Illecito il controllo sugli operatori di un call center effettuato mediante un software gestionale contrario non solo della normativa posta a tutela del diritto alla riservatezza, ma anche della disciplina prevista in materia di controlli a distanza ex art. 4 L. 20 maggio 1970, n. 300 (“Statuto dei Lavoratori”).
IL FATTO:
Con il provvedimento n. 139 dell’8 marzo 2018, il Garante per la protezione dei dati personali si è occupato delle operazioni di trattamento di dati personali effettuate nei riguardi dei dipendenti di un call center c.d. “inbound” dedicato agli abbonati alla nota piattaforma televisiva via cavo Sky mediante un apposito software gestionale fornito dal colosso del cloud computing Salesforce.
La questione è stata portata all’attenzione del Garante per la privacy da un’organizzazione sindacale ed un gruppo di dipendenti del call center, i quali lamentavano numerose violazioni del proprio diritto alla riservatezza perpetrate dalla società a seguito dell’introduzione della piattaforma gestionale “Salesforce Arcadia”, tra cui l’assenza di un’adeguata informativa e l’asserita possibilità per il datore di lavoro di esercitare “una sorveglianza massiva e totale” sui dipendenti.
Il Garante, a fronte delle memorie e della documentazione presentata da entrambe le parti, ha rilevato che la società, in qualità di titolare, ha effettuato operazioni di trattamento di dati personali dei propri dipendenti che “risultano per alcuni profili non conformi alla disciplina in materia di protezione dei dati personali”.
Dopo aver appurato che il gestionale consente, oltre alle operazioni di trattamento di dati personali relativi alla clientela, è in grado di effettuare anche «la raccolta e la registrazione / memorizzazione, con possibilità di estrazione di reportistica […] di alcuni dati personali associati/riferiti agli operatori», tra cui, in particolare, «l’identificativo del dipendente (cd. “codice operatore”), il tipo di operazione svolta, la durata della chiamata, data e orario di termine della chiamata», l’Autorità procede con l’analisi delle criticità riscontrate.
In primo luogo, il Garante conferma l’assenza di una completa ed idonea informativa ai dipendenti circa le specifiche modalità e finalità del trattamento reso possibile dal gestionale targato Salesforce. Il testo di informativa fornito ai dipendenti dalla società, infatti, se da un lato indica le principali caratteristiche dell’interfaccia con il cliente ed avverte i destinatari che il datore di lavoro si riserva di effettuare controlli sull’attività svolta «per tutte le finalità connesse al rapporto di lavoro», dall’altro omette di disciplinare in maniera compiuta tutta quella serie di operazioni di trattamento effettuate con riferimento ai dati degli operatori, con conseguente violazione dell’art. 13 del D.lgs. n. 196 del 30 giugno 2003 (“Codice privacy”).
In secondo luogo, l’Autorità analizza il gestionale in cloud sotto il profilo lavoristico, con particolare riferimento alla disciplina di settore in materia di controlli a distanza. A tal proposito il Garante, seppure riconoscendo come l’impiego del gestionale sia «funzionale a specifiche esigenze organizzative e produttive della società» e non risulti «direttamente preordinato a realizzare un controllo individualizzato e massivo», è altrettanto perentorio nello stabilire che il software, così configurato, è stato erroneamente qualificato dalla società quale strumento utilizzato dal lavoratore per rendere la prestazione lavorativa, mentre rappresenta piuttosto uno strumento organizzativo che permette di ricostruire, anche indirettamente, l’attività effettuata dagli operatori, realizzando «un controllo, anche solo potenziale e in via indiretta, dell’attività lavorativa».
Ne consegue che, non avendo la società stipulato alcuno specifico accordo sindacale in relazione all’applicativo, il trattamento da questa effettuato avviene in violazione dell’art. 114 del Codice e dell’art. 4, c.1 dello Statuto dei Lavoratori.
Al termine della propria analisi, pertanto, il Garante per la protezione dei dati personali, considerato che il trattamento dei dati effettuato dalla società attraverso il gestionale “Salesforce Arcadia” risulta illecito per violazione degli artt. 11, comma 1, lett. a), 13 e 114 del Codice della Privacy, ha dunque disposto il divieto di ulteriore trattamento dei predetti dati, fatta salva la conservazione per esclusiva finalità di tutela dei diritti in sede giudiziaria.
PERCHÉ È IMPORTANTE:
Il provvedimento in esame è particolarmente rilevante poiché fa chiarezza su un fenomeno oggigiorno particolarmente diffuso come quello dell’utilizzo di software gestionali nell’ambito delle società che effettuano attività di call center che, se da un lato – come peraltro espressamente riconosciuto dal Garante – risultano indispensabili per migliorare gli standard qualitativi del servizio reso nei rapporti con la clientela, dall’altro consentono di effettuare controlli particolarmente invasivi sulla quotidiana operatività dei dipendenti.
Preme infine ricordare che, sebbene nel provvedimento si sia limitato a disporre il divieto di ulteriore trattamento, il Garante si è espressamente riservato di valutare, al termine di proprio autonomo procedimento, la sussistenza dei presupposti per sanzioni amministrative nei confronti della società, che quasi certamente non tarderanno ad arrivare.
No Comments