratori, di esercitare pienamente il diritto di accesso secondo l’articolo 15 del Regolamento, specificamente riguardo al trattamento dei dati personali raccolti dalla società-datore di lavoro ed utilizzati al fine di calcolare i tempi della prestazione lavorativa ed i rimborsi della benzina (de facto, dati afferenti la geolocalizzazione degli interessati-lavoratori).

In tale procedimento il Garante ha rilevato profili di illegittimità in relazione agli articoli 12 e 15 del Regolamento, comminando alla società una sanzione amministrativa pari a 20.000 euro in ossequio all’articolo 83 del GDPR. Di seguito esamineremo le considerazioni svolte dall’autorità, isolando le singole tematiche trattate.

Le norme di riferimento

Il Garante fornisce preliminarmente un quadro normativo sull’argomento, richiamando in primo luogo l’articolo 12 del GDPR, che implementa il principio di trasparenza attraverso un insieme di specifici obblighi informativi in capo al titolare, il quale è tenuto ad adottare “… misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro …”[4].

In secondo luogo, viene considerato l’articolo 15 del GDPR sul diritto di accesso, più specificamente ove sancisce che “… l’interessato ha diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali …”, nonché ad una serie di ulteriori informazioni ivi indicate. Sul punto, vengono peraltro citate le Linee Guida 01/2022 dell’EDPB (European Data Protection Board)[5] , laddove è statuito che “… per accesso ai dati personali si intende l’accesso ai dati personali effettivi, non solo una descrizione generale dei dati, né un semplice riferimento alle categorie di dati personali trattati dal titolare. Gli interessati hanno il diritto di accedere a tutti i dati trattati che li riguardano, o a parti di essi, a seconda dell’oggetto della richiesta …”.

La portata effettiva del diritto di accesso

Spostandosi sul merito, l’autorità esamina i documenti forniti dalla società ai lavoratori in seguito alla richiesta di accesso, constatando l’insufficienza delle informazioni ivi contenute: da una parte, infatti, i reclamanti avevano sollecitato accesso ai dati relativi ai trattamenti effettuati dalla società al fine di calcolare i tempi della prestazione lavorativa e i rimborsi di benzina (de facto, dati relativi alle specifiche rilevazioni/coordinate geografiche effettuate con il GPS dello smartphone); dall’altra parte quest’ultima si era limitata ad allegare le mere modalità e le finalità del trattamento dei dati relativi alla geolocalizzazione[6]. In questa occasione, viene rammentato che il diritto riconosciuto all’interessato di accedere ai propri dati oggetto di trattamento nonché alle ulteriori informazioni previste dall’articolo 15 del Regolamento, non può ritenersi soddisfatto attraverso un generico rinvio a quanto contenuto nella privacy policy. Più precisamente, le informazioni che il titolare deve fornire ai fini del corretto esercizio del diritto di accesso devono essere aggiornate e adattate alle operazioni di trattamento effettivamente svolte nei confronti dell’interessato che presenti la richiesta[7].

La definizione di dato personale: geolocalizzazione inclusa

Proseguendo, l’attenzione è posta sulla geolocalizzazione dei lavoratori, i quali avevano dichiarato di essere monitorati in toto nella loro attività lavorativa per mezzo dello smartphone, mentre la società opponeva che gli stessi sono forniti in dotazione al solo fine di consentire ai lavoratori di effettuare una corretta ed automatica lettura dei dati dei contatori utilizzati nell’esecuzione della prestazione lavorativa, escludendo con tale ricostruzione che si possa propriamente parlare di un trattamento di dati personali. Il Garante, in proposito, ricorda in primo luogo la definizione di “dato personale”, inteso come qualsiasi informazione riguardante una persona fisica identificata o identificabile, e si appella in seguito al GDPR, per cui si considera identificabile “… la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale …”[8]. Di qui, – anche qualora la posizione geografica dei lavoratori risulti dal solo momento di contatto con i contatori – si deve ritenere che dalla geolocalizzazione degli smartphone è derivata indirettamente la geolocalizzazione dei reclamanti stessi, e la società ha dunque trattato dati relativi ai lavoratori[9].

