Lo ha chiarito il TAR Emilia – Romagna, sez. II, con la sentenza n. 618 del 29 luglio 2022.
Una società partecipata emiliana specializzata nella gestione del servizio idrico con circa 100 mezzi in dotazione ha formalizzato una richiesta di nulla osta all’Ispettorato del lavoro in relazione al rinnovo di un precedente accordo sottoscritto e ripetutamente aggiornato con le organizzazioni sindacali ai sensi dell’art. 4 dello Statuto dei lavoratori, relativamente all’impiego di dispositivi di geolocalizzazione sui mezzi aziendali.
L’Autorità sollecitata, specifica la sentenza, rappresentava
«la necessità di ottenere chiarimenti su diversi aspetti alla luce del provvedimento del Garante della privacy n. 396/2018, quali la tipologia di dati trattati, modalità, frequenza e motivazione per l’accesso in tempo reale, periodo di conservazione e anonimizzazione, sistema di registrazione degli accessi, acquisizione dei dati della guida dei lavoratori, numero di dispositivi e possibilità di disattivazione da parte del lavoratore. Con nota 7/8/2019 cadf forniva le informazioni richieste: utilizzo dati personali per i casi di rigorosa necessità e per il tempo strettamente necessario, accesso periodico una o due volte l’anno – salvi casi straordinari – con report anonimizzati, rispetto della pronuncia del Garante n. 138/2017 sul tempo di conservazione con sistemi di cancellazione automatica al termine del periodo, autorizzazione agli accessi al solo personale incaricato acquisizione dei dati di guida con badge del dipendente e rilevazione ad intervalli di 60 secondi, inserimento su tutti i 104 automezzi, possibilità illustrata all’operatore di spegnimento del device e di occultamento del nominativo. Con l’impugnato provvedimento, l’Ispettorato richiamava l’accordo in essere tra richiedente e Rsu, osservando che l’azienda già utilizza l’impianto oggetto della nuova istanza, la quale è finalizzata all’impiego dei dati acquisiti per tutte le finalità connesse al rapporto di lavoro. Ad avviso dell’amministrazione, la tipologia di impianto prevede la raccolta di informazioni non proporzionata con gli scopi rappresentati dalla società, secondo quanto stabilito dal Garante della privacy nei propri provvedimenti».
In buona sostanza secondo l’Ispettorato la richiesta non poteva essere accolta.
Il Collegio ha ribaltato questa decisione con una serie di interessanti argomentazioni che mettono al centro l’analisi dei rischi del trattamento e la necessità di supportare queste determinazioni con una valutazione di impatto privacy, ai sensi dell’art. 35 del Gdpr. Già con il provvedimento dell’Autorità del 04/10/2011, specifica la sentenza, «si è statuito che la possibilità di individuare in un dato momento la posizione dei veicoli mediante sistemi di localizzazione può tuttavia rivelarsi utile per soddisfare esigenze organizzative e produttive ovvero per la sicurezza sul lavoro.
Al par. 3, il Garante ha poi enucleato i principi di pertinenza e non eccedenza, per cui i dati acquisibili possono essere, oltre all’ubicazione del veicolo, la distanza percorsa, i tempi di percorrenza, il carburante consumato, nonché la velocità media del veicolo.
Nel rispetto del principio di necessità la posizione del veicolo di regola non dovrebbe essere monitorata continuativamente dal titolare del trattamento, ma solo quando ciò si renda necessario per il conseguimento delle finalità legittimamente perseguite.
Inoltre con riguardo all’identificazione dei dati personali che possono essere trattati e alla determinazione degli eventuali tempi di loro conservazione, trova generale applicazione l´art. 3 del codice secondo cui i sistemi informativi e i programmi informatici sono configurati riducendo al minimo l´utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l´interessato solo in caso di necessità.
Infine, i tempi di conservazione delle diverse tipologie di dati personali eventualmente trattati devono essere commisurati tenendo conto di ciascuna delle finalità in concreto perseguite».
Nel caso sottoposto all’esame del TAR, prosegue il provvedimento, «è opinione del collegio che parte ricorrente prefiguri un sistema di localizzazione dei numerosi automezzi oggettivamente utile per far fronte a necessità ordinarie e straordinarie.
Premesso che i veicoli sono fruiti soltanto per finalità di servizio e non per scopi personali, è indubbio che dal rapporto di guida si possono trarre informazioni utili a fini statistici, come i tempi effettivi delle operazioni in media alla luce di varie condizioni. L’obiettivo perseguito con l’implementazione delle informazioni appare congruo, consentendo di razionalizzare i tragitti e ottimizzare i costi nel quadro di una migliore organizzazione aziendale complessiva, tenuto conto che l’oggetto dell’attività coincide con il servizio pubblico essenziale di erogazione dell’acqua potabile.
