Fluida è molto attenta alle normative sulla privacy e si avvale di un team legale competente in materia. Sviluppiamo ogni funzionalità secondo i principi della privacy by design.
Riguardo alla geolocalizzazione, nessun dato viene inviato ai server di Fluida. Tutte le operazioni necessarie al funzionamento dell'app sono eseguite localmente, sul dispositivo dell'utente. Fluida può solamente confermare che l'utente è all’interno di una determinata area, senza riceverne le coordinate reali.
Presupposti giuridici
La normativa italiana di riferimento è contenuta nella legge n. 300/1970 (Statuto dei lavoratori). In particolare, l'articolo 4 disciplina l'impiego degli strumenti di controllo a distanza dei lavoratori. Gli strumenti di controllo a distanza possono essere utilizzati solo in seguito a un accordo fra l'azienda e le rappresentanze sindacali, o su autorizzazione dell'Ispettorato del Lavoro.
In tutti i casi, la finalità di tali strumenti deve sempre essere legata a reali esigenze organizzative e produttive, alla sicurezza e alla semplificazione delle prestazioni lavorative.
Adempimenti sulla privacy
Fluida risponde pienamente alle indicazioni contenute nel GDPR (General Data Protection Regulation, ovvero il regolamento UE n. 2016/679).
In particolare, in base al principio di pertinenza (art. 5, par. 1, lett. E), l'azienda (o Titolare) può raccogliere solo i dati effettivamente utili. I tempi di conservazione dei dati devono rispecchiare le finalità per cui vengono raccolti.
Il software deve essere costruito in modo da non avviarsi in automatico e non registrare e/o interagire (compreso in background) con le altre applicazioni del dispositivo.
La posizione del tablet o dello smartphone aziendale non può essere monitorata in modo continuativo, ma solo nei momenti in cui è utile a raggiungere gli scopi concordati fra l'azienda e le rappresentanze sindacali, o per cui l'azienda è stata autorizzata dall'Ispettorato del Lavoro (principio di necessità, art. 5, par. 1, lett. C).
I dati devono essere sempre trasmessi su un canale criptato.
L’attivazione del processo di geolocalizzazione deve essere identificabile sul display del dispositivo aziendale tramite un'icona che indichi quando la funzionalità è attiva.
Deve esserci la possibilità di disattivare la geolocalizzazione durante le pause di lavoro previste.
Il Titolare deve individuare delle figure interne o esterne all'azienda e conferirgli l'incarico per il trattamento dei dai raccolti (DPO, Data Protection Officer).
Il Titolare è tenuto a informare sulla raccolta dei dati tutti i lavoratori coinvolti (art. 13 del GDPR). In particolare, l'informativa deve contenere:
Chi sono gli interessati, ovvero le persone fisiche a cui si riferiscono i dati personali.
Chi effettua il trattamento, ovvero il Titolare.
I recapiti del DPO, se è stato nominato.
Quali sono i trattamenti effettuati e le finalità.
La base giuridica del trattamento.
Quali dati personali vengono raccolti.
Se il trattamento comporta delle operazioni automatizzate, come la profilazione.
Se i dati verranno comunicati ad altri soggetti, come ad esempio il DPO.
Per quanto tempo verranno conservati i dati e con quali modalità.
Se i dati verranno trasferiti al di fuori dell’Unione Europea.
Quali sono i diritti dell’interessato.
Data Protection Impact Assessment (DPIA)
A ulteriore tutela dei lavoratori, il GDPR prevede che nel caso della geolocalizzazione si rende necessaria una Valutazione d'Impatto Protezione Dati (DPIA, art. 32 del GDPR). In altre parole, il Titolare deve dimostrare che l'interesse a raccogliere i dati sia legittimo e non violi i diritti e le libertà personali degli interessati.
Per qualunque dubbio, vi consigliamo verificare insieme al vostro DPO che Fluida possa essere utilizzata nella vostra azienda. Puoi anche leggere la nostra informativa sulla privacy di Fluida e sulla timbratura geolocalizzata.
🌐 Altri link
Legge n. 300/1970 (Statuto dei lavoratori), articolo 4.
Ispettorato Nazionale del Lavoro, istanza di autorizzazione.
GPDP (Garante per la protezione dei dati personali): trattamento di dati personali dei dipendenti effettuato attraverso la localizzazione di dispositivi smartphone per finalità di rilevazione delle presenze.