La trattazione prende spunto dal provvedimento n. 350 del 08.09.2016 (reso noto nella newsletter n. 420 del 10/10/2016) con il quale il Garante per la protezione dei dati personali, prende posizione circa l’utilizzo di app sullo smartphone per rilevare le presenze di personale che opera in “esterno”.

Con questa importante pronuncia il Garante, nell’accogliere una istanza di verifica preventiva, avanzata da società operanti nella ricerca, selezione e somministrazione di lavoro, stabilisce che è lecito chiedere al proprio personale viaggiante o che di regola opera in “esterno” di installare una “app” sugli smartphone di loro proprietà, per consentire la rilevazione di inizio e fine attività lavorativa. Il Garante pone però alcune condizioni prescrittive:

→ adesione al sistema su base volontaria da parte del lavoratore (se non vorrà adeguarsi, la presenza continuerà ad essere rilevata con i sistemi tradizionali);

→ adozione da parte della società di misure a tutela dei lavoratori, dettate dallo stesso Garante, secondo principio di necessità e in un’ottica di bilanciamento di interessi. Tali misure sono:

  1. a) conservazione del solo dato relativo a coordinate geografiche sede lavoro e orari di “timbratura virtuale” ma cancellazione del dato relativo a posizione del lavoratore;
  2. b) visibilità continua e costante sullo schermo dello smartphone di un’icona che indichi che la funzione di localizzazione è attiva;
  3. c) configurazione dell’applicazione in modo da impedire il trattamento, anche accidentale, di altri dati contenuti nel telefonino del lavoratore.

Va evidenziato che, secondo tale pronuncia, che come detto è di tipo prescrittivo e preventivo, al fine di tutelare adeguatamente l’individuo-lavoratore, occorre valutare la conformità del progetto tecnologico alla normativa di tutela, non a posteriori, al verificarsi di un evento o alla realizzazione del progetto, ma assai prima, vale a dire già in fase preventiva e di progettazione, affinché tutti i processi messi in atto siano “ab origine” idonei a garantire il livello richiesto di protezione dei dati personali.

In tale ottica è richiesto che le società, prima di attivare il nuovo sistema di accertamento delle presenze, debbano:

→ effettuare la notificazione al Garante, indicando i tipi di trattamenti e le operazioni che intendono compiere;

→ fornire ai dipendenti un’informativa comprensiva di tutti gli elementi (tipologia dati, finalità modalità e del trattamento, tempi di conservazione, volontarietà adesione, soggetti che possono venire a conoscenza dei dati in qualità di responsabili o incaricati del trattamento);

→ adottare tutte le possibili misure di sicurezza previste per preservare l’integrità dei dati e l’accesso a persone non autorizzate.

Se la rilevazione presenze attraverso le app avviene nei limiti e nel pieno rispetto delle regole del Garante sopra evidenziate, non si configurerebbe alcuna violazione dell’art. 4 L. 300/1970 sul divieto di controllo a distanza dei lavoratori, rappresentando tale modalità solo uno strumento tecnico di registrazione degli accessi e delle presenze utilizzato dal datore di lavoro. Con l’ulteriore conseguenza che per la sua attivazione non necessita alcun accordo sindacale o autorizzazione preventiva dell’Ispettorato dal Lavoro competente.