Provo a fornire qualche prima info a mio avviso utile per inquadrare a 360° la questione controllo dei lavoratori. Su tale aspetto in primo luogo occorre far riferimento all’art. 4 commi 1 e 2 della legge 300/1970 che prevede, nel caso di “impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza” l’accordo sindacale o autorizzazione dell’INL, salvo che il caso di “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze”.
Occorrerebbe quindi analizzare se il software utilizzato per valutare se consenta anche un controllo a distanza. Riporto un passo di un Provvedimento del Garante del 2022 (docweb 9722661) :“Con riguardo all’istallazione e utilizzazione di strumenti di supporto all’attività ordinaria dei call center, l’Ispettorato nazionale del lavoro ha precisato che “possono essere considerati strumenti di lavoro” (ai sensi dell’art. 4, comma 2 della l. n. 300/1970) i sistemi che “consentano il mero collegamento tra la chiamata e l’anagrafica del cliente senza ulteriori elaborazioni”, viceversa, negli altri casi, ad esempio quando consentano di effettuare anche “ulteriori elaborazioni”, essi sono comunque atti a realizzare un indiretto e preterintenzionale “monitoraggio dell´attività telefonica” effettuata dagli operatori addetti al call center con possibilità di ricostruirne anche indirettamente l’attività (cfr. INL, circolare n. 4 del 26 luglio 2017, che contiene indicazioni operative sull’installazione e utilizzazione di strumenti di supporto all’attività operativa ordinaria dei Call Center)”. L’intero Provvedimento è interessante come la Circ. INL ivi richiamata (oggi reperibile in rete ma che non sono riuscito a trovare né sul portale INL né su quello del Ministero del Lavoro e Politiche S, non saprei se per modifiche successive).
Circa gli altri aspetti, posto che presumibilmente nelle telefonate vengono trattati dati sanitari e non solo gestionali:
- ciascun operatore può accedere solo alle proprie o anche alle altre telefonate? Se non necessario (in assenza di competenza a occuparsi di dati di persone che hanno avuto colloqui con altri operatori) ciò andrebbe inibito e, comunque, andrebbe loggato anche l’accesso alle singole registrazioni;
- il fornitore del servizio, che custodisce anche le registrazioni andrebbe inquadrato come, viene pure prospettato nel quesito, responsabile del trattamento, e quindi andrebbe adeguatamente strutturato il contratto anche con riguardo alle previsioni del GDPR e all’esigenza di protezione dei dati (nessun proprio operatore, neanche gli Amministratori di sistema, dovrebbero poter accedere al contenuto delle registrazioni; il cloud dovrebbe essere configurato in maniera adeguata anche vs rischio cyber,…)
- trattandosi di dati particolari, potenzialmente trattabili su larga scala, in un trattamento che implica il contatto con i medici (titolari autonomi del trattamento) in base alle apposite Linee guida del WP29 (wp248rev.01) e alle indicazioni del Garante (doc. web n. 9058979) a mio avviso la DPIA andrebbe effettuata (ma se non fosse obbligatoria procederei comunque a farla)
- sull’informativa, se fornita via filo solo in forma breve, dovrebbero comunque essere esposti i punti salienti e indicare chiaramente dove reperibile quella estesa (che andrebbe preventivamente pubblicata / comunicata ai diversi soggetti coinvolti nel servizio: ai singoli e/o tramite la controparte contrattuale di cui fossero collaboratori come da apposita previsione contrattuale; anche gli addetti al servizio telefonico devono essere ovviamente informati)
- circa la registrazione delle telefonate esterne al servizio se l’interlocutore che chiama per questioni esterne al servizio, ascoltando il preavviso, non fosse d’accordo come fare per non perdere il contatto? Non potrebbe (= Dovrebbe) essere impostata una linea telefonica, non registrata, a parte?
Ecco, questa la mia opinione, in generale, sulla questione proposta.
Cordiali saluti
