Trentamila euro: è questa la sanzione comminata dal Garante dei dati personali a una società di trasporto pubblico che, attraverso il proprio sistema di customer care, monitorava i suoi dipendenti sul posto di lavoro, in violazione della disciplina in materia di protezione dei dati personali (Regolamento UE n. 679/2016) e dello Statuto dei lavoratori (L. n. 300/1970).
La segnalazione è arrivata all’Autorità Garante da un reclamo presentato da un dipendente della società, il quale lamentava che la sua datrice di lavoro, attraverso il sistema informatizzato di gestione delle telefonate del customer care rivolto ai clienti, effettuava in verità un controllo a distanza degli operatori telefonici.
Nel corso dell’attività istruttoria, la società per difendersi ha sostenuto che il sistema informatizzato impiegato, fornito da una azienda terza e utilizzato dai suoi dipendenti addetti al servizio clienti, aveva l’obiettivo di verificare gli standard qualitativi e di gestire eventuali reclami e in merito al trattamento dei dati personali effettuato dallo stesso sistema, precisava di aver informato i lavoratori e i sindacati e che lo stesso costituiva strumento di lavoro, ai sensi dell’articolo 4 della legge n. 300/70, come modificato dall’articolo 23 del d.lgs. 14.9.2015 n. 151, pertanto la registrazione delle telefonate intercorse tra utenza e operatori di call center era ammessa senza necessità di sottoscrizione di un previo accordo sindacale né della previa autorizzazione dell’INL, essendo sufficiente adeguata informativa.
I dati dei dipendenti trattati dal sistema di customer care
Dalle verifiche condotte dall’Autorità sul funzionamento del meccanismo informatizzato impiegato nel servizio customer care dell’azienda, era però emerso che in realtà i dipendenti non erano stati debitamente informati della logica sottesa al sistema, né del fatto che lo stesso consentiva la registrazione delle telefonate, la loro conservazione senza tempo definito e il riascolto delle stesse; tra l’altro, venivano conservate anche ulteriori informazioni riferite all’attività lavorativa del singolo operatore, identificato con il suo numero di matricola, come la durata delle telefonate, i numeri contattati, data e ora della chiamata.
Il riascolto delle telefonate del customer care avveniva attraverso un’applicazione a cui si accedeva a mezzo di credenziali; la procedura poteva essere avviata dalla società, da un cittadino/cliente o un operatore, eventualmente per gestire i reclami, e “a campione, su iniziativa aziendale, per verificare lo standard qualitativo dei servizio con l’immediata cancellazione del dato, qualora non critico”.
Non si trattava, pertanto, di un semplice strumento di lavoro, bensì di un sistema di controllo a distanza e come tale, prima di essere utilizzato, necessitava dell’autorizzazione dell’ispettorato o, in alternativa, di un accordo preventivo con le rappresentanze sindacali, come richiesto dall’art. 4 dello Statuto dei lavoratori.
Cosa dicono le norme
Secondo quanto stabilito dal Regolamento n. 679/2016, il datore di lavoro può trattare i dati personali, anche relativi a categorie particolari di dati dei lavoratori, ma solo se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti dalla disciplina di settore (artt. 6, par. 1, lett. c), 9, par. 2, lett. b) e 4; 88 del Regolamento).
Il trattamento dei dati del lavoratore effettuato dall’azienda è, inoltre, lecito quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (artt. 6, parr. 1, lett. e), 2 e 3 del Regolamento; 2-ter del Codice, nel testo anteriore alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, vigente all’epoca dei fatti oggetto dell’istruttoria).
Il datore di lavoro, titolare del trattamento, deve, più in generale, rispettare i principi in materia di protezione dei dati (art. 5 del Regolamento), deve attuare misure tecniche e organizzative adeguate per essere in grado di dimostrare che il trattamento è compiuto in linea con il Regolamento n. 679/2016 (artt. 5, par. 2, e 24 del Regolamento) e garantire adeguata sicurezza ai dati trattati per scongiurare trattamenti non autorizzati o illeciti e a perdita, distruzione o danno accidentali (art. 5, par. 1, lett. f); v. anche art. 32 del Regolamento).
Oltre che rispettare la disciplina europea in materia di tutela dei dati personali, il datore di lavoro, quando tratta i dati dei suoi dipendenti, è tenuto a rispettare altresì le norme nazionali, che prevedono di adottare misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati, in particolare per quanto riguarda la trasparenza del trattamento e i sistemi di monitoraggio sul posto di lavoro (artt. 6, par. 2, e 88, par. 2, del Regolamento).
Il nostro Codice Privacy (D.Lgs. n. 196/2003 e succ. modif.) rinvia sul punto alle disposizioni nazionali di settore che tutelano la dignità delle persone sul luogo di lavoro, con particolare riferimento ai possibili controlli da parte del datore di lavoro.
Per evitare sanzioni, quando si trattano dati personali dei dipendenti, affinché il trattamento sia lecito, occorre dunque necessariamente rispettare anche gli artt. 4 e 8 della l. 20 maggio 1970, n. 300 e l’art. 10 del d.lgs. n. 297/2003.
