Registro dei provvedimenti
n. 350 dell'8 settembre 2016
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti, e del dott. Giuseppe Busia, segretario generale;
VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito "Codice");
ESAMINATA la richiesta di verifica preliminare presentata da Manpower s.r.l. e Manpower Italia s.r.l. ai sensi dell'articolo 17 del Codice;
VISTI gli atti d'ufficio;
VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
RELATORE la prof.ssa Licia Califano;
PREMESSO
1. Trattamento di dati personali effettuato attraverso la localizzazione di dispositivi smartphone.
1.1. Manpower s.r.l. e Manpower Italia s.r.l. (di seguito, le società) hanno presentato una richiesta di verifica preliminare ai sensi dell'art. 17 del Codice, riguardante il trattamento dei dati personali connesso all'installazione di una specifica applicazione ˗ contenente una funzionalità di localizzazione geografica ˗ sul dispositivo smartphone dei dipendenti, preordinata all'effettuazione della "timbratura del cartellino e la rilevazione delle presenze" (cfr. istanza 18.12.2015, p. 1).
Tale applicazione, sviluppata da Peoplelink s.r.l., è configurata in modo tale da consentire l'accesso ˗ previa autenticazione con user id e password ˗ al dipendente, che "cliccherà su icona "ingresso" per indicare l'inizio dell'attività lavorativa e su "uscita" per indicare la fine della giornata lavorativa" (cfr. istanza cit., p. 1 e 2).
Come specificato nella relazione tecnica allegata all'istanza "quando la App viene attivata, questa presenta al lavoratore il nome e cognome che è stato registrato in modo da confermare la sua identità e lo informa del raggio di approssimazione di lettura della posizione fisica che verrà associata alla timbratura […]. Verificate queste informazioni, il lavoratore potrà decidere il momento in cui effettuare la timbratura selezionando il verso (inizio o termine dell'attività). Solo ed unicamente a questo punto la App richiederà allo smartphone le coordinate geografiche della posizione in cui si trova […] e le trasmetterà al sistema di raccolta delle timbrature […] unitamente al codice identificativo del lavoratore, al verso di timbratura e alla data e ora di effettuazione" (cfr. All. istanza cit.).
L'applicazione utilizzata, inoltre, "non accederà ad altre informazioni presenti nello smartphone del dipendente" (cfr. istanza cit., p. 2).
1.2. Secondo quanto rappresentato nell'istanza, le finalità perseguite attraverso l'adozione del descritto sistema – accomunate dall'obiettivo di "conseguire risparmi di costi e maggiore efficienza" – consisterebbero nella realizzazione di una "più efficace modalità di «timbratura»". Inoltre, con particolare riferimento ai rapporti di somministrazione di lavoro, "la società non dovrà più approvvigionarsi dei terminali lettori di badge e non dovrà più provvedere alla loro manutenzione e/o sostituzione anche presso le aziende utilizzatrici", con conseguente eliminazione dei "contenziosi dovuti a mancato funzionamento o preteso mancato funzionamento dei lettori". Infine il sistema consentirà alle società di "verificare in tempi molto più rapidi la presenza di personale nei luoghi di lavoro" nonché di impedire e/o ridurre "la commissione di illeciti attraverso «timbrature» di comodo, che diversamente sono difficilmente rilevabili in sedi che non sono della società, ma dell'azienda cliente che utilizza i lavoratori somministrati" (cfr. istanza cit., p. 2-3).
Le società procederanno a "modificare ed integrare adeguatamente l'informativa attualmente presentata ai lavoratori" (cfr. istanza cit., p. 3).
La funzionalità di geolocalizzazione "non consentirà […] alcun controllo dell'attività lavorativa" (cfr. istanza cit., p. 3).
I dati relativi alla "timbratura virtuale", così raccolti, "saranno archiviati dalla società Peoplelink […] in base ad apposita nomina a responsabile del trattamento. All'interno di Manpower […] i dati saranno disponibili ai dipendenti che, già oggi, svolgono le attività di gestione ed amministrazione del personale, oltre ai superiori gerarchici di ciascun dipendente" (cfr. istanza cit., p. 4).
