Garante privacy: Customer care – no al software di Sky che controlla gli operatori
Il Garante per la protezione dei dati personali, nella newsletter n. 439 del 29 marzo 2018, ha dichiarato illecito e ha vietato l’ulteriore trattamento di dati effettuato da SkyItalia senza aver fornito agli operatori di customer care una completa informativa sul funzionamento di un sistema che gestisce le chiamate degli abbonati, e senza aver stipulato uno specifico accordo sindacale.
Dagli accertamenti effettuati dall’Autorità, intervenuta a seguito della segnalazione di una organizzazione sindacale e di alcuni dipendenti addetti al call center, è emerso che il sistema non si limita ad associare, come sostenuto dalla società, la chiamata e l’anagrafica del cliente per facilitare la gestione della richiesta dell’abbonato, ma consente “ulteriori elaborazioni” (memorizzazioni di dati personali degli operatori ed estrazione di report).
Attraverso questo sistema infatti la società è in grado di risalire all’identità del dipendente attraverso l’associazione del “codice operatore” con altre informazioni relative alla sua attività lavorativa (il tipo di operazione svolta, la durata della chiamata, data e orario di termine della chiamata) o mediante l’eventuale incrocio tra informazioni conservate in sistemi separati.
Il software – afferma il Garante – permette di ricostruire anche indirettamente l’attività svolta da centinaia di operatori del call center e rappresenta un sistema di controllo, anche se potenziale e indiretto, dell’attività lavorativa. Oltre alla disciplina di protezione dati il sistema viola anche la disciplina lavoristica sull’impiego di strumenti dai quali possa derivare il controllo a distanza dei lavoratori. Il sistema, contrariamente a quanto affermato dalla società, non può essere considerato uno “strumento di lavoro” per la sola gestione del contatto con il cliente e dunque utilizzato dall’operatore per rendere la prestazione, perché rientra piuttosto – a parere del Garante – tra gli “strumenti organizzativi” per soddisfare esigenze organizzative e produttive del datore di lavoro dai quali può derivare il controllo a distanza dei lavoratori. E, data la loro invasività, prima di impiegare questi strumenti la società avrebbe dovuto attivare tutte le procedure previste dallo Statuto dei lavoratori (accordo sindacale o in mancanza di questo autorizzazione delle direzioni territoriali del lavoro), procedure che non sono state espletate. Tutto ciò senza che la società avesse fornito ai dipendenti una informativa completa e dettagliata sulle effettive modalità e finalità delle operazioni di trattamento rese possibili dall’applicativo.
L’Autorità si riserva di valutare con un autonomo procedimento l’applicazione di sanzioni amministrative per gli illeciti riscontrati.
Fonte: Garante per la protezione dei dati personali
Trattamento dei dati personali dei dipendenti di un call center – 8 marzo 2018
Registro dei provvedimenti
n. 139 dell’8 marzo 2018
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;
VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”);
VISTA la segnalazione con la quale è stata lamentata la illiceità di trattamenti dei dati dei dipendenti effettuati da Sky Italia Network Service S.r.l. mediante un sistema utilizzato per la gestione dei rapporti con la clientela;
ESAMINATE le risultanze istruttorie e la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE il dott. Antonello Soro;
PREMESSO
1. La segnalazione al Garante.
Con segnalazione una organizzazione sindacale e alcuni operatori di customer care in servizio presso Sky Italia Network Service S.r.l. (di seguito, “la società”) hanno lamentato la possibile violazione della disciplina in materia di protezione dei dati personali per effetto dell’impiego da parte della società del software gestionale “Salesforce Arcadia” (di seguito “il sistema”) introdotto nell’Unità produttiva presso la sede di Milano (fin dal mese di aprile 2016) e quella di Sestu (Cagliari) , in sostituzione del precedente sistema in uso denominato “Sibel” (cfr. segnalazione del 15.7.2016, successivamente integrata a più riprese)
In data 12 maggio 2016 veniva comunicato mediante “pop up” visualizzabile al momento dell’accesso al gestionale, che “a decorrere dal giorno 27 gennaio 2016” sarebbe stato introdotto il sistema Saleforce Arcadia “per la gestione dei rapporti con la clientela” (cfr. segnalazione, p. 1 e all. n. 1, denominato: “Informativa ai dipendenti di Sky Italia Network Service S.r.l. (ai sensi dell’art. 4, comma 3 l. 20/5/1970 n.300)”).
