Trattamento dei dati personali: rilevazione delle presenze con sistema automatico e conseguenze del rifiuto del dipendente al suo utilizzo

La massima

Non è proporzionato e conforme a buona fede e legittima il recesso senza preavviso, il sistematico rifiuto del lavoratore di utilizzare il sistema di rilevazione automatico delle presenze tramite applicativo che tratta i dati relativi all'ingresso e all'uscita dei dipendenti da un luogo di lavoro, laddove il trattamento sia conforme alla normativa sulla protezione dei dati personali.

Il caso

L'introduzione di un sistema di rilevazione automatico delle presenze tramite applicativo istallato su smartphone aziendale e tecnologia Tag NFC.

Per la comprensione del caso si ritiene utile illustrare il contesto tecnologico e informativo di riferimento della vicenda.

Per “facilitare la timbratura” da parte dei propri dipendenti occupati presso un cantiere presente all'interno di un grande ospedale di Roma, un'azienda datrice di lavoro ha inserito all'interno del cantiere due smartphone, uno presso la cd. “Centrale Termica” e l'altro all'ingresso dei locali adibiti a spogliatoi, dotati di un'applicazione (denominata “ClockIT”) “progettata per far sì che lo smartphone funga da timbratore” delle presenze in cantiere dei dipendenti.

A tali dipendenti veniva fornito un adesivo contenente un “Tag NFC” che permette ai dispositivi, una volta in contatto a poca distanza l'uno dall'altro (3-5 cm), di stabilire una comunicazione e di trasferire dati), da applicarsi sul badge aziendale identificativo, il quale, una volta avvicinato dal singolo lavoratore allo smartphone, consente a lui di timbrare l'ora di entrata e l'ora di uscita dal cantiere e al datore di lavoro di visualizzare unicamente la data e l'orario in cui l'accostamento del badge è avvenuto, il codice del lavoratore e il timbratore di riferimento, allo stesso modo di come avviene qualora vengano utilizzati i tradizionali marcatempo, con esclusione della geolocalizzazione del lavoratore.

Tale iniziativa veniva accompagnata alla preventiva illustrazione, mediante presentazione ai segretari delle organizzazioni provinciali e alle rispettive r.s.u., del funzionamento del nuovo sistema di timbratura di ingresso e di uscita adottato.

Le organizzazioni sindacali, esaminato il funzionamento del sistema, chiedevano all'azienda datrice di lavoro le seguenti delucidazioni, ottenendo le relative risposte.

1. se fosse necessario il consenso dei dipendenti ai fini dell'adozione di siffatto sistema di rilevazione delle presenze. L'azienda rispondeva che “trattandosi della mera rilevazione della presenza ai fini di una corretta gestione del rapporto di lavoro, non è necessario uno specifico consenso da parte dei lavoratori. Ad ogni buon conto, in virtù della disponibilità sempre dimostrata da parte di codesta Società, incentrata sulle corrette relazioni sindacali, la Scrivente Azienda si rende disponibile a fornire una mera informativa relativa al sistema utilizzato per la rilevazione delle presenze che verrà caricata sulla pagina personale di ogni lavoratore”;
2. se i lavoratori avessero potuto visualizzare le proprie timbrature qualora ve ne fosse stato il bisogno. L'azienda rispondeva che “per quanto concerne l'estrazione mensile della situazione individuale relativa alle timbrature, nonché nell'ipotesi di malfunzionamento dei sistemi interessati, sino a diversa e nuova disposizione, i lavoratori potranno far riferimento direttamente al Referente di cantiere”.

All'esito delle spiegazioni, la datrice di lavoro aveva anche modo di chiarire che “la suddetta modalità è la principale forma di rilevazione presenze. Pertanto, da questo momento in poi non sarà più ammesso un comportamento di negligenza nei confronti della suddetta modalità di rilevazione presenze (diversamente l'azienda fa presente che si riserva l'attivazione di eventuali azioni disciplinari)”.

Una dipendente, operaia elettricista addetta al predetto cantiere, si rifiutava ripetutamente di seguire il nuovo modello di rilevazione delle presenze sostenendone l'illegittimità sotto il profilo del trattamento dei dati, continuando ad annotare i propri turni su moduli cartacei.

