I datori di lavoro si trovano spesso di fronte al bivio legato all’installazione o meno del rilevatore presenze che, da un lato agevola la gestione del personale e i relativi flussi di entrata e di uscita dall’azienda, dall’altro apre al complesso normativo legato alla privacy.

La Corte di Giustizia UE, con la Sentenza C-55/18 del 14 maggio 2019, si è espressa in merito alla tutela dei diritti dei lavoratori con specifico riferimento alla necessità che i datori di lavoro degli Stati membri adottino sistemi oggettivi, affidabili e accessibili che consentano la misurazione dell’orario di lavoro giornaliero effettuato dai lavoratori stessi.

Le modalità di controllo dell’orario dei lavoratori possono essere molteplici, dal modello creato in autonomia dall’azienda stessa, oppure optando per un software di rilevazione delle presenze.

È opportuno precisare che le registrazioni informatiche di accesso in azienda sono da considerarsi nell’alveo delle rilevazioni dei dati personali.

Dal 2018 le regole da seguire per tutelare appropriatamente ogni informazione riguardante la persona, quindi anche il dipendente di un’azienda, sono diventate molto più restrittive.

Le nuove misure di sicurezza imposte dalla GDPR (General Data Protection Regulation) obbligano le società che producono software utilizzati delle imprese per rilevare le presenze e archiviare le informazioni del personale, il rigoroso rispetto dalla G.D.P.R. ed i diritti ad essa collegati.

Oltre ai classici sistemi di rilevazione in azienda, le tecnologie che negli ultimi anni sono diventate più comuni per rilevare la presenza al lavoro dei dipendenti sono il GPS e le app installate su dispositivi mobili (smartphone e tablet).

Evidenziamo come il Garante della privacy ha dato parere favorevole in merito all’utilizzo di sistemi di rilevazione con GPS, ma a patto che i software seguano precise regole:

• devono essere attivati dal lavoratore all’inizio del proprio turno di lavoro;
• la trasmissione dei dati deve terminare una volta concluse le ore di lavoro.

Risulta vietato, invece, l’utilizzo di un sistema di rilevazione delle presenze basato però sul trattamento di dati biometrici dei dipendenti.

Le tecnologie dell’informazione e della comunicazione consentono l’esecuzione di “trattamenti tecnici”, sovente su immagini, dai quali si ricavano dati biometrici allo scopo di identificare univocamente una persona fisica.

Le impronte digitali sono utilizzate ormai da tempo come strumento di autenticazione per l’attivazione di dispositivi elettronici personali; mentre è più recente l’introduzione di tecnologie destinate al riconoscimento facciale, alla scansione dell’iride e al riconoscimento della struttura vascolare dell’occhio o del palmo delle mani.

La diffusione di questo tipo particolare di trattamento di dati personali ha portato all’inserimento di una definizione specifica nel Regolamento UE 2016/679 (il c.d. GDPR), che nell’articolo 4 specifica che dati biometrici sono “i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici”.

È noto che i dati biometrici appartengono alla categoria di dati particolari di cui all’art. 9 del GDPR, il cui trattamento è vietato (art. 9, paragrafo 1); tuttavia lo stesso GDPR prevede determinate situazioni di deroga (art. 9, paragrafo 2).

Si ricordi che i dati biometrici, ai sensi dell’art. 9 par. 1 GDPR (“Trattamento di particolari categorie di dati”) non possono essere trattati, se non in casi “eccezionali”, a meno che, cioè, non sussista una forte base giuridica che lo ammetta.

In conclusione, qualsiasi strumento di rilevazione utilizzato dalle imprese dovrà essere sempre seguito da apposita e specifica informativa al dipendente utile ad un’adeguata informazione delle procedure utilizzate ed il relativo trattamento dei dati personali.

 

 

Andrea Fiumi, consulente del lavoro