Privacy - Garante Privacy: il Garante si pronuncia sulla legittimità del controllo sui telefoni aziendali da parte del datore di lavoro
L’Autorità Garante per la protezione dei dati personali (“Garante”), con recente provvedimento dell’11 gennaio 2018, ha dato riscontro alla richiesta di verifica preliminare inoltrata, ai sensi dell’articolo 17 del Decreto Legislativo n.196/2003 (“Codice Privacy”), da una società che esercita la propria attività commerciale in ambito medico e farmaceutico.
L’oggetto della verifica preliminare verteva sulla liceità del trattamento dei dati personali dei dipendenti della società ai quali era stato assegnato un telefono aziendale. In particolare, il trattamento che la società voleva porre in essere prevedeva il “controllo delle fatture dei provider del servizio telefonico e l’analisi dell’andamento complessivo dei consumi in modo da valutare nel tempo l’adeguatezza del contratto con il provider […] con l’obiettivo di ridurre i costi aziendali e ottimizzare la qualità del servizio” nonché “rilevare eventuali situazioni anomale dei consumi”.
L’esecuzione del trattamento avveniva mediante l’utilizzo di un sistema in grado di raccogliere ed elaborare i dati personali dei dipendenti ad opera di una società inglese specializzata nel settore, designata dalla società titolare come responsabile esterno del trattamento.
All’esito della verifica preliminare, il Garante ha ritenuto lecite – anche dal punto di vista della normativa sul controllo a distanza dei lavoratori – le finalità per le quali il trattamento si rendeva necessario, rilevando un corretto bilanciamento degli interessi in gioco: la tutela dei dati personali dei dipendenti, da un lato, e delle esigenze organizzative e produttive aziendali e di tutela del relativo patrimonio, dall’altro.
Sussiste, pertanto, in capo al titolare del trattamento un legittimo interesse ad effettuare i suddetti controlli.
Nello specifico, in ordine alla necessità e proporzionalità del trattamento rispetto alle finalità perseguite, il Garante ha ritenuto che le informazioni relative al traffico telefonico, risultante dalle SIM dei telefoni aziendali assegnati ai dipendenti, potessero essere soggette al citato controllo solo se riferibili alle “[…] specifiche voci di spesa all’interno della fattura […]” che impattano effettivamente sui costi sopportati dalla società in base alla tipologia di tariffazione prescelta.
Per quanto riguarda il periodo di conservazione dei dati, il Garante ha specificato che il tempo inizialmente stabilito dal titolare (24 mesi) fosse eccessivo e non pertinente al trattamento, riducendolo a 6 mesi.
In un importante passaggio del provvedimento, in ordine alle misure di sicurezza da adottare, è emerso che la società richiedente non avesse previsto né adottato alcun disciplinare interno all’azienda che stabilisse i limiti e le condizioni di utilizzo delle SIM e dei telefoni aziendali.
Fermo restando l’impegno della società – cristallizzato con specifico accordo con le rappresentanze sindacali – a non utilizzare i dati personali trattati per ulteriori finalità – rispetto a quelle sopra citate – o per l’erogazione di provvedimenti disciplinari nei confronti dei dipendenti, il Garante ha sollecitato l’adozione di un regolamento aziendale sull’utilizzo dei telefoni concessi in dotazione dalla società, al fine di rendere edotto il personale assegnatario dei limiti, delle condizioni d’uso e dei relativi controlli per esigenze organizzative e produttive a tutela del patrimonio aziendale.
Infine, il Garante ha precisato che, qualora il titolare del trattamento intendesse utilizzare i dati personali risultanti dai controlli sulle SIM al fine di addebitare specifici costi ai dipendenti in relazione al traffico telefonico fruito, “[…] i numeri di telefono riguardanti tali chiamate non dovranno essere raccolti e che dovrà essere assicurato agli interessati un separato sistema di addebito e tariffazione – e che – il file sul quale, a cura dell’incaricato della società, sono memorizzati i dati estratti dal portale del fornitore del servizio di comunicazione elettronica deve essere protetto mediante opportune tecniche di cifratura, che si andranno ad aggiungere alle misure di protezione già implementate per i tutti i trattamenti della società stessa”. Infine, i dati di fatturazione utilizzati al fine di effettuare “…l’analisi dell’andamento complessivo dei consumi in modo da valutare sistematicamente l’adeguatezza nel tempo del contratto con il provider, e quindi eventualmente modificarlo, con l’obiettivo di ridurre i costi aziendali e ottimizzare la qualità del servizio…” devono essere anonimizzati, mediante l’utilizzo di tecniche di anonimizzazione che non consentano la re-identificazione dell’interessato”.
Il provvedimento del Garante è integralmente consultabile e scaricabile cliccando qui.
(Garante per la protezione dei dati personali - Provvedimento 11 gennaio 2018, n. 3)