Le necessità organizzative e produttive risultano dunque soddisfatte dalla proposta di integrazione formulata. in buona sostanza, l’esplicitazione delle esigenze datoriali per impianti e strumenti di cui all’art. 4 comma 1 della L. 300/70 facilitano la verifica sulla coerenza del trattamento, mentre per i riflessi sul rapporto di lavoro ex art. 4 comma 3 assume una rilevanza imprescindibile l’informativa individuale. La questione si trasferisce sul terzo profilo assunto a motivo di reiezione, consistente nel deficit di proporzionalità della raccolta di informazioni rispetto agli scopi perseguiti.
L’attenzione dell’Itl è focalizzata sul controllo del personale e sulla possibilità di identificazione con modalità eccedenti lo scopo dichiarato. Si premette che, in questa materia, l’equilibrio degli interessi antagonisti non può erodere il valore fondamentale della dignità del lavoratore, anche se gli interessi economici sono tutelati anche dalla Costituzione».
Le argomentazioni più importanti riguardano però la messa a terra dei principi fondamentali introdotti dal Regolamento europeo sulla protezione dei dati personali.
Specifica infatti la sentenza che il Gdpr «impone una radicale rilettura dei comportamenti in materia di privacy, riconoscendo un ruolo specifico al titolare del trattamento, che non può più limitarsi ad un approccio puramente formale. Il Gdpr enuclea il principio dell’accountability, ossia della responsabilizzazione delle figure coinvolte nella gestione della privacy: quest’ultimo, tenuto conto della natura, del campo di applicazione, del contesto e delle finalità, nonché dei rischi per i diritti e le libertà delle persone fisiche, deve mettere in atto misure tecniche ed organizzative adeguate e costantemente aggiornate per garantire ed essere in grado di dimostrare che il trattamento sia effettuato conformemente al regolamento stesso.
Un elemento introdotto dal Gdpr che risponde al principio suddetto – accanto al dovere del datore di lavoro di fornire adeguata informativa – è rappresentato dall’obbligo di eseguire un c.d. Data protection impact assessment (Dpia), consistente in una valutazione preliminare di impatto posta a garanzia dei diritti del singolo, da espletare ogniqualvolta il trattamento dei dati comporti un rischio per i suoi diritti e le sue libertà (art. 35 Gdpr): essa viene elaborata direttamente dal titolare e consiste nell’analisi di costi e rischi del trattamento, con predisposizione di eventuali contromisure.
L’art. 35 Gdpr individua i casi in cui la valutazione d’impatto è necessaria. Con provvedimento n. 467 dell’11/10/2018 – avente per oggetto l’elenco delle tipologie di trattamenti soggetti al requisito di una valutazione di impatto sulla protezione dei dati ai sensi dell’art. 35 comma 4 del regolamento UE 2016/679 – il Garante della privacy ha stabilito l’obbligo del Dpia per tutti i trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti».
La Dpia, al pari dell’informativa, a parere del Collegio è quindi un requisito di legittimità per il trattamento dei dati personali nell’ambito dell’effettuazione di controlli a distanza mediante gli strumenti rilevanti ai fini dell’art. 4 dello statuto dei lavoratori.
In conclusione
«la pretesa avanzata è fondata e deve essere accolta per le ragioni illustrate, con conseguente obbligo di riedizione del potere amministrativo. L’Itl Ferrara-Rovigo ben potrà impartire specifiche prescrizioni in modo da riportare singoli aspetti entro margini maggiormente accettabili. In questo contesto, può esser utilmente valorizzato lo strumento del Dpia. L’Ispettorato dovrà in definitiva rivalutare l’istanza alla luce delle statuizioni di questo T.A.R».
Presidente Mozzarelli – Estensore Tenca
Fatto
A. La ricorrente eroga il servizio pubblico di captazione, adduzione e distribuzione d’acqua ad usi civili, nonché di fognatura e depurazione, impegnandosi anche nella realizzazione e adeguamento delle infrastrutture di rete. Nell’ampia porzione della Provincia di Ferrara (1.313 Kmq) gestisce la rete idrica per 2.307 km e fognaria per 904 km, oltre a 170 impianti di sollevamento di acqua reflue e a 48 impianti di depurazione.
B. Sottolinea di occuparsi, oltre che delle attività programmate, degli interventi d’urgenza indispensabili per garantire la sicurezza igienico-sanitaria delle risorse idriche, con 26.000 interventi su base annua (su 70.000 utenti complessivi) da parte di 97 addetti, che si avvalgono di oltre 100 automezzi.
