Il Garante per la Protezione dei Dati Personali si è pronunciato sulla questione dei controlli datoriali a distanza sugli strumenti informatici aziendali, tra norme in materia di protezione dei dati personali e Statuto dei lavoratori.
È questo il contenuto del provvedimento 28 ottobre 2021, n. 384, adottato a seguito di un reclamo di un dipendente della società Trasporto Passeggeri Emilia Romagna S.p.A. il quale lamentava “presunte violazioni con riguardo al trattamento dei dati personali degli operatori addetti al call center posti in essere dalla Società mediante il sistema di gestione delle telefonate utilizzato per il servizio di assistenza all’utenza (call center inbound), mediante piattaforma dedicata “Phones”, realizzata e fornita da IFM Infomaster S.p.A. (che svolgeva anche attività di manutenzione sulla piattaforma), in qualità di responsabile del trattamento (art. 28 del Regolamento; cfr. nota XX e relativi allegati, in atti).”
Controllo a distanza dei lavoratori e strumenti informatici, tra norme sulla privacy e Statuto dei lavoratori
Nell’affrontare la questione dei controlli datoriali sugli strumenti informatici aziendali, è fondamentale innanzitutto evidenziare come tale materia intersechi non solo la disciplina giuslavoristica, ma anche quella in materia di tutela della privacy.
La prima è rappresentata dal c.d. Statuto dei lavoratori, la Legge 300/1970, mentre la seconda comprende l’insieme delle norme contenute nel GDPR e nel Codice della Privacy.
Si ha dunque una duplice tutela, poiché lo Statuto dei lavoratori regola i limiti al potere di controllo del datore di lavoro a tutela dei diritti del soggetto nella sua condizione di lavoratore, mentre la disciplina in materia di protezione dei dati personali mira a proteggere il diritto alla riservatezza del dipendente in quanto persona fisica.
Alle norme devono aggiungersi poi molteplici pronunce giurisprudenziali, sia da parte delle giurisdizioni nazionali che di quelle sovranazionali, ma anche i provvedimenti del Garante per la protezione dei dati personali per quanto riguarda l’applicazione del GDPR e del Codice della Privacy e le circolari dell’Ispettorato Nazionale del Lavoro per l’interpretazione delle norme giuslavoristiche.
Le condizioni di liceità del trattamento dei dati personali da parte del datore di lavoro devono essere dunque individuate guardando all’insieme delle norme in materia di tutela della privacy e giuslavoristiche.
Nello specifico, in base alla disciplina in materia di protezione dei dati personali, il datore di lavoro può trattare i dati personali dei lavoratori, compresi quelli rientranti nelle categorie particolari, se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti dalla disciplina di settore (artt. 6, par. 1, lett. c); 9, par. 2, lett. b) e 4; 88 del GDPR). Il trattamento è, inoltre, lecito quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”).
Il trattamento dei dati in questione deve avvenire però, innanzitutto, nel rispetto dei principi in materia di tutela della privacy di cui all’articolo 5 del GDPR; nello specifico, eventuali controlli da parte del datore di lavoro devono essere leciti, corretti e trasparenti (in base ai principi di liceità, correttezza e trasparenza), posti in essere per finalità determinate e limitati a quanto strettamente necessario per il conseguimento delle stesse (alla luce dei principi di limitazione delle finalità e minimizzazione).
Perché il trattamento dei dati in questione sia lecito, il datore deve, inoltre, rispettare le norme nazionali, che “includono misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati in particolare per quanto riguarda la trasparenza del trattamento […] e i sistemi di monitoraggio sul posto di lavoro” (artt. 6, par. 2, e 88, par. 2, del Regolamento).
In quest’ottica, il Codice della privacy rinvia espressamente alle disposizioni nazionali di settore che tutelano la dignità delle persone sul luogo di lavoro, con particolare riferimento ai possibili controlli da parte del datore di lavoro (artt. 113 “Raccolta dati e pertinenza” e 114 “Garanzie in materia di controllo a distanza”).
