Garante Privacy, ordinanza ingiunzione nei confronti di X S.p.A. – 28 ottobre 2021
il sistema di gestione delle chiamate in entrata della clientela (call center inbound), cui su richiesta della Società era stata aggiunta la funzionalità di registrazione delle telefonate, era stato realizzato, tramite la società X S.p.A., fornitrice anche del servizio di manutenzione. Il sistema consentiva che una parte delle telefonate della clientela ricevute dagli operatori, identificati anche tramite il proprio numero di matricola, fosse automaticamente registrata sulla piattaforma denominata “Phones” e ivi memorizzate per tre mesi, previa cifratura dei file audio (funzionalità “RecReviewer” aggiuntiva rispetto al pacchetto standard offerto dal Fornitore).
Oltre alla specifica funzionalità di registrazione delle telefonate era prevista la possibilità di riascolto delle telefonate memorizzate solo alle persone autorizzate.
Se da un lato le finalità che la Società intendeva perseguire con il sistema di gestione delle telefonate in questione (ossia quello di garantire il costante adeguamento quantitativo e qualitativo del servizio alle esigenze dell’utenza) risultano riconducibili alle lecite “esigenze organizzative e produttive […]”, espressamente fatte salve dal predetto articolo 4, comma 1, dall´altro la Società, non ha però attivato, essendovi tenuta, le garanzie procedurali prescritte dalla medesima norma (accordo sindacale o autorizzazione all’Ispettorato nazionale del lavoro).
Considerato altresì che tali garanzie non possono essere soddisfatte con il mero invio alle organizzazioni sindacali di un documento informativo, come invece avvenuto nel caso di specie (si veda sul punto, provv. 17 dicembre 2020, n. 282, doc web n. 9525337, ma già provv.ti 13 luglio 2016, n. 303, par. 4.3, doc web 5408460 e 16 novembre 2017, n. 479, doc. web n. 7355533, par. 3.2.), il trattamento dei dati personali dei dipendenti, addetti al call center, effettuato dalla Società tramite il sistema “Phones” risulta avvenuto, fino alla disattivazione del sistema e alla interruzione del trattamento (cfr., verbale audizione del XX, cit.), in contrasto con la disciplina in materia di protezione dei dati personali e con la rilevante disciplina di settore, avendo la Società installato il medesimo senza attivare le procedure di garanzia previste dalla legge di settore applicabile (in violazione degli artt. 5, comma 1, lett. a); 6, comma 1, lett. c); 88 del Regolamento e 114 del Codice, in relazione all’art. 4 della l. 20 maggio 1970, n. 300).