C. Rappresenta che, ai fini di una migliore organizzazione delle prestazioni, il 5/5/2004 ha stipulato con le organizzazioni sindacali (di seguito: OOSS) un accordo ex art. 4 della L. 300/70 per istallare un dispositivo di geolocalizzazione sui mezzi aziendali, così da soddisfare esigenze produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale. L’intesa veniva rinnovata il 2/12/2010 e di seguito l’1/12/2013, con specificazione – ai fini del trattamento dei dati – delle modalità di funzionamento del sistema Infomobility istallato dalla Società Targa Telematics Spa. Puntualizza l’esponente che l’apparato rileva la posizione e la modalità d’uso del mezzo in diversi stati (acceso/spento) e permette di ottenere la distanza percorsa e la velocità media del veicolo nonché i tempi di percorrenza; inoltre, rileva automaticamente i dati tecnici che fanno risalire al consumo di carburante, registra i tempi di carico e scarico del veicolo, permette di ottenere il tempo impiegato nei singoli lavori. I dati – conservati per 5 anni – sarebbero custoditi sul server appartenente a Infomobility spa (fornitore ufficiale, designato responsabile del trattamento) e il sistema verrebbe consultato dai Responsabili dei servizi qualora sopravvenga la necessità di verificare la posizione del veicolo per circostanze che esulano dalla normale pianificazione.
D. Con la riforma dell’art. 4 della L. 300/70 ad opera del Jobs Act, e con l’emanazione del regolamento europeo 2016/679 e del D. Lgs. 101/2018, veniva introdotta la facoltà di utilizzo dei dati a fini disciplinari, secondo un percorso procedimentalizzato che presuppone il coinvolgimento delle OOSS e l’informazione preventiva ai lavoratori (art. 4 comma 3 del D. Lgs.).
D.1 Dopo aver interpellato le RSU in data 12/11/2018, che si sono rifiutate di accettare il nuovo testo, quest’ultimo veniva sottoposto all’Ispettorato del Lavoro di Ferrara Rovigo (di seguito: ITL) per acquisire la necessaria autorizzazione.
D.2 L’autorità sollecitata rappresentava, con nota 26/7/2019, la necessità di ottenere chiarimenti su diversi aspetti alla luce del provvedimento del Garante della privacy n. 396/2018, quali la tipologia di dati trattati, modalità, frequenza e motivazione per l’accesso in tempo reale, periodo di conservazione e anonimizzazione, sistema di registrazione degli accessi, acquisizione dei dati della guida dei lavoratori, numero di dispositivi e possibilità di disattivazione da parte del lavoratore.
D.3 Con nota 7/8/2019 CADF forniva le informazioni richieste: utilizzo dati personali per i casi di rigorosa necessità e per il tempo strettamente necessario, accesso periodico una o due volte l’anno – salvi casi straordinari – con report anonimizzati, rispetto della pronuncia del Garante n. 138/2017 sul tempo di conservazione con sistemi di cancellazione automatica al termine del periodo, autorizzazione agli accessi al solo personale incaricato (dotato di credenziali differenziate), acquisizione dei dati di guida con badge del dipendente e rilevazione ad intervalli di 60 secondi, inserimento su tutti i 104 automezzi, possibilità illustrata all’operatore di spegnimento del device e di occultamento del nominativo.
E. Con l’impugnato provvedimento, l’Ispettorato richiamava l’accordo in essere tra richiedente e RSU, osservando che l’azienda già utilizza l’impianto oggetto della nuova istanza, la quale è finalizzata all’impiego dei dati acquisiti per tutte le finalità connesse al rapporto di lavoro (comprese quelle disciplinari). Ad avviso dell’amministrazione, “la tipologia di impianto prevede la raccolta di informazioni non proporzionata con gli scopi rappresentati dalla Società”, secondo quanto stabilito dal Garante della privacy nei propri provvedimenti.
F. Con gravame ritualmente notificato e tempestivamente depositato a mezzo PAT la ricorrente impugna il provvedimento in epigrafe, deducendo in diritto l’erronea interpretazione e applicazione dei criteri di legge e l’eccesso di potere per travisamento dei fatti, dal momento che:
- sull’affermazione del perdurante utilizzo dell’impianto, la legittimità dell’accordo sindacale sottoscritto l’1/12/2013 – ove riconosciuta – dovrebbe refluire sull’autorizzazione richiesta in quanto soddisfa le medesime ragioni organizzative, produttive, di sicurezza dei lavoratori e del patrimonio aziendale; diversamente, l’antinomia tra ragioni enucleate e fabbisogni avrebbe dovuto giustificare la dichiarazione di invalidità dell’intesa in corso di validità (illogicità del ragionamento dell’ITL);
- la prima soluzione è quella corretta, visto che per 3 volte le OOSS si sono espresse positivamente su un sistema di geolocalizzazione satellitare analogo a quello oggetto del procedimento instaurato;
- non corrisponde al vero che la finalità del trattamento delle informazioni è da ricondurre alla gestione del contratto di lavoro (anche a fini disciplinari), visto che è il legislatore ad affermare la liceità del trattamento per tutti i fini connessi all’esecuzione del rapporto di impiego, pur nel rispetto della privacy; l’uso per la lamentata finalità è solo un’opzione, consentita formalmente dal Jobs Act;
- l’amministrazione avrebbe dovuto ragionevolmente rilasciare l’autorizzazione, stante l’integrale sussistenza delle esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale, deducibili non solo dalla cospicua documentazione allegata all’istanza, ma anche dalla stipula di precedenti accordi aventi ad oggetto il medesimo impianto per la soddisfazione delle medesime esigenze aziendali;
- sulla dedotta sproporzione, l’analisi è superficiale, in quanto il monitoraggio sarebbe avvenuto rendendo anonime tutte le informazioni necessarie a finalità logistiche, con disattivazione dei periodi di pausa, e i dati personali sarebbero stati trattenuti per un periodo limitato e per i casi di stretta necessità (con associazione solo indiretta dell’identità della persona al veicolo), e accesso a intervalli temporali sensibilmente intervallati tra loro (1 o 2 volta l’anno) e tramite report anonimizzati;
- l’avvenuta stipula di 3 accordi con le OOSS nel passato depotenzia comunque la declamata sproporzione.