La liceità del trattamento dei dati è connessa dunque anche all’osservanza della disciplina di settore in materia di impiego di “strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori” (art. 5 e 6 par. 1, lett. c), e 88, par. 2, del Regolamento e 114 del Codice della privacy).
Per effetto di tale rinvio, l’osservanza degli artt. 4 (“Impianti audiovisivi e altri strumenti di controllo”) e 8 (“Divieto di indagini datoriali sul lavoratore”) dello Statuto dei lavoratori e dell’art. 10 del d.lgs. n. 276/2003 (“Divieto di indagini sulle opinioni e trattamenti discriminatori”, rivolto alle agenzie per il lavoro e agli altri soggetti pubblici e privati autorizzati o accreditati) costituisce dunque una condizione essenziale di liceità del trattamento, come ha evidenziato anche il Garante per la Protezione dei Dati Personali in una recente pronuncia, che sarà oggetto di una più attenta analisi in seguito.
Lo Statuto dei lavoratori, la natura degli strumenti informatici e gli obblighi di informazione
Nell’ambito del quadro brevemente ricostruito, una particolare attenzione merita la questione degli obblighi di informazione da parte del datore legati all’utilizzo di strumenti di controllo; la corretta informazione ai dipendenti trova la propria disciplina sia negli articoli 12, 13 e 14 del GDPR, sia nella disciplina giuslavoristica.
In tal senso, per quanto riguarda quest’ultima, la norma di riferimento è senz’altro il già citato art. 4 St. Lav., così come modificato dal D.Lgs.14 settembre 2015, n. 151, il c.d. Jobs Act.
Con la riforma, è stato eliminato il divieto generale (precedentemente previsto al comma 1) di utilizzo di impianti e strumenti audiovisivi dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, i quali possono però essere impiegati per determinate finalità (vale a dire esigenze organizzative e produttive, sicurezza sul lavoro e tutela del patrimonio aziendale) ed installati previo accordo collettivo stipulato con le rappresentanze sindacali o, in mancanza, previa autorizzazione dell’Ispettorato del lavoro (INL).
Il comma 2 dell’art. 4 prevede però che le disposizioni di cui al comma 1 non si applichino “agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze”. Ciò significa che, in presenza di strumenti che per il loro funzionamento potrebbero consentire un controllo a distanza dei dipendenti, non è necessario che vi siano il predetto accordo con le rappresentanze sindacali o l’autorizzazione dell’INL.
Infine, la norma prevede, al comma 3, che le informazioni raccolte ai sensi del comma 1 e 2 possano essere utilizzate “a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal D.Lgs. n. 195/2003”.
Alla luce di quanto disposto dal comma 2, ai fini della valutazione della liceità della condotta del datore di lavoro appare dunque determinante chiarire quale sia la natura degli strumenti informatici concretamente utilizzati da questi, e dunque se essi possono essere qualificati come “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” o debbano essere considerati strumenti di controllo. Sul punto è intervenuto con le proprie circolari, innanzitutto, l’INL; in particolare, con la circolare 7 novembre 2016, n. 2, l’Ispettorato ha precisato che possono essere considerati strumenti di lavoro “gli apparecchi, dispositivi, apparati e congegni che costituiscono il mezzo indispensabile al lavoratore per adempiere la prestazione lavorativa dedotta in contratto, e che per tale finalità siano stati posti in uso e messi a sua disposizione”.
Sulla questione è intervenuto più volte anche il Garante della Privacy, ad ultimo con l’ordinanza 28 ottobre 2021 (provvedimento 28 ottobre 2021, n. 384), il cui fulcro è rappresentato proprio dalla questione della determinazione della natura degli strumenti utilizzati dal datore, al fine di stabilire la liceità della raccolta e del trattamento dei dati dei dipendenti.
La determinazione di tale aspetto, come emerge dal caso che sarà esaminato di seguito, può essere tutt’altro che agevole e richiede, come si vedrà, un’attenta analisi delle concrete caratteristiche e modalità di funzionamento dello strumento informatico stesso.
