Smart working e obbligo di tenuta del libro unico del lavoro: guida pratica per la compliance GDPR - Cyber Security 360

ADEMPIMENTI PRIVACY

Smart working e obbligo di tenuta del libro unico del lavoro: guida pratica per la compliance GDPR

Nonostante l’ampio ricorso allo smart working, è rimasto impregiudicato l’obbligo di rilevare le presenze dei lavoratori e registrare l’orario di lavoro mediante specifici applicativi, con significativi impatti sulla protezione dei dati personali. Ecco come realizzare la conformità alla normativa di settore

18 Mag 2021
A
Giuseppe Alverone

DPO Certificato UNI 11697:2017

Nell’attuale emergenza sanitaria Covid-19 che ha costretto le aziende ad adattare i modelli organizzativi al nuovo imprevedibile scenario mediante misure per la riorganizzazione del lavoro basate su soluzioni come lo smart working, è cambiato in modo radicale il modo di dare esecuzione al rapporto di lavoro, mentre è rimasto immutato l’obbligo di rilevare le presenze dei lavoratori e registrare l’orario di lavoro ordinario, straordinario, notturno e festivo nonché le relative pause per la tenuta del libro unico del lavoro.

Per questa esigenza vengono generalmente utilizzati specifici dispositivi/applicazioni – una sorta di cartellino/badge virtuale – che però, avendo necessariamente incorporata anche la funzione di geolocalizzazione, comportano un significativo impatto sulla protezione dei dati personali.

Tutte le aziende devono quindi adottare misure tecniche e organizzative adeguate per evitare di incorrere in sanzioni per violazioni del GDPR.

Smart working e adempimenti nella gestione dei rapporti di lavoro

Lo smart working (rectius: lavoro agile) è definito, dall’art. 18 della Legge 81/2017, come modalità di esecuzione del rapporto di lavoro subordinato stabilita mediante accordo tra le parti, anche con forme di organizzazione per fasi, cicli e obiettivi e senza precisi vincoli di orario o di luogo di lavoro, con il possibile utilizzo di strumenti tecnologici per lo svolgimento dell’attività lavorativa.

Quindi secondo tale schema, il lavoratore ha piena libertà di scegliere luoghi e tempi in cui rendere la prestazione lavorativa. Ciò comporta una certa difficoltà nel realizzare gli adempimenti di natura formale prescritti dall’art. 39 del D.L. 112/2008 convertito in Legge 133/2008.

Tale norma pone l’obbligo per il datore di lavoro privato, con la sola esclusione del datore di lavoro domestico, di istituire e tenere il libro unico del lavoro che deve obbligatoriamente contenere un calendario delle presenze, da cui risulti, per ogni giorno, il numero di ore di lavoro effettuate da ciascun lavoratore subordinato, nonché l’indicazione delle ore di straordinario, delle eventuali assenze dal lavoro, anche non retribuite, delle ferie e dei riposi.

Ebbene, questi dati possono essere agevolmente raccolti nella sede aziendale tramite la semplice timbratura di un cartellino o la lettura di badge, ma come possono essere registrati se la prestazione lavorativa viene resa senza alcun vincolo di luogo e di tempi ?

Strumenti per registrare le presenze da remoto: rischi per i lavoratori

Generalmente, per tale finalità, si utilizzano specifiche applicazioni scaricabili su smartphone (o più raramente su tablet e PC) aziendali o di proprietà dei lavoratori che trasmettono i dati ad un server di raccolta e gestione delle timbrature.

Tale sistema deve necessariamente essere dotato della funzione di geolocalizzazione per poter rilevare e registrare l’orario di lavoro ordinario, straordinario notturno e festivo e le relative pause nonché il luogo ove viene svolta l’attività lavorativa.

L’azienda può avvalersi di un software “on premise” o di un cloud con modello di servizio SaaS (Software as a Service). In questo caso occorre riportare tutti gli adempimenti che si stanno qui esaminando, adattandoli, sotto forma di istruzioni, all’interno del contratto che va stipulato con il provider il quale assume il ruolo di responsabile del trattamento[1].

Stessa attenzione andrà posta se i dati non vengono gestiti da una funzione aziendale ma vengono invece comunicati al consulente del lavoro, anch’egli avente il ruolo di responsabile del trattamento[2].