G. Si è costituito in giudizio l’Ispettorato Territoriale del Lavoro, chiedendo il rigetto del gravame.
H. Con ordinanza di questa Sezione n. 174, adottata nella Camera di consiglio del 23/4/2020, è stata rigettata la domanda cautelare, mentre il Consiglio di Stato, con ordinanza della sez. III n. 4316 in data 17/7/2020, ha accolto l’appello ai soli fini di una sollecita trattazione del merito.
I. Nella memoria conclusionale parte ricorrente sostiene che il trattamento dei dati per finalità connesse alla gestione del rapporto di lavoro avrebbe rappresentato un utilizzo soltanto sussidiario – ed in ogni caso lecito – rispetto alle esigenze organizzative e produttive, di garanzia per la sicurezza sul lavoro e di tutela del patrimonio aziendale.
L. All’esito dell’udienza pubblica del 15/7/2021 è stata emessa ordinanza istruttoria per acquisire dall’amministrazione una relazione sui fatti di causa e sui motivi enucleati nel ricorso.
M. In data 21/9/2021 l’Ispettorato ha provveduto al deposito richiesto.
N. Alla pubblica udienza dell’8 giugno 2022 il gravame introduttivo è stato chiamato per la discussione e trattenuto in decisione.
Diritto
La Società ricorrente censura il provvedimento emesso il 24/12/2019, che ha negato l’autorizzazione all’istallazione e all’uso del sistema di geolocalizzazione satellitare sugli automezzi aziendali.
Il gravame è fondato, nei limiti di seguito illustrati.
1. È anzitutto neutra la questione del perdurante utilizzo dell’impianto di geolocalizzazione, in quanto non sono in contestazione le modalità già concordate con le OOSS negli anni precedenti, oggetto di un’intesa perfezionata e confermata fino al 2013.
1.1 Già con provvedimento del Garante della privacy 4/10/2011 n. 370 si è statuito che “la possibilità di individuare in un dato momento la posizione dei veicoli (e quindi dei lavoratori) mediante sistemi di localizzazione può tuttavia rivelarsi utile per soddisfare esigenze organizzative e produttive ovvero per la sicurezza sul lavoro”. Al par. 3, il Garante ha poi enucleato i principi di pertinenza e non eccedenza, per cui i dati acquisibili “possono essere, oltre all´ubicazione del veicolo, la distanza percorsa, i tempi di percorrenza, il carburante consumato, nonché la velocità media del veicolo (restando riservata alle competenti autorità la contestazione di eventuali violazioni dei limiti di velocità fissati dal codice della strada)”.
Nel rispetto del principio di necessità “la posizione del veicolo di regola non dovrebbe essere monitorata continuativamente dal titolare del trattamento, ma solo quando ciò si renda necessario per il conseguimento delle finalità legittimamente perseguite”. Inoltre
<<Con riguardo all´identificazione dei dati personali che possono essere trattati e alla determinazione degli eventuali tempi di loro conservazione, trova generale applicazione l´art. 3 del Codice secondo cui “i sistemi informativi e i programmi informatici sono configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l´interessato solo in caso di necessità”>>.
Infine, “i tempi di conservazione delle diverse tipologie di dati personali eventualmente trattati devono essere commisurati tenendo conto di ciascuna delle finalità in concreto perseguite”.
1.2 L’art. 4 della L. 300/70 – rubricato “Impianti audiovisivi e altri strumenti di controllo” – nel testo innovato dall’art. 23 comma 1 del D. Lgs. 14/9/2015 n. 151, statuisce espressamente al comma 1 che “Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale. In mancanza di accordo, gli impianti e gli strumenti di cui al primo periodo possono essere installati previa autorizzazione delle sede territoriale dell’Ispettorato nazionale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali, della sede centrale dell’Ispettorato nazionale del lavoro. I provvedimenti di cui al terzo periodo sono definitivi”. Ai sensi del successivo comma 3 “Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196”. Nel seguito, la norma si sofferma sull’informativa agli interessati e sui Responsabili e incaricati del trattamento dei dati.
