Il Garante della Privacy ha dichiarato illecita la memorizzazione dati personali dei dipendenti (operatori di customer care) effettuato da Sky Italia, senza aver fornito loro una completa informativa sul funzionamento del sistema che gestisce le chiamate degli abbonati, e senza aver stipulato uno specifico accordo sindacale (doc. web 8163433).
Ecco quanto si legge nel comunicato del Garante della Privacy.
Dagli accertamenti effettuati dall’Autorità, intervenuta a seguito della segnalazione di una organizzazione sindacale e di alcuni dipendenti addetti al call center, è emerso che il sistema non si limita ad associare, come sostenuto dalla società, la chiamata e l’anagrafica del cliente per facilitare la gestione della richiesta dell’abbonato, ma consente “ulteriori elaborazioni” (memorizzazione dati personali degli operatori ed estrazione di report).
Attraverso questo sistema infatti la società è in grado di risalire all’identità del dipendente attraverso l’associazione del “codice operatore” con altre informazioni relative alla sua attività lavorativa (il tipo di operazione svolta, la durata della chiamata, data e orario di termine della chiamata) o mediante l’eventuale incrocio tra informazioni conservate in sistemi separati.
Il software – afferma il Garante – permette di ricostruire anche indirettamente l’attività svolta da centinaia di operatori del call center e rappresenta un sistema di controllo, anche se potenziale e indiretto, dell’attività lavorativa. Oltre alla disciplina di protezione dati il sistema viola anche la disciplina lavoristica sull’impiego di strumenti dai quali possa derivare il controllo a distanza dei lavoratori. Il sistema, contrariamente a quanto affermato dalla società, non può essere considerato uno “strumento di lavoro” per la sola gestione del contatto con il cliente e dunque utilizzato dall’operatore per rendere la prestazione, perché rientra piuttosto – a parere del Garante – tra gli “strumenti organizzativi” per soddisfare esigenze organizzative e produttive del datore di lavoro dai quali può derivare il controllo a distanza dei lavoratori. E, data la loro invasività, prima di impiegare questi strumenti la società avrebbe dovuto attivare tutte le procedure previste dallo Statuto dei lavoratori (accordo sindacale o in mancanza di questo autorizzazione delle direzioni territoriali del lavoro), procedure che non sono state espletate. Tutto ciò senza che la società avesse fornito ai dipendenti una informativa completa e dettagliata sulle effettive modalità e finalità delle operazioni di trattamento rese possibili dall’applicativo.
L’Autorità si riserva di valutare con un autonomo procedimento l’applicazione di sanzioni amministrative per gli illeciti riscontrati.
(Fonte: Garante Privacy)