Si tratta, in sintesi, di un vero e proprio “cartellino/badge virtuale” per il cui utilizzo però – come ha più volte raccomandato il Garante[3] – devono essere adottate particolari cautele, poiché i dispositivi smartphone sono, in considerazione delle normali potenzialità d´uso e dell´utilizzo comune degli stessi, destinati a “seguire” la persona che li detiene indipendentemente dalla distinzione tra tempo di lavoro e tempo di non lavoro.

Quindi ogni trattamento di dati personali effettuato con tali strumenti presenta rischi specifici per la libertà, i diritti e la dignità del lavoratore.

Occorre evitare usi impropri per scopi non leciti e inaspettati per i lavoratori come ad esempio il controllo delle prestazioni lavorative.

Ed è utile ricordare che la responsabilità della gestione di tali rischi è attribuita al datore di lavoro, il quale in azienda assume il ruolo di titolare in relazione al trattamento dei dati personali sui propri dipendenti.

Tale ruolo non è specificamente previsto da alcuna norma ma si inferisce da una valutazione delle circostanze di fatto che, nell’ambito del rapporto di lavoro, lo indicano come l’entità che determina le finalità e i mezzi del trattamento (vds. Punti 20-25 EDPB- Linee Guida 7/2020 sui concetti di Titolare e Responsabile nel GDPR).

Quale titolare, il datore di lavoro, prima di dare avvio ad un trattamento di dati personali, deve applicare il principio di data protection by design e by default fissato dall’art. 25 GDPR.

Egli, quindi, nel momento in cui decide di avvalersi di strumenti per registrare le presenze da remoto, deve mettere in atto misure tecniche e organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati, fissati nell’art. 5 GDPR e a integrare nel trattamento le necessarie garanzie per soddisfare tutti i requisiti prescritti dalla normativa e, nel contempo, tutelare i diritti dei lavoratori dipendenti.

Peraltro è bene sottolineare che l’obbligo di attuare i principi posti dall’art. 5 del GDPR rimane fermo anche nell’attuale contesto emergenziale. Infatti, l’art. 17 bis del D.L. 18/2020 convertito in L. 27/2020 (il c.d. “Cura Italia) nell’introdurre misure di potenziamento del Servizio Sanitario Nazionale, da mantenere fino al termine dello stato di emergenza, ribadisce l’obbligo di conformare i trattamenti di dati personali al rispetto dei principi di cui all’articolo 5 GDPR, adottando misure appropriate a tutela dei diritti e delle libertà degli interessati.

Smart working e libro unico del lavoro: guida per la compliance

Vediamo quindi di seguito, in cinque passi, il percorso che il datore di lavoro deve seguire per realizzare la conformità alla normativa di settore, precisando che ogni attività deve essere puntualmente documentata per iscritto, in modalità strutturata e funzionale a comprovare che principi indicati nell’art. 5 GDPR sono integrati nel processo di gestione del sistema di rilevazione delle presenze da remoto (c.d. “timbratura virtuale”).

Individuazione e specificazione della finalità e della base giuridica

Primo necessario adempimento è costituito dalla specificazione dettagliata della finalità che con la timbratura virtuale si vuole realizzare (Art.5, par.1, lett.b GDPR). Gli scopi sono evidentemente connessi alle particolari esigenze organizzative e produttive derivanti dallo svolgimento dell´attività di impresa al di fuori delle sedi aziendali.

In particolare, per adempiere all’obbligo di tenuta del libro unico del lavoro, sussiste la necessità di effettuare il calcolo delle ore di lavoro prestate e delle indennità dovute.

Per l’individuazione della idonea base giuridica si può fare riferimento alle indicazioni del WP 249 Parere 2/2017 del WP29 sul trattamento dei dati sul posto di lavoro, che chiarisce come sia improbabile che il consenso del dipendente costituisca una base giuridica valida, a meno che i dipendenti non possano rifiutarsi senza subire conseguenze negative.

È invece possibile invocare, come fondamento di liceità, l’esecuzione di un contratto ed il legittimo interesse purché il trattamento sia strettamente necessario per una finalità legittima e sia conforme ai principi di proporzionalità e sussidiarietà.