2. La proposta di accordo sottoposta alle OOSS (e da queste non accettata) racchiude le seguenti clausole aggiuntive:
- la localizzazione del veicolo e la trasmissione della posizione rilevata al fine di rendere più efficiente e tempestivo il servizio di manutenzione e pronto intervento – con una migliore allocazione dei veicoli in dotazione, specie in caso di sopravvenienze suscettibili di essere comunicate in tempo reale al e dal conducente – a vantaggio della società e, indirettamente, dell’utenza;
- la localizzazione delle attività di cantiere al fine di pianificare ed eseguire, con la riservatezza necessaria, visite ispettive finalizzate al controllo del rispetto delle norme e procedure di sicurezza;
- l’elaborazione di un rapporto di guida (contenente informazioni relative a tempo di percorrenza, velocità media, distanza e consumo di carburante), si da tener conto del tempo di guida effettivo e delle eventuali interruzioni, nonché di altre operazioni effettuate con il veicolo; tale sistema consente inoltre di monitorare la scadenza degli interventi manutentivi degli autoveicoli e ad effettuare una puntuale programmazione della stessa;”.
3. Nella propria relazione, l’amministrazione rileva che il sistema prescelto consentirebbe di tracciare e localizzare la posizione dell’automezzo “in continuo”, rilevando gli stati di movimento, sosta motore, velocità, e la statistica servirebbe per distribuire i carichi di lavoro tra i “diversi operatori” (cfr. pag. 10 del ricorso). La rilevazione puntuale di chi sta guidando il mezzo è, ad avviso di ITL, scollegata dalla necessità di ottimizzare le attività di pronto intervento: i relativi dati sono sempre recuperabili, anche se in modo indiretto, e comunque le informazioni di guida sono acquisibili ad intervalli di 60 secondi.
4. È opinione del Collegio che parte ricorrente prefiguri un sistema di localizzazione dei numerosi automezzi oggettivamente utile per far fronte a necessità ordinarie e straordinarie (emergenze). Premesso che i veicoli sono fruiti soltanto per finalità di servizio e non per scopi personali, è indubbio che dal rapporto di guida si possono trarre informazioni utili a fini statistici, come i tempi effettivi delle operazioni “in media” alla luce di varie condizioni (traffico, altri contrattempi, etc.). L’obiettivo perseguito con l’implementazione delle informazioni appare congruo, consentendo di razionalizzare i tragitti e ottimizzare i costi nel quadro di una migliore organizzazione aziendale complessiva, tenuto conto che l’oggetto dell’attività coincide con il servizio pubblico essenziale di erogazione dell’acqua potabile (per cui sarebbe possibile, ad esempio, identificare il veicolo più vicino al luogo dove si è verificata un’interruzione nella fornitura). Le necessità organizzative e produttive risultano dunque soddisfatte dalla proposta di integrazione formulata.
4.1 In buona sostanza, l’esplicitazione delle esigenze datoriali per impianti e strumenti di cui all’art. 4 comma 1 della L. 300/70 facilitano la verifica sulla coerenza del trattamento, mentre per i riflessi sul rapporto di lavoro ex art. 4 comma 3 assume una rilevanza imprescindibile l’informativa individuale.
5. La questione si trasferisce sul terzo profilo assunto a motivo di reiezione, consistente nel deficit di proporzionalità della raccolta di informazioni rispetto agli scopi perseguiti. L’attenzione dell’ITL è focalizzata sul controllo del personale e sulla possibilità di identificazione con modalità eccedenti lo scopo dichiarato (una migliore organizzazione).
5.1 Si premette che, in questa materia, l’equilibrio degli interessi antagonisti non può erodere il valore fondamentale della dignità del lavoratore, anche se gli interessi economici sono tutelati anche dalla Costituzione.