In particolare, il sistema sarebbe utilizzato da Sky Italia Network Service S.r.l. quale CRM (Customer Relationship Management) della clientela di Sky Italia S.p.A. e sarebbe stato introdotto senza fornire una preventiva ed esaustiva informativa ai dipendenti i sensi dell’articolo 13 del Codice (cfr. pp. 4, lett. a) e 6, segnalazione, cit.) e dopo un corso di formazione “di 20 ore” per gli operatori. La parte segnalante avrebbe inoltre paventato, in assenza di chiari elementi informativi da parte della società, la quale peraltro non avrebbe fornito riscontro alle richieste di precisazione e di “incontro urgente” formulate dalla organizzazione sindacale (cfr. all. n. 2, segnalazione, cit.), il rischio che il datore di lavoro possa effettuare, mediante il menzionato sistema, operazioni di trattamento su base individuale, con specifico riferimento alla “quantità” e “qualità delle prestazioni lavorative” svolta dai singoli dipendenti ovvero ai fini di una asserita “profilazione” e “una sorveglianza massiva e totale” degli stessi (sul punto, cfr. p. 4, lett. b), c) e d) segnalazione, in atti).
Con successiva comunicazione i segnalanti hanno rappresentato che la società avrebbe precisato che “non utilizzerà i dati del sistema SalesForce ai fini disciplinari e valutativi fino al 15 ottobre 2016”, sottolineando che tale “presunto impegno”, peraltro “parziale e temporaneo”, costituirebbe “un evidente riconoscimento [da parte della società] in merito alla sussistenza di problematiche relative al trattamento dei dati personali tramite [tale] software”(cfr. nota 13.9.2016).
2. L’istruttoria.
Alla luce della segnalazione e delle successive comunicazioni integrative sono stati effettuati presso la sede società accertamenti in loco finalizzati alla verifica, anche mediante accesso ai sistemi, dell’osservanza dei principi e delle disposizioni in materia di protezione dei dati personali con riguardo ai trattamenti dei dati dei dipendenti effettuati mediante il menzionato sistema nonché la verifica dell’osservanza della disciplina di settore in materia di controlli a distanza sull’attività dei lavoratori (artt. 114 del Codice e 4 l. n. 300 del 1970 come modificato dall’art. 23 del d. lg. 14.9.2015, n. 151; cfr. verbali accertamenti ispettivi 21 e 22 giugno 2017, in atti).
In particolare, dalle verifiche effettuate è emerso che la società in virtù di un contratto di appalto di servizi gestisce con proprio personale il call center per le chiamate inbound degli abbonati di Sky. A tal fine, per la gestione dei dati personali degli abbonati, Sky Italia, titolare del trattamento, ha provveduto a nominare la società in qualità di responsabile del trattamento ai sensi dell’articolo 29 del Codice (cfr. all. nn.1 e 2 e p. 2 verbale 21.06.2017, cit.). Viceversa, sempre in forza di un contratto di servizi, la società si avvale di Sky Italia per i servizi di staff, ivi inclusa la gestione delle risorse umane. Al riguardo, risulta che la società, in qualità di titolare del trattamento, abbia designato Sky Italia come responsabile, ai sensi dell’articolo 29 del Codice, in relazione al trattamento dei dati dei propri dipendenti.