Seguivano quattro provvedimenti disciplinari conservativi (all'esito dei relativi procedimenti) per violazione della procedura aziendale regolante la rilevazione delle presenze presso il cantiere tramite il predetto sistema e il licenziamento della lavoratrice senza preavviso, all'esito del quinto procedimento disciplinare attivato contestando anche le precedenti recidive nell'identica condotta.

L'azienda datrice di lavoro si rivolgeva, quindi, al Tribunale di Trento proponendo domanda volta ad accertare la legittimità del “licenziamento senza preavviso” irrogato alla dipendente, previa, se del caso, conversione della misura in licenziamento per giustificato motivo soggettivo.

Si costituiva la lavoratrice convenuta avanzando, in via riconvenzionale, domanda di

1. annullamento delle sette sanzioni disciplinari conservative irrogate e del licenziamento intimato,
2. di condanna dell'azienda al pagamento della retribuzione corrispondente a 9 giorni di sospensione e a un'ora di multa,
3. risarcimento del danno subito per effetto dell'irrogazione e la cancellazione delle sanzioni da qualsiasi registro aziendale ai fini della recidiva (iv) di applicazione della tutela reale attenuata ex art. 3 co.2 d.lgs. n. 23/2015, in subordine della tutela obbligatoria.

La questione

Presupposti e requisiti del trattamento dei dati dei dipendenti tramite sistema di rilevazione automatico delle presenze.

Si tratta di valutare quali siano i presupposti e i requisiti per l'introduzione e l'impiego di un sistema di rilevazione automatico delle presenze tramite applicativo che tratta i dati relativi all'ingresso e all'uscita dei dipendenti da un luogo di lavoro e le conseguenze del rifiuto del lavoratore di utilizzarlo.

La soluzione giuridica

Laddove il trattamento dei dati relativi alle presenze al lavoro attuato tramite sistema di rilevazione automatico delle presenze sia conforme alla normativa sulla protezione dei dati personali, il lavoratore non può eccepire l'inadempimento datoriale rifiutandosi sistematicamente di utilizzare il sistema e tale condotta, disciplinarmente rilevante, legittima il recesso senza preavviso.

Il Tribunale di Trento, partendo dalla fattispecie di riferimento, premette che la condotta della lavoratrice – in considerazione dell'assenza di contestazione circa le circostanze di fatto alla base del provvedimento espulsivo – è, in ipotesi, idonea a concorrere a perfezionare un'ipotesi di licenziamento senza preavviso ex art. 10 del titolo settimo (“Rapporti in azienda”) CCNL Metalmeccanici (con particolare riferimento all'ipotesi, di cui alla lettera a), relativa alla “grave insubordinazione verso i superiori” certamente perfezionata dalla plurima reiterazione del medesimo inadempimento) e, comunque, di licenziamento per giusta causa exart. 2119, c. 1, c.c. (non potendo quella stessa plurima reiterazione del medesimo inadempimento consentire, anche solo in via provvisoria, la prosecuzione del rapporto di lavoro).

Premesso tale inquadramento, il Giudice di Trento passa ad esaminare eventuali profili scriminanti la condotta della lavoratrice che possano essere riconducibili ad eventuali illegittimità dell'introduzione e dell'impiego del nuovo sistema di rilevazione automatico delle presenze. In particolare, muovendo dall'esame delle caratteristiche e dell'esercitabilità dell'eccezione di inadempimento nei contratti a prestazioni corrispettive ai sensi dell'art. 1460 c.c., il thema decidendum viene individuato nell'indagine circa la legittimità e proporzionatezza del rifiuto della lavoratrice di registrare la propria presenza tramite il nuovo sistema tecnologico introdotto dall'azienda e mantenimento del sistema analogico tramite firme su moduli cartacei, sulla base delle argomentazioni sollevate dalla stessa lavoratrice.

L'esame dei diversi profili di irregolarità rispetto a quanto disciplinato dal Regolamento europeo sulla protezione dei dati (GDPR) sollevati dalla lavoratrice, costituisce il nucleo delle argomentazioni della sentenza del Tribunale di Trento che merita di essere esaminato nel suo percorso logico-giuridico.

1. Carenza informativa prevista dall'art. 13 GDPR.

La prima censura della lavoratrice, consistente nella intempestiva informativa circa il funzionamento del sistema al momento della sua introduzione (80 giorni dopo l'inizio del trattamento e 50 giorni dopo l'espressa richiesta da parte dei lavoratori, secondo le allegazioni della convenuta) viene ritenuta priva di rilievo dal Tribunale in quanto l'informativa in questione era stata comunque fornita dall'azienda in data antecedente al primo rifiuto della lavoratrice di attestare le ore di entrata e di uscita al lavoro con le modalità previste dal nuovo sistema.