Gli orientamenti della Corte di Giustizia dell’Unione Europea

Infine, il Garante chiude la sua argomentazione riportando una prospettiva europea sull’argomento, e si appella alla Corte di Giusta dell’Unione Europea. Più particolarmente, viene posta l’attenzione sulla sentenza CGUE del 22 giugno 2023, C-579/21, con cui la Corte ha approfonditamente trattato il diritto di accesso e compendiato il suo contenuto: viene infatti esplicitamente statuito che “… il diritto di accesso è caratterizzato dall’ampia portata delle informazioni che il titolare del trattamento dei dati deve fornire all’interessato …”[10]; e si enfatizza il ruolo strumentale di detto diritto, il cui corretto e completo esercizio segna un passaggio necessario per garantirne molti altri, dal momento in cui il diritto alla rettifica, cancellazione, limitazione del trattamento, ed ancora, il diritto di agire in giudizio nel caso in cui si subisca un danno, sono consequenziali ad una piena conoscenza da parte dell’interessato delle informazioni sul trattamento[11].

Conclusioni

In conclusione, il provvedimento analizzato rivela chiaramente l’incremento dell’importanza dei dati personali nel contesto lavorativo, rispecchiando le mutevoli esigenze della società civile che richiedono una protezione e un controllo rigoroso di tali informazioni, senza compromessi.

È evidente che il titolare del trattamento deve rispondere alle richieste di accesso degli interessati con informazioni dettagliate e aggiornate, evitando generiche referenze alla privacy policy. Inoltre, la considerazione della geolocalizzazione come dato personale rileva come tale anche quando sembra limitarsi a oggetti e non direttamente al lavoratore, sottolineando l’importanza di una valutazione attenta e completa nel trattamento di dati anche in situazioni apparentemente periferiche al nucleo della prestazione lavorativa.

In un contesto in cui la protezione dei dati diventa sempre più cruciale, questo provvedimento richiama alla responsabilità delle aziende nel gestire con cura e precisione le informazioni personali, anche in scenari apparentemente marginali.

Note


[1] Secondo l’articolo 15, paragrafo 1, del GDPR, “… L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni:

a) le finalità del trattamento;

b) le categorie di dati personali in questione;

c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;

d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

e) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;

f) il diritto di proporre reclamo a un’autorità di controllo;

g) qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;

h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato …”.

[2] Si veda il Considerando 63 del GDPR, per cui “… Un interessato dovrebbe avere il diritto di accedere ai dati personali raccolti che la riguardano e di esercitare tale diritto facilmente e a intervalli ragionevoli, per essere consapevole del trattamento e verificarne la liceità …”; si consideri inoltre sul piano europeo CGUE, 7.5.2009, C-553/07, College van burgemeester en wethouders van Rotterdam/M.E.E. Rijkeboer.

[3] Garante per la Protezione dei Dati Personali, Provvedimento del 14 settembre 2023, doc. web n. 9936174.

Per il testo integrale del provvedimento si veda il seguente LINK.

[4] Sempre secondo l’articolo 12, paragrafo 1, “… Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del

caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite

oralmente, purché sia comprovato con altri mezzi l’identità dell’interessato …”; secondo il paragrafo 2 “… il titolare del trattamento agevola l’esercizio dei diritti dell’interessato ai sensi degli articoli da 15 a 22 …”.

[5] Guidelines 01/2022 on data subject rights – Right of access, Version 1.0, Adopted on 18 January 2022.

Per il testo integrale del documento si consulti il seguente LINK.

[6] All’opposto, secondo l’articolo 12, par. 3, del Regolamento, il titolare del trattamento fornisce all’interessato che esercita uno dei diritti riconosciuti dal Regolamento le informazioni richieste dallo stesso.

[7] Guidelines 01/2022 on data subject rights – Right of access, Version 1.0, Adopted on 18 January 2022, paragrafo 113.

[8] Si veda l’articolo 4, numero 1, del GDPR.

[9] Per approfondimenti sulla geolocalizzazione del lavoratore, si veda il nostro precedente contributo al seguente LINK.

[10] CGUE, 22.6.2023, C-579/21, punto 49.

[11] Ivi, punto 58.

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Social
Analisi
Video
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 3