Il caso
La decisione del Garante è arrivata in seguito al reclamo di un dipendente della società di trasporto pubblico TPER Trasporto Passeggeri Emilia Romagna S.p.A., che lamentava il monitoraggio del personale tramite il sistema di gestione delle telefonate del call center dedicato al customer care.
Nello specifico, erano state lamentate violazioni con riguardo al trattamento dei dati personali degli operatori addetti al call center, violazioni compiute dalla società, in qualità di responsabile del trattamento (art. 28 del GDPR), mediante il sistema di gestione delle telefonate utilizzato per il servizio di assistenza all’utenza (call center inbound).
Nel corso dell’istruttoria, la società ha giustificato l’utilizzo di tale strumento tecnologico affermando la necessità di verificare gli standard qualitativi e di gestire eventuali reclami, precisando di aver informato i lavoratori e i sindacati dell’utilizzo dello strumento in questione.
In particolare, la società ha affermato che, ai sensi dell’articolo 4 dello Statuto dei Lavoratori, la registrazione delle telefonate tra utenza e operatori di call center costituiva uno strumento di lavoro, ed era dunque consentita senza necessità di sottoscrizione di un previo accordo sindacale né della previa autorizzazione dell’INL, richiesti invece, come già visto, per gli strumenti qualificabili come “strumenti organizzativi”; per gli strumenti di lavoro è infatti sufficiente un’ adeguata informativa, che secondo la società era stata predisposta e fornita in formato cartaceo al personale interessato prima di attivare il sistema di registrazione telefonica, oltre ad essere stata affissa nei locali del call center aziendale. L’azienda ha inoltre affermato che le organizzazioni sindacali erano state preventivamente informate.
Dall’accertamento compiuto dal Garante è risultato che la società aveva adottato un sistema per la gestione delle telefonate della clientela (call center inbound) che consentiva operazioni di trattamento di dati personali, riferiti al personale addetto al call center (o di altro personale impiegato in tale servizio a rotazione, che fosse impossibilitato a svolgere le ordinarie mansioni, come gli autisti temporaneamente inidonei al servizio).
In particolare, il sistema di gestione delle chiamate in entrata della clientela, a cui su richiesta della società era stata aggiunta dal fornitore la funzionalità di registrazione delle telefonate, consentiva che una parte delle telefonate della clientela ricevute dagli operatori, identificati anche tramite il proprio numero di matricola, fosse automaticamente registrata su un’apposita piattaforma e lì memorizzate per tre mesi, previa cifratura dei file audio.
Oltre alla specifica funzionalità di registrazione delle telefonate, era prevista poi la possibilità di riascolto delle telefonate memorizzate mediante una procedura che poteva essere attivata dalla Società, su richiesta di un cittadino o un operatore, per la gestione di eventuali reclami, e a campione, su iniziativa aziendale, per verificare lo standard qualitativo del servizio con l’immediata cancellazione del dato che risultasse non critico.
Come emerso nel corso delle verifiche effettuate durante gli accertamenti ispettivi, il sistema consentiva inoltre la raccolta e la conservazione delle cc.dd. meta informazioni relative alle chiamate registrate e, dunque, il trattamento di dati personali riferiti ai dipendenti addetti al call center (nello specifico, il nome dell’operatore, la data e l’ora della chiamata e il numero di telefono che aveva effettuato la telefonata), con conservazione per un arco temporale che, al momento dell’accertamento compiuto, non era stato definito dalla società.
La pronuncia del Garante
Come già anticipato, il nodo centrale della pronuncia del Garante appare dunque essere la questione del trattamento dei dati personali dei lavoratori da parte del datore.
Nella propria pronuncia, il Garante ha rigettato la ricostruzione della società di trasporti relativa alla natura dello strumento di registrazione delle telefonate utilizzato.
