Siglato l’accordo quadro sui controlli a distanza nel Gruppo Cassa Centrale. Videosorveglianza, accessi fisici, sicurezza informatica e log dovranno rispettare limiti chiari: tutela dei dati, informazione preventiva, tracciabilità degli accessi e ruolo attivo delle RSA.
__________________________________________
Nelle banche la tecnologia è ormai parte del lavoro quotidiano. Telecamere, badge, accessi informatici, sistemi di sicurezza e log digitali accompagnano ogni giorno l’attività nelle filiali, negli uffici e nelle procedure operative.
Il punto, però, è decisivo: questi strumenti possono servire a garantire sicurezza, tutela del patrimonio e protezione dei dati. Non possono trasformarsi in strumenti di sorveglianza della prestazione lavorativa.
È questo il cuore dell’accordo quadro sottoscritto il 5 maggio 2026 tra la Delegazione Sindacale di Gruppo e Cassa Centrale Banca in materia di controlli a distanza.
Un accordo che definisce regole, limiti, procedure e garanzie. E che riconosce alle rappresentanze sindacali aziendali un ruolo concreto di verifica e presidio.
Un accordo quadro per tutte le aziende del Gruppo
L’accordo si colloca nelle previsioni dell’art. 11 bis del CCNL, che consentono alla Delegazione di Gruppo ed alla Capo Gruppo di definire accordi quadro validi per tutte le aziende del Gruppo stesso.
Il testo dovrà poi essere recepito a livello aziendale, attraverso il confronto con le RSA.
Non è quindi un semplice passaggio formale. La fase aziendale sarà decisiva per tradurre le garanzie generali in controlli effettivi, documenti completi, verifiche puntuali e piena trasparenza verso lavoratrici e lavoratori.
Il punto politico
La sicurezza non può essere usata come scorciatoia per controllare il lavoro.
Gli strumenti tecnologici devono avere finalità chiare, limiti precisi e controlli sindacali effettivi.
Cosa regola l’accordo
L’accordo riguarda :
- sistemi di videosorveglianza;
- controllo degli accessi fisici;
- sicurezza logica e informatica;
- monitoraggio informatico e log.
Questi strumenti possono avere una funzione legittima: sicurezza delle persone, tutela del patrimonio, prevenzione delle frodi, protezione delle informazioni, contrasto ad accessi anomali o incidenti informatici.
Proprio perché incidono su dati, comportamenti, accessi e ambienti di lavoro, devono però essere regolati con precisione.
La regola di fondo è netta: non possono essere utilizzati per controllare a distanza la prestazione lavorativa.
Il divieto di controllo della prestazione
Il principio più importante va ribadito con chiarezza: impianti e sistemi tecnologici non possono essere usati per monitorare come una persona lavora, quanto lavora, con quali tempi o con quali modalità svolge la propria attività.
L’eventuale utilizzo disciplinare è limitato a ipotesi particolarmente gravi, legate a fatti dolosi che integrino ipotesi di reato e che pregiudichino patrimonio o sicurezza.
Anche in questi casi, l’accordo prevede vincoli stringenti: accessi autorizzati, procedure formalizzate, tracciamento, estrazione delle sole evidenze pertinenti, limitazione dei soggetti abilitati, rispetto del GDPR e piena informazione alle lavoratrici e ai lavoratori.
Cosa deve essere chiaro
Non basta dire “sicurezza”.
Ogni accesso ai dati deve essere motivato, tracciato, limitato e verificabile. La prestazione lavorativa resta fuori dal perimetro del controllo.
RSA e RLS non spettatori, ma soggetti di controllo
Uno degli aspetti più rilevanti dell’accordo è il ruolo attribuito alle rappresentanze sindacali aziendali.
Le RSA e gli RLS possono verificare modalità e tempi di accesso ai dati, richiedere log e controlli, verificare come avviene l’accesso alle informazioni. L’azienda deve rispondere alle richieste entro 5 giorni.
Ogni modifica agli impianti richiede inoltre illustrazione e confronto preventivo con le rappresentanze sindacali aziendali.
Questo passaggio andrà presidiato con attenzione in ogni azienda, perché è lì che si misura la sostanza dell’accordo.