2. Erroneità e/o non corrispondenza al vero dei dati di cui all'art. 13 co 1 lett. a) e b) riportati nell'Informativa e violazione degli artt. 44 e ss GDPR.

La seconda censura sollevata dalla lavoratrice attiene alla corretta individuazione dei soggetti rilevanti il trattamento dei dati personali tramite il sistema di rilevazione delle presenze adottato dall'azienda nell'informativa fornita ai dipendenti.

In particolare, secondo la convenuta, se il Titolare del Trattamento era stato correttamente individuato nell'azienda datrice di lavoro, diversamente da quanto indicato nell'informativa, il Responsabile del Trattamento non era da individuarsi nella società fornitrice del sistema di elaborazione delle presenze (Z. S.p.A.), ma bensì nella società che possiede e gestisce l'applicazione informatica utilizzata, sulla quale vengono caricati in prima battuta i dati dei dipendenti (Clockit.io). Ciò, in quanto, secondo la ricostruzione della convenuta, i dati in questione sarebbero caricati sulla piattaforma Z. in un secondo momento, dopo essere transitati dalla predetta applicazione informatica. In questo senso, Z. S.p.A. avrebbe potuto essere nominata subresponsabile del trattamento. Da tale argomentazione ne discenderebbe l'illegittimità del trattamento dei dati anche a mente di Cass., Sent. Sez. I, n. 35256 del 18 dicembre 2023 secondo cui il trattamento di dati personali effettuato da un soggetto incaricato dal titolare, ma in assenza di investitura formale nel ruolo di responsabile o sub-responsabile, è illecito.

Il Tribunale non condivide la predetta ricostruzione, ritenendo che colui che “possiede e gestisce l'applicazione informatica”, considerati il momento e livello di intervento nel trattamento dei dati (ricostruito tramite le deposizioni testimoniali e richiamato il parere in data 1.11.2021 del Garante), appaia assimilabile più all'ausiliario che elabora e fornisce “processi automatizzati” a coloro che effettuano il trattamento dei dati, piuttosto che al Responsabile del Trattamento. Inoltre, il Giudice osserva che appaia piuttosto arduo imputare l'attività di raccolta a colui che ha elaborato il mezzo, con cui la raccolta avviene e ne cura il funzionamento limitatamente agli aspetti tecnico-informatici, ma non ha alcun accesso ai dati che quel mezzo raccoglie mediante processi automatizzati, e non già a colui che di quel mezzo si avvale. Inoltre non appare persuasivo che un soggetto, per il solo fatto di aver elaborato un'applicazione e/o curarne il funzionamento, debba adempiere ai numerosi obblighi, che l'art. 28 GDPR pone a carico del Responsabile del Trattamento.

Sotto diverso piano, il Tribunale aggiunge che, anche qualora si ritenesse che l'azienda datrice di lavoro abbia errato nell'indicare nell'Informativa ex art. 13 lett. b) GDPR il nominativo del Responsabile del trattamento dei dati, i molteplici rifiuti opposti dalla lavoratrice di adempiere alla nuova procedura aziendale di rendicontazione delle presenze non sarebbero comunque conformi a buona fede, secondo il canone di proporzionatezza cui all'art, 1460 co. 2 c.c. Sotto questo profilo, il Giudice del Tribunale di Trento rileva come – anche sotto il profilo allegativo – l'eccezione di inadempimento sollevata dalla convenuta sia infondata; se è risultato evidente che il comportamento ostativo della lavoratrice ha leso l'interesse del datore ad ottenere l'attestazione delle ore di entrata e di uscita al lavoro con le modalità introdotte, di contro non è chiaro quale pregiudizio avrebbe subito la dipendente in concreto per il fatto che il datore avesse indicato, quale

responsabile del trattamento, un soggetto che ha comunque adempiuto esattamente agli obblighi ex art. 28 GDPR.

3. Erroneità e/o non corrispondenza al vero dei dati di cui all'art. 13 co 1 lett. c) riportati nell'Informativa e violazione del combinato disposto degli artt. 5 e 6 GDPR.

