Sistemi di registrazione delle telefonate: il difficile equilibrio tra “data protection” e tutela dei lavoratori

Sistemi di registrazione delle telefonate: il difficile equilibrio tra “data protection” e tutela dei lavoratori
Il rapporto tra datori di lavoro e lavoratori, tanto nel settore pubblico quanto in quello privato, è strettamente ed inevitabilmente connesso ad un corollario base, quello secondo il quale molte attività svolte normalmente nel contesto del rapporto lavorativo comportano il trattamento di dati personali e talora di dati particolari relativi ai lavoratori; si pensi ad esempio alla fase di reclutamento del personale: chi presenta una richiesta di lavoro deve, infatti, fornire i propri dati personali al potenziale datore di lavoro, il quale generalmente tratta tali informazioni per valutare l’idoneità dei candidati alla posizione lavorativa. Ancora, quando il rapporto di lavoro si è oramai consolidato, il datore può trattare i dati dei propri dipendenti per numerose e diverse finalità quali la valutazione del rendimento o l’effettiva efficienza e conformità alle prassi aziendali. Necessario è anzitutto individuare la base giuridica che legittima siffatto trattamento, per sfruttare al meglio le opportunità connesse, senza, di fatto, interferire con i diritti fondamentali riconosciuti ai lavoratori dalla normativa nazionale e comunitaria.
Secondo quali principi è lecito trattare i dati personali dei lavoratori?

In estrema sintesi, pare opportuno ricordare che, a norma dell’art. 6, paragrafo, 1 del GDPR, affinché il trattamento dei dati nei rapporti di lavoro, e in genere, possa dirsi lecito è necessario che si fondi su una delle basi giuridiche espressamente previste; il datore di lavoro può quindi trattare i dati personali dei suoi dipendenti per: i) esecuzione del contratto; ii)adempimento di obblighi legali; iii) salvaguardia dell’interesse vitale del dipendente o di altra persona fisica, specie nei luoghi di lavoro che presentano rischi particolari per la salute; iv) perseguimento del legittimo interesse del titolare, ricordando che, in considerazione dei rapporti di forza tra datore di lavoro e lavoratore, è sempre particolarmente rischioso fare riferimento alla base giuridica del consenso.

A prescindere dall’individuazione della base giuridica più appropriata, in ogni caso qualsiasi datore di lavoro che si appresti a trattare i dati personali dei propri dipendenti dovrà tener fede ai principi generali dettati dall’art. 5 del GDPR quali: a) liceità correttezza e trasparenza; b) limitazione della finalità del trattamento, incluso l’obbligo di assicurare che eventuali trattamenti successivi non siano incompatibili con le finalità della raccolta dei dati; c) minimizzazione dei dati: ossia, trattare esclusivamente i  dati individuati come adeguati pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento; d) esattezza e aggiornamento dei dati, compresa la tempestiva cancellazione dei dati che risultino inesatti rispetto alle finalità del trattamento; e) limitazione della conservazione: provvedendo alla conservazione dei dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento; f) integrità e riservatezza: garantendo la sicurezza adeguata dei dati personali oggetto del trattamento; g) da ultimo, è necessario comprovare il rispetto di tutti i principi sopradetti, in coerenza con il principio di c.d. accountability.

Il trattamento dati sulla base del legittimo interesse: opportunità, rischi ed esempi pratici

Il Regolamento non contiene un elenco tassativo delle ipotesi per le quali il titolare del trattamento abbia la facoltà di invocare il “legittimo interesse”; tuttavia il Considerando 47 fornisce alcune indicazioni sul tema, espressamente prescrivendo che sia possibile ricorrere al legittimo interesse “quando esista una relazione pertinente e appropriata tra l'interessato e il titolare del trattamento, ad esempio quando l'interessato è un cliente o è alle dipendenze del titolare del trattamento”. Dunque, i legittimi interessi del datore di lavoro integrando pienamente la fattispecie possono costituire valida base giuridica legittimante del trattamento dati dei propri dipendenti purché gli interessi, i diritti e le libertà fondamentali di questi ultimi non risultino prevalenti. Un esempio concreto di trattamento di dati personali da parte del datore di lavoro in forza del legittimo interesse potrebbe essere la registrazione delle telefonate dei dipendenti, al fine di valutare l’efficienza del servizio prestato in favore dei clienti finali. Sul punto, il provvedimento n. 229 del 18 aprile 2018 dell’Autorità Garante della protezione dei dati personali ricorda che i trattamenti aventi ad oggetto la registrazione, trascrizione e analisi delle chiamate inbound possano essere effettuati sulla base del “legittimo interesse del titolare del trattamento in riferimento a proprie esigenze organizzative e produttive” (analizzate, in un’ottica di costante miglioramento anche attraverso l’individuazione e l’eliminazione di eventuali lacune formative degli incaricati con il fine di garantire la qualità e l’efficacia dei processi di customer care, specie in un mercato altamente competitivo e in rapida evoluzione).

Un ulteriore provvedimento dell’Autorità (n. 058 del 9 febbraio 2011) mette in risalto come, in presenza di finalità tipiche e circoscritte, “non pare possibile fare affidamento sul consenso espresso degli interessati quale presupposto di liceità del trattamento, atteso che un eventuale diniego da parte di questi ultimi (siano essi utenti o lavoratori del call center) potrebbe in concreto vanificare le finalità perseguite dalla società (volte, a migliorare la qualità dei servizi erogati e a garantire una formazione più mirata del personale)”. In questo caso, il datore di lavoro, nel rispetto del comma 3, art. 4, Stat. Lav. e della normativa privacy dovrà adottare tutte le misure necessarie, anche al fine di evitare di incorrere in una possibile sanzione da parte del Garante privacy fino a € 20.000,00, o fino al 4% del fatturato mondiale totale annuo, quali:

1) valutare di aver correttamente considerato tutti i possibili rischi in gioco e le possibili conseguenze sugli interessati (eventualmente svolgendo la c.d. LIA “legitimate interest assessment”), raccogliendo e dandone prova sul registro dei trattamenti;

2) effettuare, quindi, una valutazione d’impatto sulla protezione dei dati (“DPIA” ex art. 35 GDPR) e conseguentemente rendere un’adeguata informativa ai propri dipendenti (ex art 13 GDPR), anche in forma semplificata;

3) eliminare i dati personali non utili al perseguimento delle finalità;

4) avvalersi di strumenti aziendali automatizzati che permettono di ascoltare e registrare le chiamate aziendali in entrata e in uscita con le cautele di cui ai precedenti punti 1, 2 e 3;

5) circoscrivere i tempi di conservazione delle registrazioni in ogni caso per periodi non superiori ai 6 mesi;

6) limitare l’accesso alle telefonate registrate esclusivamente a soggetti all’uopo specificamente autorizzati, limitati numericamente e formalmente individuati e nominati (ex art. 29 GDPR).

Conclusioni

Sebbene il bilanciamento tra i diversi interessi in gioco risulti spesso particolarmente delicato, anche in considerazione della classica peculiarità di squilibrio che contraddistingue il rapporto contrattuale tra datore di lavoro e lavoratore; l’adeguamento, la perizia e la diligenza del datore di lavoro alle prescrizioni dettate dalla normativa privacy rappresentano sicuramente gli elementi fondamentali per garantire un’effettiva tutela ed evitare quindi un’eccessiva compressione  dei diritti e delle libertà dei lavoratori.

Dott.ssa Rossella Taddei

Newsletter

Iscriviti per ricevere i nostri aggiornamenti

* campi obbligatori