Sentenze - Consulente Legale Informatico

Collegamento al sito web www.consulentelegaleprivacy.itCollegamento al sito web www.consulentelegale231.itCollegamento al sito web www.consulenteconservazionesostitutiva.itCollegamento al sito web www.consulentelegalevideosorveglianza.it
Venerdi, 25 aprile 2014 ore 01:04

Offerte Formative


Informazioni sui certificati SSL
DIRITTO INFORMATICO
  231
  Abuso informazioni vigilate
  Accertamento
  Accesso abusivo ad un sistema informatico...
  Adempimenti conseguenti ad una violazione...
  Adr
  Advertising on line
  Amministratore di sistema
  Attività particolarmente rischiose
  Autenticazione informatica
  Autorità di certificazione
  Banca Dati
  BBS
  Beta
  Biometria
  Blocco
  Cache
  CAD
  Carta d'identità elettronica
  Cessazione del trattamento
  Cloud computing
  Codice etico
  Commercio Elettronico
  Comunicazione
  Comunicazioni Telematiche
  Concorrenza sleale on line
  Conservatore accreditato
  Conservazione
  Conservazione sostitutiva di documenti analogici
  Contratti
  Controllo a distanza lavoratori
  Cookies
  Copyright
  Corruzione in atti giudiziari
  Credenziale autenticazione
  Cyberconsumatore
  Danneggiamento di sistemi informatici o telematici
  Danneggiamento sistemi informatici di pubblica utilità
  Danno Informatico
  Dati di ubicazione
  Dati giudiziari
  Dati identificativi
  Dati relativi al traffico
  Dati sensibili
  Dato anonimo
  Dato personale
  Detenzione e diffusione abusiva di codici di accesso
  Diffamazione on line
  Diffusione
  Diritto all’oblio
  Diritto della telefonia
  Diritto di accesso
  Diritto d’autore
  Diritto penale informatico
  Documento informatico
  Documento programmatico
  Documento programmatico sulla sicurezza
  Domain name
  Firma digitale
  Firma elettronica qualificata
  Frode Informatica ai danni dello Stato o altro ente
  Garante
  Illeciti penali
  Impronta digitale del documento
  Incaricati privacy
  Informativa
  Informativa "minima"
  Installazione apparecchiature atte a ...
  Intercettazioni, impedimento o ...
  Interessato
  Intermediazione tel.ca
  Manuale della conservazione sostitutiva
  Marca temporale
  Misspelling
  Misure minime
  Moneta elettronica
  Mousetrapping
  Normativa antinfortunistica
  Notificazione
  ODR
  ODV
  Outsourcing
  Pagamento elettronico
  Parola chiave
  Port scan
  Posizionamento
  Posta Elettronica
  Principio di necessità
  Privacy
  Provider
  Pubblica amministrazione
  Reati ambientali
  Reclamo
  Registrazione
  Registro delle opposizioni
  Regolamento informatico
  Responsabile della Conservazione
  Responsabile privacy
  Responsabilità content provider
  Responsabilità forum
  Responsabilità mailing list
  Responsabilità newsletter
  Rete pubblica
  Reti di comunicazione elettronica
  Ricorso
  Riferimento temporale
  Rilevazione
  Risoluzione
  Riversamento diretto
  Riversamento sostitutivo
  Safe Harbor
  Scopi scientifici
  Scopi statistici
  Scopi storici
  Screening sito web
  Segnalazione
  Separazione logica delle immagini registrate
  Sistema autorizzazione
  Sistemi integrati
  Sistemi intelligenti
  Software
  Sottoscrizione elettronica
  Spamming
  Spionaggio industriale
  Statuto dei Lavoratori
  Telelavoro
  Telemarketing
  Titolare privacy
  Trasferimento
  Trasferimento dati all’estero
  Trattamento
  Verifica preliminare
  Videosorveglianza
  Violazione dati personali
  Violazioni Amministrative
  Webmaster
Sentenze

Localizzazione dei veicoli aziendali a prova di privacy. Verifica preliminare presentata da Loex s.r.l.

