È possibile tracciare, tramite geolocalizzazione, le entrate e le uscite del lavoratore da una determinata area di costo? Ancora, è possibile verificare che il lavoratore in trasferta/missione stia effettivamente lavorando nel luogo previsto dall’incarico? Oppure tracciarne la presenza in una determinata area di costo attraverso la sua impronta digitale o il riconoscimento facciale o altri dati biometrici?
Vediamo, dunque, gli aspetti da verificare per stabilire quando l’utilizzo di applicativi software per tali finalità può ritenersi legittimo da parte del datore di lavoro.
Innanzitutto, occorre considerare sia la normativa sui controlli a distanza dei lavoratori, contenuta nell’art. 4 L. 300/1970 (come recentemente modificato dal cd. Jobs Act contenuto nel D. Lgs. 14 settembre 2015, n. 151), sia quella sulla protezione dei dati personali, dettata dal Regolamento europeo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (General Data Protection Regulation – GDPR) 2016/679/UE e dal D. Lgs. 196/2003 (Codice in materia di protezione dei dati personali, così come da ultimo modificato dal D.Lgs. n. 101/2018).
Tali normative, in effetti, devono necessariamente essere considerate in combinato disposto, alla luce del fatto che, attraverso tali strumenti e software che comportano l’utilizzo di tecnologie satellitari o sistemi di riconoscimento biometrico, il datore di lavoro (che è titolare del trattamento, ai sensi dell’art. 24 GDPR) effettua trattamenti di dati personali dei lavoratori/interessati al trattamento, anche appartenenti a categorie particolari di dati personali (art. 9 del GDPR).
Occorre considerare, inoltre, che il mancato rispetto delle regole in materia di protezione dei dati personali potrebbe rendere illegittimo, non solo l’utilizzo del dato personale da parte del datore di lavoro, ma anche il provvedimento che dovesse essere adottato a seguito del trattamento illegittimo del dato, anche qualora si tratti di provvedimenti di natura disciplinare.
In argomento, risulta di fondamentale importanza l’informativa relativa al trattamento dei dati personali che il lavoratore deve ricevere, anche in relazione all’uso degli strumenti, dei dati e dei sistemi informatici predisposti dal datore di lavoro, prevedendo l’adozione e la diffusione di una policy o di un regolamento aziendale. Occorre ricordare, infatti, che chiunque tratti dati personali (in qualità di titolare o responsabile del trattamento) ha l’obbligo di adeguarsi alle norme previste nel GDPR.
Nello specifico, in riferimento ai sistemi di geolocalizzazione, qualora non siano utilizzati in via primaria ed essenziale per l’esecuzione dell’attività lavorativa, ma per esigenze ulteriori (organizzative e produttive, sicurezza del lavoro e tutela del patrimonio aziendale), questi rientrano nel campo di applicazione di cui al comma 1 dell’art. 4 L. n. 300/1970; pertanto tali sistemi di geolocalizzazione possono essere installati solo:
- previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali
- o, in alternativa,
- previo accordo collettivo stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale
- o, in mancanza di accordo,
- previa autorizzazione della sede territoriale dell’Ispettorato Nazionale del Lavoro (o della sede centrale dell’INL, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali).
In ogni caso, va rispettata la normativa sulla protezione dei dati personali.
Per quanto concerne, invece, i trattamenti di dati biometrici, questi sono soggetti alla più rigorosa protezione normativa prevista per le categorie particolari di dati personali, per cui è imposto un divieto generale di trattamento, ai sensi dell’art. 9, par. 1 del GDPR, salva la ricorrenza di uno dei presupposti di legittimazione di cui al par. 2 dello stesso art. 9.
Attesa, dunque, la necessità di individuare un presupposto di legittimità per il trattamento di dati biometrici, si sottolinea che, in ogni caso, spetta al titolare, in virtù del principio di accountability, l’onere di valutare le condizioni di legittimità del trattamento, tenendo conto dei tipi di dati trattati e delle finalità perseguite, adottando, di conseguenza, le misure necessarie ad assicurare il rispetto dei diritti dell’interessato.
In argomento, peraltro, con il Provvedimento del 13 dicembre 2018, l’Autorità Garante per la protezione dei dati personali ha individuato le prescrizioni contenute nelle Autorizzazioni generali nn. 1/2016, 3/2016, 6/2016, 8/2016 e 9/2016 che risultano compatibili con il Regolamento e con il D.lgs. n. 101/2018 di adeguamento del Codice. Con specifico riferimento alle prescrizioni relative al trattamento di categorie particolari di dati nei rapporti di lavoro, di cui all’Autorizzazione genale n. 1/2016, il Garante ha chiarito che, nell’ambito dei rapporti di lavoro, il trattamento di dati appartenenti a categorie particolari di dati (di cui all’art. 9 del GDPR, come – nel caso di specie – i dati biometrici), è ritenuto legittimo quando risulti necessario “per adempiere o per esigere l’adempimento di specifici obblighi o per eseguire specifici compiti previsti dalla normativa dell’Unione europea, da leggi, da regolamenti o da contratti collettivi anche aziendali, ai sensi del diritto interno, in particolare ai fini dell’instaurazione, gestione ed estinzione del rapporto di lavoro (art. 88 del Regolamento UE 2016/679)”.
Il trattamento di dati biometrici del lavoratore/interessato risulta, dunque, possibile in relazione alla finalità di “esigere l’adempimento di specifici obblighi” nell’ambito del rapporto di lavoro. Tuttavia, in proposito, si evidenzia la necessità di considerare anche quanto specificamente stabilito dall’Autorità Garante nel Provvedimento generale prescrittivo in tema di biometria del 12 novembre 2014.
Da ultimo, è utile sottolineare che l’utilizzo di sistemi tecnologici nell’ambito del rapporto di lavoro (non solo che implicano l’utilizzo di dati biometrici, ma – più in generale – sistemi di videosorveglianza e di geolocalizzazione) rientra nei casi in cui, ai sensi dell’art. 35 del Regolamento (UE) 679/2016, è richiesta una valutazione di impatto sulla protezione dei dati (Data Protection Impact Assessment – DPIA). Tanto è stato specificato anche dall’Autorità garante per la protezione dei dati personali, nel provvedimento n. 467 dell’11 ottobre 2018, con cui è stato emanato l’Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d’impatto. Nello specifico, nelle fattispecie elencate, l’Autorità ha inserito i “trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo a sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti” (n. 5) , nonché i “trattamenti sistematici di dati biometrici, tenendo conto, in particolare, del volume di dati, della durata, ovvero della persistenza, dell’attività di trattamento” (n. 11).
Pertanto, è possibile per il datore di lavoro impiegare applicativi software che comportano la geolocalizzazione dei lavoratori (anche in trasferta) o il trattamento di dati biometrici degli stessi, ma a patto che venga effettuata un’attenta valutazione di tutti gli aspetti oggetto delle norme sui controlli a distanza dei lavoratori e sulla protezione dei dati personali.