Qualora ci si basi sul legittimo interesse, è consigliabile effettuare il c.d. “balacing test” ovvero un test comparativo tra il legittimo interesse del datore di lavoro e gli interessi o i diritti e le libertà fondamentali dei lavoratori.

Molto utile al riguardo risulta essere la guida posta in Allegato 1 WP 217 – Parere 6/2014 del WP29, secondo la quale è necessario, sequenzialmente:

1

Valutare l’applicabilità del legittimo interesse quale fondamento giuridico

2

Classificare un interesse come “legittimo” o “illegittimo”

3

Stabilire se il trattamento è necessario per il perseguimento dell’interesse

4

Definire un bilanciamento provvisorio valutando se gli interessi o i diritti fondamentali degli interessati prevalgono sull’interesse del responsabile del trattamento

5

Definire un bilanciamento definitivo tenendo conto di garanzie supplementari

6

Dimostrare la conformità e garantire la trasparenza

7

Definire una specifica procedura nel caso in cui l’interessato eserciti il suo diritto di opposizione

Questa sequenza può anche essere strutturata in una “procedura”, utilizzabile anche in altri processi aziendali che comportino un trattamento di dati personali basato sul legittimo interesse del Titolare.

Valutazione di impatto sulla protezione dei dati personali (DPIA)

Il passo successivo consiste nell’eseguire una valutazione di impatto sulla protezione dei dati personali (DPIA). Ciò è prescritto specificamente dal n. 5 dell’elenco delle tipologie di trattamenti soggetti a DPIA, posto in allegato al provvedimento del GPDP n. 467 dell’11/10/2018[4].

È consigliabile dotarsi di sistemi di “timbratura virtuale” su cui il produttore (o il provider se ci si avvale di un servizio SaaS) abbia già eseguito una DPIA. Il WP29, infatti – facendo leva su quanto indicato dal Considerando 92 e dall’art. 35, par. 1 GDPR – ha chiarito[5] che una DPIA può essere utile per valutare l’impatto sulla protezione dei dati di un prodotto tecnologico, ad esempio un dispositivo hardware o software, qualora sia probabile che lo stesso venga acquisito e utilizzato da titolari del trattamento distinti.

Ovviamente il titolare del trattamento che utilizza detto prodotto tecnologico resta soggetto all’obbligo di svolgere la propria DPIA. All’uopo, lo stesso titolare, se opportuno, può utilizzare le informazioni contenute nella DPIA preparata dal fornitore del prodotto tecnologico.

Per eseguire la DPIA si può utilizzare il tool presente sul sito del CNIL, Autorità di controllo Francese. È possibile scaricare una versione stand-alone da utilizzare sui server aziendali per integrarla con altri strumenti e sistemi già utilizzati internamente.

Questo strumento ha un limite: non consente di far ricorso a metriche per la misurazione del rischio ma d’altra parte, ha un’interfaccia user-friendly per consentire una semplice gestione della DPIA e spiega con grande chiarezza la metodologia di valutazione dell’impatto sulla protezione dei dati personali passo dopo passo.

Accordo sindacale o autorizzazione I.N.L.

Dopo l’esecuzione della DPIA, occorre dare attuazione all’art. 4, comma 1 della legge 300/1970 (Statuto del Lavoratori) che prescrive l’obbligo per il datore di lavoro di realizzare, prima dell’adozione del sistema di “timbratura virtuale”, un accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali.

In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale.

In mancanza di accordo, il sistema in esame, può essere adottato previa autorizzazione della sede territoriale dell’Ispettorato Nazionale del Lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali, della sede centrale dell’Ispettorato nazionale del lavoro.

Misure tecniche e organizzative adeguate

Il passo successivo prevede l’adozione di misure tecniche e organizzative adeguate che realizzino un equilibrio tra gli interessi legittimi del datore di lavoro e le ragionevoli aspettative dei dipendenti di non vedere violati i propri diritti alla vita privata e alla segretezza delle comunicazioni.

Grande criticità è costituita dalla configurazione del sistema di “timbratura virtuale” che potrebbe essere integrato con il software gestionale dell’azienda o del consulente del lavoro, se designato.