Garante Privacy

Localizzazione dei veicoli aziendali a prova di privacy. Verifica preliminare presentata da Loex s.r.l. - 7 luglio 2011

Registro dei provvedimenti
n. 285 del 7 luglio 2011

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale;

Esaminata la richiesta di verifica preliminare presentata da Loex s.r.l. ai sensi dell´art. 17 del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

Visti gli atti d´ufficio;

Viste le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Giuseppe Fortunato;

PREMESSO

1. Trattamento di dati mediante sistemi di localizzazione satellitare

1.1. Loex s.r.l., società che svolge "attività di commercializzazione di prodotti per il riscaldamento ed il raffrescamento a pavimento" nonché di trasporto in proprio degli stessi, ha formulato una richiesta di verifica preliminare in relazione al trattamento di dati personali che intende effettuare mediante un sistema di localizzazione satellitare da installare a bordo dei veicoli aziendali. Detto sistema di localizzazione, fornito da altra società (di seguito, denominata "fornitore del servizio"), consente all´istante di perseguire due finalità:

a. la localizzazione del veicolo, la cui guida può di volta in volta essere affidata a conducenti diversi, e la trasmissione della posizione rilevata: ciò al fine di impartire (in forma orale o scritta) disposizioni logistiche e scambiare con il conducente altre comunicazioni;

b. l´elaborazione di un rapporto di guida (contenente informazioni relative a tempo di percorrenza, velocità media, distanza e consumo di carburante), sì da tener conto del tempo di guida effettivo e delle eventuali interruzioni, nonché di altre operazioni effettuate con il veicolo. Ciò, allo scopo di commisurare il tempo di lavoro, con la conseguente eliminazione della redazione manuale dei rapporti di guida da parte del conducente, e la conseguente retribuzione dovuta (cfr. comunicazione pervenuta il 7 giugno 2011), nonché per assolvere gli obblighi legali connessi alla tenuta del libro unico del lavoro.

A detta della società, inoltre:

c. i dati rilevati grazie al sistema in esame, rispetto al quale si dichiara di aver implementato le necessarie misure di sicurezza, verrebbero acquisiti secondo criteri previamente concordati per il tramite del fornitore del servizio e, con riguardo alla localizzazione del veicolo, resi fruibili in caso di necessità; essi verrebbero conservati "su server di proprietà di Velta Italia s.r.l., società appartenente allo stesso gruppo";

d. il fornitore del servizio verrà designato responsabile del trattamento ai sensi dell´art. 29 del Codice;
e. la stessa procederà ad effettuare la notificazione al Garante del trattamento dei dati relativi alla localizzazione ai sensi dell´art. 37, comma 1, lett. a) del Codice;

f. "verranno autorizzate a trattare i dati unicamente le persone che per necessità delle mansioni svolte devono poter accedere ai dati relativi al trattamento de quo", designandole quali incaricati del trattamento (in conformità all´art. 30 del Codice): nel dettaglio si tratta del sig. Massimo Fabricatore e del responsabile della logistica magazzino.

1.2. La società ha altresì prodotto il provvedimento autorizzativo rilasciato ai sensi dell´art. 4, comma 3, l. n. 300/1970 dal competente Ufficio tutela sociale del lavoro della Provincia autonoma di Bolzano dal quale si evince che:

i. l´uso del sistema "al fine del telecontrollo delle attività lavorative dei dipendenti è vietato. I dati raccolti non potranno essere usati per provvedimenti disciplinari";

ii. "la registrazione dei dati non potrà andare oltre le necessità della disposizione logistica, della telecomunicazione di servizio e dei rapporti di viaggio relativi alla manutenzione del mezzo e l´identificazione del mezzo e rispettivamente del guidatore non dovrà eccedere la durata assolutamente necessaria".

