Il Garante Privacy ha richiesto ad una società che si occupa della raccolta dei rifiuti per conto della municipalizzata di un comune toscano di individuare dispositivi elettronici alternativi che non ledano la dignità della persona e di conformare i trattamenti di dati relativi ai dipendenti ai principi applicabili in materia di protezione dei dati personali. La società aveva consegnato a più di 70 dipendenti addetti alla pulizia delle strade dei dispositivi indossabili dotati anche di un localizzatore gps, con i quali effettuare la lettura delle etichette elettroniche collocate sui cestini getta rifiuti e segnalare l’eventuale spostamento di quelli non ancorati al suolo. Lo scopo della società era quello di monitorare il lavoro svolto per l’azienda municipalizzata comunale. Tuttavia, solo in un secondo momento, ossia dopo l’avvio dell’istruttoria del Garante Privacy, la società aveva provveduto a stipulare un accordo sindacale nel quale si stabiliva, tra l’altro, la lettura quotidiana dei tag per ogni turno di lavoro e si limitava l’attivazione del gps al massimo ad un turno di lavoro a settimana, previa comunicazione al lavoratore. Il Garante Privacy, pur ritenendo tale configurazione non in contrasto con i principi di necessità e proporzionalità del Regolamento Ue rispetto alle finalità perseguite dalla società, ha tuttavia ritenuto doveroso individuare ulteriori misure maggiormente rispettose della dignità dei lavoratori. Infatti, sebbene i “braccialetti” siano collegati alle zone di spazzamento e non ai singoli dipendenti, attraverso i registri dei turni di lavoro è possibile individuare il dipendente che ha effettuato le rilevazioni dei tag e, quando previsto, la relativa geolocalizzazione mediante il gps. Il Garante ha quindi prescritto alla società di individuare tempi di conservazione dei registri, cartacei e digitali, strettamente necessari a gestire le eventuali contestazioni da parte dell'azienda municipalizzata e descrivere nel dettaglio i casi specifici nei quali sarà possibile incrociare le informazioni. Analoghe cautele dovranno essere adottate nei confronti dei dati raccolti attraverso la lettura giornaliera dei tag, in grado di ricostruire nel dettaglio l’attività del lavoratore. La società dovrà, inoltre, adottare misure tecnologiche e organizzative per mantenere separate le basi di dati, in particolare quelli trattati attraverso i registri, quando ne sia comunque necessaria la conservazione a fini amministrativi. Da ultimo, la società dovrà effettuare la valutazione d’impatto sulla protezione dei dati alla luce delle concrete caratteristiche del sistema tecnologico che si intende adottare ai sensi dell’art. 35 GDPR.