1.3. A seguito di una richiesta di chiarimenti ed integrazioni formulata dall'Autorità, è stato precisato che:
a. allo stato le società effettuano la rilevazione delle presenze in servizio dei dipendenti assunti con contratto di somministrazione utilizzando modalità "che variano a seconda del cliente utilizzatore e del luogo dove viene svolta la prestazione": in alcuni casi si utilizza il foglio firma cartaceo, in altri ci si avvale di "terminali di proprietà del cliente, non collegati ad alcun sistema delle società istanti; in altri attraverso rilevatori" installati dalle società stesse; successivamente, dopo aver effettuato "manualmente il controllo delle timbrature", i dati sono "inviati in contabilità per la […] fatturazione" (cfr. nota ricevuta l'8.3.2016, p. 3);
b. con il descritto sistema, pertanto, si intende effettuare la rilevazione delle presenze con un sistema idoneo a realizzare un "recupero di efficienza (eliminazione del tempo di controllo manuale e maggiore rapidità di verifica delle presenze, presupposto indispensabile alla fatturazione)" (cfr. nota cit., p. 3);
c. i dati personali trattati mediante l'installazione sui dispositivi di proprietà dei dipendenti dell'applicazione saranno: "identificativo del dipendente, orario di entrata, luogo di timbratura, orario di uscita, dispositivo tramite il quale viene effettuata la timbratura" (cfr. nota cit., p. 3);
d. l'applicativo "non consente il tracciamento, momento per momento, del dipendente" (cfr. nota cit., p. 4);
e. il sistema è configurato in modo da inviare sul dispositivo "prima del momento della timbratura […] una cartina con […] la posizione […]. In questa maniera, avvertito circa la presenza o meno di un segnale leggibile che consenta la geolocalizzazione, il dipendente procederà alla timbratura sul suo dispositivo oppure alla richiesta di timbratura". In quest'ultimo caso la richiesta "sarà inviata non appena il segnale sarà nuovamente disponibile" ad un referente delle società che successivamente "procederà alla sua approvazione" (cfr. nota cit., p. 5);
f. "l'univocità del dispositivo da utilizzare viene verificata tramite il codice IMEI"; in caso di sostituzione dello smartphone il dipendente dovrà effettuare una nuova procedura di registrazione, così come in caso di smarrimento o furto del dispositivo, previa comunicazione alla società (cfr. nota cit., p. 5).
1.4. All'esito di ulteriori contatti intercorsi tra l'Autorità e rappresentanti delle società, queste ultime ˗ con nota ricevuta il 25 maggio 2016 ˗ hanno dichiarato che:
a. "l'uso della nuova App non sarà obbligatorio e […] sarà data piena libertà di scelta rispetto all'utilizzo della […] stessa, per rispetto delle scelte individuali, oltre che per venire incontro […] ai dipendenti non dotati di smartphone"; in proposito si chiarisce altresì che presso la sede centrale "dove è impiegato il numero più alto di dipendenti con sede fissa […] gli attuali terminali marcatempo rimarranno a disposizione dei dipendenti per la modalità tradizionale di timbratura". Dall'istruttoria, pertanto, è emerso che le società assicureranno l'alternatività nell'uso dei sistemi, potendo i dipendenti scegliere tra il nuovo sistema e le usuali modalità di rilevazione delle presenze;
b. quanto alla proporzionalità del trattamento che si intende effettuare, deve essere considerata la concreta realtà lavorativa dei dipendenti delle società: "ad una ristretta popolazione di dipendenti che hanno un posto di lavoro fisso in una sede stabile, fa riscontro una stragrande maggioranza di dipendenti che invece svolgono la propria mansione o al di fuori della sede ovvero in somministrazione presso i clienti";
c. scopo ulteriore dell'applicativo è quello di "fornire una maggiore tutela al lavoratore, che si vedrà conteggiate e retribuite tutte le ore effettivamente lavorate", comprese le ore di straordinario; inoltre in caso di infortunio "che avvenga dopo la «firma di presenza», [il] nuovo sistema consentirà una corretta ed efficiente gestione degli infortuni sul lavoro";
d. in relazione, infine, ai tempi di conservazione dei dati trattati questi saranno di dieci anni relativamente all'utilizzo per finalità di fatturazione (in base all'articolo 2220 del c.c.) e di cinque anni per finalità di documentazione del rapporto di lavoro.
2. Trattamento di dati personali dei dipendenti attraverso la localizzazione di dispositivi smartphone.
Il trattamento dei dati personali dei dipendenti sottoposto a verifica preliminare consente di rilevare la localizzazione geografica di dispositivi smartphone di proprietà dei lavoratori (e, indirettamente, la posizione geografica dei lavoratori medesimi) attraverso l'attivazione di una applicazione finalizzata alla rilevazione della presenza in servizio.