1.3. Nel corso dell´istruttoria (cfr. comunicazione pervenuta il 1° giugno 2011) la società ha precisato che:

a. il sistema che intende installare rileverebbe dati ulteriori rispetto a quelli raccolti mediante i tachigrafi di cui sono dotati i veicoli, consentendo di gestire in modo compiuto gli adempimenti correlati al rapporto di lavoro (ad esempio registrando i tempi di carico e scarico del veicolo che, pur non essendo registrati dal tachigrafo, costituiscono comunque "tempo di lavoro" che la società deve commisurare), nonché quelli connessi alla gestione dei rapporti contrattuali con la clientela;

b. dalla reportistica si desumerebbero la distanza percorsa e la velocità media del veicolo (necessaria al responsabile della logistica per distribuire i carichi di lavoro tra i diversi conducenti) nonché i tempi di percorrenza (necessari alla commisurazione del tempo di lavoro);

c. la posizione del veicolo non sarebbe monitorata dalla società continuativamente: "nella sede della società usualmente il sistema è spento, viene acceso solo nel momento in cui il responsabile della logistica ha necessità di verificare la posizione del veicolo e comunicare con il conducente";

d. "il sistema rileva automaticamente anche i dati tecnici relativi ai giri del motore ed alla frenata", nonché, in relazione a ciascun veicolo, quelli relativi "al consumo di carburante e ai chilometri percorsi […] utili al momento della vendita dell´automezzo";

e. i dati relativi ai conducenti degli automezzi "andrebbero conservati per 5 anni, ossia per il periodo per il quale, a mente dell´art. 6, DM 9 luglio 2008, va conservato il libro unico del lavoro" – diversamente dal biennio indicato nell´originaria istanza (cfr. comunicazione del 16.3.2011) –, intervallo temporale che coinciderebbe con il termine di prescrizione per eventuali azioni relative al pagamento della retribuzione (comprensiva di emolumenti straordinari).

1.4. Gli elementi richiesti dall´art. 13 del Codice al fine di rendere l´informativa agli interessati sono contenuti nel modello allegato dalla società alla propria istanza di verifica preliminare (in atti), nel quale i tempi di conservazione dei dati trattati sono indicati in due anni (in merito v. infra punti 4 e 5) e si segnala quale terzo cui i dati verranno trasmessi la società fornitrice del servizio (in merito v. infra i punti 5 e 7).

2. Applicabilità del Codice in materia di protezione dei dati personali
Il caso sottoposto a verifica preliminare riguarda un trattamento di dati personali relativi a conducenti di veicoli aziendali (ed eventualmente ad altri lavoratori trasportati dai medesimi veicoli), con particolare riferimento alla loro localizzazione; i dati relativi all´ubicazione dei veicoli, in quanto (direttamente o indirettamente) associati ai conducenti, costituiscono anche informazioni personali riferibili a questi ultimi (art. 4, comma 1, lett. b), del Codice). Ciò, anche nel caso in cui i dati di localizzazione del veicolo non siano associati immediatamente dal sistema informativo al nominativo dei conducenti, atteso che la società è comunque in condizione di risalire in ogni momento al lavoratore di volta in volta assegnatario di ciascun veicolo (cfr., in proposito, Parere n. 5/2005 sull´uso di dati relativi all´ubicazione al fine di fornire servizi a valore aggiunto del Gruppo di lavoro ex art. 29, direttiva n. 95/46/Ce, WP115, p. 10; v. altresì Parere n. 4/2007 sul concetto di dati personali del Gruppo di lavoro ex art. 29, direttiva n. 95/46/Ce, WP136, p. 11).
A tali trattamenti trova pertanto applicazione (anche) la disciplina contenuta nel Codice. Tale circostanza, peraltro, non è revocata in dubbio dalla società istante che non solo ha presentato l´istanza in esame, ma si è altresì già dotata di apposita autorizzazione da parte del competente Ufficio tutela sociale del lavoro della Provincia autonoma di Bolzano ai sensi dell´art. 4, comma 3, l. n. 300/1970.

3. Finalità del trattamento

3.1. Le finalità del trattamento dichiarate dalla società – e sopra indicate al punto 1.1. lett. a) e b) – in relazione al funzionamento del sistema di localizzazione risultano lecite.

