Timbratura tramite smartphone? Sì, ma occhio alla privacy

Oggigiorno si assiste alla diffusione e alla progettazione di nuovi strumenti che possono accelerare il lavoro nelle aziende e diminuire gli scarti e le perdite. Un esempio lampante che si sta diffondendo in tale periodo è quello relativo alle timbrature del cartellino e alla rilevazione delle presenze a distanza. Il fine di tali strumenti è ovviamente quello di consentire la semplificazione e la maggiore efficienza dell’attività di rilevazione delle presenze dei dipendenti fuori dalle strutture aziendali.

Sembra tutto molto allettante dal punto di vista imprenditoriale, ma prima di partire “in quarta” vediamo cosa dice la normativa in materia di privacy (D.lgs.196 del 2003 – Codice privacy) e il Garante per la protezione dei dati personali sul punto.

Prima di tutto occorre dire che, in generale, l’uso di tale sistema può comportare il trattamento di dati particolari, ovvero i dati di geolocalizzazione (GPS) che secondo l’art. 17 del Codice privacy possono determinare effetti particolarmente invasivi sulla sfera di autodeterminazione dell’interessato e, conseguentemente, sul suo comportamento presupporrebbe un’analisi da parte dell’Autorità garante, attraverso appunto la nota verifica preliminare.

Ricordo che la richiesta di verifica preliminare consiste nell’avvio di un procedimento, preventivo al trattamento, che può durare anche 12 mesi e che presuppone l’adempimento di alcune attività (redazione della richiesta, presentazione delle informazioni necessarie, pagamento dei diritti di segreteria, etc.). L’uso dello strumento in argomento potrà avvenire ovviamente solo dopo la ricezione dell’autorizzazione dell’Autorità.

Nel caso di inadempimento della verifica preliminare e quindi dell’art. 17 del D.lgs. 196 del 2003, l’Autorità in caso di controlli può sottoporre il Titolare del trattamento alla sanzione penale della reclusione da uno a tre anni (ex art. 167, co. 2, del D.lgs. 196 del 2003) e alla sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro (art. 162, co. 6-bis, del D.lgs. 196 del 2003).

Ma non preoccupatevi, esiste un’eccezione alla verifica preliminare:

Come noto, sono esclusi dalla verifica preliminare quei meccanismi per i quali il Garante per la protezione dei dati personali si sia già espresso con un provvedimento di verifica preliminare in relazione a determinate categorie di titolari del trattamento o di trattamento in sé.

Pertanto, tornando alla questione della timbratura da remoto non c’è bisogno di procedere ad una verifica preliminare al Garante laddove la fattispecie concreta corrisponda integralmente a quella per cui l’attività di timbratura da remoto sia stata già approvata dall’Autorità.

Detto ciò, naturalmente, vi indico che l’Autorità garante si è già espressa sul punto con il provvedimento dell’8 settembre 2016 che risponde a una richiesta di verifica preliminare presentata da un’agenzia interinale riguardante appunto il trattamento dei dati personali connesso all’installazione di una specifica applicazione ˗ contenente una funzionalità di localizzazione geografica ˗ sul dispositivo smartphone dei dipendenti, preordinata all’effettuazione della “timbratura del cartellino e la rilevazione delle presenze”.

Nel rispondere alla verifica l’Autorità ha dato il via libera all’uso di tale tecnologia, ma a condizione che:

• i dati personali relativi alla geolocalizzazione vengano trattati adottando particolari cautele in quanto i dispositivi smartphone sono, in considerazione delle normali potenzialità d’uso e dell’utilizzo comune degli stessi, destinati a “seguire” la persona che li detiene indipendentemente dalla distinzione tra tempo di lavoro e tempo di non lavoro;
• il sistema cancelli le coordinate geografiche della posizione del lavoratore, avendo verificato preventivamente, al fine di scongiurare possibili abusi, l’associazione tra le coordinate geografiche della sede di lavoro e la posizione del lavoratore e conservando, eventualmente, il solo dato relativo alla predetta sede di lavoro, la data e l’orario cui si riferisce la timbratura;
• deve rimanere in ogni caso ferma l’alternatività con i sistemi in uso che restano a disposizione (anche) dei dipendenti che prestano servizio all’interno della struttura aziendale;
• se la società intende avvalersi dei dati raccolti con il sistema anche per la regolare tenuta del libro unico del lavoro, potrà conservare per cinque anni i dati necessari, limitatamente alle informazioni che nello stesso devono essere annotate in base alla disciplina di riferimento. Analogamente, con riferimento alla conservazione per finalità di fatturazione, potranno essere conservati per i tempi stabiliti dalla legge (conformemente a quanto disposto dall’art. 2220 c.c.) i soli dati necessari a perseguire la predetta finalità, come disciplinata dall’ordinamento.

Oltre alle suddette indicazioni, ovviamente, occorre ricordare che ai sensi dell’attuale normativa (Codice privacy) ci sono altre attività da compiere nel caso d’uso di tale tecnologia, ovvero:

• fare la notificazione al Garante ai sensi dell’art. 37, del Codice privacy;
• effettuare la designazione di incaricati e responsabili del trattamento impartendo loro specifiche istruzioni, ex artt. 29 e 30 del Codice privacy;
• fornire ai dipendenti un’informativa ex art. 13 del Codice privacy;
• adottare le misure di sicurezza previste dagli artt. 31 ss. del Codice privacy;
• predisporre misure al fine di garantire agli interessati l’esercizio dei diritti previsti dagli artt. 7 e ss del Codice privacy.

In ogni caso, oltre a quanto sopra detto, occorre tener presente gli adempimenti di cui all’art. 4 dello Statuto dei lavoratori (L. 300 del 1970).

Detto ciò, come noto alla data del 25 maggio prossimo, data di applicazione degli adempimenti previsti dal nuovo GDPR (Regolamento europeo n. 2016/679), parte degli adempimenti documentali/sistemistici adottati ai sensi del D.lgs.196 del 2003 dovranno essere modificati e aggiornati:

• in merito alla notificazione e alla verifica preliminare, si chiarisce che l’art. 35 del nuovo GDPR introduce l’istituto della valutazione d’impatto la DPIA (Data Protection Impact Assessment o PIA), in precedenza non previsto dalla Direttiva 95/46/CE e dal Codice privacy. In sintesi la DPIA sostituirà dal 25 maggio 2018 l’obbligo di notifica e di verifica preliminare all’Autorità Garante, ex art. 37 del Codice privacy, e consiste in una valutazione preliminare, fatta dallo stesso Titolare del trattamento, degli impatti a cui andrebbe incontro un trattamento laddove dovessero essere violate le misure di protezione dei dati.
• le informative, nell’ottica di adeguarle al Regolamento europeo, dovranno essere integrate inserendo specifiche indicazioni relative ai periodi di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione; all’indicazione del DPO (se nominato); al diritto di presentare un reclamo all’autorità di controllo, etc.;
• le nomine dovranno essere integrate rispetto alla nuova disciplina europea; etc.

La domanda che le società che intendono oggi adottare il sistema di timbratura a distanza, quindi, è: sarà il caso aspettare di adottare il sistema fino al 25 maggio per evitare un “doppio lavoro”?