Con provvedimento n. 139 dell’8 marzo 2018, il Garante per la protezione dei dati personali ha dichiarato illecito il trattamento di questi (effettuato da Sky Italia Network Service S.r.l.) senza aver fornito ai lavoratori impiegati nel proprio call center una completa informativa sul funzionamento di uno specifico software di gestione delle chiamate e senza aver previamente seguito la procedura di autorizzazione da parte del Sindacato o dell’Ispettorato del Lavoro, prevista dal comma 1 dell’art. 4 dello Statuto dei Lavoratori.

Il provvedimento è scaturito dalla segnalazione presentata da un’organizzazione sindacale, al fianco di alcuni operatori della customer care, avente a oggetto un software gestionale installato dall’azienda con la finalità di gestire, in maniera più efficiente, i contatti telefonici con la clientela.

All’esito degli accertamenti effettuati, il Garante ha confermato che il sistema era da considerarsi “funzionale a specifiche esigenze organizzative e produttive della società (in particolare, quella di migliorare la qualità del servizio reso nei rapporti con la clientela)” e che “contrariamente a quanto prefigurato nella segnalazione, non risulta direttamente preordinato a realizzare un controllo individualizzato e massivo” dei lavoratori.

Tuttavia, l'applicativo è stato considerato idoneo a risalire, in ogni momento, all'operatore che ha gestito il contatto telefonico con il cliente.

Fatta tale premessa, sotto il profilo del rispetto della normativa privacy, il Garante ha ritenuto che l’informativa resa ai lavoratori non potesse considerarsi “completa e idonea”.

In particolare, il provvedimento in commento evidenzia come nella policy aziendale denominata “Informativa ai dipendenti di Sky Italia Network Service S.r.l. ai sensi dell'art. 4, comma 3 l. 20/5/1970 n. 300” fossero sì indicate “le principali caratteristiche nell'interfaccia con il cliente, per semplificare la relazione tra il chiamante e l'operatore e gestire più efficacemente i rapporti contrattuali in essere”, ma mancasse invece un’adeguata descrizione delle “funzionalità del sistema lato operatore e le specifiche operazioni di trattamento che riguardano, come invece verificato nel corso degli accertamenti, i dati personali riferiti agli operatori addetti al call center”.

Ancora, l’informativa è stata ritenuta insufficiente in quanto indicava quale Titolare del trattamento altra società (Sky Italia S.p.A.), la quale nel caso di specie rivestiva il mero ruolo di Responsabile.

Per tali motivi, il predetto documento aziendale non è stato considerato “idoneo, in applicazione dei principi di liceità e correttezza dei trattamenti, ad informare in modo chiaro e dettagliato circa la raccolta e le caratteristiche dell'effettivo trattamento dei dati personali dei dipendenti”.

Con riguardo al possibile trattamento dei dati raccolti mediante tali sistemi anche per finalità di tutela dei propri diritti in giudizio, dedotto dalla società, il Garante osserva che “ciò è consentito solo in presenza di contenziosi in atto o a situazioni precontenziose, non ad astratte e indeterminate ipotesi di possibile difesa o tutela dei diritti”. Ciò, peraltro, ponendosi in linea con la giurisprudenza del lavoro maggioritaria in materia di “controlli difensivi”.

Altro profilo di illegittimità del trattamento è stato riscontrato nel mancato rispetto della disciplina giuslavoristica poiché, a mente del provvedimento in commento, nel caso di specie andava osservata anche la normativa in materia di impiego di "strumenti dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori".

Ciò in quanto lo strumento, secondo l’Autorità, non poteva qualificarsi quale mero “strumento di lavoro” (non più soggetto, a seguito della riforma del 2015, alla necessità della preventiva procedura con i Sindacati o l’Ispettorato del Lavoro prevista dall’art. 4 comma 1 dello Statuto dei Lavoratori): “tanto, in considerazione del fatto che le accertate caratteristiche del sistema e il novero delle operazioni di trattamento da questo rese possibili non risultano in via esclusiva funzionali alla mera gestione del contatto con il cliente e, dunque, al mero svolgimento della prestazione lavorativa.... pertanto, contrariamente a quanto sostenuto dalla società, il sistema così configurato non può essere considerato "strumento utilizzato dal lavoratore per rendere la prestazione lavorativa" (ai sensi e per gli effetti dell'art. 4, comma 2, l. n. 300/1970), quanto piuttosto rientra tra quegli strumenti organizzativi, dai quali può indirettamente derivare il controllo a distanza dell'attività dei lavoratori, con conseguente necessità di attivare le procedure ivi previste (art. 4, comma 1, l. n. 300/70)”.

Per tali motivi, l’Autorità Garante ha vietato il trattamento riservandosi di valutare, con un autonomo procedimento, l'applicazione di sanzioni amministrative per gli illeciti riscontrati.

Il provvedimento non fa che confermare l’esigenza, per i datori di lavoro, al fine di poter lecitamente trattare i dati dei propri dipendenti e di non incorrere in sanzioni, di adottare informative complete ed adeguate, e di valutare con cautela quali strumenti possano rientrare nel novero degli “strumenti di lavoro”, esenti dalla necessità di preventiva procedura sindacale.