L’articolo 4 dello Statuto dei lavoratori così recita testualmente:
“1. Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale. In mancanza di accordo, gli impianti e gli strumenti di cui al primo periodo possono essere installati previa autorizzazione della sede territoriale dell’Ispettorato nazionale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali, della sede centrale dell’Ispettorato nazionale del lavoro. I provvedimenti di cui al terzo periodo sono definitivi.
2. La disposizione di cui al comma 1 non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze.
3. Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196”.
Nel caso portato all’attenzione del Garante, riguardante il customer care, l’azienda di trasporto, non rispettando la disciplina normativa in materia, aveva dunque violato i principi di minimizzazione e di limitazione del periodo di conservazione dei dati, non aveva informato debitamente gli interessati del trattamento, non aveva adottato misure tecniche e organizzative adeguate tese ad assicurare la riservatezza e l’integrità dei dati personali trattati, né aveva richiesto il preventivo intervento dell’INL o delle rappresentanze sindacali.
Il datore di lavoro che usa sistemi forniti da terzi ha il compito di verificarne il funzionamento
Peraltro, come chiarito dal Garante in diversi provvedimenti (si vedano il provv. n. 235 del 10 giugno 2021, doc. web n. 9685922 e il provv. 17 dicembre 2020, n. 282, doc. web n. 9525337), il titolare del trattamento, anche quando utilizza prodotti o servizi realizzati da terzi, è chiamato a verificare, eventualmente avvalendosi del supporto del Responsabile della protezione dei dati, se presente, la conformità ai principi applicabili al trattamento dei dati (art. 5 del Regolamento) adottando, nel rispetto del principio di responsabilizzazione, le opportune misure tecniche e organizzative e impartendo le necessarie istruzioni al fornitore del servizio.
Quando si utilizzano sistemi informatizzati forniti da terzi, il titolare del trattamento è pertanto tenuto a disattivare dagli stessi, quelle funzioni che vanno al di là delle finalità del trattamento, ovvero non sono in linea con le norme di settore previste dall’ordinamento, in particolare, come nel caso di specie, quando ci si trova in un contesto lavorativo.
Attenzione alle informative e alle basi giuridiche
Nell’informativa fornita dalla società agli addetti al customer care, l’impresa aveva indicato come finalità del trattamento dei loro dati personali, la gestione dei reclami che rientrerebbe, a detta della società, nel quadro della difesa di diritti, finalità questa che, come chiarito dal Garante, non può giustificare, siffatto trattamento di dati personali.
In situazioni simili, non si è davanti a trattamenti di dati personali compiuti per finalità di tutela dei diritti [come erroneamente riportato nell’informativa fornita ai dipendenti], in quanto, scrive il Garante, tale specifica finalità va riferita a contenziosi in atto o a situazioni precontenziose e non ad astratte e indeterminate ipotesi di possibile difesa o tutela dei diritti, posto che tale estensiva interpretazione risulterebbe elusiva delle disposizioni sui criteri di legittimazione del trattamento.
L’azienda aveva poi, sempre nell’informativa resa ai dipendenti, escluso correttamente il ricorso al consenso come base giuridica del trattamento, ma aveva poi motivato tale esclusione con il fatto che il trattamento dei dati dei dipendenti era finalizzato ad eseguire obblighi derivanti da un contratto di servizio del quale la datrice di lavoro era parte interessata; in verità, come spiega il Garante, l’espressione “necessario per l’esecuzione di un contratto” di cui all’art. 6, par. 1, lett. b) del Regolamento n. 679, si riferisce al caso in cui “il trattamento deve essere necessario per adempiere il contratto con ciascun interessato” e non invece come, nel caso di specie, nell’esecuzione di un contratto di servizio tra il titolare e un terzo, ente pubblico appaltante; il punto è chiarito nelle Linee Guida sul consenso ai sensi del Regolamento UE 2016/679 pubblicate dal Comitato per la protezione dei dati, laddove si legge “è necessario che vi sia un collegamento diretto e obiettivo tra il trattamento dei dati e la finalità dell’esecuzione del contratto con gli interessati”.
Il trattamento di dati dei dipendenti effettuato dalla società mediante il sistema in esame, essendo invece finalizzato all’assistenza degli utenti per migliorare il servizio di trasporto pubblico locale di cui la società era concessionaria, al più poteva rientrare nell’ambito dell’esecuzione di un compito di interesse pubblico e degli obblighi previsti dalla disciplina di settore (art. 6, par.1, lett. e) del Regolamento).
Conclusioni
Concludendo, l’impresa avrebbe dovuto fornire agli interessati ogni necessaria informazione per assicurare piena consapevolezza degli ulteriori trattamenti compiuti con il sistema, ma anche provvedere alla corretta configurazione dello stesso, in modo da raccogliere solo i dati necessari, circoscritti in ben definiti limiti temporali.
Il Garante ha, comunque, comminato una sanzione ridotta, pari a 30mila euro, in quanto la società si è resa disponibile a collaborare per rendere il trattamento dei dati in linea con la normativa.
