Ordinanza di ingiunzione (Doc-Web 9722661) nei confronti di una società di trasporto pubblico per aver attivato sistemi di controllo dei lavoratori.

È del 28 ottobre 2021 la decisione del Garante sull’illegittimità dei sistemidi controllo dei lavoratori a distanza posti in essere in violazione delle tutele approntate dallo Statuto dei lavoratori e dal Codice privacy. 

1. Il caso 

La vicenda ha avuto origine dal reclamo un dipendente della società Trasporto Passeggeri Emilia Romagna S.p.A. (di seguito “TPER” o la “Società”) che lamentava la violazione della disciplina di protezione dei dati personali nonché della disciplina di settore in materia di controlli a distanza dei lavoratori (artt. 114 del Codice in riferimento all’art. 4 l. 20 maggio 1970 n. 300, come modificato dall’art. 23 del d.lgs. 14 settembre 2015, n. 151).

Invero, segnalava che le violazioni venivano poste in essere in relazione al trattamento dei dati personali degli operatori addetti al call center dalla Società, attraverso il sistema di gestione delle telefonate utilizzato per il servizio di assistenza all’utenza (call center inbound), mediante piattaforma dedicata “Phones”.

2. L’istruttoria 

La verifica sui dispositivi della società ha portato in effetti il Garante ad accertare, tramite accesso alla piattaforma “Phones” e, in particolare, alle funzionalità relative al riascolto delle chiamate (“RecReviewer”), come nel database fossero conservate le informazioni relative alle telefonate registrate, anche per un periodo superiore a quello previsto (90 giorni).

Nello specifico tali informazioni riguardavano dati personali dell’operatore, quali il nome, la data e l’ora della chiamata, nonché il numero di telefono chiamante. 

Le risultanze istruttorie lasciavano emergere che i primi dati disponibili e reperibili nel database risalissero al marzo 2018.  

3. Condizioni di liceità del trattamento 

Precisa il Garante nel provvedimento in commento che sotto il profilo della base giuridica dei trattamenti operati in ambito lavorativo, i dati personali, anche relativi a categorie particolari di dati, dei lavoratori possono essere dal datore di lavoro trattati a condizione che: 

• Il trattamento risulti necessario per la gestione del rapporto di lavoro e per adempiere a specifiche previsioni di settore (artt. 6, par. 1, lett. c), 9, par. 2, lett. b) e 4; 88 del Regolamento) 
• Risulti necessario per un compito di interesse pubblico o connesso allo svolgimento di funzioni pubbliche cui è onerato il titolare del trattamento.  (artt. 6, parr. 1, lett. e), 2 e 3 del GDPR).

L’Autorità, inoltre, pone l’accento sulle norme nazionali poste a tutela della dignità umana che il datore di lavoro deve immancabilmente rispettare le quali “includono misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati in particolare per quanto riguarda la trasparenza del trattamento […] e i sistemi di monitoraggio sul posto di lavoro” (artt. 6, par. 2, e 88, par. 2, del Regolamento). 

È in relazione a tali disposizioni, tipicamente afferenti allo specifico ambito della protezione dei dati personali, che assumono, dunque, valore dirimente – quale fondamento di liceità dei trattamenti – gli artt. 4 ed 8 della L. n. 300/1970 e 10 del D.Lgs. 297/2003 disciplinanti le condizioni e le modalità del controllo a distanza dei lavoratori.

Precisa, invero, sul punto il provvedimento che dette “norme costituiscono nell’ordinamento interno quelle disposizioni più specifiche e di maggiore garanzia di cui all’art. 88 del Regolamento […] la cui osservanza costituisce una condizione di liceità del trattamento e la cui violazione – analogamente alle specifiche situazioni di trattamento del capo IX del Regolamento – determina anche l’applicazione di sanzioni amministrative pecuniarie ai sensi dell’art. 83, par. 5, lett. d), del Regolamento”

4. Il sistema adottato dalla società TPER e le violazioni accertate

Secondo quanto accertato dal Garante, il sistema adottato da TPER consentiva la registrazione delle telefonate dell’utenza ricevute dagli operatori che venivano identificati mediante matricola.

Detta registrazione veniva automaticamente memorizzata sulla piattaforma Phones, previa cifratura dei file audio. 

V’è di più, perché era prevista la possibilità di riascolto della registrazione, attuata mediante una apposita applicazione accessibile tramite credenziali da parte delle persone autorizzate. Infine, era possibile che la registrazione venisse conservata fino al termine individuato come “necessario”. 

L’esame dell’informativa resa ai dipendenti ha messo in evidenza che, sebbene la Società avesse informato il personale e, con separata comunicazione, anche le organizzazioni sindacali della definitiva attivazione da una certa data di “un sistema di registrazione delle telefonate che intercorrono tra l’utenza e gli addetti, con possibilità di riascolto a campione delle telefonate, anche per dirimere eventuali contenziosi”, tuttavia, detta informativa non soddisfava tutti i requisiti richiesti dall’art. 13 del Regolamento, quali l’indicazione dei diritti degli interessati di cui agli artt. 15-22 del Regolamento e il diritto di proporre reclamo all’autorità di controllo. Invero, la società si era limitata a indicare il tempo massimo di 90 giorni per la conservazione delle registrazioni, senza informare sulle procedure di memorizzazione dei dati dei dipendenti e della loro attività lavorativa.

“Per tali ragioni, il documento informativo originariamente messo a disposizione dei dipendenti non conteneva tutti gli elementi espressamente richiesti dal Regolamento, non forniva una chiara e trasparente rappresentazione del complessivo trattamento effettuato tramite il sistema “Phones” sia con riguardo ad alcune operazioni di trattamento (es. raccolta e memorizzazione delle meta informazioni) sia con riguardo ai presupposti di liceità dello stesso, in violazione degli artt. 5, par. 1, lett. a) e 13 del Regolamento”.

Inoltre, il fatto che sistema consentisse la memorizzazione sistematica e la conservazione delle meta informazioni relative alle chiamate registrate per un tempo non definito, ha implicato – oltre al mancato rispetto dei principi del Privacy by design e Privacy by default (art. 25 GDPR) – anche la violazione del principio di limitazione della conservazione e delle finalità (art. 5, par. 1, lett. c) ed e) GDPR).

Infine, il Garante mette in luce alcune falle anche sul piano della sicurezza dei dati personali trattati mediante il dispositivo di registrazione adottato da TPER.

In particolare:

1. la password impostata dall’amministratore, all’atto della creazione di un nuovo utente, non doveva essere obbligatoriamente modificata al momento del primo accesso da parte dell’utente stesso, compromettendo la riservatezza delle credenziali di accesso ai dati personali da parte dei soggetti autorizzati;
2. il sistema di tracciatura degli accessi non appariva adeguato a consentire di risalire, attraverso i log, alle operazioni condotte da parte della ditta fornitrice del sistema, né alle attività di creazione e cancellazione delle utenze, in tal modo non consentendo al titolare di conoscere con esattezza tutti gli accessi alle telefonate registrate. 

5. La decisione

Al termine delle proprie valutazioni l’Autorità, pertanto, ha accertato la violazione da parte di TPER delle norme in materia di protezione dei dati personali nella misura in cui i trattamenti sottoposti al proprio vaglio sono risultati illegittimi poiché non conformi ai principi di minimizzazione e di limitazione del periodo di conservazione dei dati e del tutto inadeguati rispetto all’esigenza di garantire la riservatezza e l’integrità dei dati personali trattati.

Avv. Adamo Brunetti

Leggi il provvedimento