App per la geolocalizzazione del dipendente in trasferta: quando è possibile installarle?

È possibile tracciare, tramite geolocalizzazione, le entrate e le uscite del lavoratore da una determinata area di costo? Ancora, è possibile verificare che il lavoratore in trasferta/missione stia effettivamente lavorando nel luogo previsto dall’incarico? Oppure tracciarne la presenza in una determinata area di costo attraverso la sua impronta digitale o il riconoscimento facciale o altri dati biometrici?

Vediamo, dunque, gli aspetti da verificare per stabilire quando l’utilizzo di applicativi software per tali finalità può ritenersi legittimo da parte del datore di lavoro.

Innanzitutto, occorre considerare sia la normativa sui controlli a distanza dei lavoratori, contenuta nell’art. 4 L. 300/1970 (come recentemente modificato dal cd. Jobs Act contenuto nel D. Lgs. 14 settembre 2015, n. 151), sia quella sulla protezione dei dati personali, dettata dal Regolamento europeo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (General Data Protection Regulation – GDPR) 2016/679/UE e dal D. Lgs. 196/2003 (Codice in materia di protezione dei dati personali, così come da ultimo modificato dal D.Lgs. n. 101/2018).

Tali normative, in effetti, devono necessariamente essere considerate in combinato disposto, alla luce del fatto che, attraverso tali strumenti e software che comportano l’utilizzo di tecnologie satellitari o sistemi di riconoscimento biometrico, il datore di lavoro (che è titolare del trattamento, ai sensi dell’art. 24 GDPR) effettua trattamenti di dati personali dei lavoratori/interessati al trattamento, anche appartenenti a categorie particolari di dati personali (art. 9 del GDPR).

Occorre considerare, inoltre, che il mancato rispetto delle regole in materia di protezione dei dati personali potrebbe rendere illegittimo, non solo l’utilizzo del dato personale da parte del datore di lavoro, ma anche il provvedimento che dovesse essere adottato a seguito del trattamento illegittimo del dato, anche qualora si tratti di provvedimenti di natura disciplinare.

In argomento, risulta di fondamentale importanza l’informativa relativa al trattamento dei dati personali che il lavoratore deve ricevere, anche in relazione all’uso degli strumenti, dei dati e dei sistemi informatici predisposti dal datore di lavoro, prevedendo l’adozione e la diffusione di una policy o di un regolamento aziendale. Occorre ricordare, infatti, che chiunque tratti dati personali (in qualità di titolare o responsabile del trattamento) ha l’obbligo di adeguarsi alle norme previste nel GDPR.

Nello specifico, in riferimento ai sistemi di geolocalizzazione, qualora non siano utilizzati in via primaria ed essenziale per l’esecuzione dell’attività lavorativa, ma per esigenze ulteriori (organizzative e produttive, sicurezza del lavoro e tutela del patrimonio aziendale), questi rientrano nel campo di applicazione di cui al comma 1 dell’art. 4 L. n. 300/1970; pertanto tali sistemi di geolocalizzazione possono essere installati solo:

previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali
o, in alternativa,
previo accordo collettivo stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale
o, in mancanza di accordo,
previa autorizzazione della sede territoriale dell’Ispettorato Nazionale del Lavoro (o della sede centrale dell’INL, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali).

In ogni caso, va rispettata la normativa sulla protezione dei dati personali.

Per quanto concerne, invece, i trattamenti di dati biometrici, questi sono soggetti alla più rigorosa protezione normativa prevista per le categorie particolari di dati personali, per cui è imposto un divieto generale di trattamento, ai sensi dell’art. 9, par. 1 del GDPR, salva la ricorrenza di uno dei presupposti di legittimazione di cui al par. 2 dello stesso art. 9.

Attesa, dunque, la necessità di individuare un presupposto di legittimità per il trattamento di dati biometrici, si sottolinea che, in ogni caso, spetta al titolare, in virtù del principio di accountability, l’onere di valutare le condizioni di legittimità del trattamento, tenendo conto dei tipi di dati trattati e delle finalità perseguite, adottando, di conseguenza, le misure necessarie ad assicurare il rispetto dei diritti dell’interessato.