Con il terzo profilo di censura la convenuta contesta la corrispondenza e proporzionalità del trattamento dei dati effettuato tramite il nuovo sistema dalla società datrice di lavoro rispetto alle finalità (esecuzione del contratto di lavoro, adempimento di obbligo normativo e legittimo interesse del datore di lavoro) e alle conseguenze (impossibilità di eseguire il rapporto contrattuale) dichiarate nell'informativa ex art. 13 GDPR.

In particolare, secondo la difesa della lavoratrice, il trattamento dei dati tramite accostamento del Tag NFC sul tesserino in dotazione ai dipendenti ad un telefono smartphone comune affisso a parete non è necessario ai fini dell'esecuzione del contratto di lavoro sottoscritto, né per adempiere ad obbligo normativo cui è tenuto il titolare. Il sistema di timbrature Clockit, infatti, costituirebbe un trattamento dei dati ulteriore rispetto a quello derivante dalla rilevazione delle presenze, adottato

per facilitare e verificare il sistema di timbrature cartaceo già in essere. Dunque il Titolare raccoglierebbe e tratterebbe dati personali in maniera sproporzionata rispetto alla finalità di verifica delle presenze. Infine, anche le conseguenze di un eventuale rifiuto riportate nell'informativa sono

erronee: dal rifiuto al trattamento non è discesa l'impossibilità di eseguire il contratto.

Il Tribunale rigetta anche tali argomentazioni, principalmente argomentando sul fatto che l'attestazione delle ore di entrata e di uscita mediante l'app CLOCK.IT fornisce risultati ben più oggettivi e, quindi, più attendibili di quelli desumibili dai fogli presenza cartacei compilati personalmente da ciascun lavoratore, perché prescinde dalla correttezza dello stesso lavoratore nella compilazione dei moduli cartacei e dell'affidamento del datore di lavoro.

I due sistemi di rilevazione delle presenze, quello analogico precedentemente adottato e quello tecnologico neo introdotto, non possono considerarsi equivalenti e il secondo, più attendibile del primo nel rilevare l'orario di lavoro, risponde alla necessità

1. di una corretta esecuzione del contratto di lavoro, specie in ordine alla determinazione della retribuzione effettivamente spettante al lavoratore, il cui diritto sorge non già dalla mera stipulazione del contratto, ma dallo svolgimento della prestazione che necessità di precisa rilevazione. Sotto tale profilo è interessante il richiamo della decisione alla sentenza CGE del 14.5.2019, in C-55/18, dove si è sottolineata la necessità (al fine di assicurare l'effetto utile dei diritti previsti dalla direttiva 2003/88 e del diritto fondamentale sancito dall'articolo 31, paragrafo 2, della Carta) che gli Stati membri impongano ai datori di lavoro l'obbligo di predisporre un sistema oggettivo, affidabile e accessibile che consenta la misurazione della durata dell'orario di lavoro giornaliero svolto da ciascun lavoratore in modo tale da disporre di dati di fatto certi, qualora sorgano controversie in ordine a diritti e interessi attinenti al rapporto di lavoro;
2. di un esatto adempimento, da parte della società datrice titolare del trattamento, degli obblighi di fonte legale sulla stessa incombenti in tema di redazione e consegna dei prospetti paga (l. 5 gennaio 1953, n. 4) e di contribuzione obbligatoria (specie qualora il prestatore svolga lavoro oltre all'orario ordinario);
3. di verificare la veridicità di quanto riportato dal sistema di rilevazione presenze cartaceo che costituisce una finalità tutt'altro che estranea a quella previste dall'art. 6 GDPR, atteso che la non corrispondenza al vero dei dati utilizzati pregiudica sia la corretta esecuzione del contratto, sia l'esatto adempimento degli obblighi legali, sia il proficuo perseguimento del legittimo interesse sotteso al diritto di difesa.

Secondo il Tribunale di Trento Il nuovo sistema risulta, quindi, conforme al precetto ex art. 6 co.1, lett. b) GDPR, dovendosi ragionevolmente ritenere che il legislatore europeo si sia voluto riferire all'esecuzione corretta di un contratto e non già a un'esecuzione qualsiasi.

4. Mancanza di adeguate misure di sicurezza. Violazione degli artt. 5 lett. f) e 32 GDPR e 5. Carenza della valutazione di impatto; violazione dell'art. 35 GDPR.