6. Nel provvedimento n. 396/2018 del Garante, invocato nel provvedimento gravato, si statuisce quanto segue: <<la raccolta di informazioni particolareggiate sull’attività dei singoli veicoli monitorati dal sistema e, indirettamente, sull’attività degli autisti cui i veicoli sono affidati, quali la ricostruzione su mappa dei percorsi effettuati sia in tempo reale che giornalmente, con ulteriore distinta ricostruzione anche per ciascuna tratta dei percorsi effettuati e delle relative modalità, comprese le pause, con una periodicità della rilevazione anche estremamente ravvicinata non sono proporzionate con gli scopi rappresentati dalla società (v. artt. 11, comma 1, lett. d) del Codice e 5, par. 1, lett. c) del Regolamento (UE) 2016/679) che potrebbero essere utilmente e legittimamente perseguiti con la raccolta di informazioni assai più limitate. Né risulta conforme al principio di proporzionalità la integrale conservazione dei dati raccolti e l’indiscriminato accesso agli stessi, in relazione alle finalità perseguite (v. artt. 11, comma 1, lett. e) del Codice e 5, par. 1, lett. e) del Regolamento (UE) 2016/679; per l’applicazione dei principi di necessità e proporzionalità in relazione a trattamenti di localizzazione di veicoli aziendali si veda anche quanto stabilito dal Garante in Provv. 16.3.2017 n. 138, Provv. 30.11.2017 n. 505, e Provv. 24.5. 2017). Sotto il profilo della proporzionalità del trattamento effettuato, inoltre, si osserva che la società non ha – quantomeno – adottato il pur disponibile dispositivo di disattivazione della rilevazione geografica durante le pause consentite dell’attività lavorativa (c.d. funzione Privacy utilizzabile, secondo quanto dichiarato da YZ S.p.A., anche per il tipo di servizio fornito a XY s.r.l.). Il sistema utilizzato è dunque in concreto idoneo a realizzare il monitoraggio continuo dell’attività del dipendente, in violazione dei principi di necessità, pertinenza e non eccedenza (in relazione agli artt. 3 e 11, comma 1, lett. d) e e) del Codice e 5, par. 1, lett. c) e e) del Regolamento (UE) 2016/679) …>>.
6.1 Il garante si preoccupa, nel caso esaminato, di tutelare gli autisti da un controllo penetrante ed eccessivo, espletato a periodicità ravvicinata.
7. Nella decisione 16/3/2017 il Garante della privacy valuta un sistema di localizzazione satellitare dei veicoli aziendali, capace di verificare i percorsi eseguiti e di valutare le soste. Le potenzialità di controllo, almeno indiretto, ma pervasivo, della prestazione lavorativa risultano evidenti (come anche la possibilità di utilizzare i dati così raccolti a prova dei diritti retributivi del lavoratore) e se le finalità dichiarate dall’impresa non sono disciplinari, ve ne sono alcune che comportano una possibile valutazione del rendimento (commisurazione del tempo di lavoro, congruità ed efficacia del sistema di distribuzione dei carichi di lavoro).
7.1 Il sistema consente di associare i dati rilevati al conducente, seppure non in prima battuta, ma solo sulla base di distinte interrogazioni e quindi con, almeno tendenziale, trattamento anonimo dei dati. Secondo il Garante, le finalità perseguite sono lecite “considerata la loro riconducibilità a finalità organizzative e produttive nonché legate alla sicurezza del lavoro e alla tutela del patrimonio aziendale” e lo strumento utilizzato adeguato ad esse. Il Garante evoca la circolare n. 2 del 7/11/2016 dell´Ispettorato nazionale del lavoro, ai sensi della quale “in linea di massima e in termini generali, si può ritenere che i sistemi di geolocalizzazione rappresentano un elemento «aggiunto» agli strumenti di lavoro, non utilizzati in via primaria ed essenziale per l´esecuzione dell´attività lavorativa, ma, per rispondere ad esigenze ulteriori di carattere assicurativo, organizzativo, produttivo o per garantire la sicurezza del lavoro”.
7.2 A suo avviso, è soddisfatta quindi la regola aurea del bilanciamento di interessi, a condizione che i dati non siano trattati in modo continuativo, ma con una periodizzazione temporale e con un breve termine di conservazione, in relazione alle finalità perseguite. Nello specifico statuisce che “i dati, come dichiarato dalla società, dovranno essere trattati dal sistema non continuativamente bensì con una periodizzazione temporale strettamente aderente ai menzionati principi di pertinenza e non eccedenza in relazione alle finalità perseguite (ai sensi degli artt. 11, comma 1, lett. d) del Codice) (si veda in proposito quanto stabilito dall´Autorità, oltre che nel citato provvedimento generale n. 370/2011, nel provv. 7 luglio 2011, n. 284, doc. web n. 1828354)”. Poi “Si prende altresì atto che la società ha dichiarato di voler trattare dati identificativi solo nel momento in cui ciò si renda necessario per impartire disposizioni a fronte di richieste di intervento, segnalazioni ed emergenze (anche riferite ai dipendenti stessi) e, in particolare, “per il tempo strettamente necessario per evadere la richiesta di intervento o assistenza” (cfr. precedente punto 1.6., lett. a.)”.
7.3 Aggiunge il garante, con riferimento ai rapporti predisposti periodicamente dal sistema – nel caso di specie mensili o con scadenza più ampia – al fine di poter effettuare una più efficiente programmazione dei servizi resi e dell´attività di manutenzione dei singoli veicoli, <<che in base a quanto dichiarato questi non “consentono di risalire all´identità del conducente” ed “hanno valore puramente statistico”>>.