Con specifico riferimento al sistema oggetto di segnalazione la società ha chiarito che questo è entrato in funzione “in sostituzione della precedente piattaforma “Siebel” con la finalità di gestire in maniera più efficiente i contatti con la clientela”, consentendo all’operatore, in presenza di una chiamata in entrata da parte di un abbonato riconosciuto, “di visualizzare le informazioni utili ad un contatto efficace: anagrafica, tipologia di abbonamento, tecnologie disponibili ecc.” nonché, come verificato in sede di accesso al sistema, “l’elenco delle telefonate evase, riportante l’ora e la durata della chiamata” nell’ambito della stessa sessione di lavoro (cfr. all. 3 verbale 21.06.2017, cit.).
Gli accertamenti, condotti al fine di chiarire la fondatezza della segnalazione con specifico riguardo alla idoneità del citato sistema a raccogliere e trattare i dati riferiti agli operatori, hanno messo in evidenza (cfr. verbali cit. e documentazione integrativa del 14 luglio 2017) che l’applicativo in esame opera “in cloud” su data service sito in Parigi e che:
a) “fornisce delle reportistiche su base giornaliera relative alla durata delle chiamate, al numero di chiamate ricevute, alla causale della chiamata nonché ad altre informazioni cosiddette “derivate”, ad esempio, la richiesta di ausilio ad un altro servizio” nonché altre “informazioni riconducibili agli operatori”(cfr. p. 3 verbale 21.6.2017 e doc. 4 nota 14.7.2017);
b) “tali informazioni si riferiscono ad un medesimo gruppo, o team di lavoro, per valutare la performance, l’efficienza e la qualità del servizio, anche al fine di stimare i tempi medi di attesa per una migliore organizzazione delle risorse all’interno dei gruppi di lavoro”(cfr. p. 3 verbale cit.);
c) rispetto agli operatori viene trattato il “codice identificativo in luogo del nominativo […]. Resta comunque la facoltà in capo alle unità organizzative autorizzate di risalire all’identità del lavoratore, attraverso l’incrocio con altre informazioni disponibili” (cfr. pp. 3-4 verbale 21.6.2017, cit.);
d) le informazioni di dettaglio relative alle chiamate ricevute dall’operatore vengono registrate sul “case” (ossia “il record attraverso cui [il sistema] traccia, in relazione al singolo cliente Sky, i seguenti dati associati all’operatore: codice operatore, operazione svolta e relativa data, durata della chiamata, data e orario di termine della chiamata”;cfr. p. 1 nota 14.7.2017 e doc. 2, e pp. 2-3 verbale 22.6.2017 e all. n.3, “screeshoot” del “case”);
e) “tali registrazioni non generano in maniera automatica reportistica avente finalità di monitoraggio dell’attività degli operatori, né sono accessibili da parte della funzione risorse umane, ma sono utilizzabili e rese disponibili esclusivamente agli utenti del sistema abilitati, allo scopo di gestire l’ordinaria interazione con i clienti” e agli amministratori di sistema (p. 2 nota 14.7.2017 e doc. 5); “né alcuna operazione di trattamento viene effettuata per eventualità diverse […]”(p. 3 verbale 22.6.2017 cit.);
f) le funzioni aziendali interpellate hanno dichiarato inoltre di “non essere a conoscenza della concreta possibilità in capo al titolare del trattamento di effettuare, mediante il menzionato sistema, operazioni di trattamento su base individuale, con specifico riferimento alla quantità e qualità della prestazione lavorativa svolta dai singoli dipendenti, ovvero ai fini della profilazione degli stessi” e di non aver stipulato relativo accordo sindacale in relazione all’applicativo (cfr. p. 4 verbale 22.6.2017 cit.).
