RÖDL & PARTNER

RÖDL & PARTNER

Nuovo obbligo per i datori di lavoro di misurare la durata dell’orario di lavoro giornaliero dei dipendenti. Implicazioni in materia di data protection e prospettive tra Spagna e Italia

di Isabel García e Michele Donvito

In data 12 maggio 2019 è entrato in vigore in Spagna il Decreto Legge n. 8/2019 che ha introdotto l’obbligo per tutte le aziende di prevedere un registro giornaliero dell’orario di lavoro dei dipendenti. A seguito di tale previsione normativa, le aziende dovranno implementare un sistema che consenta la registrazione dell’entrata e dell’uscita dei loro lavoratori. Nel caso in cui un sistema permetta di registrare gli orari di entrata e di uscita dei singoli dipendenti, i relativi dati raccolti identificano chiaramente una persona specifica, con la conseguenza che tale registrazione implica un nuovo trattamento dei dati personali dei lavoratori.

Indipendentemente dal fatto che la registrazione sia effettuata inserendo il nome e il cognome del lavoratore o identificando ogni lavoratore con un numero (ad esempio, un codice dipendente), essendo tale numero unico per ogni dipendente – in caso contrario non sarebbe possibile collegare le ore di entrata e di uscita al singolo dipendente – costituisce un dato personale ai sensi dell’articolo 4 comma 1 del GDPR, secondo cui: “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il […] numero di identificazione”.

La registrazione, inoltre, potrebbe essere realizzata sia manualmente sia tramite un sistema tecnologico biometrico. In quest’ultimo caso, ci troveremmo di fronte al trattamento di un ulteriore dato, ad esempio l’impronta digitale, che appartiene alle categorie di dati particolari di cui all’articolo 9 del GDPR, il cui trattamento è vietato, a meno che non si applichi una delle eccezioni previste dal regolamento stesso.

Tutto ciò ha giustamente causato molti di dubbi e domande da parte dei datori di lavoro e delle imprese spagnole in merito all’allineamento con questo nuovo obbligo ed alla normativa vigente in materia di protezione dei dati, così come alle condizioni secondo le quali la registrazione ed il controllo dell’orario di lavoro dei dipendenti devono essere effettuate.

L’Autorità di vigilanza spagnola (“Agencia Española de Protección de Datos”; di seguito, l'”AEPD”) ha già rilasciato una dichiarazione al riguardo, fornendo ulteriori chiarimenti nella sezione FAQ del suo sito web (vid. www.aepd.es) con l’obiettivo di aiutare le imprese nella concreta implementazione di tale registrazione in conformità con il nuovo obbligo giuridico. Si riportano di seguito le informazioni principali:

Che tipo di sistema possono usare i datori di lavoro per controllare le ore di lavoro?

Inizialmente le aziende possono utilizzare qualsiasi sistema per controllare l’orario di lavoro dei dipendenti. Tuttavia, l’AEPD sottolinea che il sistema deve essere “il meno intrusivo possibile” per la privacy dei dipendenti, il che suggerisce che i sistemi manuali siano preferiti a quelli che utilizzano tecnologie biometriche.

Occorre chiedere il consenso dei lavoratori per l’implementazione di questi sistemi ed informarli sulle nuove misure di controllo?

La registrazione dell’orario di lavoro dei dipendenti non richiede il loro consenso. Si tratta di un trattamento dei dati personali dei dipendenti lecito ai sensi dell’articolo 6, paragrafo 1, lettera c) del GDPR, essendo lo stesso necessario per adempiere ad un obbligo legale cui è soggetto il datore di lavoro.

L’esistenza di una base giuridica per tale trattamento, tuttavia, non esonera dall’obbligo di informare gli interessati di tale trattamento e delle condizioni alle quali esso è effettuato in conformità degli articoli 12 e seguenti del GDPR. Di conseguenza, tutti i datori di lavoro dovranno avvisare i propri dipendenti in merito a tale nuova misura di controllo mettendo a loro disposizione un’informativa contenente tutti gli elementi di cui all’articolo 13 del GDPR.