Con la quarta e quinta contestazione, la lavoratrice lamentava la mancata adozione, da parte della società datrice di lavoro, di misure di adeguate di sicurezza al fine di evitare la lesione dei diritti tutelati dalla normativa, secondo quanto previsto dagli artt. 5 lett. f) e 32 del GDPR, dal momento che il sistema era stato istallato in un luogo pubblico accessibile a tutti, che non erano state previste misure per impedire di prendere visione della lista delle timbrature dei dipendenti negli ultimi cinque mesi, né per inibire le funzionalità di accesso ad internet, alla fotocamera, alla videocamera e al microfono da parte dello smartphone affisso a parete.

Il Giudice del Tribunale di Trento risolve tale contestazione partendo dall'esame del flusso di raccolta e di trasmissione dei dati e della tipologia degli stessi e comparando tale trattamento con quello effettuato tramite moduli cartacei.

Sotto il primo profilo, si rileva come i dati generati dalla app a seguito dell'avvicinamento del tag erano minimizzati e anonimizzati in quanto consistevano unicamente nella data e nell'ora delle timbrature e in un codice decifrabile soltanto mediante un file di associazione del codice al nominativo del lavoratore, che non era presente all'interno dello smartphone. Inoltre, quanto al secondo profilo, i dati in questione venivano sversati in una memoria temporanea della app stessa e, dopo qualche secondo, trasmessi in via telematica all'applicativo gestionale Z., con svuotamento della memoria stessa.

Tali misure, non solo sono state ritenute idonee e sufficienti a garantire la protezione dei dati trattati tramite il sistema, ma anche ad assicurare una protezione maggiore rispetto a quella che comportava la procedura di annotazione scritta a mano in moduli cartacei, considerando che, nella fattispecie, l'istruttoria aveva dimostrato come i vecchi fogli presenza riportavano il nome, il cognome e la qualifica del lavoratore, nonché, per ciascuna giornata dell'intero mese, l'ora di inizio del servizio, l'ora di fine servizio, la presenza o meno in servizio, le ragioni dell'assenza (non solo ferie e permessi, ma anche malattia) e il numero delle ore lavorate e i fogli presenza venivano conservati in un raccoglitore senza alcuna specifica misura protettiva.

Diversamente dalla previgente procedura analogica, infatti, l'applicativo introdotto dalla società, tramite la pseudonimizzazione e la cifratura dei nominativi dei lavoratori (indicati con un codice non decifrabile tramite il solo smartphone), impediva qualsiasi concreto pregiudizio alla riservatezza dei dati personali dei dipendenti, così come la conoscenza da parte di terzi della riconducibilità dei dati di timbratura ai dipendenti stessi, anche laddove le funzionalità di video-audio registrazione dello smartphone fossero state utilizzate per l'asportazione dei dati in questione.

Quanto all'utilizzo dello smartphone per altre finalità (occulte) afferenti al controllo delle condotte da parte dei lavoratori, dopo aver verificato che l'utilizzo della App “ClockIT” non innescasse il funzionamento della videocamera contenuta nello smartphone, e tantomeno di geolocalizzazioni e di cimici-spia, come da allegazione di parte convenuta, il Tribunale ha ritenuto che l'eventuale diniego della datrice di lavoro alla legittima richiesta di blocco di tali funzionalità, non avrebbe comunque giustificato la condotta della lavoratrice di rifiuto ad attestare le ore di entrata e di uscita al lavoro con le modalità indicate secondo la nuova procedura.

Infatti, anche imputando al datore una condotta inadempiente, la valutazione comparativa con l'inadempimento della lavoratrice non avrebbe potuto condurre a un giudizio di conformità a buona fede dell'eccezione di inadempimento sollevata dalla dipendente, atteso che – a fronte di un sicuro pregiudizio all'interesse della società sotteso all'obbligo gravante sulla lavoratrice di attestare le ore di entrata e di uscita al lavoro con le modalità indicate dal datore – del tutto incerta sarebbe stata l'efficacia lesiva della condotta del datore rispetto all'interesse della lavoratrice sotteso alla pretesa

volta al blocco del funzionamento di fotocamera e videocamera.

6. Illiceità di trattamenti ulteriori rispetto a quelli contenuti nell'informativa. Violazione di tutte le norme del GDPR.

Con l'ultimo argomento di contestazione, la lavoratrice lamenta la illiceità dell'ulteriore trattamento dei dati da parte dell'azienda che aveva fotografato la schermata del sistema istallato per verificare le timbrature nella fase inziale di messa a punto del sistema stesso.

