Geolocalizzazione dei dispositivi aziendali: 5 step da seguire per introdurli lecitamente in azienda

I sistemi di geolocalizzazione dei dispositivi aziendali (veicoli, tablet e smartphone) sono spesso strumentali all’ottimizzazione delle risorse e costituiscono una potenziale soluzione alle esigenze di tutela del patrimonio aziendale. Per tali ragioni, ricorrervi costituisce spesso un’ipotesi molto allettante per le Aziende. Al contempo però, l’utilizzo di questi strumenti nel contesto lavorativo incontra precisi limiti dettati dalla disciplina giuslavoristica da un lato e di protezione dei dati personali dall’altro.

Innanzitutto, è opportuno comprendere che tutto quanto previsto sul tema si applica alle ipotesi in cui le informazioni raccolte con i sistemi GPS siano riconducibili, anche in modo indiretto ai dipendenti dell’Azienda, quindi a tutte quei casi in cui il datore di lavoro possa risalire a “chi usa cosa e quando” anche mediante consultazione di altri dati o documenti non necessariamente connessi ai sistemi di localizzazione.

Ecco 5 step che le Aziende devono seguire per introdurre la localizzazione dei dispositivi aziendali.

Ricorrere a sistemi GPS in Azienda significa innanzitutto introdurre un nuovo trattamento di dati personali che deve necessariamente attraversare un “percorso di adeguamento sostanziale” a quanto previsto dal GDPR.

La prima scelta che l’Azienda dovrà compiere riguarda infatti il software da utilizzare. Potrà verificarsi che l’Azienda intenda sviluppare il software con le proprie risorse interne oppure, come avviene nella maggior parte dei casi, la scelta ricadrà su un fornitore esterno.

Qualunque sia la scelta aziendale, uno dei primi adempimenti previsti dal GDPR consiste nell’implementazione delle misure tecniche ed organizzative a protezione dei dati già nella fase di progettazione del sistema di geolocalizzazione. Privacy by design e by default significa creare o ricorrere a software che siano integrati delle garanzie necessarie a soddisfare i requisiti del GDPR e che consentano di trattare, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Ciò significa che l’Azienda dovrà determinare quali finalità intende perseguire e configurare il sistema in modo che il trattamento dei dati sia proporzionato e limitato a quanto concretamente perseguito.

ATTENZIONE: per il principio di accountability il Titolare deve “fare e dimostrare”, quindi è sempre bene munirsi di una procedura aziendale e di un modulo di implementazione della privacy by design e by default che può essere conservato a riprova di aver adempiuto all’art. 25 del GDPR.

2. Valutazione del fornitore

Qualora l’Azienda decida di ricorrere a risorse esterne, dovrà valutare attentamente i software GPS disponibili sul mercato, tenendo bene a mente che i sistemi offerti nella loro versione standard non sempre sono privacy by design e by default. Per questo, prima di scegliere il fornitore, l’Azienda dovrà chiedere evidenza di come il software risponde ai requisiti GDPR.

È consigliabile ricorrere ad un prodotto che può essere calibrato sulle proprie necessità, ad esempio mediante la configurazione degli intervalli temporali di rilevamento della posizione o dei tempi di conservazione dei dati in modo limitato e proporzionato alle finalità perseguite.

Inoltre, nel caso in cui il fornitore possa accedere ai dati personali raccolti dai sistemi di GPS – come peraltro avviene nella quasi totalità dei casi – l’Azienda dovrà ricorrere unicamente ad un fornitore che “presenti garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del regolamento e garantisca la tutela dei diritti dell'interessato” e dovrà nominarlo Responsabile del trattamento con apposito contratto, nel rispetto dell’art. 28 del GDPR.

3. Valutazione d’impatto (DPIA)

L’Azienda dovrà poi prevedere nel “processo di adeguamento sostanziale” la Valutazione d’Impatto (DPIA) del nuovo trattamento che consiste in un processo volto a descrivere il trattamento che si intende effettuare, a valutarne la proporzionalità e la necessità rispetto alle finalità perseguite nonché a gestire i rischi per i diritti e le libertà degli interessati ad esso connessi, con l’individuazione dei medesimi e delle misure necessarie ad affrontarli.

La localizzazione dei dispositivi aziendali e, di conseguenza, dei lavoratori, consiste in un trattamento di dati connotato da particolare invasività con riguardo ai dipendenti (considerati soggetti vulnerabili), tanto che il Garante per la protezione dei dati personali lo ha ricompreso nell’elenco dei trattamenti ad elevato rischio per i quali la DPIA è obbligatoria.

4.Accordo sindacale / Istanza di Autorizzazione all’Ispettorato del Lavoro

L’Azienda potrà introdurre sistemi GPS dai quali derivi la possibilità di controllo dei lavoratori, ma solo a condizione che sia raggiunto uno specifico accordo con le rappresentanze sindacali presenti in Azienda oppure, laddove esse non siano presenti o l’accordo non sia stato raggiunto, che sia richiesta e ottenuta l’apposita autorizzazione dell’Ispettorato del Lavoro.

Lungi dal costituire mere formalità, l’accordo sindacale o l’autorizzazione dell’Ispettorato costituiscono forse il momento più delicato del processo di introduzione di sistemi di geolocalizzazione dei dispositivi aziendali. Infatti, l’Azienda dovrà essere in grado di redigere un documento che esponga in maniera dettagliata le concrete esigenze correlate all’uso di sistemi GPS e la proporzionalità tra tali esigenze e le specifiche funzionalità del sistema.

ATTENZIONE: l’eventuale installazione di tali strumenti prima del raggiungimento dell’accordo o dell’ottenimento dell’autorizzazione comporta la violazione dell’art. 4 dello Statuto dei lavoratori.

5.Informazione ai dipendenti

Da ultimo, l’Azienda dovrà adempiere ai doveri di informazione sia ai sensi dello Statuto dei Lavoratori – per cui potrà utilizzare le informazioni raccolte mediante i sistemi di geolocalizzazione a tutti i fini connessi al rapporto di lavoro, ma solo dopo aver informato i dipendenti in tal senso – sia ai sensi del GDPR – per cui il datore dovrà fornire l’informativa sul trattamento dei dati personali ai sensi dell'art. 13.