Se diciamo “braccialetti Amazon”, a quasi tutti viene in mente la polemica nata all’inizio del 2018 su una tecnologia brevettata (e mai implementata) dalla multinazionale per il controllo delle attività dei dipendenti. Molti meno ricorderanno l’episodio che ha invece coinvolto i lavoratori dell’azienda che si occupa del servizio di nettezza urbana nella città di Livorno, dotati di un braccialetto che ne monitorava l’attività. Quasi nessuno, per finire, sarà al corrente del fatto che il Garante della privacy ha dato ragione ai lavoratori, e quella tecnologia dovrà essere ritirata. La decisione del Garante è arrivata il 28 febbraio 2019, ed è poi stata fatta circolare nella newsletter del 25 marzo.
I dispositivi avevano il sistema satellitare (gps)
Secondo quanto riportato dal Corriere della sera quando la polemica ha avuto inizio, il Comune di Livorno avrebbe dichiarato che «Non è un sistema di controllo, non c’è il satellite (Gps) ma un semplice lettore, come quelli usati quando si fa la spesa al supermercato, che certifica solo lo svuotamento di un cestino. Una tecnologia al servizio del cittadino che paga le tasse e nulla a che vedere con Amazon». A leggere il pronunciamento del Garante, si tratterebbe di una dichiarazione che contiene alcune falsità. All’articolo 2.1 del documento viene infatti riportata una nota della società fornitrice del servizio (AVR Spa), dove si legge che «il dispositivo “Discovery Mobile Gps Gprs” è composto da: 1. un lettore di tag RFID con tecnologia UHF; 2. un modulo GPRS integrato; 3. un modulo GPS integrato». Quindi, se anche l’obiettivo di Aamps (l’azienda che svolge il servizio di nettezza urbana) non era controllare la posizione dei lavoratori, sarebbe stato tecnicamente possibile, ed è dunque falso affermare che «non c’è il satellite». Tra l’altro il dispositivo gps era stato disattivato solo dopo l’avvio dell’istruttoria da parte dell’Autorità per la tutela della privacy, con un accordo sindacale «nel quale si stabiliva, tra l’altro, la lettura quotidiana dei tag per ogni turno di lavoro e si limitava l’attivazione del gps al massimo ad un turno di lavoro a settimana, previa comunicazione al lavoratore».
Era possibile risalire all’identità del lavoratore
Il fatto che non si tratti di un sistema di “controllo” sembra implicitamente fare riferimento al fatto che il dispositivo non sia associato ai dati del lavoratore, e quest’ultimo non sia quindi identificabile. Una circostanza negata dal Garante, che specifica che «Sebbene i “braccialetti” siano collegati alle zone di spazzamento e non ai singoli dipendenti, attraverso i registri dei turni di lavoro è possibile individuare il dipendente che ha effettuato le rilevazioni dei tag e, quando previsto, la relativa geolocalizzazione mediante il gps». In altre parole, se anche il braccialetto non ha un sistema di “login” che identifica l’utente, è sufficiente controllare sul software di gestione dei turni chi lavora e in quale zona, per ricostruire facilmente e con precisione l’identità del lavoratore. Il Garante sembra lasciare maggiore discrezionalità alla società sulla gestione dei dati e l’eventuale incrocio degli stessi per contestazioni da parte della municipalizzata: «Il Garante ha quindi prescritto alla società di individuare tempi di conservazione dei registri, cartacei e digitali, strettamente necessari a gestire le eventuali contestazioni da parte della società municipalizzata e descrivere nel dettaglio i casi specifici nei quali sarà possibile incrociare le informazioni. Analoghe cautele dovranno essere adottate nei confronti dei dati raccolti attraverso la lettura giornaliera dei tag, in grado di ricostruire nel dettaglio l’attività del lavoratore. La società dovrà, inoltre, adottare misure tecnologiche e organizzative per mantenere separate le basi di dati, in particolare quelli trattati attraverso i registri, quando ne sia comunque necessaria la conservazione a fini amministrativi».
A Lucca una situazione simile, ma un atteggiamento diverso dei sindacati
Interessante notare che lo stesso sistema di controllo tramite Rfid-Gps è in uso a Lucca, ma lì i sindacati non hanno ritenuto di dover proteggere i lavoratori. Vedremo se il Garante deciderà di procedere d’ufficio come nel caso di Livorno. Ecco forse uno dei problemi che riguardano la copertura mediatica delle questioni legate alla protezione dei dati personali: se ne parla solo quando è coinvolto un grande nome (tipo Amazon). In questo caso, nonostante i 70 dipendenti direttamente interessati, se ne è parlato in maniera sommaria, quasi solo a livello locale e senza raccontare (almeno finora) l’esito della vicenda.