Autore: Dottor Andrea Gandini (consulente informatico/giuridico e privacy, cofondatore di Wp2privacy)
Il presente testo vuol essere sintesi ed un punto della situazione normativa attuale afferente alla rilevazione presenze in azienda, in particolare alla luce della normativa disciplinante la protezione dei dati e privacy.
Per rilevare le presenze, le aziende si avvalgono nella maggior parte dei casi di un badge. Altre possibilità sono app su smartphone e biometria.
Al fine di procedere con la panoramica sulle norme, è didattico soffermarsi brevemente sugli aspetti tecnici dei vari sistemi.
Badge: trattasi di una tessera che, una volta passata dal dipendente in un apposito lettore, invia al sistema l’ora di ingresso o uscita del dipendente nel momento in cui entra o esce dalla sede di lavoro. Può essere a banda magnetica o basato su tecnologia RFId (Radio Frequency Identification ossia Identificazione in Radio Frequenza; permette la funzionalità di badge di prossimità o contactless). Il badge a banda magnetica deve essere strisciato dal lavoratore sulla testina del lettore per ottenere riconoscimento e autorizzazione all’accesso. Tecnologia soggetta ad alto tasso di usura della tessera (proporzionale alla frequenza di utilizzo) e potenzialmente clonabile con facilità. Diverso è il funzionamento dei badge di prossimità che permettono la lettura dei dati, inscritti nella tessera, avvicinandola. I lettori di prossimità emettono continuamente un piccolo campo elettromagnetico. Quando il badge (rfid passivo) entra all’interno di questo campo magnetico, viene letto. Per brevità, si accenna solo all’esistenza di vari badge rfid: a transponder 125 khz; a transponder MIFARE a 13,56MHz. Lo standard MIFARE risale agli anni ’90 quale alternativa migliorativa alla tecnologia 125KHz. La tecnologia MIFARE permette di memorizzare più informazioni al suo interno e criptarle. Inoltre permette una comunicazione bidirezionale tra lettore e badge/transponder. MIFARE è uno standard ed esiste una pluralità di versioni. Il progresso tecnologico ha poi permesso di passare da rfid a NFC (Near Field Communication, una tecnologia per la connettività wireless bidirezionale a corto-raggio) a beacon Bluetooth LE sino al GPS, portando così il controllo degli accessi e la rilevazione presenze nel mondo dell’IoT (Internet of Things), in particolare nell’etichettatura intelligente (smart tagging).
App installata su smartphone per timbratura remota: grazie agli smartphone, è possibile timbrare in vari modi, ad esempio inquadrando un codice QR, fruendo di un beacon nelle vicinanze, leggendo rfid attivi o hardware nfc oppure tramite wireless. Per non tediare il lettore con specifiche tecniche, ci concentriamo in particolar modo sula timbratura remota avvalendosi delle coordinate GPS, soluzione che permette la rilevazione presenze nelle aree dove non è possibile installare un dispositivo fisico. GPS è acronimo inglese di Global Positioning System (sistema di posizionamento globale), strumento hardware per rilevare la posizione geografica del dispositivo sul quale è installato. Attraverso una rete dedicata di satelliti artificiali in orbita, fornisce a un ricevitore GPS coordinate geografiche in ogni luogo della Terra. La localizzazione avviene tramite la trasmissione di un segnale radio da parte dei satelliti che viene captato ed elaborato dal ricevitore. Il grado attuale di accuratezza è dell’ordine di pochi metri.
Sistema di biometria: identificazione di una persona avviene in base a caratteristiche fisiche (impronte digitali, voce, retina dell’occhio, ecc) confrontate con quelle inserite in un hardware (ad esempio badge o smartphone) che rimane in uso esclusivo del dipendente.
Dopo questa breve sintesi tecnica, ci soffermiamo sull’obbligo di rilavare la presenza. Circa tal obbligo, si segnala in particolare la sentenza C-55/18 del 14 maggio 2019, emessa dalla Corte di Giustizia dell’Unione europea in seguito a una disputa tra una azienda ed un sindacato spagnolo. Il sindacato sosteneva la necessità di adottare un sistema per la rilevazione precisa delle ore lavorate, mentre il datore di lavoro negava tale necessità.
