Il Garante per la protezione dei dati personali autorizza l’utilizzo da parte di alcune imprese di smartphone per la rilevazione delle presenze dei dipendenti e individua precise garanzie e misure di sicurezza.
App per timbrare il cartellino. Alcune imprese attive nel settore del lavoro interinale hanno presentato al Garante privacy la richiesta di verifica preliminare, ai sensi dell’articolo 17 del Codice in materia di protezione dei dati personali, in relazione al trattamento di dati personali connesso all’installazione di specifica applicazione su smartphone finalizzata alla effettuazione della timbratura del cartellino e della rilevazione delle presenze. Il ricorso a tale applicazione si rende necessario da parte delle imprese sopra citate in quanto molti dipendenti svolgono la propria mansione fuori sede ovvero in somministrazione presso i clienti. I dati rilevati consentono, infatti, la geolocalizzazione dei dipendenti riferita alla posizione geografica dell’apparecchiatura terminale dell’utente di un servizio di comunicazione elettronica accessibile al pubblico. Il sopra citato trattamento di dati rilevati dallo smartphone che la persona si porta sempre con sé, indipendentemente dalla distinzione tra tempo di lavoro e tempo di non lavoro presenta rischi specifici per la libertà, i diritti e la dignità del dipendente ai sensi dell’articolo 17 del Codice privacy come riconosciuto dal parere 13/2011 del gruppo Garanti europei articolo 29 . Contemperare le esigenze aziendali con i principi del diritto alla protezione dei dati personali dei dipendenti. Il Garante ha esaminato, nella richiesta di verifica preliminare e attraverso i dovuti approfondimenti, le misure poste a garanzia degli interessati dalle imprese e ha ritenuto che il trattamento dei dati di rilevazione delle presenze e assenze possa essere effettuato della disciplina sul c.d. “bilanciamento di interessi” in applicazione ai sensi dell’articolo 24, primo comma, lett. g . Il sopra citato articolo 24 del codice Privacy prevede che, non è necessario il consenso al trattamento dei dati personali, nei casi individuati dal Garante sulla base dei princìpi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell'interessato. Le finalità del trattamento dei dati, relative alle attività di verifica dell’orario di inizio e fine della prestazione lavorativa sono lecite in quanto il sistema prospettato dalle due società consente di realizzare significativi risparmi di gestione con eliminazione di lettori di badge , semplificare e incrementare l’efficienza e la certezza dell’attività di rilevazione delle presenze dei lavoratori somministrati, anche in vista di possibili abusi. Il Garante ha rappresentato che tale sistema di rilevazione favorisce l’effettiva certificazione delle ore lavorate, dell’avvenuta effettuazione della prestazione lavorativa a tutela dei diritti riconosciuti dall’ordinamento al lavoratore. Il Garante ha richiamato l’attenzione sul rispetto dei principi di necessità, pertinenza e non eccedenza dei dati trattati e ha prescritto alle società di cancellare il dato relativo alla posizione del lavoratore, avendo verificato preventivamente l'associazione tra le coordinate geografiche della sede di lavoro e la posizione del lavoratore, conservando, eventualmente, il solo dato relativo alla predetta sede di lavoro, alla data e all'orario cui si riferisce la timbratura Il Garante ha richiesto alle società di configurare il sistema in modo tale che sul dispositivo sia posizionata un'icona che indichi che la funzionalità di localizzazione è attiva e di adottare specifiche misure idonee a garantire che l'applicativo installato sul dispositivo del dipendente non possa effettuare trattamenti di dati ultronei es. dati relativi al traffico telefonico, agli sms, alla posta elettronica o alla navigazione in internet o altro . Il Garante ha prescritto alle società di effettuare la notificazione telematica preventiva ai sensi dell’articolo 37, primo comma, lett. a del Codice privacy in quanto siamo in presenza di trattamenti di dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica. Le società dovranno inoltre fornire ai dipendenti, in conformità del principio di correttezza previsto dall’articolo 11, primo comma, lett. a , un’informativa comprensiva di tutti gli elementi richiesti dall’articolo 13 quali tipologia di dati, finalità e modalità di trattamento, tempi di conservazione, natura facoltativa del conferimento, indicazione dei soggetti che possono venire a conoscenza dei dati in qualità di responsabili o incaricati del trattamento. Il Garante ha prescritto alle società di procedere alla designazione di incaricati e responsabili al trattamento e di prevedere ed impartire specifiche istruzioni. Le società dovranno adottare le misure di sicurezza previste dall’articolo 33 del Codice privacy al fine di preservare l’integrità dei dati trattati e prevenire l’accesso agli stessi da parte di soggetti non autorizzati e dovranno predisporre misure al fine di garantire agli interessati l’esercizio dei diritti previsti dagli articolo 7 e seguenti del Codice della privacy. Conservazione dei dati trattati. Il Garante privacy ha inoltre stabilito la conservazione dei dati trattati limitatamente alle informazioni che possono essere annotate nel libro unico del lavoro per un periodo di cinque anni connesse alle finalità di documentazione del rapporto di lavoro libro unico del lavoro. Il Garante ha specificato che potranno essere conservati i soli dati necessari a perseguire le finalità di fatturazione per il periodo indicato dalla normativa articolo 220 c.c. dieci anni . Il provvedimento è di interesse in quanto indica concrete soluzioni e misure per contemperare le esigenze aziendali con i principi del diritto alla protezione dei dati personali dei dipendenti che sempre più sovente svolgono la propria mansione o al di fuori della sede ovvero in somministrazione presso clienti. L’importanza di questo applicativo. L’applicativo sottoposto all’attenzione del Garante per la protezione dei dati personali risulta utile non solo alle imprese ma anche ai lavoratori in quanto consente un corretto conteggio e retribuzione delle ore effettivamente lavorate comprese lo straordinario e anche una gestione corretta ed efficiente degli infortuni sul lavoro che avvengono dopo la firma di presenza. Viene lasciato al dipendente la libertà di scelta rispetto all’utilizzo dell’applicazione in esame i dipendenti che non intendono scaricare l’applicazione sui propri smartphone potranno continuare a entrare e uscire dal posto di lavoro impiegando i sistemi tradizionali in uso. Il provvedimento conferma l’importanza anche in ottica di nuovo regolamento europeo in materia di protezione dei dati personali della valutazione di impatto privacy e del rispetto dei principi di privacy by design e privacy by design all’interno delle imprese e organizzazioni nella progettazione di nuovi applicazioni, servizi e software.
PP_AMM_Garanteprivacy_alovisio_s