g) il sistema “consente la creazione di utenze di dettaglio rispetto ai ruoli e profili di accesso assegnati a ciascun utente” nonché utenze di produzione utilizzate dalla funzione I.T. per amministrare il sistema (cfr. p.3 verbale 21.6.2017; cfr. elenco delle utenze attive sul sistema, doc 1 nota 14.7.2017, cit.);
h) la società ha adottato inoltre il sistema denominato Invision “utilizzato dai team leader per la gestione e visualizzazione delle presenze in servizio, dei turni pianificati e delle pause degli operatori ad esso assegnati” mentre il controllo sull’operato dello staff viene effettuato dai team leader “a vista”;
i) rappresentazioni grafiche sintetiche elaborate dalla unità organizzativa denominata Regia operativa vengono proiettate sugli schermi di sala e evidenziano: “numero delle chiamate in attesa, numero degli operatori impegnati e numero degli operatori disponibili, al fine di verificare i volumi e l’efficienza del servizio”(cfr. verbale 21.06.2017, cit.);
j) la Regia operativa utilizza quadri di sintesi predisposti dall’I.T., per monitorare lo stato delle chiamate inbound. In particolare, “per ogni giornata, ad intervalli di 30 minuti, viene effettuato un confronto fra le chiamate attese e le chiamate effettivamente in entrata, per evidenziare eventuali picchi di traffico. Inoltre, gli operatori del team hanno a disposizione delle viste complessive che, per tipologia di chiamata, mostrano le chiamate in attesa, i tempi medi di attesa, le chiamate servite” (verbale 22.6.2017, cit.);
k) con specifico riferimento al testo dell’informativa rilasciata all’operatore in occasione del primo accesso al sistema è stato precisato che “è stata redatta nella convinzione che il nuovo quadro normativo del “jobs act” imponesse […] in ogni caso, di informare gli interessati, ai sensi dell’art. 4, comma 3, legge n. 300/70. Da ciò, comunque, non deriva una reale utilizzazione delle informazioni trattate per altre finalità connesse alla esecuzione dell’attività lavorativa” (cfr. p. 3 verbale 22.06.2017, cit.).
3. Il trattamento dei dati personali dei dipendenti mediante il sistema “Salese Force Arcadia”.
Alla luce della documentazione in atti e delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria, emerge che il sistema di CRM (Customer Relationship Management), utilizzato dalla società per “gestire in maniera più efficiente i contatti con la clientela” (cfr. punto 2 e pp. 2-3 verbale, cit.), consente operazioni di trattamento di dati personali non solo relativi alla clientela ma anche riferiti agli operatori addetti al call center. Il sistema di gestione in esame consente infatti, non solo di associare al numero del cliente che effettua la chiamata una pluralità di informazioni a questo riferite (ad esempio, dati anagrafici, dati di natura contrattuale, cronologia delle chiamate precedenti e relativa causale) ma consente anche la raccolta e la registrazione/ memorizzazione, con possibilità di estrazione di reportistica, mediante appositi record generati in relazione al singolo cliente Sky, di alcuni dati personali associati/riferiti agli operatori adibiti al servizio di call center. In particolare, i dati personali riferiti agli operatori sono: l’identificativo del dipendente (cd. “codice operatore”), il tipo di operazione svolta, la durata della chiamata, data e orario di termine della chiamata (cfr. punto 2, nonché p. 1 nota 14.7.2017 e doc. 2, e pp. 2-3 verbale 22.6.2017 e all. n. 3, “screeshoot” del “case”).
Agli operatori interessati sarebbe stato fornito un documento informativo nel quale il sistema viene qualificato “strumento di lavoro”, che i dipendenti addetti ad operazioni di gestione del cliente devono utilizzare “nel quotidiano e ordinario espletamento delle proprie mansioni”; nel documento si precisa altresì che la società si riserva di “effettuare controlli sui dati a sistema relativi all’esecuzione dell’attività lavorativa, con finalità di monitoraggio della corretta applicazione delle procedure stabilite in materia di gestione degli abbonati [e che] i dati raccolti nell’ambito di tali controlli potranno essere utilizzati per tutte le finalità connesse al rapporto di lavoro” (cfr. all. n. 4 verbale 21.06.2017, cit.).
