Ordinanza ingiunzione nei confronti di TPER Trasporto Passeggeri Emilia Romagna S.p.A. - 28 ottobre 2021

Il Coffee Privacy di Area Legale dello scorso 9 dicembre è stato dedicato all’approfondimento relativo all’Ordinanza di ingiunzione del 28 ottobre 2021 (reso pubblico con la newsletter del 3 dicembre 2021) con la quale il Garante Privacy ha comminato ad un Titolare del trattamento una sanzione di 30.000 euro , per la violazione degli artt. 5, 6, 13, 25, 32 e 88 del Regolamento, nonché dell’art. 114 del Codice.

Clicca qui per leggere l'ordinanza

L’ordinanza in esame, adottata a seguito di reclamo da parte di un dipendente che lamentava il monitoraggio del personale tramite il sistema di gestione delle telefonate inbound del call center, risulta di grande interesse.

I fatti:

Una Società affidataria del servizio di trasporto pubblico locale e di altri servizi, per rispondere agli obblighi dedotti nel contratto di servizio con l’ente pubblico concedente, attiva un servizio di contact center aziendale (inbound, quindi di ricezione delle telefonate degli utenti). ed  implementa un software di registrazione delle telefonate finalizzato a garantire il richiesto sistema di monitoraggio e rendicontazione del servizio erogato (quality check).

Perché il provvedimento è interessante?

Il provvedimento offre una compiuta disamina di numerosi principi essenziali nel trattamento dei dati da parte dei titolari/datori di lavoro. Il provvedimento affronta e scioglie quindi molteplici nodi.

Primo nodo: Registrazione delle telefonate a fini di quality check: Strumento di lavoro o strumento di controllo?

Il Garante, in modo del tutto coerente con i precedenti provvedimenti, definisce che nel caso di specie quello utilizzato dal Titolare configurava uno strumento di controllo sia pure “incidentale” sull’attività del lavoratore.

In particolare il Garante ha ribadito come il datore di lavoro debba rispettare le norme nazionali, che “includono misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati in particolare per quanto riguarda la trasparenza del trattamento […] e i sistemi di monitoraggio sul posto di lavoro” (artt. 6, par. 2, e 88, par. 2, del Regolamento).

A fronte dell’espresso rinvio da parte del Codice Privacy alle disposizioni nazionali di settore che tutelano la dignità delle persone sul luogo di lavoro (artt. 113 e 114), l’osservanza degli artt. 4 e 8 della l. 20 maggio 1970, n. 300 costituisce una condizione di liceità del trattamento.

Il provvedimento richiama inoltre la circolare n. 4/2017 dell’Ispettorato Nazionale del Lavoro, che stabilisce che i sistemi di gestione integrati (esempio CRM – Customer Relationship Management) possono essere considerati quali “strumenti di lavoro utili a rendere la prestazione lavorativa” ai sensi del comma 2 dell’art. 4 dello Statuto solo nei casi in cui si limitino al mero accoppiamento fra la chiamata e l’anagrafica del cliente.  

Laddove invece tali sistemi consentano di effettuare anche “ulteriori elaborazioni” essi integrano a tutti gli effetti strumenti dai quali possa derivare un controllo a distanza dei lavoratori che, in quanto tali, impongono l’osservanza delle specifiche tutele procedimentali previste dallo Statuto dei lavoratori, ossia il preventivo accordo con le organizzazioni sindacali o, in mancanza, l’autorizzazione amministrativa.

Per tali ragioni non non  sono stati ritenuti sufficienti gli adempimenti posti in essere dalla società sanzionata, che si è limitata al mero invio alle organizzazioni sindacali di un documento informativo circa l’attivazione di un sistema di registrazione delle telefonate.

Secondo nodo: l’informativa agli interessati (dipendenti del Titolare)

Il Garante ha  poi rimarcato, in continuità con lo “storico” provvedimento avverso Foodinho S.r.l., la necessità che l’informativa resa ai lavoratori specifichi in maniera puntuale tutti i trattamenti concretamente svolti.  Nel caso di specie il Garante ha rilevato che l’informativa fornita ai dipendenti, oltre a non contenere tutti gli elementi richiesti dall’art. 13 del GDPR ed a scontare un’errata individuazione della corretta base giuridica del trattamento, si limitasse a menzionare genericamente la funzionalità di registrazione delle chiamate, senza alcun riferimento alla raccolta e alla memorizzazione delle cc.dd. meta informazioni (quali il nome dell’operatore, la data e l’ora della chiamata e il numero di telefono chiamante).

Terzo nodo: minimizzazione, privacy by design, privacy by default limitazione della conservazione e della finalità

Dall’attività istruttoria è poi emerso che il sistema utilizzato consentisse la memorizzazione sistematica e la conservazione delle meta informazioni relative alle chiamate registrate per un tempo non definito dal Titolare. Atteso che il sistema era finalizzato a migliorare e rendere efficiente la qualità del servizio reso nei rapporti con l’utenza, il predetto trattamento è stato ritenuto “superfluo” e dunque realizzato in violazione del principio di minimizzazione, che impone che il trattamento abbia ad oggetto i soli dati “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”.

Dal punto di vista della privacy by design e by default, il Garante ha ricordato come il Titolare debba mettere in atto “misure tecniche e organizzative adeguate […] volte ad attuare in modo efficace i principi di protezione dei dati”, verificando attentamente che siano disattivate le funzioni del software in uso non compatibili con le finalità del trattamento o che siano in contrasto con le specifiche norme di settore previste per il trattamento posto in essere.

Quarto nodo: la sicurezza del Trattamento

Infine il Garante ha contestato la mancata adozione di misure tecniche e organizzative adeguate a garantire la sicurezza dei dati, ricordando sia l’importanza di tracciare i log di accesso alle telefonate registrate ai fini di un adeguato controllo da parte del Titolare, sia i rischi connessi alla mancata previsione della modifica obbligatoria della password impostata dall’amministratore al momento del primo accesso da parte dell’utente stesso.

Simili presidi – già contenuti nell’abrogato Allegato B al Codice ante riforma – possono infatti considerarsi come obbligatori ai sensi dell’art. 32 del Regolamento, che impone l’adozione di misure in grado di assicurare un livello di sicurezza adeguato a garantire la sicurezza dei dati personali, compresa la protezione da trattamenti non autorizzati o illeciti e dalla perdita, distruzione o dal danno accidentali.