Il Garante per la privacy ha ordinato a Tim il pagamento di una sanzione di 900mila euro per violazioni nel trattamento dei dati personali di circa 8000 dipendenti, raccolti tramite un sistema dotato di Gps installato sugli smartphone aziendali. L’Autorità inoltre ha prescritto alla società le necessarie misure correttive e le ha vietato la conservazione dei dati trattati dal sistema finché non si sia messa in regola. La multa arriva nello stesso mese in cui il Garante ha già sanzionato la società di telecomunicazioni con 28 milioni di euro per il telemarketing selvaggio.
La modalità di raccolta dei dati dei tecnici sul campo
Si chiude così, con la sazione di 900mila euro, il procedimento avviato dal Garante a seguito di un reclamo e delle segnalazioni di alcuni sindacati che lamentavano irregolarità nei trattamenti di dati effettuati da Tim mediante il sistema di Work Force Management ( nWFM), utilizzato dai tecnici “on field”, che raccoglie dati anagrafici, timbrature, turni, inizio-fine intervento, localizzazione attraverso il Gps di alcuni tipi di guasti. I sindacati lamentavano di non aver ricevuto informazioni del fatto che i dati raccolti attraverso il sistema, il cui uso era stato autorizzato dall’Ispettorato del lavoro per esclusivi fini di tipo organizzativo e di tutela del patrimonio e sicurezza, venissero utilizzati anche per altri scopi (ad es., analisi dei tempi e modalità di esecuzione degli interventi, attribuzione di incentivi economici). Il trattamento di dati, a giudizio dei sindacati, appariva quindi sproporzionato rispetto a quello autorizzato ed effettuato in violazione delle norme sulla protezione dati.
Le violazioni accertate dal Garante privacy
Dagli accertamenti svolti dall’Autorità sono emerse numerose carenze sia nelle informative rese ai dipendenti – in particolare, nel periodo che va da novembre 2017 ad agosto 2019 – sia nelle policy aziendali.
Per quanto riguarda gli effettivi tempi di conservazione dei dati raccolti dal sistema, Tim, infatti, conservava i dati per 5 anni, mentre nell’informativa dichiarava un termine massimo di 6 mesi. Ciò in violazione del Regolamento Ue in base al quale il titolare è tenuto a fornire all’interessato – prima dell’inizio dei trattamenti – tutte le informazioni relative alle caratteristiche essenziali del trattamento. Tim, peraltro, in base al generale principio correttezza dei trattamenti, avrebbe dovuto informare esattamente i dipendenti sui reali tempi di conservazione, anche perché la società dichiarava di riservarsi l’uso dei dati “per tutti i fini connessi al rapporto di lavoro”. Nessuno dei documenti forniti dalla società, poi, conteneva riferimenti all’impiego di algoritmi per la gestione della distribuzione delle attività e per la corresponsione di incentivi economici. Anche questa operazione era quindi effettuata in violazione del Regolamento che impone al titolare di informare l’interessato in presenza di un trattamento realizzato attraverso un processo automatizzato.
Il Garante ha vietato a Tim l’utilizzo dei dati dei lavoratori raccolti mediante il sistema nWFM nel periodo 2017-2019
Il Garante ha vietato a Tim l’utilizzo dei dati dei lavoratori raccolti mediante il sistema nWFM nel periodo 2017-2019 e le ha ordinato di individuare le tipologie di dati personali con i relativi tempi di conservazione, commisurati a ciascuno degli scopi che intende perseguire. Il trattamento dei dati dei dipendenti raccolti mediante sistemi tecnologici che consentono il controllo a distanza, infatti può essere effettuato solo nei limiti dei dati raccolti e dell’arco temporale commisurato alla specifica finalità di tipo organizzativo o produttivo, oppure legata alla sicurezza del lavoro o alla tutela del patrimonio aziendale (art. 4 comma 1, Statuto dei lavoratori).
Tim dovrà infine modificare l’informativa adeguandola al Regolamento Ue e configurare il sistema in modo tale che sugli schermi degli smartphone compaia, ben visibile, una icona che indichi quando la funzione di localizzazione è attiva.
Le misure e le modifiche richieste dovranno essere introdotte in tempi stabiliti, mentre il pagamento della sanzione dovrà essere effettuato entro trenta giorni.