Con provvedimento n. 139/2018 dell’8 marzo scorso, il Garante per la protezione dei dati personali ha accertato l’illiceità dell’uso, da parte di una società fornitrice di servizi di call center, di un software che permetteva il monitoraggio dei propri dipendenti.

Il software, stando a quanto accertato dal Garante, sebbene avesse come scopo dichiarato quello di gestire in maniera più efficiente i contatti con la clientela, era, al contempo, in grado di fornire al datore di lavoro reportistiche contenenti dati personali riconducibili ai singoli operatori e relativi alla loro attività: in particolare, codice operatore, data, durata e numero di chiamate ricevute.

Ai dipendenti interessati era stato fornito un documento informativo circa l’applicazione, ma in esso questa era qualificata come “strumento di lavoro” da utilizzare “nell’espletamento delle proprie mansioni” e descritta per la parte relativa all’interfaccia cliente, mentre nulla era specificato circa i trattamenti di dati dal lato dell’operatore; allo stesso tempo, la società si riservava, nel documento in questione, la possibilità di usare il sistema per effettuare controlli “per tutte le finalità connesse al rapporto di lavoro”.

Il Garante ha, anzitutto, ritenuto l’informativa fornita ai dipendenti carente rispetto ai requisiti posti dalla normativa sulla privacy, perché inidonea ad informare i destinatari circa la raccolta e le caratteristiche del trattamento dei loro dati personali in modo chiaro ed esauriente; l’Autorità, a tale riguardo, ha richiamato proprie precedenti decisioni circa l’irrilevanza, ai fini della necessità di un’informativa adeguata, dell’eventuale decisione del datore di lavoro di non utilizzare in concreto i dati raccolti da un determinato sistema o dispositivo.

I rilievi più gravi del Garante hanno, tuttavia, riguardato le ricadute dell’applicazione sotto esame nell’area al crocevia tra diritto del lavoro e diritto alla protezione dei dati personali.

Il Garante ha osservato che il sistema, in quanto effettivamente funzionale a esigenze organizzative e produttive della società, e non specificamente preordinato a realizzare un controllo dei dipendenti, non fosse di per sé vietato; poiché, però, esso consentiva di ricostruire, anche indirettamente, l’attività effettuata dagli operatori, era da ritenersi idoneo a realizzare un “controllo a distanza” dell’attività di questi ultimi e, in quanto tale, avrebbe dovuto essere sottoposto a previo accordo sindacale (ex art. 4, comma 1, l. 20 maggio 1970, n. 300, c.d. “Statuto dei lavoratori”), procedura che invece non era stata avviata, determinando così un ulteriore profilo di illiceità del sistema.

Tanto, in considerazione del fatto che le caratteristiche del sistema e il novero delle operazioni di trattamento da esso rese possibili non risultavano tutte “funzionali alla mera gestione del contatto con il cliente e, dunque, al mero svolgimento della prestazione lavorativa” e, pertanto, esso non poteva beneficiare dell’esenzione relativa a “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” prevista dal comma 2 dell’art. 4 dello Statuto.

Alla luce dei predetti rilievi, il Garante ha dichiarato illecito il trattamento descritto e vietato alla società la sua prosecuzione, dichiarando, altresì, l’inutilizzabilità dei dati personali già raccolti. L’Autorità si è inoltre riservata di valutare con autonomo procedimento la sussistenza dei presupposti per la contestazione di violazioni amministrative in relazione all’omessa informativa agli interessati.

Il provvedimento è opponibile innanzi al Tribunale ordinario; lo scrivente non ha notizia di eventuali opposizioni del destinatario.