Il provvedimento del Garante del 14 settembre 2023 (doc. web n. 9936174) ha come oggetto il diritto di accesso previsto dal regolamento sulla protezione dei dati.
Gli aspetti che sono stati toccati non sono nuovi ma offrono l’opportunità di meglio contestualizzare i diversi profili di quello che, probabilmente in termini di ampiezza dell’ambito di esercizio, è il diritto più importante fra quelli elencati dagli articoli da 15 a 22 del GDPR.
Il provvedimento esamina, direttamente o indirettamente:
- Funzione del diritto di accesso GDPR
- Possibile esercizio strumentale dello stesso
- Contenuto del diritto
- Modalità in caso di diniego
- Distinzioni tra informativa, registro dei trattamenti e accesso, in termini di trasparenza.
Fatti
La vicenda riguarda il servizio di erogazione di gas, luce e acqua: l’azienda di utility committente si avvale di un’appaltatrice (cioè, la società titolare del trattamento destinataria del provvedimento) che con proprio personale effettua la lettura dei contatori delle utenze, tramite un’apposita app realizzata da un fornitore terzo.
L’app installata su dispositivi smartphone forniti in dotazione ai dipendenti addetti alla lettura, dispone di una funzione con segnale gps che consente, quando è attiva, di localizzare l’apparecchio e, quindi, il suo possessore.
L’attivazione della funzione è rimessa alla discrezione del dipendente in quanto essa diventa attiva solo all’accensione del dispositivo e serve per individuare il contatore di riferimento e il percorso che l’addetto deve compiere per raggiungerlo. Siccome le attività lavorative svolte sono specificamente retribuite, la società in questione calcola le retribuzioni ed anche il rimborso delle spese chilometriche del dipendente tramite il tracciato della app.
Essendo insorta una controversia di lavoro tra l’azienda e tre lavoratori in merito al calcolo di queste retribuzioni, costoro esercitano il diritto di accesso di cui all’articolo 15 del GDPR, chiedendo specificamente i dati relativi al tracciato di geolocalizzazione a ciascuno di loro riferiti.
I dispositivi forniti ai dipendenti hanno installato anche una piattaforma di Mobile Device Management (“MDM”) che consente al fornitore della app di effettuare manutenzione dell’apparecchio da remoto e al datore di lavoro di gestire i dati acquisiti in sicurezza, potendo persino cancellarli in caso di furto, smarrimento o violazione rilevata.
Continua…