Con il provvedimento n. 181 del 29 marzo 2018, l’Autorità Garante della Privacy, interpellata ai sensi dell’articolo 17 del c.d. Codice della Privacy (1), si è espressa in merito all’installazione del GPS sui veicoli della Polizia Locale del Comune di Cava Manara (PV) e di altri Comuni convenzionati.
Il sistema di geolocalizzazione, infatti, rilevando la posizione dei veicoli, determina un trattamento di dati personali, in una fattispecie sulla quale il Garante è ancora chiamato a pronunciarsi (2): la tabella di registrazione infatti, che associa ogni veicolo al singolo operatore che lo prende in carico, rende possibile l’identificazione di quest’ultimo.
Un siffatto trattamento è lecito, poichè effettuato nello svolgimento di funzioni istituzionali (ai sensi dell’art. 18, co. 2, D. Lgs. 196/2003), purchè nel rispetto dei principii di cui all’art. 11, co. 1, lett. a) e d) del medesimo decreto, ossia: proporzionalità, finalità e necessità.
Preso atto, dalla documentazione prodotta, dell’adozione di alcuni dovuti accorgimenti da parte del Comune, il Garante della Privacy raccomanda, altresì, i seguenti comportamenti, al fine di evitare eventuali violazioni della normativa sulla riservatezza:
1) scopo del GPS deve essere esclusivamente la coordinazione delle attività e una più efficiente gestione del servizio di polizia e di eventuali situazioni critiche e d’emergenza; pertanto, è vietato il monitoraggio costante della posizione del veicolo (che configurerebbe un controllo sugli operatori, vietato dall’art. 4 dello Statuto dei Lavoratori), sebbene la posizione vada comunque rilevata con cadenza periodica frequente, al fine di gestire eventuali emergenze e criticità e per la sicurezza degli operatori stessi;
2) fornire una completa e chiara informativa agli operatori, secondo le prescrizioni dell’art. 13 Codice Privacy, su modalità e scopo del sistema di geolocalizzazione adottato;
3) predisporre le misure per consentire l’accesso ai dati personali da parte degli interessati, ex art. 7 Codice Privacy;
4) consentire l’accesso ai dati monitorati solo al personale autorizzato tramite credenziali di autenticazione differenziata, che dividano le funzioni di vari incaricati nell’ambito dello stesso trattamento, in modo da non permettere a tutti di conoscere tutto;
5) rimuovere quotidianamente le tabelle di presa in carico dei veicoli, per non permettere l’ulteriore identificabilità degli operatori;
6) cancellare effettivamente e definitivamente i contenuti delle tabelle suddette, entro 30 giorni, mediante misure organizzative preordinate, comprese le misure di sicurezza di cui agli artt. 31 e segg. del Codice Privacy.
Come accennato sopra, al punto 1 dell’elenco, poichè il trattamento-dati consentito dal GPS avviene nel contesto di un rapporto di lavoro, occorrerà rispettare anche le prescrizioni del novellato art. 4 della Legge n. 300/1970 (c.d. Statuto dei Lavoratori); quindi, tutti gli strumenti dai quali derivi anche un controllo a distanza dell’attività dei lavoratori potranno essere utilizzati esclusivamente per esigenze di carattere organizzativo e produttivo, di sicurezza, generale e del lavoro, e di tutela del patrimonio aziendale; il tutto, previo accordo sindacale o, nei casi contemplati dalla legge, autorizzazione da parte dell’Ispettorato del Lavoro.
In mancanza dell’ accordo o del provvedimento alternativo di autorizzazione, l’installazione dell’apparecchiatura è illegittima e penalmente sanzionata.
Indubbiamente, nonostante le prescrizioni della legge e del Garante, la materia è delicata perchè rischia di contrapporre diritti egualmente meritevoli di tutela (diritto alla riservatezza, diritto alla dignità del lavoratore, diritto alla sicurezza e principio di efficienza dell’azione amministrativa, per citarne alcuni); l’unica via percorribile, pertanto, è il contemperamento tra istanze che rappresentano funzioni sociali fondamentali.
(1) Art. 17. Trattamento che presenta rischi specifici
1. Il trattamento dei dati diversi da quelli sensibili e giudiziari che presenta rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare, è ammesso nel rispetto di misure ed accorgimenti a garanzia dell’interessato, ove prescritti.
2. Le misure e gli accorgimenti di cui al comma 1 sono prescritti dal Garante in applicazione dei principi sanciti dal presente codice, nell’ambito di una verifica preliminare all’inizio del trattamento, effettuata anche in relazione a determinate categorie di titolari o di trattamenti, anche a seguito di un interpello del titolare.
(2) Con la imminente applicabilità del Regolamento U.E. 2016/679, la Valutazione d’Impatto sulla Privacy (art. 35 Reg. U.E.) sostituirà la fattispecie di cui all’art. 17 dell’attuale Codice della Privacy, demandando la responsabilità della valutazione al titolare del trattamento-dati.