Il sistema deve essere configurato, prevedendo restrizioni al monitoraggio che garantiscano che la vita privata del lavoratore non sia violata[6]. Quindi, in linea con le precise indicazioni del Garante[7], è necessario che:

  1. sia impedito l´eventuale trattamento di dati non necessari (es. dati relativi al traffico telefonico, agli sms, alla posta elettronica o alla navigazione in internet o altro), in applicazione del principio di minimizzazione (art. 5, par. 1, lett. “c”, GDPR);
  2. sullo smartphone in uso al dipendente venga posizionata un´icona che indichi che la funzionalità di localizzazione è attiva; l´icona deve essere sempre chiaramente visibile sullo schermo del dispositivo, anche quando l´applicazione lavora in background;
  3. sia consentita la disattivazione dell´applicativo al di fuori dell´orario di lavoro e nella pausa per il pranzo e il sistema sia predisposto in modo da non consentire la rilevazione della posizione geografica al di fuori dell’attivazione della funzionalità nei casi stabiliti;
  4. sia consentito l´accesso ai dati trattati ai soli incaricati della società che, in ragione delle mansioni svolte o degli incarichi affidati, possono prenderne legittimamente conoscenza.

Proprio in riferimento a tale ultima prescrizione, un’altra importante misura organizzativa è costituita dalle designazioni per iscritto dei tecnici autorizzati a gestire materialmente il sistema di “timbratura virtuale”.

Il paragrafo 12.1 della Prassi di Riferimento UNI PdR 43.1:2018 “Linee guida per la gestione dei dati personali in ambito ICT secondo il GDPR” suggerisce che dette designazioni riprendano sinteticamente i contenuti principali delle singole funzioni attribuite a ciascun incaricato.

Esse dovrebbero disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell’art. 28 del GDPR, ovvero che i tecnici adibiti alla gestione del sistema:

  1. siano in possesso e forniscano garanzie sufficienti su: natura, finalità, durata e modalità del trattamento;
  2. si siano impegnati alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
  3. mettano a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi riportati nell’atto di designazione;
  4. consentano e contribuiscano alle attività di audit, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato.

Inoltre, come prescritto dal Garante[8], è necessario assegnare credenziali di autenticazione differenziate per ogni incaricato, individuando profili autorizzativi personalizzati e limitando quanto più possibile l´assegnazione di profili con funzionalità di modifica ed estrazione dei dati; con riferimento a tali ultimi profili autorizzativi, registrare gli accessi ai dati di rilevazione tramite un apposito file di log riportante la data e l´ora dell´operazione, il tipo di operazione effettuata, i dipendenti visualizzati e l´identificativo dell´incaricato.

Bisogna inoltre tener presente che tutti gli atti di designazione di tecnici ICT all’inizio delle attività e periodicamente, almeno una volta l’anno, sono oggetto di un processo di analisi ed eventuale revisione.

Successivamente, occorre stabilire i periodi di conservazione e l’obbligo di cancellazione dei dati personali che non possono essere conservati più a lungo di quanto necessario per le finalità per le quali sono trattati (Art,5, par.1 lett.”c” GDPR).

I dati conservati temporaneamente sullo smartphone; devono essere cancellati automaticamente dopo l’invio al server che li riceve per la gestione successiva. Si può prevedere la conservazione di tali dati sullo smartphone, per un “breve periodo”, solo al fine di consentire l´invio dei dati al server anche in un momento successivo, in caso di mancata copertura della rete. Tale operazione deve essere effettuata dal dipendente.

I tempi di conservazione dei dati relativi alla posizione geografica che devono confluire nel libro unico del lavoro, in base alla normativa vigente devono essere conservati per cinque anni dall´ultima registrazione.

I dati necessari a perseguire la finalità di fatturazione possono essere conservati, ai sensi dell’art. 2220 del codice civile, per 10 anni.

Per adempiere all’obbligo di garantire un livello di sicurezza adeguato al rischio, prescritto dall’art. 5, par. 1, lett. “e” e dall’art. 32 GDPR, nonché per garantire l’esercizio dei diritti degli interessati, previsti dagli artt. 15-22 GDPR, è sufficiente estendere al processo di gestione del sistema di “timbratura virtuale”, le politiche definite dal titolare per tutti i trattamenti di dati personali eseguiti in ambito aziendale, in applicazione dello specifico obbligo fissato dal Considerando 78 e dall’art.24 par.2 GDPR.