Considerato che i dati personali relativi alla geolocalizzazione ˗ riferiti alla "posizione geografica dell'apparecchiatura terminale dell'utente di un servizio di comunicazione elettronica accessibile al pubblico", in base all'art. 4, comma 2, lett. i), del Codice ˗ devono essere trattati adottando particolari cautele e che i dispositivi smartphone sono, in considerazione delle normali potenzialità d'uso e dell'utilizzo comune degli stessi, destinati a "seguire" la persona che li detiene indipendentemente dalla distinzione tra tempo di lavoro e tempo di non lavoro, tale trattamento presenta rischi specifici per la libertà, i diritti e la dignità del dipendente ai sensi dell'articolo 17 del Codice (v. provv.ti n. 226 del 18 maggio 2016, doc. web n. 5217175; n. 401 dell'11 settembre 2014, doc. web n. 3474069 e n. 448 del 9 ottobre 2014, doc. web n. 3505371; analogamente, in ambito europeo, v. Gruppo di lavoro sulla protezione dei dati - Articolo 29, Parere 13/2011 sui servizi di geolocalizzazione su dispositivi mobili intelligenti, WP 185, 16 maggio 2011; si veda anche la Raccomandazione CM/Rec(2015)5 sul trattamento di dati personali nel contesto occupazionale, par. 16).
3. Liceità del trattamento dei dati di localizzazione per finalità di rilevazione delle presenze.
Le società, nel corso di diverse interlocuzioni con l'Autorità, hanno rappresentato di voler utilizzare, in alternativa ai sistemi in uso, un applicativo da installare sui dispositivi smartphone di proprietà dei dipendenti, finalizzato alla rilevazione di inizio e fine dell'attività lavorativa (nonché, laddove prevista dal contratto, della pausa pranzo), la cui attivazione comporta la individuazione e memorizzazione della posizione geografica rilevata attraverso il sistema GPS e la rete WiFi. La richiesta delle società è correlata alle specifiche caratteristiche dell'attività svolta, delle mansioni affidate ai dipendenti e della tipologia di rapporti di lavoro in essere con i medesimi.
In particolare una delle due società (Manpower s.r.l.), in qualità di agenzia per il lavoro autorizzata, svolge attività di somministrazione di lavoro, di intermediazione, ricerca e selezione del personale, nonché di ricollocazione professionale per conto di terzi.
Con il contratto di somministrazione l'agenzia autorizzata (ai sensi del d.lgs. 10.9.2003, n. 276) "mette a disposizione di un utilizzatore uno o più lavoratori suoi dipendenti" (cfr. art. 30, d.lgs. 15 giugno 2015, n. 81). I lavoratori in somministrazione, pertanto, svolgono l'attività lavorativa perlopiù presso i luoghi designati dall'utilizzatore, mentre è il somministratore (parte datoriale del rapporto) a corrispondere l'intera retribuzione (e i relativi contributi previdenziali), fermo restando il successivo rimborso a carico dell'utilizzatore relativamente alle prestazioni in concreto effettuate (cfr. art. 33, d.lgs. 15.6. 2015, n. 81).
In esecuzione di tale complesso modello contrattuale (disciplinato nelle linee essenziali dalla legge), l'attività di rilevazione della presenza in servizio viene nella prassi effettuata sia dal somministratore ˗ mediante badge elettronico o foglio firma ˗ che dall'utilizzatore. In base ai dati relativi alle ore di lavoro prestate e all'esito delle verifiche incrociate sui dati raccolti, il somministratore provvede a fatturare all'utilizzatore le somme corrisposte ai lavoratori.
Pertanto il sistema prospettato consente, rispetto a tali rapporti di lavoro (quantificati dalle società nell'ordine di decine di migliaia stipulati ogni anno), di realizzare significativi risparmi di gestione (con l'eliminazione dei lettori di badge, quando collocati presso gli utilizzatori) nonché di semplificare ed incrementare l'efficienza e la certezza dell'attività di rilevazione delle presenze dei lavoratori somministrati, anche in vista di possibili abusi. Ciò risulta anche favorire l'effettiva certificazione delle ore lavorate nonché, più radicalmente, dell'avvenuta effettuazione della prestazione lavorativa in somministrazione a favore dell'utilizzatore, a tutela dei diritti riconosciuti dall'ordinamento in primo luogo al lavoratore e anche alle parti del contratto di somministrazione.
Con riferimento all'altra società che ha presentato l'istanza (Manpower Italia s.r.l.), la quale invece fornisce "i servizi amministrativi e di supporto" nei confronti di tutte le società del gruppo, considerato che ˗ secondo quanto rappresentato ˗ la gran parte dei dipendenti svolge la propria attività lavorativa perlopiù all'esterno della sede aziendale, il sistema risulta idoneo, parimenti, a consentire la semplificazione e la maggiore efficienza dell'attività di rilevazione delle presenze, ferma restando l'alternatività con i sistemi in uso che restano a disposizione (anche) dei dipendenti che prestano servizio all'interno delle strutture aziendali.
