Sanzione di 30.000 euro per l’azienda pubblica Trasporto Passeggeri Emilia Romagna Spa.

È di poche ore fa la pubblicazione sul proprio sito da parte del Garante per la protezione dei dati personali italiano l’ingiunzione emessa nei confronti di TPER Trasporto Passeggeri Emilia Romagna Spa per aver trattato illecitamente i dati personali dei propri dipendenti per sospetto controllo sul luogo di lavoro.

L’istruttoria da parte del Garante è scaturita da una segnalazione da parte di un dipendente della società per possibile violazione della disciplina di protezione dei dati personali nonché della disciplina di settore in materia di controlli a distanza dei lavoratori, in particolare per gli operatori addetti al call center tramite la piattaforma “Phones”, realizzata e fornita da IFM Infomaster S.p.A., che gestisce le chiamate di assistenza all’utenza.

Questa piattaforma, infatti, consente la registrazione automatica delle chiamate intercorse tra gli operatori del call center e l’utenza come sistema di monitoraggio e rendicontazione del servizio erogato, per valutazioni di misure preventive e correttive da mettere in atto per garantire il costante adeguamento quantitativo e qualitativo del servizio alle esigenze dell’utenza. Insieme alla registrazione è però consentita, sempre in automatico, sia l’archiviazione che il riascolto delle comunicazioni telefoniche, per eventuali contenziosi che potrebbero avverarsi contro l’azienda o uno dei propri dipendenti (che ad inizio registrazione si qualificano tramite un numero di matricola identificativo, e quindi anche a loro tutela), per la verifica delle esatte procedure effettuate.

Seppure è vero che le registrazioni vengono archiviate in cartelle crittografate a cui possono accedere solo determinati profili amministrativi,  che l’accesso sia consentito solo per determinati casi motivati (contenziosi, richiesta dell’utenza, richiesta dell’operatore telefonico) e che dopo un periodo di 90 giorni vengono cancellate, se non incluse in procedimenti legali attivi, queste erano in effetti conservate per più del periodo descritto, con l’intero insieme di metadati che permettono di assegnare ogni singola telefonata all’operatore che l’ha ricevuta, favorendo un possibile controllo a distanza degli operatori interessati.

Inoltre, l’accesso alle registrazioni avveniva mantenendo le password fornite dall’amministratore stesso della piattaforma, rendendo così molto precaria la sicurezza dei dati personali inclusi alle registrazioni. La società avrebbe dovuto mettere in obbligo il cambio di password all’attivazione del profilo di ogni nuovo utente permesso a tali accessi, in modo da ostacolare la violabilità e aumentare la sicurezza della protezione dei dati conservati.

Infine, il Garante ha riscontrato una mancata trasparenza alla piena informazione verso i propri dipendenti laddove, nelle comunicazioni effettuate riguardanti il trattamento dei dati personali, non risultavano elencati tutti i dati raccolti, le loro finalità, né il tempo di conservazione degli stessi.

Nonostante tutto, ha potuto rilevare comunque l’immediata disponibilità dell’azienda a fornire ogni chiarimento e accesso alla documentazione, una pronta integrazione delle informative fornite ai dipendenti, una correzione immediata delle procedure fintanto elaborate, e la “buona fede” dei trattamenti effettuati senza la finalizzazione di un controllo, non avendo infatti mai proceduto a nessun richiamo, così come a nessuna premiazione, dei propri dipendenti in relazione al lavoro da questi svolto, comminando una sanzione pecuniaria più contenuta, dell’importo di 30.000 (trentamila) euro.