Il Garante privacy, con il provvedimento 8/03/2018 n. 8163433 (segnalato anche nella Newsletter N. 439 del 29 marzo 2018) ha vietato il trattamento dei dati effettuato da un call center (SkyItalia) senza aver fornito agli operatori di customer care una completa informativa sul funzionamento di un sistema che gestisce le chiamate degli abbonati, e senza aver stipulato uno specifico accordo sindacale.

Dagli accertamenti effettuati dal Garante privacy, infatti, è emerso che il sistema non si limita ad associare, come sostenuto dalla società, la chiamata e l'anagrafica del cliente per facilitare la gestione della richiesta dell'abbonato, ma consente "ulteriori elaborazioni" quali le memorizzazioni di dati personali degli operatori e l’estrazione dei report.

Attraverso questo sistema infatti la società è in grado di risalire all'identità del dipendente attraverso l'associazione del "codice operatore" con altre informazioni relative alla sua attività lavorativa (il tipo di operazione svolta, la durata della chiamata, data e orario di termine della chiamata) o mediante l'eventuale incrocio tra informazioni conservate in sistemi separati.

In conclusione, il software permette di ricostruire anche indirettamente l'attività svolta dagli operatori del call center e rappresenta un sistema di controllo, anche se potenziale e indiretto, dell'attività lavorativa.

Oltre alla disciplina di protezione dati il sistema viola anche la disciplina lavoristica sull'impiego di strumenti dai quali possa derivare il controllo a distanza dei lavoratori.

Il sistema, contrariamente a quanto affermato dalla società, non può essere considerato uno "strumento di lavoro" per la sola gestione del contatto con il cliente e dunque utilizzato dall'operatore per rendere la prestazione, perché rientra piuttosto tra gli "strumenti organizzativi" per soddisfare esigenze organizzative e produttive del datore di lavoro dai quali può derivare il controllo a distanza dei lavoratori.

Data la loro invasività, prima di impiegare questi strumenti, la società avrebbe dovuto attivare tutte le procedure previste dallo Statuto dei lavoratori (accordo sindacale o in mancanza di questo autorizzazione delle direzioni territoriali del lavoro), procedure che non sono state espletate.

Tutto ciò senza che la società avesse fornito ai dipendenti una informativa completa e dettagliata sulle effettive modalità e finalità delle operazioni di trattamento rese possibili dall'applicativo.

L'Autorità si riserva di valutare con un autonomo procedimento l'applicazione di sanzioni amministrative per gli illeciti riscontrati.