DPIA: senza documenti completi l’accordo non produce effetti
Un altro punto decisivo riguarda la DPIA, cioè la valutazione d’impatto sulla protezione dei dati.
Detta in modo semplice: prima di adottare sistemi che possono incidere sui dati personali, l’azienda deve valutare rischi, finalità, limiti, misure di sicurezza e modalità di trattamento.
Per avviare il confronto, l’azienda deve consegnare alle RSA la bozza della DPIA. Durante o subito dopo il confronto deve consegnare anche la DPIA definitiva.
La consegna della DPIA definitiva è condizione di efficacia dell’accordo aziendale. In altre parole: fino a quando quel documento non viene consegnato alle RSA, l’accordo aziendale non può considerarsi operativo.
Garanzia concreta
La documentazione non è burocrazia.
Senza DPIA definitiva consegnata alle RSA, l’accordo aziendale resta sospeso. È una garanzia reale di trasparenza e controllo.
Videosorveglianza: niente riprese delle postazioni di lavoro
Sul tema delle telecamere, l’accordo indica un criterio chiaro: le postazioni di lavoro non devono essere riprese.
Se, per ragioni tecniche, questo non fosse evitabile, serve un confronto preventivo con le RSA e devono essere adottati sistemi di oscuramento delle lavoratrici e dei lavoratori coinvolti.
Le immagini eventualmente acquisite possono essere utilizzate solo in caso di eventi criminosi e su richiesta dell’autorità. Non possono essere usate per valutare la prestazione, né per controllare tempi e modi di lavoro.
È una distinzione fondamentale: una cosa è proteggere filiali, persone e patrimonio; altra cosa è introdurre un controllo indiretto sul lavoro quotidiano.
Log informatici: sicurezza sì, valutazione del lavoro no
L’accordo affronta anche il tema dei log informatici, cioè le tracce generate dai sistemi quando si accede a procedure, applicazioni o ambienti digitali.
I log possono essere necessari per la sicurezza delle informazioni, la prevenzione degli incidenti, il contrasto alle frodi e l’individuazione di attività anomale.
Ma anche qui il limite è netto: non possono essere utilizzati per valutare la prestazione lavorativa.
Gli accessi devono seguire il principio del “need to know”: può accedere solo chi è autorizzato e solo per ciò che è strettamente necessario. Anche la conservazione dei log deve rispettare policy definite, motivate e coerenti con le finalità dichiarate.
La posizione della Fisac CGIL
Per la Fisac CGIL questo accordo rappresenta un avanzamento importante perché mette nero su bianco un principio che deve valere in tutto il settore: innovazione, digitalizzazione e sicurezza non possono comprimere diritti, dignità e libertà delle persone che lavorano.
Occorre garantire trasparenza, proporzionalità, informazione preventiva, tracciabilità degli accessi e controllo sindacale.
Opereremo in modo che in ogni azienda del Gruppo il recepimento dell’accordo avvenga con confronto vero con le RSA, con consegna completa della documentazione, verifica puntuale degli impianti e pieno rispetto dei limiti fissati.
La richiesta della Fisac CGIL
Ogni accordo aziendale deve essere accompagnato da documenti completi, confronto reale, DPIA definitiva e possibilità effettiva di verifica da parte delle RSA.
Il lavoro adesso passa nei territori e nelle aziende
La firma dell’accordo quadro non chiude il percorso. Lo apre.
Ora sarà necessario seguire con attenzione il recepimento nelle singole BCC, CRA, Raika e aziende del Gruppo, attraverso il confronto con le RSA che dovranno poter verificare documenti, impianti, finalità dichiarate, tempi di conservazione, soggetti autorizzati e modalità di accesso ai dati.
La Fisac CGIL continuerà a presidiare ogni passaggio, perché il diritto alla sicurezza non può essere contrapposto al diritto alla riservatezza, alla dignità e alla libertà nel lavoro.
La tecnologia può migliorare il lavoro. Ma solo se resta dentro regole chiare, controllabili e condivise.
La sicurezza è un diritto. La sorveglianza no.
Su questo la Fisac CGIL continuerà a vigilare, azienda per azienda, insieme alle lavoratrici e ai lavoratori.