Controlli datoriali a distanza sugli strumenti informatici aziendali, intervento del Garante della privacy

Controlli datoriali a distanza sugli strumenti informatici aziendali, intervento del Garante della privacy


Con provvedimento 28 ottobre 2021, n. 384, emanato all’esito di un reclamo di un dipendente di una  società  il Garante ha preso posizione facendo chiarezza sull’applicazione  sia della normativa sulla privacy che dello Statuto dei lavoratori in questa controversa materia.

Il lavoratore aveva lamentato  "presunte violazioni con riguardo al trattamento dei dati personali degli operatori addetti al call center posti in essere dalla Società mediante il sistema di gestione delle telefonate utilizzato per il servizio di assistenza all’utenza (call center inbound), mediante piattaforma dedicata “Phones”, realizzata e fornita da IFM Infomaster S.p.A. (che svolgeva anche attività di manutenzione sulla piattaforma), in qualità di responsabile del trattamento (art. 28 del Regolamento;)."

Come precisato poco sopra la disciplina della materia è rappresentata dal c.d. Statuto dei lavoratori, vale a dire la L. 20 maggio 1970, n. 300, mentre la seconda comprende l’insieme delle norme contenute nel Regolamento UE 2016/679 (GDPR) e nel D.Lgs. 30 giugno 2003, n. 196, il c.d. Codice della Privacy, come novellato dal D.Lgs. 10 agosto 2018, n. 101.

Il lavoratore pertanto è tutelato sia dal punto di vista dei limiti posti al potere di controllo del datore di lavoro, che da quello del proprio diritto alla riservatezza in quanto individuo.

Sono molteplici, inoltre le pronunce giurisprudenziali sull’argomento sia da parte delle giurisdizioni nazionali che di quelle sovranazionali, ma anche i provvedimenti del Garante per la protezione dei dati personali per quanto riguarda l’applicazione del GDPR e del Codice della Privacy e le circolari dell’Ispettorato Nazionale del Lavoro per l’interpretazione delle norme giuslavoristiche.

Il datore di lavoro può trattare i dati personali dei lavoratori, compresi quelli rientranti nelle categorie particolari, se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti dalla disciplina di settore (artt. 6, par. 1, lett. c); 9, par. 2, lett. b) e 4; 88 del GDPR). Il trattamento è, inoltre, lecito quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (artt. 6, parr. 1, lett. e), 2 e 3 del Regolamento).

Tale trattamento deve essere caratterizzato dal rispetto dei principi di cui all’art. 5 del GDPR; Più precisamente i controlli da parte del datore di lavoro devono essere caratterizzati da liceità, correttezza e trasparenza, posti in essere per finalità determinate e limitati a quanto strettamente necessario per il conseguimento delle stesse (alla luce dei principi di limitazione delle finalità e minimizzazione).

Ulteriori condizioni di liceità del trattamento imposte al datore sono il rispetto delle norme nazionali, che “includono misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati in particolare per quanto riguarda la trasparenza del trattamento […] e i sistemi di monitoraggio sul posto di lavoro” (artt. 6, par. 2, e 88, par. 2, del Regolamento).

Tra le norme di settore  da tenere in considerazione quelle che tutelano la dignità delle persone sul luogo di lavoro, con particolare riferimento ai possibili controlli da parte del datore di lavoro (artt. 113 “Raccolta dati e pertinenza” e 114 “Garanzie in materia di controllo a distanza”).

Per quanto concerne la disciplina dello Statuto dei Lavoratori l’art. 4, così come modificato dal D.Lgs.14 settembre 2015, n. 151, il c.d. Jobs Act,  ha consentito l’utilizzo di impianti e strumenti audiovisivi dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, i quali possono però essere impiegati per determinate finalità (vale a dire esigenze organizzative e produttive, sicurezza sul lavoro e tutela del patrimonio aziendale)  ed installati previo accordo collettivo stipulato con le rappresentanze sindacali o, in mancanza, previa autorizzazione dell’Ispettorato del lavoro (INL).

Il comma 2 dell’art. 4 prevede però che le disposizioni di cui al comma 1 non si applichino “agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze”. Ciò significa che, in presenza di strumenti che per il loro funzionamento potrebbero consentire un controllo a distanza dei dipendenti, non è necessario che vi siano il predetto accordo con le rappresentanze sindacali o l’autorizzazione dell’INL.

Infine, la norma prevede, al comma 3, che le informazioni raccolte ai sensi del comma 1 e 2 possano essere utilizzate “a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal D.Lgs. n. 195/2003”.

Pertanto ai fini della valutazione della liceità della condotta del datore di lavoro appare dunque determinante chiarire quale sia la natura degli strumenti informatici concretamente utilizzati da questi, e dunque se essi possono essere qualificati come “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” o debbano essere considerati strumenti di controllo.

Nel caso di specie il ricorso aveva ad oggetto il monitoraggio del personale tramite il sistema di gestione delle telefonate del call center dedicato al customer care ; le violazioni in materia di trattamento dei dati personali degli operatori addetti al call center sarebbero state poste in essere dalla società  mediante il sistema di gestione delle telefonate utilizzato per il servizio di assistenza all’utenza (call center inbound).

La società si difendeva deducendo che aveva informato i sindacati e comunque l’utilizzo di tale strumento tecnologico serviva a verificare gli standard qualitativi e gestire eventuali reclami.

Dall’accertamento compiuto dal Garante è risultato che la società aveva adottato un sistema per la gestione delle telefonate della clientela (call center inbound) che consentiva operazioni di trattamento di dati personali, riferiti al personale addetto al call center, consentendo la registrazione delle chiamate e la raccolta e la conservazione delle cc.dd. meta informazioni relative alle chiamate registrate e, dunque, il trattamento di dati personali riferiti ai dipendenti addetti al call center (nello specifico, il nome dell’operatore, la data e l’ora della chiamata e il numero di telefono che aveva effettuato la telefonata), con conservazione per un arco temporale che, al momento dell’accertamento compiuto, non era stato definito dalla società.


Il Garante ha rigettato la ricostruzione della società di trasporti relativa alla natura dello strumento di registrazione delle telefonate utilizzato non potendo  essere considerato tra gli “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”, ai sensi e per gli effetti del già citato art. 4, comma 2, Legge n. 300/1970, ma doveva essere incluso tra gli “strumenti organizzativi” di cui all’art. 4, comma 1, l. 300/1970, anche per l’impossibilità per il singolo operatore di disattivare la funzione di memorizzazione.

Il Garante ha evidenziato quindi che la  società non aveva però attivato le garanzie procedurali prescritte per gli strumenti di strumenti organizzativi dalla medesima norma, vale a dire l’accordo sindacale o l’autorizzazione da parte dell’Ispettorato nazionale del lavoro.

E’ stata inoltre contestata  l’ulteriore violazione delle norme in materia di protezione dei dati personali, puntualmente ricostruite nell’ordinanza, relative all’omissione di informazioni ai lavoratori sui diritti e le tutele loro spettanti previste, in questo caso, dalle già citate norme in materia di tutela della privacy, al mancato rispetto di principi della disciplina in materia di protezione dei dati personali (vale a dire i già citati principi di minimizzazione, di protezione dei dati fin dalla progettazione e di protezione dei dati per impostazione predefinita), e la violazione di regole relative alla garanzia della sicurezza dei dati.

Garante della privacy, provvedimento 28 ottobre 2021, n. 384.

Scritto in Notizie il 10.03.2022