Il Tribunale osserva che tale condotta aziendale, avvenuta in momenti successivi al periodo iniziale di introduzione del nuovo sistema, non sussisteva più all'epoca di gran parte dei rifiuti, opposti dalla lavoratrice, di attestare le ore di entrata e di uscita al lavoro con le modalità indicate dal datore.

Quindi l'asserito pregresso inadempimento datoriale è comunque inidoneo in radice a giustificare l'inadempimento, da parte della lavoratrice, dell'obbligo di attestare le ore di entrata e di uscita al lavoro con le modalità indicate dal datore; ciò senza necessità di procedere a valutazioni comparative in punto incidenza di ciascuno di essi sugli interessi sottesi alle rispettive obbligazioni.

Osservazioni

Brevi considerazioni in tema di requisiti e limiti della raccolta e trattamento dei dati tramite strumenti evoluti di registrazione degli accessi e delle presenze.

Il presupposto giuridico di tutte le argomentazioni delle parti e del Giudice, sebbene non esplicitato nella decisione, è necessariamente lo schema di garanzia approntato dall'art. 4, Stat. Lav. in tema di controllo remoto dell'attività lavorativa. Limitandoci agli aspetti di interesse posti dalla decisione in commento, tale norma esclude espressamente, al comma 2, gli strumenti di registrazione degli accessi e delle presenze (insieme agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa) dal necessario preventivo accordo sindacale-autorizzazione amministrativa, condizione necessaria per l'adozione di strumenti utili alle esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale da cui derivi il controllo a distanza dei lavoratori.

Se l'applicazione di tale previsione è piuttosto intuitiva nel caso dei tradizionali sistemi marcatempo di entrata e uscita connessi ai sistemi di raccolta dati per l'elaborazione delle buste paga, adottare “in esenzione” sistemi evoluti che, interfacciandosi con diversi data base e software, permettono la l'elaborazione e la profilazione dei dati per finalità diverse (si pensi ai moderni sistemi di HRM-HCM e di HR Analytics connessi a soluzioni sempre più raffinate di gestione e controllo dell'intero Employee Life Cycle), può porre giustificati scrupoli.

Analogamente a quanto già osservato per in relazione ai GPS (cfr. in analogia la circ. INL 2/2016), l'elemento discretivo non è la componente di hardware (es. il badge o il cartellino marcatempo e il dispositivo che acquisisce l'informazione), ma l'utilizzo che il datore di lavoro fa delle informazioni acquisite tramite tale componente.

Di tale profilo non vi è traccia nella decisione in commento (né nei diversi argomenti di censura sollevati dalla difesa della lavoratrice), ma non vi è dubbio che in un mondo di soluzioni applicative interconnesse che cresce esponenzialmente, il primo problema da porsi è se lo strumento di registrazione delle presenze, resti un sistema chiuso e strettamente finalizzato alla rilevazione degli orari di ingresso e uscita dei dipendenti o permetta, in connessione con altri applicativi o sistemi e in aggregazione con altri dati e informazioni, di perseguire esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale che richiedano la procedura autorizzativa prevista dal comma 1 dell'art. 4 Stat. Lav. (restando invece il mero controllo dell'attività lavorativa sempre vietato).

Nel vigore della formulazione previgente della norma in questione, ad esempio, la Suprema Corte aveva ritenuto che un sistema di controllo delle presenze che consenta la trasmissione, tramite tecnologia RFID contenuta nel badge e in un lettore collegato per mezzo della rete lan all'ufficio del personale, di tutti i dati acquisiti tramite la lettura magnetica del badge in uso al singolo lavoratore (riguardanti non solo gli orari di ingresso e di uscita, ma anche sospensioni, permessi, pause, ecc.) realizzasse una modalità di controllo a distanza di cui fosse necessario l'accordo sindacale o l'autorizzazione amministrativa (Cass. civ. 9904/2016).

Il piano si sposta quindi sulla tipologia dei dati e sull'uso che degli stessi il datore di lavoro intende fare (rectius possa fare).

Del resto la deroga di cui al comma 2 dell'art. 4 Stat. Lav. resta sempre condizionata e dipendente dagli adempimenti in materia di protezione dei dati, giusta la previsione normativa di raccordo contenuta all'ultimo comma della medesima norma, secondo la quale le informazioni raccolte anche attraverso gli strumenti esenti sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d'uso degli strumenti e di effettuazione dei controlli, nel rispetto di quanto disposto dalla normativa sulla protezione dei dati. Ed è su questo profilo che si concentra la decisione in commento, fornendo un interessante spunto di approfondimento.