Per i motivi suesposti le finalità del prospettato trattamento, relative all'attività di verifica dell'orario di inizio e fine della prestazione lavorativa (nonché delle pause consentite), risultano in termini generali lecite (cfr. art. 11, comma 1, lett. a), del Codice).
Resta ferma l'applicazione della disciplina di settore in materia di somministrazione di lavoro (nonché delle disposizioni dei contratti collettivi), sia per quanto riguarda l'esercizio del potere direttivo e di controllo (cfr. art. 30, d.lgs. 15.6.2015, n. 81 in base al quale i lavoratori "per tutta la durata della missione, svolgono la propria attività nell'interesse e sotto la direzione e il controllo dell'utilizzatore") sia relativamente alla modalità di esercizio dell'azione disciplinare (cfr. art. 35, comma 6, d.lgs. 15.6.2015, n. 81 in base al quale "Ai fini dell'esercizio del potere disciplinare, che è riservato al somministratore, l'utilizzatore comunica al somministratore gli elementi che formeranno oggetto della contestazione ai sensi dell'articolo 7 della legge n. 300 del 1970").
4. Necessità, pertinenza e non eccedenza dei dati trattati.
Con riguardo alla necessità, pertinenza e non eccedenza dei trattamenti che saranno effettuati attraverso il prospettato sistema, risulta in ogni caso necessario tener conto dei possibili errori nella rilevazione del dato relativo alla posizione geografica ˗ dovuti sia ai limiti di accuratezza dei sistemi di geolocalizzazione (come verificato anche nel corso dell'istruttoria) sia alla diversa qualità dei ricevitori GPS installati sui dispositivi mobili ˗ apportando, nella prospettiva della "privacy by design", alcuni correttivi in attuazione del principio di necessità (cfr. art. 3 del Codice). Si osserva inoltre che, rispetto ai sistemi ordinari di rilevazione delle presenze ˗ tramite i quali l'informazione sulla posizione geografica del lavoratore, ricavata indirettamente dalla posizione del lettore dei badge o dalla collocazione del foglio firme, è statica e invariabile ˗, l'informazione geografica rilevata attraverso la descritta applicazione è differenziata e specifica, sia per l'incidenza dei menzionati margini di errore dei sistemi sia perché ciascun lavoratore, rispetto allo stesso evento (entrata e uscita), effettuerà inevitabilmente la timbratura virtuale all'interno di una coordinata geografica ogni volta diversa (seppur relativa alla medesima area comprendente la sede di lavoro).
Si ritiene, pertanto, che in relazione alle finalità perseguite dalle società il sistema debba cancellare le coordinate geografiche della posizione del lavoratore, avendo verificato preventivamente, al fine di scongiurare possibili abusi, l'associazione tra le coordinate geografiche della sede di lavoro e la posizione del lavoratore e conservando, eventualmente, il solo dato relativo alla predetta sede di lavoro.
5. Bilanciamento di interessi.
Si ritiene pertanto, alla luce delle valutazioni sopra esposte circa la conformità del sistema ai principi di protezione dei dati e considerate le misure poste a tutela degli interessati indicate nel successivo paragrafo 7, che i descritti trattamenti possano essere effettuati, nei confronti dei dipendenti, per effetto del presente provvedimento che, in applicazione della disciplina sul c.d. "bilanciamento di interessi", individua un legittimo interesse al trattamento di tale tipologia di dati in relazione alle finalità rappresentate (art. 24, comma 1, lett. g), del Codice).
6. Tempi di conservazione.
Per quanto riguarda la conservazione dei dati trattati nei termini sopra indicati, posto che in base ai principi di necessità, di pertinenza e non eccedenza i tempi di conservazione delle diverse tipologie di dati personali eventualmente trattati devono essere individuati tenendo conto di ciascuna delle finalità in concreto perseguite, si ritiene che le società, intendendo avvalersi dei dati raccolti con il descritto sistema anche per la regolare tenuta del libro unico del lavoro, potranno conservare per cinque anni i dati necessari, limitatamente alle informazioni che nello stesso devono essere annotate in base alla disciplina di riferimento (artt. 3 e 11, comma 1, lett. d), ed e), del Codice). Analogamente, con riferimento alla conservazione per finalità di fatturazione, potranno essere conservati per i tempi stabiliti dalla legge (conformemente a quanto disposto dall'art. 2220 c.c.) i soli dati necessari a perseguire la predetta finalità, come disciplinata dall'ordinamento.
