GPDR

Per una storia della contrattazione collettiva in Italia/123 – La tutela dei dati dei lavoratori (e non solo) in Santander Consumer Bank S.p.A.

 La presente analisi si inserisce nei lavori della Scuola di alta formazione di ADAPT per la elaborazione del

Rapporto sulla contrattazione collettiva in Italia.

Per informazioni sul rapporto – e anche per l’invio di casistiche e accordi da commentare –

potete contattare il coordinatore scientifico del rapporto al seguente indirizzo: tiraboschi@unimore.it

 

Bollettino ADAPT 10 ottobre 2022, n. 34

 

Oggetto e tipologia di accordo

 

Lo scorso 8 settembre 2022 è stato siglato con FABI e Fisac-CGIL il verbale di accordo per l’introduzione e l’implementazione, in Santander Consumer Bank S.p.A., di un sistema di “Data Loss Prevention” (di seguito DLP) per ragioni di sicurezza del lavoro e di tutela del patrimonio informatico e informativo aziendale, al fine di individuare e prevenire l’indebita diffusione di dati riservati che la banca elabora nello svolgimento della propria attività.

 

Parti firmatarie e contesto

 

La ragione per cui si è reso necessario stipulare tale accordo deriva dalla procedura prevista ai sensi dell’art. 4 Stat. Lav. secondo la quale gli strumenti dai quali derivi anche soltanto la possibilità di controllo a distanza dell’attività dei lavoratori debbano essere installati previo accordo collettivo stipulato, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale.

 

L’esigenza di dotarsi di un sistema di DPL nasce dal mutato contesto tecnologico della quarta rivoluzione industriale (c.d. Industria 4.0), caratterizzato dalla presenza di sistemi di intelligenza artificiale che permettono, di fatto, la raccolta, oltre che l’elaborazione, di grandi volumi di dati, in tempi molto ridotti. Infatti, l’impresa oggi è caratterizzata da una maggiore immaterialità rispetto al passato, proprio per il fatto che riesce a produrre valore aggiunto a partire dai dati ottenuti oltre che dai lavoratori, anche dai clienti, dai fornitori e, più in generale, da soggetti terzi che si relazionano con questi.

 

La stessa Santander Consumer Bank S.p.A., nello svolgimento delle proprie attività, elabora e archivia rilevanti quantità di informazioni riservate tra cui quelle di identificazione personale, dati bancari e informazioni riferite alle transazioni eseguite dalla clientela, dati di fornitori\terze parti coinvolte a vario titolo nella gestione di porzioni, anche significative, di processi di business nonché dati di rilevanza strategica. L’aumento del volume di dati digitali e della diversificazione di applicazioni e di piattaforme utilizzate consentono una capillare diffusione dei dati che ne rendono però difficile e complesso il controllo e la gestione.

 

Le Parti hanno pertanto riconosciuto la necessità di esperire la procedura prevista dal comma 1 dell’art. 4 Stat. Lav. al fine di installare una sistema di DLP volto ad evitare la perdita di dati aziendali, ivi inclusi quelli dei propri clienti, dipendenti e terze parti, e il trasferimento non autorizzato di informazioni riservate tramite browser web, servizi di posta elettronica, dispositivi di archiviazione e dispositivi di stampa.

 

Temi trattati / punti qualificanti / elementi originali o di novità

 

L’accordo oggetto di analisi contiene diversi punti di originalità e novità, facendo quasi da “apri pista” per le imprese del nostro Paese nell’adozione di sistemi di Data Loss Prevention che dovrebbero ormai far parte integrante dei programmi di sicurezza aziendale, in quanto necessari a proteggere il prezioso patrimonio informativo.

 

L’adozione di misure di sicurezza, con specifico riferimento al trattamento dei dati, si inserisce nel più ampio disegno normativo dettato dal GDPR, in particolare, all’art. 32, secondo cui, il titolare del trattamento dei dati e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative volte a garantire un livello di sicurezza adeguato al rischio, tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche. Tra le misure, il legislatore europeo individua la pseudonimizzazione e la cifratura dei dati personali; la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali; la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico; una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

 

Difatti, solo un sistema dotato di misure di sicurezza tali da evitare la perdita dei dati trattati può essere in grado di eludere eventi di data breach, ossia di violazione di dati personali, che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

 

Proprio in questo contesto la Santander Consumer Bank S.p.A. ha deciso di introdurre ed implementare il sistema di controllo di DLP per prevenire, monitorare e bloccare l’eventuale esfiltrazione non autorizzata di dati aziendali, ivi inclusi i dati personali dei propri clienti, dipendenti e, in generale, di terze parti, tramite un sistema di “alert” in grado di riconoscere un potenziale rischio di perdita di dati. Nel caso in cui il sistema abbia innescato un “alert” a seguito di una operazione svolta da un utente, quest’ultimo sarà tenuto a fornire prontamente spiegazioni al proprio Responsabile.