Cosa fare se il sistema è gestito da un provider esterno che avrà accesso ai dati?

Se il fornitore del sistema di registrazione ha accesso ai dati o fornisce servizi di hosting dei dati, egli agirà in qualità di Responsabile del trattamento per conto della società, che invece riveste la qualità di Titolare del trattamento. Pertanto, in conformità all’articolo 28 del GDPR, l’azienda dovrà sottoscrivere con il fornitore uno specifico “accordo sul trattamento dei dati” il cui contenuto deve corrispondere a quanto previsto dal suddetto articolo.

L’obbligo per gli stati membri di imporre ai datori di lavoro la registrazione delle prestazioni giornaliere svolte da ciascun lavoratore, originato da una recente sentenza della Corte di Giustizia dell’Unione Europea (C-55/18 – 14 Maggio 2019), non è invece ancora stato pienamente recepito tramite intervento legislativo in Italia.

Allo stato attuale, la normativa italiana prevede che le ore giornaliere di lavoro siano inserite in apposito documento (denominato LUL – ‘Libro Unico del Lavoro’), compilato mensilmente (pertanto anche in un momento successivo alla prestazione) a cura del datore di lavoro.  Se la sentenza della Corte venisse interpretata in maniera rigida, tuttavia, potrebbe rendersi necessario introdurre nell’ordinamento italiano una registrazione dell’orario contestuale all’effettivo esercizio della prestazione.

Una simile tipologia di controllo, pur se in linea con i diritti fondamentali dei lavoratori previsti dalla Direttiva EU 2003/88, potrebbe creare importanti complicazioni pratiche, oltre a determinare significative implicazioni anche in ambito privacy, soprattutto qualora la prestazione lavorativa sia svolta secondo forme di lavoro flessibile o particolari che non prevedono la presenza fissa del dipendente sul posto di lavoro.

In questo caso potrebbe rendersi necessario per il datore di lavoro avvalersi di particolari strumenti (quali ad esempio app. installate su smartphone o altri dispositivi mobili affidati ai dipendenti), l’utilizzo dei quali deve essere attentamente regolato al fine di evitare trattamenti dei dati personali eccessivi rispetto alle finalità perseguite dal titolare del trattamento.

In questo senso, infatti, il Garante della Privacy italiano ha recentemente chiarito che la registrazione dell’orario di lavoro tramite smartphone corrisponde ad un legittimo trattamento dei dati personali solo quando sia accompagnata da una serie di accorgimenti, a carico del titolare del trattamento, che garantiscano ai dipendenti, tra gli altri, la possibilità preventiva di optare per trattamenti ‘meno invasivi’, di disconnettersi dal device una volta terminata la prestazione lavorativa e di essere protetti tramite l’adozione di adeguate misure di sicurezza dirette a scongiurare ogni possibile ingerenza su dati relativi alla vita privata del lavoratore o comunque non pertinenti al rapporto contrattuale tra le parti.

Nonostante tale intervento in ottica data protection, spetterà comunque al legislatore intervenire ulteriormente definendo ancor più nel dettaglio i contorni e le concrete modalità con cui i datori di lavoro potranno effettivamente adempiere all’obbligo della Corte, procedendo alla regolare e sistematica misurazione dell’orario lavorativo dei dipendenti.

In ambito di diritto del lavoro, infatti, il mancato rispetto dell’obbligo di registrazione dell’orario potrebbe determinare alti rischi per il datore di lavoro in caso di controversie relative all’orario effettivamente osservato dai dipendenti, i quali potrebbero fare valere tale mancanza a titolo di prova presuntiva atta a dimostrare in giudizio, ad esempio, l’effettivo svolgimento di prestazioni di lavoro straordinarie, imponendo così la retribuzione delle stesse a carico dell’azienda.

Condividi questo post


X