Secondo l’Autorità, infatti, alla luce del quadro normativo di settore e di precedenti orientamenti dell’Ispettorato nazionale del lavoro, relativi proprio all’istallazione e utilizzazione di strumenti di supporto all’attività ordinaria dei call center e già fatti propri dal Garante in altre pronunce (richiamate nell’ordinanza), il sistema di registrazione delle telefonate utilizzato dalla società non poteva essere considerato tra gli “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”, ai sensi e per gli effetti del già citato art. 4, comma 2, Legge n. 300/1970, ma doveva essere incluso tra gli “strumenti organizzativi” di cui all’art. 4, comma 1, l. 300/1970, anche per l’impossibilità per il singolo operatore di disattivare la funzione di memorizzazione. Con riguardo all’istallazione e utilizzazione di strumenti di supporto all’attività ordinaria dei call center, nella circolare 26 luglio 2017, n. 4 l’Ispettorato nazionale del lavoro ha infatti precisato che “possono essere considerati strumenti di lavoro” ai sensi dell’art. 4, comma 2 dello Statuto dei lavoratori i sistemi che “consentano il mero collegamento tra la chiamata e l’anagrafica del cliente senza ulteriori elaborazioni”, mentre negli altri casi, ad esempio qualora consentano di effettuare anche “ulteriori elaborazioni”, essi devono essere considerati idonei a realizzare un indiretto e preterintenzionale “monitoraggio dell´attività telefonica” effettuata dagli operatori addetti al call center, con la possibilità di ricostruirne anche indirettamente l’attività.
Come verificato nel corso dell’istruttoria, il sistema impiegato dalla società non si limitava a consentire l’associazione tra la chiamata in entrata e l’anagrafica del cliente per facilitare e semplificare l’attività dell’operatore di call center nella rapida ed efficiente gestione delle richieste dell’utenza, né consisteva in un mero archivio informatico a uso dei soli dipendenti che hanno rapporti con gli utenti, ma consentiva anche altre operazioni di trattamento e ulteriori elaborazioni e, nello specifico, la già citata registrazione delle chiamate e la memorizzazione delle meta informazioni ad esse relative, associate direttamente ai nominativi dei dipendenti che le avevano effettuate nell’ambito della propria attività lavorativa.
Dunque, sebbene la finalità perseguita dalla società di trasporti con il sistema di gestione delle telefonate in esame fosse quella di garantire il costante adeguamento quantitativo e qualitativo del servizio alle esigenze dell’utenza, e dunque fosse riconducibile alle lecite “esigenze organizzative e produttive […]”, espressamente fatte salve dal predetto articolo 4, comma 1, secondo il Garante la società non aveva però attivato le garanzie procedurali prescritte per gli strumenti di strumenti organizzativi dalla medesima norma, vale a dire l’accordo sindacale o l’autorizzazione da parte dell’Ispettorato nazionale del lavoro.
Secondo la ricostruzione del Garante, a questo si aggiungevano poi ulteriori violazioni delle norme in materia di protezione dei dati personali, puntualmente ricostruite nell’ordinanza, relative all’omissione di informazioni ai lavoratori sui diritti e le tutele loro spettanti previste, in questo caso, dalle già citate norme in materia di tutela della privacy, al mancato rispetto di principi della disciplina in materia di protezione dei dati personali (vale a dire i già citati principi di minimizzazione, di protezione dei dati fin dalla progettazione e di protezione dei dati per impostazione predefinita), e la violazione di regole relative alla garanzia della sicurezza dei dati.
L’Autorità ha perciò comminato alla società una sanzione amministrativa di 30.000 euro, tenuto conto anche della collaborazione da parte della società, compreso il fatto che questa aveva prontamente disattivato il sistema, a cui ha aggiunto la sanzione accessoria della pubblicazione dell’ordinanza sul sito web del Garante.
In conclusione, il Garante è dunque intervenuto sia rispetto al violazioni delle norme in materia di liceità del trattamento dei dati connesse al mancato rispetto dello Statuto dei lavoratori, sia rispetto a violazioni derivanti dalla configurazione stessa dell’informativa resa ai lavoratori e dello strumento di registrazione in quanto tale, delineando un quadro in cui, rispetto agli obblighi di comunicazione del datore, si intersecano norme in materia di tutela della privacy e norme giuslavoristiche.