 

Appare evidente come la finalità perseguita dalle Parti con l’adozione di tale sistema sia proprio quella di monitorare e controllare i canali browser web, posta elettronica, endpoint (pc, stampanti, smartphone), dispositivi di archiviazione e Cloud per ragioni di sicurezza del lavoro e di tutela del patrimonio informatico e informativo aziendale previste dall’art. 4, comma 1, Stat. Lav.

 

Di particolare rilievo, peraltro, è la comune decisione delle Parti di indicare nell’accordo che il sistema di DLP non comporta, ovviamente, alcuna forma di controllo a distanza e\o monitoraggio dell’attività lavorativa e che, in deroga a quanto previsto dal comma 3 dell’art. 4 Stat. Lav., i dati registrati dal sistema non sono utilizzabili ai fini della valutazione professionale dei lavoratori, né per l’adozione di provvedimenti disciplinari nei loro confronti, a meno che dagli accertamenti risulti un comportamento doloso o gravemente colposo o adottato in violazione di specifiche normative regolamentari, contrattuali e\o di legge.

 

L’accordo prevede, inoltre, l’impegno per la Banca ad informare i lavoratori in ordine al sistema di DLP e al suo funzionamento, consegnando agli stessi una specifica informativa sul trattamento dei dati personali redatta in conformità a quanto previsto dall’art. 13 GDPR, nonché tramite adeguate comunicazioni di sensibilizzazione sui temi afferenti alla corretta gestione delle informazioni processate dalla Banca.

 

Infine, le Parti stabiliscono un periodo iniziale di osservazione, della durata di tre mesi, durante il quale vengono sospesi temporaneamente gli effetti disciplinari, fatti salvi i casi di dolo, e si impegnano, altresì, a svolgere, con cadenza annuale, un incontro di verifica per valutare gli effetti della applicazione del sistema e dell’evoluzione normativa.

 

Valutazione d’insieme

 

Com’è noto, nell’ultimo ventennio, le strumentazioni informatiche e telematiche sono diventate connaturate al processo produttivo industriale, rendendo potenzialmente esperibile, in un ampio novero di circostanze, il controllo dell’attività lavorativa e dell’utilizzo dei dati, rispetto alle situazioni eccezionali alle quali si riferiva l’originario dettato normativo dell’art. 4 Stat. Lav..

 

I nuovi processi industriali generano di fatto un gigantesco flusso di informazioni non gestibili dai database tradizionali, e rendendo quindi necessaria l’adozione da parte delle aziende di sistemi in grado di garantire un livello di sicurezza adeguato al fine di evitare l’utilizzo illegittimo di dati o la perdita degli stessi (proprio come i sistemi di DLP).

 

Non è affatto scontato che l’azienda e le OOSS riescano a raggiungere accordi collettivi ai sensi dell’art. 4 Stat. Lav. come quello oggetto di analisi. Spesso, anzi, si rinviene il punto di caduta nel momento in cui ci si trova a negoziare in merito all’utilizzabilità – per tutti i fini connessi al rapporto di lavoro – dei dati raccolti dai sistemi informatici che possono generare conseguenze, talvolta anche spiacevoli, nei confronti dei lavoratori. Da ciò deriva la necessità di assicurare ai lavoratori una maggiore tutela che può essere garantita solo attraverso il dialogo sociale al fine di adottare soluzioni collettive per la tutela dei diritti dei lavoratori che sempre più spesso sono soggetti ad una potenziale sorveglianza tecnologica sul luogo di lavoro.

 

Un ruolo di rilievo viene assunto proprio dalla contrattazione collettiva, strumento essenziale per migliorare la condizione di lavoro e assicurare la corretta applicazione della normativa lavoristica, fermo restando il bilanciamento con quelli che sono gli interessi che l’azienda intende perseguire.

 

Per tale motivo, oggi più che mai, le OOSS devono essere in grado di integrarsi nel nuovo modo di produzione dell’Industria 4.0, acquisendo competenze e conoscenze connesse ai sistemi di Intelligenza Artificiale, all’elaborazione dei dati e al trattamento degli stessi, al fine di migliorare le condizioni di lavoro e tutelare i lavoratori da possibili trattamenti illeciti dei propri dati.

 

È proprio questo l’obiettivo che si intende perseguire con il progetto europeo GDPiR – Managing Data Processing in the Workplace through Industrial Relations, guidato da FIM-CISL e che vede ADAPT come membro di un ampio partenariato composto da centri di ricerca e sindacati europei. L’idea fondante del progetto è infatti quella di fornire ai sindacalisti un’adeguata informazione e formazione specialistica in materia di big data e IA, al fine di gestire le dinamiche connesse all’elaborazione dei dati dei lavoratori e al trattamento dei dati nei luoghi di lavoro e di migliorare, così, le iniziative di contrattazione collettiva in materia.

 

Graziana Ligorio

Scuola di dottorato in Apprendimento e innovazione nei contesti sociali e di lavoro

ADAPT, Università degli Studi di Siena

@LigorioGraziana