Background

Lo scorso 8 marzo 2018, il Garante per la protezione dei dati personali ha dichiarato illecito e vietato l’ulteriore trattamento dei dati dei dipendenti del Customer Care di un’importante società italiana del settore televisivo (in seguito, la “Società”) attuato mediante un software (“Salesforce Arcadia”, in seguito solo il “software”) per la gestione delle chiamate degli abbonati. Il software trattava non solo i dati relativi alle chiamate dei clienti e i dati anagrafici di questi ultimi al fine di ottimizzare la gestione delle richieste dei clienti, ma anche i dati personali degli operatori dei call center della Società, consentendo “ulteriori elaborazioni” relative alle loro attività.

In particolare, il Garante ha contestato alla Società:

  • di non aver fornito ai propri dipendenti coinvolti nell’utilizzo della piattaforma un’adeguata informativa in merito al trattamento posto in essere;
  • la mancanza di uno specifico accordo sindacale.

Il Garante ha, quindi, dichiarato illecito il trattamento, vietando l’ulteriore trattamento dei dati in questione.

Questioni principali

Il provvedimento in esame origina dall’attività ispettiva compiuta dal Garante in forza di una segnalazione pervenuta da un organismo sindacale e da alcuni dipendenti del call center a seguito dell’introduzione da parte della Società di un nuovo software nel gennaio 2016, che sarebbe stato utilizzato quale CRM (Customer Relationship Management) per i clienti della Società.

Le analisi sul funzionamento del software hanno dimostrato come esso sia in grado di incrociare diverse informazioni relative alle attività poste in essere da centinaia di operatori del call center, in particolare mediante la raccolta, la conservazione e la registrazione di alcuni dei dati personali di questi ultimi, come un identificativo del dipendente (“codice operatore”), il tipo di operazione eseguita, la durata, la data e l’orario della chiamata.

La Società avrebbe voluto utilizzare tali dati per valutare – anche mediante report giornalieri – la performance, l’efficienza e la qualità del servizio al fine di migliorare l’organizzazione interna delle proprie risorse interne.

La Società ha chiarito che tali registrazioni non generavano in maniera automatica report aventi finalità di monitoraggio dell’attività degli operatori, né erano accessibili da parte delle competenti funzioni delle risorse umane. Esse sarebbero utilizzabili e rese disponibili esclusivamente agli utenti del sistema abilitati, allo scopo di gestire l’ordinaria interazione con i clienti e agli amministratori di sistema.

Le funzioni aziendali interpellate hanno dichiarato di non essere a conoscenza della concreta possibilità in capo al titolare del trattamento di effettuare, mediante il menzionato sistema, operazioni di trattamento su base individuale, con specifico riferimento alla quantità e qualità della prestazione lavorativa svolta dai singoli dipendenti, ovvero per finalità di profilazione degli stessi.

Applicando i principi di correttezza e liceità sanciti all’art. 11, coma 1 lett. a) del D. lgs. n. 196/2003 (Codice Privacy) e nel rispetto di quanto stabilito dalla Corte Europea dei Diritti dell’Uomo in una recente pronuncia, di cui abbiamo parlato qualche mese fa (caso Bărbulescu v. Romania, Application no. 61496/08), il Garante ha ritenuto che i dipendenti non abbiano ricevuto un’adeguata informativa in merito al trattamento dei propri dati così come previsto dall’art. 13 del Codice Privacy, dal momento che essa non specificava in modo chiaro e dettagliato la raccolta e le finalità del trattamento. Con riferimento a tale ultimo aspetto, il Garante ha precisato che il trattamento dei dati personali – raccolti mediante sistemi come quello in esame – per finalità di difesa in giudizio della Società sia consentito solo quando si versi in ipotesi di contenziosi in atto o situazioni precontenziose e non anche per astratte e indeterminate ipotesi di possibile difesa o tutela dei diritti.

Peraltro, il Garante ha osservato che il software consente di tracciare, direttamente o indirettamente, le attività dei lavoratori, consentendo così il potenziale ed indiretto monitoraggio dei medesimi. A tal proposito, il Garante – contrariamente a quanto sostenuto dalla Società – ha ritenuto che il software in questione non possa essere considerato un mero strumento per rendere la prestazione lavorativa degli operatori del call center quanto piuttosto uno strumento organizzativo dal quale possa indirettamente derivare il controllo a distanza dei lavoratori, con conseguente necessità di attivare le procedure previste dall’art. 4, comma 1 della Legge n. 300/1970 (“Statuto dei lavoratori”) e, dunque, uno specifico accordo sindacale o la preventiva ed espressa autorizzazione della sede territoriale dell’Ispettorato nazionale del lavoro.

Implicazioni pratiche

In forza di quanto esposto sopra, le aziende dovranno verificare con attenzione i software utilizzati nell’ambito della propria organizzazione al fine di appurare se essi siano in grado di tracciare, anche solo potenzialmente, le attività dei propri dipendenti. Ove tale verifica dovesse avere esito positivo, le aziende dovrebbero:

  • valutare la proporzionalità e necessità del monitoraggio – così come chiarito nel parere n. 2/2017del WP29 – al fine di verificare se con una modalità meno intrusiva si possano conseguire le medesime finalità;
  • fornire un’adeguata e dettagliata informativa ai lavoratori interessati, che chiarisca le modalità e le finalità del trattamento, così come previsto dall’art. 13 del Codice Privacy;
  • stipulare accordi sindacali con le organizzazioni coinvolte o, in alternativa, ottenere l’autorizzazione della sede territoriale dell’Ispettorato nazionale del Lavoro ai sensi di quanto previsto dall’art. 4, comma 1 dello Statuto dei lavoratori.