Illecita raccolta dati dei dipendenti mediante software gestionale
Home » News » Focus

Raccolta dati personali dei lavoratori di un call center mediante sistema di gestione delle telefonate, è illecito

Pier Paolo Muià Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

Versione PDF del documento

Garante per la protezione dei dati personali: provvedimento n.139, del 08/03/2018

riferimenti normativi: artt. 11, comma 1 lettera a), 13 e 14 del Codice in materia di protezione dei dati; art 4, comma 1, L. 300/70

Fatto

Alcuni lavoratori di una Società che gestisce le relazioni con i clienti di un importante network televisivo italiano, impiegati in attività di customer care, insieme all’organizzazione sindacale presente in azienda si erano rivolti al Garante per la protezione dei dati personali segnalando la possibile violazione della normativa in materia di privacy ad opera della Società attraverso l’impiego di un nuovo software gestionale.

In particolare i lavoratori e l’organizzazione sindacale lamentavano che la Società aveva introdotto il nuovo sistema per la gestione dei rapporti con la clientela del network televisivo senza dare alcuna preventiva ed esaustiva informativa ai lavoratori, limitandosi esclusivamente a prevedere un corso di formazione della durata di 20 ore e comunicando l’introduzione del nuovo software tramite un messaggio (pop up) visibile al momento dell’accesso al sistema.

L’organizzazione sindacale aveva, poi, evidenziato il rischio di un possibile controllo a distanza dei lavoratori effettuato tramite il nuovo sistema di gestione, attraverso operazioni di trattamento dei dati con specifico riferimento alla quantità e qualità delle prestazioni lavorative svolte dai singoli dipendenti.

A sostegno di questo timore, l’organizzazione aveva informato il Garante della comunicazione rilasciata dalla Società datrice di lavoro che aveva escluso l’utilizzo dei dati raccolti dal sistema per fini disciplinari e di valutazione della prestazione, ponendo, però, un limite temporale a detto divieto. Secondo l’Organizzazione sindacale tale impegno, oltretutto parziale visto che il divieto di utilizzo ai fini sopra detti era limitato ad un determinato periodo, altro non era che l’ammissione della sussistenza di problematiche relative al trattamento dei dati personali.

Alla luce della segnalazione ricevuta, il Garante aveva provveduto ad effettuare delle verifiche sul sistema al fine di accertare l’eventuale violazione della normativa in materia di privacy e di controlli a distanza dei lavoratori.

In questa fase la Società ha fornito alcuni chiarimenti sulle modalità di funzione del sistema, specificando che questo consentiva all’operatore di avere un contatto efficace con l’abbonato del network televisivo che chiamava il call center, attraverso la visualizzazione dell’anagrafica, della tipologia di abbonamento, delle tecnologia disponibili ecc.

Dalle verifiche esperite dal Garante era emerso che il sistema utilizzato dalla Società per migliorare il servizio fornito ai clienti era in grado di fornire, attraverso la raccolta e la registrazione, alcuni dati personali associabili agli operatori, come: (i) l’identificativo del dipendente, (ii) il tipo di operazione svolta, (iii) la durata della chiamata, (iv) la data e orario di termine della chiamata.

Il Garante, aveva altresì, avuto modo di appurare che la Società, ritenendo il sistema di gestione della clientela uno strumento di lavoro, si era limitata a consegnare ai lavoratori il documento informativo, con il quale oltre a specificare la natura dello strumento stesso, necessario ai fini dell’espletamento dell’attività lavorativa, aveva dichiarato la possibilità di effettuare controlli sui dati registrati dal sistema al fine di monitorare la corretta applicazione delle procedure stabilite in materia di gestione degli abbonati, riservandosi il diritto di utilizzare tali dati a tutti i fini connessi al rapporto di lavoro.