La Corte ha asserito che, in assenza di un sistema di misurazione della durata dell’orario di lavoro giornaliero svolto da ogni lavoratore, non vi sia modo di stabilire con oggettività e affidabilità, il numero delle ore di lavoro svolte e loro ripartizione nel tempo, né gli straordinari.
Da ciò possiamo arguire che i sistemi di rilevazione presenze siano strumenti utili per garantire trasparenza nel rapporto sinallagmatico fra lavoratore e datore di lavoro. In assenza, sarebbe difficile per i lavoratori far valere i loro diritti. Per il prestatore di lavoro dipendente, il sistema di rilevazione presenze permette la misurazione delle ore ordinarie e straordinarie svolte. Per il datore, il beneficio è individuabile nel controllo del rispetto della puntualità e degli orari.
Di impatto sugli aspetti inerenti le modalità di espletamento della prestazione lavorativa è sicuramente il lavoro agile (cosiddetto smart work, da non confondersi con telelavoro). Brano tratto dall’art. 18 L. 81/2017 : “… La prestazione lavorativa viene eseguita, in parte all’interno di locali aziendali e in parte all’esterno senza una postazione fissa, entro i soli limiti di durata massima dell’orario di lavoro giornaliero e settimanale, derivanti dalla legge e dalla contrattazione collettiva. …”. L’art. 21, comma 1, L. n. 81/ 2017 prevede che l’esercizio del potere di controllo del datore di lavoro, sulla prestazione lavorativa resa all’esterno dell’azienda, sia regolato dall’accordo individuale col lavoratore “nel rispetto di quanto disposto dall’articolo 4 della legge 20 maggio 1970, n. 300”. Il comma 3 dell’art. 4 L.300/1970 , che disciplina le condizioni di utilizzo dei dati raccolti dal datore di lavoro per il tramite di strumenti di controllo a distanza. “Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196”. In particolare l’art 13 del Gdpr.
Geolocalizzazione
L’articolo 4 dello Statuto dei Lavoratori (L. 20 maggio 1970, n. 300) è stato riformato dall’art. 23 del decreto legislativo n. 151/2015 (cosiddetto Jobs Act) . Di seguito parte dell’articolo 4 a seguito della modifica: “Art.4 – Impianti audiovisivi e altri strumenti di controllo 1. Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali.….”
La questione è stata oggetto di interventi da parte del Garante per la protezione dei dati, con specifiche inerenti gli adempimenti a carico delle imprese prima di installare i dispositivi di geolocalizzazione ed iniziare il trattamento dei dati relativi.
Il software per rilevazione presenze deve essere utilizzato solo col fine di certificare le presenze dei dipendenti e verificare gli orari di lavoro. Il controllo non deve focalizzato sulle persone o loro comportamenti.
Alla luce del Gdpr, i dati rilevati devono essere conservati in modo che vengano evitate manipolazioni, alterazioni o accessi illeciti.
Altro aspetto importante per la progettazione di un software di rilevazione presenze, è l’output ai fini di eventuali ispezioni da parte dell’Ispettorato del Lavoro. Dovrà quindi essere possibile estrapolare facilmente l’elenco delle cosiddette timbrature.
Il Garante Privacy si è espresso favorevolmente circa le applicazioni facenti uso del GPS per rilevare la presenza al lavoro, stabilendo però dei limiti: il software per rilevare la presenza a distanza deve essere attivato dal dipendete all’atto di iniziare la propria attività lavorativa giornaliera e solo in quel momento inizierà la trasmissione dei dati che dovrà durare per il solo lasso di tempo in cui viene svolto il lavoro. Quindi l’app non deve monitorare la persona 24 ore su 24.