La società ha dichiarato di non aver stipulato specifico accordo sindacale in relazione all’applicativo “Salesforce Arcadia”(cfr. punto 2; verbale 22.6.2017, cit.), ma ha assicurato che “nessun dato personale riferito ai lavoratori viene acquisito dall’Ufficio risorse umane utilizzando il citato applicativo” e che lo stesso non viene impiegato per finalità diverse da quelle per le quali è stato attivato (cfr. punto 2 e p. 3 verbale 22.6.2017 cit.). Da ultimo è stato rappresentato che “oltre […] alla registrazione dei vocal order, la società effettua la registrazione a campione delle telefonate inbound, in una percentuale non superiore al 10% del totale, con finalità di analisi dei trend del servizio erogato. A tutela degli interessati coinvolti vengono adottate misure di mascheramento della voce tramite morphing e cancellazione di riferimenti identificativi del cliente e dell’operatore”, mentre il giudizio sulla qualità percepita che viene chiesto alla clientela al termine del contatto con il costumer care inbound, viene utilizzato esclusivamente per analizzare il gradimento dei servizi offerti senza associare in alcun modo tale informazione all’operatore che ha gestito la chiamata (p. 3, verbale cit.; sul punto v. pure, provv. del 9 febbraio 2011 n. 058, doc. web n. 1797032).
CONSIDERATO
4. Esiti dell’attività istruttoria.
In base ad una complessiva valutazione degli elementi sopra richiamati e all’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ nonché della documentazione acquisita, emerge che le descritte operazioni di trattamento, effettuate dalla società in qualità di titolare per il tramite del personale abilitato e incaricato con diversi profili di accesso al sistema, danno luogo ad un trattamento di dati personali dei dipendenti che risultano per alcuni profili non conformi alla disciplina in materia di protezione dei dati personali, con particolare riferimento al principi di liceità (art. 11, comma 1, lett. a) del Codice), nei termini di seguito descritti.
4.1. L’informativa agli interessati
In via preliminare, non risulta che la società abbia fornito ai dipendenti una completa e idonea informativa ai sensi dell’articolo 13 del Codice circa le specifiche modalità e finalità delle operazioni di trattamento rese possibili dal sistema con particolare riferimento alla raccolta, conservazione e alle altre operazioni di trattamento dei dati del personale, quali emergono all’esito dell’attività istruttoria condotta (cfr. punto 2, supra).
A tal proposito, si osserva che il documento denominato “Informativa ai dipendenti di Sky Italia Network Service S.r.l. ai sensi dell’art. 4, comma 3 l. 20/5/1970 n. 300 (cfr. p. 7 all. n. 4 verbale 21.06.2017, cit.) si compone di due parti. La prima contiene le istruzioni e le modalità d’uso del sistema di gestione che viene qualificato “strumento per rendere la prestazione lavorativa” nella quale vengono sinteticamente indicate le principali caratteristiche nell’interfaccia con il cliente, per semplificare la relazione tra il chiamante e l’operatore e gestire più efficacemente i rapporti contrattuali in essere; in tale sezione del documento, tuttavia, non si menzionano le funzionalità del sistema “lato operatore” e le specifiche operazioni di trattamento che riguardano, come invece verificato nel corso degli accertamenti, i dati personali riferiti agli operatori addetti al call center. Nella seconda parte del documento la società rende note ai dipendenti le specifiche attività di controllo che si riserva di effettuare sulla loro attività, prefigurandone modalità e procedure in vista del successivo utilizzo dei dati raccolti mediante il sistema “per tutte le finalità connesse al rapporto di lavoro” ai sensi e per gli effetti dell’art. 4, comma 3 della legge n. 300/1970 (es: “estrazione di dati attraverso le funzioni di interrogazione del Sistema”; “raccolta, analisi ed elaborazione dei dati relativi all’attività di gestione degli abbonati e verifica della correttezza delle stesse rispetto alle procedure stabilite in materia per le attività di retention, prevention, commerciale, extra, tecnica, back-office e teleselling ed agli standard qualitativi ed operativi previsti”; “raccolta analisi di ed elaborazione dei dati quantitativo relativi alle attività di gestione degli abbonati e confronto degli stessi con gli obiettivi di volume e con gli indici di performance periodica stabiliti a livello aziendale per le attività di retention…etc..”), così presupponendo la raccolta di informazioni riferibili agli operatori, senza tuttavia darne specifica evidenza.