La decisione del Garante

Il Garante, preso atto delle risultanze dell’istruttoria, ha ravvisato nel trattamento dei dati personali eseguito dalla Società, una violazione della normativa in materia di privacy, con riferimento ai principi di liceità, nonché la violazione dell’art 4 dello Statuto dei lavoratori in materia di controlli a distanza dell’attività lavorativa, stabilendo conseguentemente:

  • l’illiceità del trattamento dei dati compiuti dalla società;
  • l’inutilizzabilità dei dati già raccolti;
  • l’immediata cessazione di ulteriori raccolte e trattamenti di dati;
  • un termine di 30 giorni affinchè la società dia conto al Garante delle misure dalla medesima adottate per ottemperare a quanto disposto dal Garante medesimo.

In particolare, il Garante ha ritenuto l’informativa consegnata ai lavoratori inidonea ad informare compiutamente, in modo chiaro e dettagliato, l’utilizzo che la Società avrebbe fatto dei dati raccolti mediante il sistema di gestione della clientela.

Infatti, nella prima parte del documento informativo la Società, oltre ad attribuire al sistema di gestione la natura di strumento di lavoro, dettava le istruzioni e le modalità di uso dello stesso senza menzionare le specifiche operazioni di trattamento che riguardavano i dati personali degli operatori. Nella seconda parte, la Società dava informazioni sulle attività di controllo che si riservava di fare sull’attività svolta dagli operatori, tramite il sistema di gestione, e sull’utilizzo dei dati così raccolti per tuttte le finalità connesse al rapporto di lavoro. In tal modo, quindi, secondo il Garante la società presupponeva che attraverso il gestionale avrebbe raccolto dei dati relativi ai propri dipendenti, ma non aveva specificato in maniera chiara che avrebbe compiuto tale raccolta. Secondo il Garante tale documento, pertanto, non p conforme all’informativa prevista dall’art. 13 codice privacy.

Il Garante ha poi rilevato il rischio di un controllo a distanza dei lavoratori mediante i dati raccolti dal sistema di gestione. Infatti i dati raccolti, seppur non immediatamente collegabili al nominativo di un determinato lavoratore, potevano esserlo attraverso l’incrocio e la consultazione di informazioni disponibili conservate nei sistemi. Questo consentiva alla Società di ricostruire l’attività svolta dal lavoratore e dunque di effettuare un controllo, anche solo potenziale ed indiretto, dell’attività lavorativa.

Di particolare interesse è la valutazione operata dal Garante sulla natura di strumento di lavoro o meno del sistema di gestione. Dalle verifiche esperite sul sistema, il Garante ha potuto constatare che il trattamento dei dati consentito dal sistema non era in via esclusiva funzionale alla mera gestione del cliente, potendo da detti dati risalire all’attività svolta dal singolo operatore, e quindi non poteva essere considerato strumento per rendere la prestazione lavorativa, ma doveva essere considerato uno strumento organizzativo dal quale poteva indirettamente derivare un controllo a distanza del lavoratore. Come tale, per la lecita utilizzazione del sistema e dei dati raccolti, sarebbe stato necessario avviare le procedure disposte dallo statuto dei lavoratori, consistente o in un accordo sindacale con le rappresentanze aziendali, o in assenza di queste, o in caso di mancato accordo, in un provvedimento autorizzatorio dell’Ispettorato del lavoro.

Volume consigliato 

Il Responsabile della Protezione dei Dati (Data Protection Officer-DPO)

Il Responsabile della Protezione dei Dati (Data Protection Officer-DPO)

Stefano Comellini, 2018, Maggioli Editore

Quando deve essere designato un DPO? Chi deve nominarlo? Chi può essere nominato DPO e quali requisiti sono richiesti? DPO dipendente oppure soggetto esterno? Quale atto formale di nomina occorre in ambito pubblico? Se il DPO è un dipendente pubblico quale qualifica deve avere?...



Potrebbe anche interessarti  Nuova Privacy dopo il 25 maggio: partecipa all’evento Web

© RIPRODUZIONE RISERVATA


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it