E’ lecito controllare i consumi telefonici dei dipendenti con telefono aziendale, ma sempre nel rispetto della privacy
Il Garante dei dati personali, con il provvedimento n. 7554790 dell’11 gennaio, si è pronunciato in merito all’utilizzo di un sistema di rilevamento dei consumi telefonici effettuati da dipendenti cui è stato assegnato un telefono aziendale. La finalità del trattamento del sistema sarebbe quella di ridurre i consumi aziendali mediante verifiche sulla fatturazione e analisi dell’andamento dei consumi telefonici, nella prospettiva di valutare l’adeguatezza del contratto con il fornitore dei servizi, nonché rilevare eventuali anomalie nei consumi.
La multinazionale, che intende impiegare tale sistema, ha presentato una richiesta di verifica preliminare (la cui obbligatorietà resta sino all’applicazione del Regolamento n. 679 - GDPR), al Garante, chiedendo se un trattamento di questo tipo possa essere svolto legittimamente. Il trattamento sarebbe effettuato mediante l’adozione di un sistema che consentirebbe di raccogliere ed elaborare i dati personali dei dipendenti ad opera di una società terza, specializzata nel settore, nominata responsabile del trattamento da parte della multinazionale istante. Il sistema raccoglierebbe le numerazioni delle utenze chiamate e chiamanti, rese anonime attraverso opportune misure di mascheramento delle ultime quattro cifre dei numeri - quindi il fornitore del servizio riceverebbe i numeri già anonimizzati - la durata delle comunicazioni, il tipo di servizio utilizzato, i paesi di provenienza o di destinazione della chiamata e l’orario di inizio della chiamata.
I dipendenti che utilizzano i telefoni aziendali saranno informati attraverso un’opportuna informativa, i dati verranno conservati solo per 12 mesi, successivamente distrutti, i dipendenti potranno avere accesso ai propri dati dal portale del fornitore mediante credenziali di autenticazione e riceverne copia in excel, i dati potranno essere trattati solo da personale interno incaricato, dotato di credenziali di accesso personalizzate, la multinazionale ha adottato misure di sicurezza conformi a quanto richiesto dall’Allegato B e sarebbe in corso la stipulazione degli opportuni accordi sindacali.
Il Garante, effettuando un bilanciamento di interessi, ha ritenuto che il trattamento, così come descritto e grazie alle misure adottate, rispetti i principi di necessità e proporzionalità, pertanto ne ha dichiarato la liceità e, riconducendo le operazioni svolte alle legittime esigenze organizzative e di tutela del patrimonio aziendale, ha ritenuto sussistere un legittimo interesse del titolare del trattamento, in relazione ai dati trattati e alle finalità rappresentate.
Ad ogni modo, l’Autorità ha imposto alla società di limitare il trattamento esclusivamente a quei dati che costituiscono delle specifiche voci di spesa all’interno della fattura, che comportano un impatto sui costi effettivamente sostenuti dalla società, alla luce della tipologia di tariffazione prescelta, in quanto solo tali dati risultano essere compatibili con la finalità del trattamento; inoltre, ha imposto un periodo di conservazione dei dati inferiore rispetto all’annualità prevista dalla società istante, in quanto ha ritenuto che il periodo di conservazione di dodici mesi non risulti conforme al principio in base al quale i dati devono essere conservati per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti e successivamente trattati, né ai principi di pertinenza e non eccedenza, dunque, anche sulla base della disciplina sulla conservazione dei dati relativi al traffico telefonico, ha imposto un periodo di conservazione non superiore a sei mesi, ritenendo tale periodo compatibile con il tempo necessario ad effettuare il controllo sulle fatture. Il Garante ha poi richiamato la società a predisporre una policy interna sulle regole di utilizzo delle sim, che dovrà essere aggiornata periodicamente e resa nota ai dipendenti.
Ad ogni modo, ha chiarito che in nessun caso i dati rilevati potranno essere impiegati per finalità disciplinari, al più solo il manager potrà richiamare il dipendente al contenimento dei consumi.