Inoltre, contrariamente a quanto dichiarato dalla società e accertato nel corso del procedimento, nel predetto documento non viene indicata la società quale titolare del trattamento dei dati riferiti ai dipendenti, bensì Sky Italia, la quale invece in relazione al trattamento di tali informazioni risulta rivestire il ruolo di mero responsabile (cfr. all. n. 1 verbale 21.06.2017, cit.). Tale documento non reca gli elementi essenziali richiesti dall’articolo 13 del Codice e non risulta comunque idoneo a rendere edotti gli interessati con riguardo alle operazioni di trattamento effettuate. A tal proposito si precisa che, come di recente chiarito dall’Autorità, l’osservanza dell’obbligo di rendere l’informativa agli interessati ai sensi del Codice “è in ogni caso dovuta ed è indipendente rispetto all’eventuale determinazione assunta dalla società circa la possibilità di utilizzare le informazioni raccolte a tutti i fini connessi al rapporto di lavoro” (cfr., art. 4, comma 3, l. n. 300/1970; ancorché con riguardo al diverso caso dell’impiego di un sistema di gestione delle attese allo sportello postale, Provv. 16 novembre 2017, n. 479, doc. web n. 7355533).
Pertanto, quanto riportato nel documento, oltre a non essere corrispondente a quanto dichiarato nel corso dell’istruttoria dal titolare del trattamento, non è idoneo, in applicazione dei principi di liceità e correttezza dei trattamenti, ad informare in modo chiaro e dettagliato circa la raccolta e le caratteristiche dell’effettivo trattamento dei dati personali dei dipendenti. Il trattamento posto in essere dalla società è, dunque, sotto questo profilo, illecito (artt. 11, comma 1 lett. a) e 13 del Codice; sul punto, seppure con riguardo a diversi sistemi installati per finalità organizzative e produttive, Provv.ti 1°marzo 2007, n. 13, spec. punto 3.1.; 13 luglio 2016, n. 303, doc web 5408460, par.4.2.; 16 novembre 2017, n. 479 doc. web n. 7355533, par.3.1.; European Court of Human Rights, Grand Chamber, case of Bărbulescu v. Romania, Application no. 61496/08, 5 September 2017, spec. n. 140).
In generale, con specifico riferimento al tema del possibile utilizzo dei dati raccolti ai sensi dell’articolo 4, commi 1 e 2 della legge n. 300/1970 per altri fini connessi alla gestione del rapporto di lavoro, si rammenta che il Garante ha chiarito che tali ulteriori, successive ed eventuali operazioni di trattamento dei dati presuppongono il rigoroso rispetto del quadro normativo di riferimento, sia in materia di protezione dei dati, che in materia di controlli a distanza dei lavoratori (artt. 3, 11, comma 1, lett. a), b), d), ed e) e 13 del Codice nonché 4, comma 3, l. n. 300/1970; sul punto, v. Provv. 24 maggio 2017, n. 247, doc. web n. 6495708, spec. punto 5.3).
Da ultimo, con riguardo al possibile trattamento dei dati raccolti mediante tali sistemi anche per finalità di tutela dei propri diritti in giudizio (cfr. p. 7, “Informativa …” cit., ove si fa riferimento all’utilizzo “dei dati raccolti nell’ambito di tali controlli” anche “per la tutela, anche giudiziale, dei diritti e degli interessi della Società”), si osserva che ciò è consentito solo in presenza di contenziosi in atto o a situazioni precontenziose, non ad astratte e indeterminate ipotesi di possibile difesa o tutela dei diritti (v. artt. 23 e 24 del Codice; sul punto, da ultimo, Provv. 1° febbraio 2018, n.53, in corso di pubblicazione; si vedano anche i Provv.ti 19 marzo 2015, doc. web n. 4039439, 20 febbraio 2014, doc. web n. 3115239 e 4 giugno 2009, doc. web n. 1629029).