L'argomentata disamina del Giudice di Trento dello strumento di rilevazione delle presenze in cantiere adottato dall'azienda datrice di lavoro può, infatti, essere in estrema sintesi ricondotta alla verifica – sotto il profilo tecnico e di raccolta dei dati – del rispetto dei principi generali del trattamento di dati personali ai sensi dell'art. 5 GDPR:

• liceità, correttezza e trasparenza del trattamento, nei confronti dell'interessato;
• limitazione della finalità del trattamento, compreso l'obbligo di assicurare che eventuali trattamenti successivi non siano incompatibili con le finalità della raccolta dei dati;
• minimizzazione dei dati: i dati devono essere adeguati pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento;
• esattezza e aggiornamento dei dati, compresa la tempestiva cancellazione dei dati che risultino inesatti rispetto alle finalità del trattamento;
• limitazione della conservazione dei dati: per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento;
• integrità e riservatezza: adeguata dei dati personali oggetto del trattamento.

Il tutto secondo un approccio di responsabilizzazione (accountability) secondo cui il titolare del trattamento deve essere sempre in grado di dimostrare il rispetto di predetti principi, come esplicitato all'art. 24 GDPR.

Sotto tale ultimo profilo, con particolare riferimento agli strumenti di registrazione degli accessi e delle presenze, l'Autorità Garante ha avuto modo di ritenere legittimo e non eccedente rispetto alle finalità di gestione del rapporto di lavoro, il trattamento dei dati personali effettuato dal datore di lavoro per mezzo proprio di sistema con tecnologia RFID inserita nel badge dei dipendenti laddove

1. i lavoratori siano stati informati sulle modalità di funzionamento del sistema; e
2. vengano raccolti esclusivamente i dati relativi all'entrata o all'uscita del lavoratore attraverso l'accostamento del badge al lettore, il quale deve segnalare, in modo evidente, la registrazione dei dati medesimi ed evitare pertanto la raccolta di dati all'insaputa del prestatore di lavoro (provvedimento del 1° marzo 2012 [1882100]).

Non sono stati invece ritenuti legittimi dall'Autorità Garante sistemi di rilevazione delle presenze dei dipendenti e di verifica dell'osservanza dell'orario di lavoro tramite raccolta e trattamento di impronte digitali (provvedimento del 14 settembre 2023 [9940565] e 10 novembre 2022 [9832838]) e a riconoscimento facciale (provvedimento del 22 febbraio 2024 [9995680]), in assenza di idonea base giuridica e in violazione ai principi di minimizzazione e proporzionalità del trattamento.

Un ultimo accenno merita l'aspetto informativo che, in relazione al tema, risulta particolarmente rilevante dovendo coniugare le indicazioni specifiche dell'art. 4, ultimo c., Stat. Lav. (circa la modalità d'uso degli strumenti e di effettuazione dei controlli) e quelli previsti dal Decreto Trasparenza (d.lgs. n. 104/2022 inserendo l'art. 1-bis del d.lgs. n. 152/1997).

Laddove poi - anche in base a una valutazione complessiva del trattamento dei dati - si configuri un sistema decisionale o di monitoraggio automatizzato (“quegli strumenti che, attraverso l'attività di raccolta dati ed elaborazione degli stessi effettuata tramite algoritmo, intelligenza artificiale, ecc., siano in grado di generare decisioni automatizzate” secondo Min. Lav., circ. 19/2022) “non sarà necessario procedere all'informativa nel caso, ad esempio, di sistemi automatizzati deputati alla rilevazione delle presenze in ingresso e in uscita, cui non consegua un'attività interamente automatizzata finalizzata ad una decisione datoriale” (sempre secondo Min. Lav., circ. 19/2022). Diversamente, in caso di soluzioni interamente automatizzate o aperte al trattamento per finalità ulteriori e/o diverse, sarà evidentemente necessaria una (ri)valutazione d'impatto (cfr. Autorità Garante, Questioni interpretative e applicative in materia di protezione dei dati del 13 dicembre 2022 [9844960]) e una riflessione sulla tenuta del regime di esenzione di cui all'art. 4, comma 2 Stat. Lav., anche alla luce delle conseguenze che l'illiceità del trattamento dei dati tramite tali sistemi comporta.