8. Il Garante introduce dunque alcuni vincoli, quali il trattamento non continuativo a intervalli abbastanza ampi, la non identificabilità (in via ordinaria) del dipendente, la conservazione per lo stretto arco temporale necessario. Essi possono formare oggetto di prescrizioni al termine del procedimento amministrativo.
9. Tornando all’odierna vicenda controversa, nella nota di chiarimenti 7/8/2019 (doc. 9 ricorrente) la Società sottolinea che l’accesso a dati quali tipo del mezzo, targa, posizione, stato veicolo, velocità, località, data e ora, avviene a intervalli di 6 mesi tramite report anonimizzati, fatti salvi i “casi di necessità” (par. 2), ossia di richieste di intervento o di emergenze, per il tempo indispensabile. Nella nota medesima (par. 1) si rimarca l’utilizzo dei dati personali di lavoratori “in caso di necessità” per “richieste di intervento, emergenze, incidenti, furti dell’automezzo, salvaguardia del lavoratore”. Dunque, ciò significa che nell’ordinario il dato personale non viene enucleato, salvo affiorino ragioni particolari di urgenza che esigono una pronta risposta. Il tempo “strettamente necessario” riguarderebbe anche il periodo di conservazione (par. 3), con un massimo di 5 anni per il rapporto di lavoro.
10. L’auto-limite introdotto dalla Società risulta pressoché completamente in linea con le precauzioni stabilite dal Garante della privacy.
10.1 Il Regolamento UE 679/2016, invero, impone una radicale rilettura dei comportamenti in materia di privacy, riconoscendo un ruolo specifico al titolare del trattamento, che non può più limitarsi ad un approccio puramente formale. Il GDPR (General data protection regulation) enuclea il principio dell’accountability, ossia della “responsabilizzazione” delle figure coinvolte nella gestione della privacy (cfr. art. 24 rubricato “Responsabilità del titolare del trattamento”): quest’ultimo, tenuto conto della natura, del campo di applicazione, del contesto e delle finalità, nonché dei rischi per i diritti e le libertà delle persone fisiche, deve mettere in atto misure tecniche ed organizzative adeguate e costantemente aggiornate per garantire ed essere in grado di dimostrare che il trattamento sia effettuato conformemente al regolamento stesso.
Un elemento introdotto dal GDPR che risponde al principio suddetto – accanto al dovere del datore di lavoro di fornire adeguata informativa – è rappresentato dall’obbligo di eseguire un c.d. Data Protection Impact Assessment (DPIA), consistente in una valutazione preliminare di impatto posta a garanzia dei diritti del singolo, da espletare ogniqualvolta il trattamento dei dati comporti un rischio per i suoi diritti e le sue libertà (art. 35 GDPR): essa viene elaborata direttamente dal titolare e consiste nell’analisi di costi e rischi del trattamento, con predisposizione di eventuali contromisure.
10.2 L’art. 35 GDPR individua i casi in cui la valutazione d’impatto è necessaria. Con provvedimento n. 467 dell’11/10/2018 – avente per oggetto l’elenco delle tipologie di trattamenti soggetti al requisito di una valutazione di impatto sulla protezione dei dati ai sensi dell’art. 35 comma 4 del regolamento UE 2016/679 – il Garante della privacy ha stabilito l’obbligo del DPIA per tutti i “trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti” (cfr. EWP 248, rev 01, in relazione ai criteri n. 3, 7 e 8).
10.3 Le Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679 – adottate il 4/4/2017 e aggiornate da ultimo il 4/10/2017 – hanno enucleato 9 criteri tra i quali quelli evocati dal Garante ossia:
<<3. monitoraggio sistematico: trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti o “la sorveglianza sistematica su larga scala di una zona accessibile al pubblico” (articolo 35, paragrafo 3, lettera c). Questo tipo di monitoraggio è un criterio in quanto i dati personali possono essere raccolti in circostanze nelle quali gli interessati possono non essere a conoscenza di chi sta raccogliendo i loro dati e di come li utilizzerà. Inoltre, può essere impossibile per le persone evitare di essere soggette a tale trattamento nel contesto di spazi pubblici (o accessibili al pubblico);
7. dati relativi a interessati vulnerabili (considerando 75): il trattamento di questo tipo di dati è un criterio a motivo dell’aumento dello squilibrio di potere tra gli interessati e il titolare del trattamento, aspetto questo che fa sì che le persone possono non essere in grado di acconsentire od opporsi al trattamento dei loro dati o di esercitare i propri diritti. Gli interessati vulnerabili possono includere i minori (i quali possono essere considerati non essere in grado di opporsi e acconsentire deliberatamente e consapevolmente al trattamento dei loro dati), i dipendenti, i segmenti più vulnerabili della popolazione che richiedono una protezione speciale (infermi di mente, richiedenti asilo o anziani, pazienti, ecc.) e, in ogni caso in cui sia possibile individuare uno squilibrio nella relazione tra la posizione dell’interessato e quella del titolare del trattamento;
8. uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative, quali la combinazione dell’uso dell’impronta digitale e del riconoscimento facciale per un miglior controllo degli accessi fisici, ecc. Il regolamento generale sulla protezione dei dati chiarisce (articolo 35, paragrafo 1 e considerando 89 e 91) che l’uso di una nuova tecnologia, definita “in conformità con il grado di conoscenze tecnologiche raggiunto” (considerando 91), può comportare la necessità di realizzare una valutazione d’impatto sulla protezione dei dati. Ciò è dovuto al fatto che il ricorso a tale tecnologia può comportare nuove forme di raccolta e di utilizzo dei dati, magari costituendo un rischio elevato per i diritti e le libertà delle persone. Infatti, le conseguenze personali e sociali dell’utilizzo di una nuova tecnologia potrebbero essere sconosciute. Una valutazione d’impatto sulla protezione dei dati aiuterà il titolare del trattamento a comprendere e trattare tali rischi. Ad esempio, alcune applicazioni di “Internet delle cose” potrebbero avere un impatto significativo sulla vita quotidiana e sulla vita privata delle persone e, di conseguenza, richiedono la realizzazione di una valutazione d’impatto sulla protezione dei dati>>.