Secondo quanto prospettato dalla società, il sistema di localizzazione dei veicoli (e indirettamente dei conducenti) e di comunicazione nei confronti della società è preordinato a rendere più efficiente il servizio di trasporto merci – con una migliore allocazione dei veicoli in dotazione, specie in caso di sopravvenienze suscettibili di essere comunicate in tempo reale al e dal conducente – a vantaggio della società (e, indirettamente, della clientela).

Per il perseguimento delle finalità indicate, riconducibili ad esigenze organizzative e produttive della società, dovranno essere trattati i soli dati idonei a rilevare, quando necessario, la posizione dei veicoli nonché le informazioni indispensabili alla compilazione del rapporto di guida e per la commisurazione di costi da imputare alla clientela (quali la distanza percorsa e il relativo consumo di carburante).

Per quanto riguarda le predette finalità, la società potrà entro tali limiti avvalersi del sistema di localizzazione e trattare i dati personali necessari al suo funzionamento, avendo già assolto gli obblighi previsti dall´art. 4 della legge 20 maggio 1970, n. 300 (nello stesso senso v. il decreto del Ministero del lavoro e delle politiche sociali, Direzione generale della tutela delle condizioni di lavoro, Divisione IV, 24 giugno 2004, in tema di installazione di impianti di controllo satellitare su autovetture di pronto intervento di un´impresa erogatrice di gas, nonché la risposta a una istanza di interpello del medesimo Ministero, Direzione generale per l´attività ispettiva, prot. n. 25/I/0006585 del 28 novembre 2006, in materia di localizzazione mediante computer palmari assegnati in dotazione a informatori scientifici del farmaco).

3.2. Considerata l´istanza presentata, non potranno, invece, essere trattati dati ulteriori rispetto a quelli necessari alle predette finalità, in particolare "i dati tecnici relativi ai giri del motore ed alla frenata", non essendo questi ultimi necessari per il perseguimento delle finalità dichiarate.
Peraltro, tali informazioni sono suscettibili di determinare un controllo sulla condotta di guida del conducente, finalità che la società ha dichiarato di non intendere perseguire e, comunque, non autorizzata dal competente Ufficio tutela sociale del lavoro della Provincia autonoma di Bolzano.

La società, pertanto, ai sensi dell´art. 3 del Codice, dovrà adottare adeguate soluzioni tecnologiche, affinché non vengano trattate le menzionate informazioni relative allo stile di guida dei conducenti, impartendo al riguardo opportune istruzioni al fornitore del servizio.

4. Conservazione dei dati trattati
I dati personali trattati mediante il sistema di localizzazione e comunicazione in esame non potranno essere conservati per un tempo superiore a quello necessario al conseguimento delle finalità legittimamente perseguite nonché per dare attuazione agli obblighi di legge gravanti sul titolare del trattamento (art. 11, comma 1. lett. e), del Codice).

Fermi restando gli obblighi di conservazione previsti dall´art. 14, comma 2, Reg. (CEE) 20 dicembre 1985, n. 3821, la società potrà, pertanto, conservare per cinque anni i dati personali necessari alla regolare tenuta del libro unico del lavoro, in conformità all´art. 6, D.M. 9 luglio 2008 (Modalità di tenuta e conservazione del libro unico del lavoro e disciplina del relativo regime transitorio), limitatamente ai dati che nello stesso devono essere annotati ai sensi dell´art. 39 d.l. 25 giugno 2008, n. 112 (convertito in legge, con modificazioni, dall´art. 1, comma 1, l. 6 agosto 2008, n. 133), con particolare riferimento ai dati dei lavoratori relativi alle presenze, alle ferie e ai tempi di lavoro, anche straordinario, e di riposo (cfr. anche art. 8, d.lg. 19 novembre 2007, n. 234 come modificato dall´art. 40, comma 3, d.l. n. 112/2008 nonché la risposta al quesito n. 20 resa dal Ministero del lavoro, della salute e delle politiche sociali nel Vademecum sul libro unico del lavoro).