4.2. La disciplina in materia di controlli a distanza.
Il trattamento dei dati reso possibile dal menzionato sistema per le sue specifiche caratteristiche (cfr. punto 2.) consente all’operatore di visualizzare le informazioni utili alla gestione del contatto dell’abbonato (in particolare, “anagrafica, tipologia di abbonamento, tecnologie disponibili” e “l’elenco delle telefonate evase, riportante l’ora e la durata della chiamata”; cfr. all. 3 verbale 21.06.2017, cit.) ma rende possibili anche altre operazioni di trattamento con riguardo ad informazioni riferibili all’operatore che, di volta in volta, gestisce la chiamata.
In base a quanto emerso nel corso degli accertamenti, il sistema è funzionale a specifiche esigenze organizzative e produttive della società (in particolare, quella di migliorare la qualità del servizio reso nei rapporti con la clientela) e, contrariamente a quanto prefigurato nella segnalazione, non risulta direttamente preordinato a realizzare un controllo individualizzato e massivo (anche in base a quanto dichiarato, infatti, tali operazioni di trattamento non avrebbero la precipua “finalità di monitoraggio dell’attività degli operatori”, cfr. punto 2).
Tuttavia, come accertato, l’applicativo può consentire di risalire in ogni momento all’operatore che ha gestito il contatto telefonico con il cliente. Anche se, infatti, i dati raccolti non risultano associati immediatamente al nominativo dei dipendenti interessati, è tuttavia possibile che le unità organizzative autorizzate possano procedere all’associazione tra i dati raccolti (riferiti alla chiamata e alle modalità di evasione della stessa) ed un interessato identificabile tramite il “codice operatore” nonché attraverso l’incrocio e la consultazione di informazioni conservate in sistemi separati (come confermato dalla società, infatti, “resta comunque la facoltà in capo alle unità organizzative autorizzate di risalire all’identità del lavoratore, attraverso l’incrocio con altre informazioni disponibili”, cfr. pp. 3-4 verbale 21.6.2017, cit.).
Il sistema, quindi, non si limita a consentire la mera associazione tra la chiamata e l’anagrafica del cliente per facilitare l’attività di gestione della richiesta (come si trattasse di un mero archivio informatico ad uso dei soli rapporti con la clientela), ma consente “ulteriori elaborazioni” (es., memorizzazione di dati personali, anche degli operatori, ed estrazioni di report) relativi all’attività telefonica in generale ad opera di diverse funzioni aziendali. Ciò consente di ricostruire, anche indirettamente, l’attività effettuata dagli operatori e rappresenta uno sistema idoneo a realizzare un controllo, anche solo potenziale e in via indiretta, dell’attività lavorativa (cfr., Ispettorato nazionale del lavoro, circolare n. 4 del 26.7.2017, Indicazioni operative sull’istallazione e utilizzazione di strumenti di supporto all’attività operativa ordinaria dei Call Center, p. 2, ove si parla di sistemi, che ancorché non idonei a effettuare controlli diretti, sono comunque atti a realizzare un più generale “monitoraggio dell’attività telefonica”).
Pertanto, oltre alla disciplina di protezione dei dati, deve essere rispettata anche la disciplina lavoristica in materia di impiego di “strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori” (artt. 11, comma 1, lett. a) e 114 del Codice e art. 4, comma 1, l. 20 maggio 1970, n. 300, come modificato dall’art. 23 del d. lg. n. 151/2015).
