Garante privacy a un call center: tutelare la dignità dei lavoratori. No all’obbligo per i dipendenti di tenere farmaci e dispositivi medici sulla scrivania. Lede la dignità del lavoratore dover tenere in vista sulla propria postazione medicinali, assorbenti, dispositivi medici. Per questo motivo il Garante per la protezione dei dati personali ha ordinato ad una società di call center il pagamento di una sanzione di 20mila euro e l’adozione di misure correttive per conformarsi alla normativa privacy.
La decisione del Garante conclude un procedimento avviato a seguito della segnalazione di una associazione sindacale che lamentava possibili violazioni del Regolamento Ue da parte della società. Sotto accusa il regolamento aziendale con il quale per garantire, a detta della società, la segretezza dei dati trattati per conto dei clienti, era stato disposto il divieto per i dipendenti di portare con sé borse, telefoni cellulari o altri dispositivi elettronici nonché “l’obbligo di tenere a vista sulla scrivania scatole di medicinali e assorbenti”. Disposizioni che l’Autorità ha ritenuto non conformi alla disciplina in materia di privacy.
Dagli accertamenti è risultato infatti che la società ha effettivamente adottato, da giugno a luglio 2019, un regolamento interno in base al quale gli operatori del call center erano tenuti ad esporre sul tavolo di lavoro oggetti prettamente personali quali medicinali, presidi medici, assorbenti, salviette umidificate, che il lavoratore utilizzava nel corso della prestazione lavorativa.
La società nel corso del procedimento non ha fornito concreti elementi in base ai quali poter accertare che “nella prassi” fosse consentito agli operatori di posizionare i menzionati oggetti di uso personale all’interno di contenitori (come sostenuto nelle memorie difensive del 19.2.2020 e nell’audizione del 4.8.2020). Infatti la stessa società ha più volte dichiarato che solo in un momento successivo all’applicazione della policy è stata prevista (a titolo di “eccezione”) la possibilità di conservare i predetti oggetti di uso personale presso una piccola borsa o astuccio (v. precedente punto 1.2., lett. b., c. e d.) e che gli schemi di regolamento interno elaborati successivamente (rispettivamente approvati nel dicembre 2019 e il 18 febbraio 2020 e mai applicati: v. precedente punto 1.5., lett. f. e g.) prevedevano una particolare procedura autorizzatoria relativa proprio alla possibilità di tenere presso la propria postazione lavorativa un contenitore o una borsa piccola o di “dimensioni più grandi”.
Ciò senza la possibilità di riporre tali oggetti all’interno di astucci o comunque contenitori di piccole dimensioni per sottrarli alla visibilità di colleghi o superiori gerarchici e, di conseguenza invece, con la possibilità per costoro di apprendere, indirettamente, stati o situazioni personali o informazioni relative allo stato di salute estranei al contenuto della prestazione lavorativa e lesive della dignità e riservatezza del dipendente.
Inoltre, in ogni caso, i trattamenti effettuati dal 20 giugno al 24 luglio 2019 non risultano conformi ai principi di liceità e minimizzazione dei dati (v. art. 5, par. 1, lett. a) e c), Regolamento): la legittima finalità di prevenire possibili accessi illeciti ai dati trattati per conto dei committenti nell’ambito della fornitura del servizio di call center, infatti, può e deve essere perseguita astenendosi dal trattare dati personali dei lavoratori, anche di natura “particolare” (con riferimento ai farmaci ed ai dispositivi medici che l’interessato ha necessità di avere a disposizione anche nel corso della prestazione lavorativa: v. art. 9, par. 1, del Regolamento), la cui sottoposizione alla altrui conoscibilità comporta l’eliminazione di ogni spazio di riservatezza e di intimità sul luogo di lavoro, consentendo a terzi di apprendere sia lo stato di salute che la sussistenza di condizioni normalmente tenute riservate dagli interessati nella vita di relazione, con conseguente violazione della dignità della persona, intesa come “valore costituzionale che permea di sé il diritto positivo” (v. Corte Cost., 17.7.2000, n.293; si veda anche Corte Cost., 19.12.1991, n.467; art. 1, Carta dei diritti fondamentali dell’Unione europea; art. 1 del Codice; v. altresì art. 88, par. 2 del Regolamento).
Nel dichiarare illecito il trattamento di dati, l’Autorità ha quindi ingiunto alla società il pagamento di una sanzione pecuniaria di 20mila euro e le ha ordinato di conformare ai principi di liceità e minimizzazione previsti dal Regolamento europeo i trattamenti effettuati con un nuovo regolamento aziendale in fase di elaborazione.