In particolare, in ogni azienda, la politica di sicurezza dovrebbe prevedere misure in grado di assicurare su base permanente la riservatezza, l´integrità e la disponibilità dei sistemi informativi e dei dati. Tali misure di sicurezza vanno adottate al fine di preservare l´integrità dei dati trattati e prevenire l´accesso agli stessi da parte di soggetti non autorizzati (Art.5, par.1, lett. “d” ed “f” GDPR);

Tra le misure di sicurezza necessarie rientra anche la previsione di periodiche verifiche di test sulle funzionalità e sull’affidabilità dei parametri adottati, e la conseguente predisposizione di correttivi a tutela della qualità dei dati trattati (Art.5, par.1, lett. “d” GDPR).

Informativa ai lavoratori

Ultimo importantissimo adempimento necessario per realizzare la compliance normativa è la predisposizione di una informativa adeguata, chiara e completa nei confronti del lavoratori prevista dall’art. 13 GDPR e dall’art. 4, comma 3 della Legge 300/1970 (Statuto dei Lavoratori), anche in conformità al principio di correttezza e trasparenza (Art. 5, par.1 lett. “a” GDPR) in base al quale il titolare è tenuto a rendere chiaramente riconoscibili agli interessati i trattamenti che intende effettuare.

Bisogna cioè informare efficacemente i dipendenti sul funzionamento del sistema, sulle sue finalità e sulle circostanze e modalità di utilizzo.

Il GDPR non prescrive alcun vincolo circa la forma. È una esigenza di natura probatoria in caso di contestazione da parte dell’interessato. Pertanto, si suggerisce di predisporre evidenze circa l’avvenuto adempimento dell’obbligo di rendere l’informativa (integrazione all’interno dell’applicazione, invio via email, pubblicazione sul sito istituzionale).

Non solo smart working

L’adozione di un sistema di “timbratura virtuale”, necessario per gestire lo smart working, è anche molto utile per registrare le prestazioni di chi lavora in servizio esterno o presso sedi distaccate; offre anche un’efficienza maggiore del tradizionale sistema di registrazione tramite cartellino/badge in sede, tanto che potrebbe vantaggiosamente sostituirlo.

E forse anche le Pubbliche Amministrazioni potrebbero valutarne la convenienza, anche solo come strumento efficace di contrasto al vituperato fenomeno dei cosiddetti “furbetti del cartellino”. Ma questa è un’altra storia.

 

NOTE

  1. Vds. punto 82 EDPB- Linee Guida 7/2020 sui concetti di Titolare e responsabile nel GDPR.

  2. Vds. Risposta del GPDP a un quesito datata 22 gennaio 2019 e punto 38 EDPB 7/2020 sui concetti di Titolare e responsabile nel GDPR.

  3. Vds. provv.ti GPDP n. 401 dell´11 settembre 2014, e n. 448 del 9 ottobre 2014, n. 226 del 18 maggio 2016, n.350 dell’8 maggio 2016. Analogamente, in ambito europeo, v. WP29, 29, Parere 13/2011 sui servizi di geolocalizzazione su dispositivi mobili intelligenti, WP 185, 16 maggio 2011; si veda anche la Raccomandazione CM/Rec(2015)5 sul trattamento di dati personali nel contesto occupazionale, par. 16.

  4. Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti (si veda quanto stabilito dal WP 248, rev. 01, in relazione ai criteri nn. 3, 7 e 8).

  5. Vds. WP 248 rev. 01 del 4 ottobre 2017- “Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento possa presentare un rischio elevato”.

  6. Vds. WP249 – Parere del WP29 n.2/2017 sul trattamento dei dati sul posto di lavoro.

  7. Vds. Provv.ti GPDP n. 226 del 18 maggio 2016, n.350 dell’8 settembre 2016 e n. 232 del 18 aprile 2018.

  8. Vds. citato provv. GPDP n.226 del 18 maggio 2016.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4