Il Garante della protezione dei dati, col provvedimento n. 350 dell´8 settembre 2016 ha specificato che le applicazioni per la timbratura geolocalizzata, per essere compliant alla normativa, devono avere le seguenti caratteristiche:
1 cancellare il dato relativo alla posizione del lavoratore, a seguito di preventiva verifica dell’associazione tra le coordinate geografiche della sede di lavoro e la posizione del lavoratore. Potrà conservare eventualmente solo il dato relativo alla sede di lavoro, alla data e all’orario afferenti alla timbratura;
2 sul dispositivo deve essere presente un´icona indicante la funzionalità di localizzazione attiva;
3 garantire, con misure idonee, che l´applicativo installato sul dispositivo del lavoratore non possa trattare dati ulteriori.
Da considerare poi il provvedimento n. 393 del 21 Giugno 2018 del Garante per la protezione dei dati personali che sottolinea l’obbligo di effettuare la notifica al Garante ai sensi dell´articolo 37, comma 1, lett. a), del Codice.
Rilevazione tramite biometria.
Il comma 958 art. 1 L 178/2020 abroga l’art. 2 della cosiddetta Legge Concretezza: “I commi da 1 a 4 dell’articolo 2 della legge 19 giugno 2019, n. 56, sono abrogati”.
La L. 19 giugno 2019, n. 56 “Interventi per la concretezza delle azioni delle pubbliche amministrazioni e la prevenzione dell’assenteismo” prevedeva all’art. 2 l’introduzione di sistemi di verifica biometrica dell’identità e di videosorveglianza per i dipendenti della pubblica amministrazione per controllare l’osservanza dell’orario di lavoro.
Per approfondimento della lettura, risulta Interessante, soprattutto riguardo alla proporzionalità, il Parere del Garante per la Protezione dei dati, datato 19 settembre 2019, su uno schema di decreto del Presidente del Consiglio dei ministri concernente la disciplina di attuazione della disposizione di cui all’articolo 2 della legge 19 giugno 2019, n. 56, recante “Interventi per la concretezza delle azioni delle pubbliche amministrazioni e la prevenzione dell’assenteismo”.
Fonti:
http://curia.europa.eu/juris/documents.jsf?num=C-55/18 come da accesso del 26gen2021
https://curia.europa.eu/jcms/upload/docs/application/pdf/2019-05/cp190061it.pdf come da accesso del 20gen2021
http://www.dirittoegiustizia.it/allegati/17/0000084773/Corte_di_Giustizia_Grande_Sezione_sentenza_14_maggio_2019_causa_C_55_18.html come da accesso del 20gen2021
https://it.wikipedia.org/wiki/Sistema_di_posizionamento_globale come da accesso del 20gen2021
https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:legge:2017-05-22;81!vig= come da accesso del 25gen2021
https://www.lavoro.gov.it/strumenti-e-servizi/smart-working/Pagine/default.aspx come da accesso del 25ge2021
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/5497522 [provvedimento del Garante protezione dati n. 350 dell´8 settembre 2016 come da accesso del 25gen2021]
https://www.ostisistemi.it/rilevazione-presenze.asp come da accesso del 26gen2021
https://www.ostisistemi.it/prodotti-dett.asp?c=1&sc=3&p=110 come da accesso del 26gen2021
https://noipa.mef.gov.it/cl/documents/20142/58023/20191001_CloudifyNoiPA_App+Biometrica.pdf/b298d7f7-4b5e-35a2-f48f-43addd87ade2?t=1570453289183 come da accesso del 26gen2021
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9051774 come da accesso del 27gen2021
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9147290 come da accesso del 27gen2021
https://it.wikipedia.org/wiki/Radio-frequency_identification come da accesso del 30gen2021
https://it.wikipedia.org/wiki/Near_Field_Communication come da accesso del 30gen2021
https://it.wikipedia.org/wiki/Sistema_di_posizionamento_globale Communication come da accesso del 30gen2021
https://it.wikipedia.org/wiki/Biometria come da accesso del 30gen2021
Riproduzione riservata.
Il presente testo non costituisce consulenza. Il contenuto pubblico del presente sito web è a scopo esclusivamente informativo e non può essere considerato esaustivo, né fornire parere legale o altro tipo di consulenza professionale, né è inteso a fini commerciali o di relazione o di transazione con i clienti. Il Titolare del sito, l’Autore, non si assume responsabilità per eventuali inesattezze riportate da fonti o siti esterni.