Tanto, in considerazione del fatto che le accertate caratteristiche del sistema e il novero delle operazioni di trattamento da questo rese possibili non risultano in via esclusiva funzionali alla mera gestione del contatto con il cliente e, dunque, al mero svolgimento della prestazione lavorativa (cfr. Provv.ti 13 luglio 2016, n. 303, par. 4.3, doc web 5408460 e 16 novembre 2017, n. 479, doc. web n. 7355533, par. 3.2.); pertanto, contrariamente a quanto sostenuto dalla società, il sistema così configurato non può essere considerato “strument[o] utilizzat[o] dal lavoratore per rendere la prestazione lavorativa” (ai sensi e per gli effetti dell’art. 4, comma 2, l. n. 300/1970), quanto piuttosto rientra tra quegli strumenti organizzativi, dai quali può indirettamente derivare il controllo a distanza dell’attività dei lavoratori, con conseguente necessità di attivare le procedure ivi previste (art. 4, comma 1, l. n. 300/70).
Pertanto, rispetto alle condizioni di liceità di cui al predetto articolo 4, comma 1, se da un lato le finalità che la società intende perseguire nel caso concreto risultano riconducibili alle “esigenze organizzative e produttive […]”, dall’altro non risultano essere state attivate le garanzie procedurali prescritte dalla legge e la società ha dichiarato di non aver stipulato specifico accordo sindacale in relazione all’applicativo. Da ciò consegue l’illiceità del trattamento in esame (cfr. punto 2., verbale 22.6.2017, cit.; artt. 11, comma 1, lett. a), 114 del Codice e art. 4, comma 1 legge 20.5.1970, n. 300).
4.3. Conclusioni: illiceità del trattamento.
Per i suesposti motivi, considerato che il trattamento dei dati personali effettuato dalla società risulta illecito per violazione degli articoli 11, comma 1, lett. a), 13 e 114 del Codice, si ritiene di dover disporre, ai sensi degli artt. 143, comma 1, lett. c), 144 e 154, comma 1, lett. d), del Codice, il divieto di ulteriore trattamento dei predetti dati, con la conseguente inutilizzabilità dei dati trattati in violazione di legge, ai sensi dell’articolo 11, comma 2 del Codice fatta salva la conservazione per esclusiva finalità di tutela dei diritti in sede giudiziaria, nei limiti posti dall’articolo 160, comma 6, del Codice.
5. Aspetti sanzionatori.
L’Autorità si riserva di valutare, con autonomo procedimento, la sussistenza dei presupposti per la contestazione di violazioni amministrative nei confronti della società, in relazione all’omessa informativa agli interessati per i trattamenti effettuati attraverso il menzionato sistema (v. precedente punto 3.1., in relazione all’art. 13 del Codice).
Si ricorda che, ai sensi dell’articolo 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni e che, ai sensi dell’articolo 162, comma 2-ter del Codice, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro.
TUTTO CIÒ PREMESSO IL GARANTE
nei confronti di Sky Italia Network Service S.r.l.
1. dichiara illecito il trattamento descritto in motivazione, con la conseguente inutilizzabilità dei dati trattati in violazione di legge, ai sensi dell’articolo 11, comma 2 del Codice (punto 4.3);
2. ai sensi degli artt. 143, comma 1, lett. c), 144 e 154, comma 1, lett. d), del Codice, dispone, con effetto immediato dalla data di ricezione del presente provvedimento, il divieto dell’ulteriore trattamento dei dati personali sopra indicati con conservazione di quelli finora trattati ai fini di un’eventuale acquisizione degli stessi da parte dell’autorità giudiziaria, nonché per esigenze di tutela dei diritti in sede giudiziaria (punto 4.3);
3. ai sensi dell’art. 157 del Codice, invita, altresì, entro trenta giorni dalla data di ricezione presente provvedimento, a comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto vietato nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato. Si ricorda che il mancato riscontro alla richiesta ai sensi dell’art. 157 è punito con la sanzione amministrativa di cui all’art. 164 del Codice.
Avverso il presente provvedimento, ai sensi dell’articolo 152 del Codice, può essere proposta opposizione davanti al tribunale ordinario del luogo ove ha sede il titolare del trattamento entro il termine di trenta giorni dalla notificazione del provvedimento stesso.
Roma, 8 marzo 2018
IL PRESIDENTE
Soro
IL RELATORE
Soro
IL SEGRETARIO GENERALE
Busia