Altri dati, necessari per finalità logistiche durante l´esecuzione del servizio di trasporto (si pensi ai dati relativi alla velocità del veicolo), potranno essere ulteriormente trattati per attività di monitoraggio o di pianificazione soltanto se opportunamente anonimizzati (artt. 3 e 11, comma 1, lett. e), del Codice).

Nessun limite deriva dalla disciplina di protezione dei dati personali ove le informazioni concernenti la gestione del parco automezzi (quali quelle relative a consumo di carburante e commisurazione delle distanze percorse dai singoli veicoli) siano trattate senza riferimento ai conducenti, anche in ragione della necessaria attività di manutenzione dei singoli veicoli o in vista di una loro eventuale alienazione.

5. Informativa agli interessati

L´informativa potrà essere resa agli interessati conformemente al modello in atti (cfr. punto 1.4.), provvedendo però:

a. alla rettifica dei tempi di conservazione ivi indicati dei dati pertinenti e non eccedenti trattati, in conformità a quanto stabilito al punto precedente;

b. all´indicazione della società fornitrice del servizio quale responsabile del trattamento e non quale terzo cui i dati vengono comunicati (v. punto 7);

c. a menzionare Velta Italia s.r.l. quale responsabile del trattamento in relazione alla conservazione dei dati rilevati dal sistema di localizzazione installato sugli autoveicoli (cfr. punto 7.2).

6. Bilanciamento di interessi
Salvi i trattamenti di dati personali necessari per dare esecuzione al rapporto di lavoro nonché per quelli la cui tenuta è prevista da un obbligo di legge (per i quali il consenso degli interessati non è richiesto ai sensi, rispettivamente, dell´art. 24, comma 1, lett. b) ed a) del Codice), con riguardo alle finalità sopra indicate al punto 1.1., considerata l´intervenuta autorizzazione di un organo periferico dell´amministrazione del lavoro in conformità alla previsione di cui all´art. 4, comma 3, l. n. 300/1970, la società istante potrà effettuare lecitamente il trattamento dei dati personali relativi all´ubicazione dei propri dipendenti per effetto del presente provvedimento che individua un legittimo interesse al trattamento in applicazione della disciplina sul c.d. bilanciamento di interessi ai sensi dell´art. 24, comma 1, lett. g), del Codice.

7. Rapporto tra la società istante e altre società

7.1. L´esternalizzazione delle attività finalizzate alla localizzazione dei veicoli ed alla comunicazione della posizione rilevata grazie a un apposito contratto di collaborazione, asseconda legittime esigenze organizzative in base alle quali la società istante, "titolare del trattamento", si avvale del fornitore del servizio che viene a rivestire, ai sensi dell´art. 29 del Codice, il ruolo di "responsabile del trattamento" (in tal senso cfr. i pareri resi il 19 dicembre 1998, in www.garanteprivacy.it, doc. web n. 41941 e l´8 giugno 1999, doc. web n. 1092666).

Il fornitore del servizio, chiamato a operare in base ad un apposito contratto, non gode di spazi di autonomia in ordine alle finalità perseguibili (salva la necessaria autonomia dal punto di vista tecnico per fornire il servizio richiesto), atteso che il potere decisionale in relazione alle medesime finalità rimane in capo alla società di trasporto (cfr. in tal senso già il parere del 9 dicembre 1997, doc. web n. 30915; Provv. 16 febbraio 2006, doc. web n. 1242592).

Pertanto, l´accordo con il fornitore del servizio deve delimitare gli obiettivi da raggiungere ed orientare al loro esclusivo perseguimento le operazioni di trattamento dei dati effettuate, nonché individuare analiticamente i dati pertinenti e non eccedenti da trattare (artt. 3, 4, comma 1, lett. g) e 29 del Codice).

L´attività del fornitore del servizio dovrà quindi essere vincolata dalle istruzioni impartite dal titolare, che a loro volta devono tener conto delle prescrizioni stabilite dal Garante con il presente provvedimento.