10.4 Ogniqualvolta si rientri nell’ambito dell’art. 4, il titolare è tenuto ad effettuare preventivamente un DPIA, che contenga una descrizione del trattamento, una valutazione della necessità dello stesso e dei relativi rischi e le misure di sicurezza previste. Nel caso emergano particolari rischi al termine dell’approfondimento, il titolare è tenuto a consultare il Garante (art. 36 GDPR), il quale entro 8 settimane deve rispondere per iscritto e fornire il proprio parere.
10.5 Il DPIA non è espressamente nominato dall’art. 4 della L. 300/70, e tuttavia il provvedimento del Garante n. 467/2018 ne integra di fatto le disposizioni, individuando questo adempimento, al pari dell’informativa, quale requisito di legittimità per il trattamento dei dati personali nell’ambito dell’effettuazione di controlli a distanza mediante strumenti rilevanti ai fini dell’art. 4 medesimo.
11. Premesso che l’atto impugnato non prende posizione sull’obbligo del DPIA, il Collegio è dell’avviso che le preoccupazioni dell’amministrazione, pur plausibili, debbano essere calibrate sugli impegni che la Società si è assunta.
11.1 Infatti, si ribadisce che la proporzionalità del trattamento di dati personali risulta nella sostanza assicurata dalla Società ricorrente, con l’impegno ad estrarre le informazioni a intervalli di 6 mesi tramite report anonimizzati, fatti salvi i “casi di necessità” (cfr. proposta di accordo alle OOSS, par. 2), ossia di richieste di intervento immediato o di emergenze. La locuzione “in caso di necessità” è un tipico concetto giuridico indeterminato, e tuttavia il contenuto è identificato in “richieste di intervento, emergenze, incidenti, furti dell’automezzo, salvaguardia del lavoratore”. Viene sottolineata la preventiva informazione del personale dipendente, e che in via ordinaria l’identificazione (nome e cognome) non viene effettuata, salve appunto le ragioni di urgenza che esigono una pronta risposta. Il periodo di conservazione è pari ad un massimo di 5 anni per questioni attinenti al rapporto di lavoro, con cancellazione automatica al termine del periodo.
12. In conclusione, la pretesa avanzata è fondata e deve essere accolta per le ragioni illustrate, con conseguente obbligo di riedizione del potere amministrativo. L’ITL Ferrara-Rovigo ben potrà impartire specifiche prescrizioni (ad esempio, sull’esemplificazione dei “casi di necessità” per definirne i contorni in modo più puntuale, sui tempi massimi di conservazione, sulla periodizzazione temporale della rilevazione) in modo da riportare singoli aspetti entro margini maggiormente accettabili. In questo contesto, può esser utilmente valorizzato lo strumento del DPIA (peraltro obbligatorio).
L’Ispettorato dovrà in definitiva rivalutare l’istanza alla luce delle statuizioni di questo T.A.R..
13. Le spese di giudizio seguono la soccombenza sono liquidate come da dispositivo.
P.Q.M.
Il Tribunale Amministrativo Regionale per l’Emilia Romagna (Sezione Seconda) definitivamente pronunciando accoglie il ricorso in epigrafe per le ragioni illustrate nella motivazione, e per l’effetto annulla il provvedimento impugnato.
Condanna l’amministrazione resistente a corrispondere alla parte ricorrente la somma di 3.500 € a titolo di compenso per la difesa tecnica, oltre a oneri di legge.
Ordina che la presente sentenza sia eseguita dall’autorità amministrativa.
La presente sentenza è depositata con le modalità previste dal processo telematico, e la Segreteria della Sezione provvederà a darne comunicazione alle parti.