7. Misure ed accorgimenti posti a tutela dei diritti degli interessati.
Considerata la particolarità dei dati relativi alla posizione geografica e le possibili imprecisioni dei sistemi di rilevazione (nei termini sopra descritti), a tutela dei diritti degli interessati le società non dovranno conservare le coordinate geografiche della posizione del lavoratore, conservando eventualmente il solo dato relativo alla sede di lavoro, alla data e all'orario cui si riferisce la timbratura (cfr. punto 4).
In applicazione dei principi di trasparenza e correttezza, il sistema dovrà altresì essere configurato in modo tale da rendere sempre visibile sullo schermo del dispositivo un'icona che indichi che la funzionalità di localizzazione è attiva.
Inoltre la configurazione dell'applicazione dovrà essere tale da impedire il trattamento anche accidentale di dati ultronei (es. dati relativi al traffico telefonico, agli sms, alla posta elettronica, alla navigazione in internet o altre informazioni presenti sul dispositivo).
8. Adempimenti previsti dalla legge.
Resta fermo che le società, prima dell'inizio dei descritti trattamenti - come del resto, per alcuni aspetti, già rilevato nell'istanza - sono tenute in base alla normativa vigente a:
a. effettuare la notificazione al Garante ai sensi dell'articolo 37, comma 1, lett. a), del Codice;
b. fornire ai dipendenti delle società coinvolte dai descritti trattamenti un'informativa comprensiva di tutti gli elementi contenuti nell'articolo 13 del Codice (tipologia di dati, finalità e modalità del trattamento, compresi i tempi di conservazione, natura facoltativa del conferimento, indicazione dei soggetti che possono venire a conoscenza dei dati in qualità di responsabili o incaricati del trattamento), anche in conformità al principio di correttezza in base al quale il titolare è tenuto a rendere chiaramente riconoscibili agli interessati i trattamenti che intende effettuare (art. 11, comma 1, lett. a), del Codice);
c. effettuare la designazione di incaricati e responsabili (con particolare riferimento a Peoplelink s.r.l.) del trattamento provvedendo ad impartire specifiche istruzioni;
d. adottare le misure di sicurezza previste dagli articoli 31 ss. del Codice al fine di preservare l'integrità dei dati trattati e prevenire l'accesso agli stessi da parte di soggetti non autorizzati;
e. predisporre misure al fine di garantire agli interessati l'esercizio dei diritti previsti dagli articoli 7 e seguenti del Codice.
TUTTO CIÒ PREMESSO IL GARANTE
preso atto della richiesta di verifica preliminare presentata da Manpower s.r.l. e Manpower Italia s.r.l.:
1. ai sensi dell'articolo 24, comma 1, lett. g), del Codice, stabilisce che il trattamento dei dati personali dei dipendenti, possa essere effettuato mediante il descritto applicativo nei termini di cui in motivazione;
2. ai sensi dell'articolo 17 del Codice prescrive che le società, quali misure necessarie, dovranno, nell'utilizzo del sistema:
a. cancellare il dato relativo alla posizione del lavoratore, avendo verificato preventivamente l'associazione tra le coordinate geografiche della sede di lavoro e la posizione del lavoratore, conservando, eventualmente, il solo dato relativo alla predetta sede di lavoro, alla data e all'orario cui si riferisce la timbratura;
b. configurare il sistema in modo tale che sul dispositivo sia posizionata un'icona che indichi che la funzionalità di localizzazione è attiva;
c. adottare specifiche misure idonee a garantire che l'applicativo installato sul dispositivo del dipendente non possa effettuare trattamenti di dati ultronei (es. dati relativi al traffico telefonico, agli sms, alla posta elettronica o alla navigazione in internet o altro);
3. rammenta la necessità di effettuare la notificazione al Garante ai sensi dell'articolo 37, comma 1, lett. a), del Codice, di fornire ai dipendenti un'informativa completa di tutti gli elementi previsti dall'articolo 13 del Codice, di effettuare la designazione di incaricati e responsabili, di adottare le misure di sicurezza previste dagli articoli 31 ss. del Codice, di predisporre misure al fine di garantire agli interessati l'esercizio dei diritti previsti dagli articoli 7 e seguenti del Codice (punto 8).
Ai sensi degli articoli 152 del Codice e 10 del decreto legislativo n. 150 del 2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.
Roma, 8 settembre 2016
IL PRESIDENTE
Soro
IL RELATORE
Califano
IL SEGRETARIO GENERALE
Busia