7.2. Analoghe valutazioni devono essere svolte rispetto ad altra società (appartenente al medesimo gruppo), Velta Italia s.r.l., alla quale l´istante intende rimettere il compito relativo alla conservazione dei dati rilevati dal sistema di localizzazione  installato sugli autoveicoli: anche tale società dovrà, pertanto, essere designata responsabile del trattamento ai sensi dell´art. 29 del Codice ed alla stessa dovranno essere impartite le  necessarie istruzioni, anche in relazione ai tempi di conservazione dei dati conformemente a quanto indicato in narrativa al punto 4.

TUTTO CIÒ PREMESSO IL GARANTE

a conclusione della verifica preliminare relativa all´utilizzo di un sistema di localizzazione satellitare che Leox s.r.l. (con l´ausilio di altre società responsabili del trattamento) intende effettuare per finalità connesse alla gestione logistica dei propri veicoli e per l´assolvimento di adempimenti connessi alla gestione del rapporto di lavoro nonché dei rapporti contrattuali con la propria clientela, ammette il trattamento nei termini descritti in narrativa, fermo restando che:

1. ai sensi degli artt. 17 e 154, comma 1, lett. c), del Codice, la società:

a. per il perseguimento delle finalità indicate, dovrà trattare i soli dati idonei a rilevare, quando necessario, la posizione dei veicoli nonché le informazioni indispensabili alla compilazione del rapporto di guida e per la commisurazione di costi da imputare alla clientela (punto 3.1);

b. dovrà adottare adeguate soluzioni tecnologiche affinché non vengano trattati dati relativi allo stile di guida dei conducenti, impartendo al riguardo opportune istruzioni al fornitore del servizio designato responsabile del trattamento (punti 3.2 e 7.1);

c. potrà conservare per cinque anni i dati personali necessari a dare esecuzione all´obbligo di regolare tenuta del libro unico del lavoro, limitatamente ai dati che nello stesso devono essere annotati (punto 4);

d. dovrà designare Velta Italia s.r.l. quale responsabile del trattamento in relazione alla conservazione dei dati rilevati dal sistema di localizzazione installato sugli autoveicoli (punto 7.2), impartendo alla stessa le necessarie istruzioni anche in relazione ai tempi di conservazione dei dati conservati, conformemente a quanto prescritto al punto 1 lett. b);

e. nel rendere l´informativa agli interessati ai sensi dell´art. 13 del Codice, conformemente al modello di informativa in atti, dovrà però:

i.  indicare in cinque anni il tempo di conservazione dei dati, pertinenti e non eccedenti, trattati mediante il sistema di localizzazione (punti 4 e 5);

ii. indicare la società fornitrice del servizio quale responsabile del trattamento e non quale terzo cui i dati vengono comunicati (punti 5 e 7.1);

iii. menzionare Velta Italia s.r.l. quale responsabile del trattamento in relazione alla conservazione dei dati rilevati dal sistema di localizzazione installato sugli autoveicoli (punti 5 e 7.2).

2. considerata l´intervenuta autorizzazione del competente Ufficio tutela sociale del lavoro della Provincia autonoma di Bolzano in conformità alla previsione di cui all´art. 4, comma 3, l. n. 300/1970, per effetto del presente provvedimento individua in capo alla società un legittimo interesse al trattamento dei dati relativi all´ubicazione dei propri dipendenti in applicazione della disciplina sul c.d. bilanciamento di interessi ai sensi dell´art. 24, comma 1, lett. g), del Codice.

Roma, 7 luglio 2011

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
De Paoli

Il sito è di proprietà della Di & P s.r.l., gestito dalla medesima ed ospitante alcune pagine gestite dallo Studio Legale Frediani che contribuisce alla stesura di approfondimenti e news. Il sito non costituisce rivista elettronica.

La Di & P s.r.l. ha sede in Montecatini Terme, via Cividale n.51 interno 2. È iscritta presso il Registro delle Imprese di Pistoia con numero 167988 , P.IVA 01651060475.
Capitale sociale sottoscritto € 10.000 interamente versato

Tutti i siti del network Consulente Legale Informatico sono Copyright © 2002-2014 di DI & P srl - Powered by Romyx