In argomento, peraltro, con il Provvedimento del 13 dicembre 2018, l’Autorità Garante per la protezione dei dati personali ha individuato le prescrizioni contenute nelle Autorizzazioni generali nn. 1/2016, 3/2016, 6/2016, 8/2016 e 9/2016 che risultano compatibili con il Regolamento e con il D.lgs. n. 101/2018 di adeguamento del Codice. Con specifico riferimento alle prescrizioni relative al trattamento di categorie particolari di dati nei rapporti di lavoro, di cui all’Autorizzazione genale n. 1/2016, il Garante ha chiarito che, nell’ambito dei rapporti di lavoro, il trattamento di dati appartenenti a categorie particolari di dati (di cui all’art. 9 del GDPR, come – nel caso di specie – i dati biometrici), è ritenuto legittimo quando risulti necessario “per adempiere o per esigere l’adempimento di specifici obblighi o per eseguire specifici compiti previsti dalla normativa dell’Unione europea, da leggi, da regolamenti o da contratti collettivi anche aziendali, ai sensi del diritto interno, in particolare ai fini dell’instaurazione, gestione ed estinzione del rapporto di lavoro (art. 88 del Regolamento UE 2016/679)”.

Il trattamento di dati biometrici del lavoratore/interessato risulta, dunque, possibile in relazione alla finalità di “esigere l’adempimento di specifici obblighi” nell’ambito del rapporto di lavoro. Tuttavia, in proposito, si evidenzia la necessità di considerare anche quanto specificamente stabilito dall’Autorità Garante nel Provvedimento generale prescrittivo in tema di biometria del 12 novembre 2014.

Da ultimo, è utile sottolineare che l’utilizzo di sistemi tecnologici nell’ambito del rapporto di lavoro (non solo che implicano l’utilizzo di dati biometrici, ma – più in generale – sistemi di videosorveglianza e di geolocalizzazione) rientra nei casi in cui, ai sensi dell’art. 35 del Regolamento (UE) 679/2016, è richiesta una valutazione di impatto sulla protezione dei dati (Data Protection Impact Assessment – DPIA). Tanto è stato specificato anche dall’Autorità garante per la protezione dei dati personali, nel provvedimento n. 467 dell’11 ottobre 2018, con cui è stato emanato l’Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d’impatto. Nello specifico, nelle fattispecie elencate, l’Autorità ha inserito i “trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo a sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti” (n. 5) , nonché i “trattamenti sistematici di dati biometrici, tenendo conto, in particolare, del volume di dati, della durata, ovvero della persistenza, dell’attività di trattamento” (n. 11).

Pertanto, è possibile per il datore di lavoro impiegare applicativi software che comportano la geolocalizzazione dei lavoratori (anche in trasferta) o il trattamento di dati biometrici degli stessi, ma a patto che venga effettuata un’attenta valutazione di tutti gli aspetti oggetto delle norme sui controlli a distanza dei lavoratori e sulla protezione dei dati personali.

Cookie	Durata	Descrizione
AWSALBCORS	7 days	This cookie is managed by Amazon Web Services and is used for load balancing.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.
WLM_TEST_COOKIE	session	This cookie is used by the WishList Member. It checks whether the browser has enabled cookies or not.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1975075_20	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_92784998_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 3 months	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Durata	Descrizione
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durata	Descrizione
AWSALB	7 days	AWSALB is a cookie generated by the Application load balancer in the Amazon Web Services. It works slightly different from AWSELB.
captcha-cookie	1 day	No description
ccc	1 month	No description
xb	1 year	No description available.

App per la geolocalizzazione del dipendente in trasferta: quando è possibile installarle?

Master PERF.ET

WebTV MRTV ‖ Lo ho-BIT – una digicrazia inaspettata

Di

Newsletter

Lecce

Milano

Roma

Biella

Castellammare di Stabia

NAVIGA