smartphone

Il Caso

Una società multinazionale ha presentato una richiesta di verifica preliminare al Garante per la protezione dei dati personali, con riferimento al trattamento di dati personali dei propri dipendenti in possesso di telefono aziendale, avente ad oggetto l’analisi dell’andamento dei consumi telefonici, posta in essere con l’obiettivo di valutare l’adeguatezza del contratto con il fornitore del servizio, rilevare eventuali situazioni anomale di consumi e ottimizzare la qualità del servizio.

Il controllo in relazione al quale la società ha interpellato il Garante sarebbe stato effettuato sui dati forniti dall’operatore telefonico per ciascuna bolletta bimestrale, ed avrebbe avuto ad oggetto le numerazioni delle utenze in uscita e, nel caso delle telefonate in roaming, anche delle chiamate in entrata, oltre che la durata e l’orario delle comunicazioni.

Liceità del trattamento e bilanciamento di interessi

In considerazione di tali circostanze, il Garante ha chiarito che un controllo siffatto soggiace alla disciplina in materia di protezione dei dati personali di cui al Codice Privacy, integrando una ipotesi di “trattamento di dati” ai sensi di tale normativa, in quanto ha ad oggetto informazioni relative al traffico telefonico dei dipendenti, effettuato mediante l’uso di sim aziendali (art. 4, comma 1, lett. b).

Da tale premessa consegue la necessità di vagliare la sussistenza dei requisiti previsti dal Codice Privacy ai fini della legittimità di un trattamento di dati personali.

In tal senso, il Garante ha verificato, dapprima, che gli scopi perseguiti con il trattamento oggetto di verifica rispondessero al principio di liceità del trattamento (art. 11, comma 1, lett. a) e b), ritenendo soddisfatto tale requisito nel caso di specie.

In particolare, il Garante ha precisato che gli scopi perseguiti dalla società risultano in termini generali leciti, considerata la loro rispondenza alle legittime esigenze organizzative e di tutela del patrimonio aziendale.

In proposito si è osservato altresì che il trattamento in questione sia conforme alla disciplina sul c.d. “bilanciamento di interessi”di cui all’art. 24, comma 1, lett. g del Codice, in forza del quale un trattamento può essere effettuato anche senza il consenso dell’interessato laddove, in specifici casi individuati dal Garante, esso sia necessario per il perseguimento di interesse del titolare ovvero di un terzo destinatario dei dati.

Principi di necessità, pertinenza e non eccedenza del trattamento. Tipologia dei dati da trattare e tempi di conservazione.

L’Autorità ha, tuttavia, rilevato talune criticità con riferimento ai principi di necessità, proporzionalità, pertinenza e non eccedenza del trattamento ( art. 3 e 11, comma 1, lett. d) del Codice), evidenziando che potranno essere trattati esclusivamente quei dati che incidano effettivamente sui costi sopportati dalla società (ipotesi che, dunque, non ricorre per le chiamate in entrata in roaming che non comportino specifici addebiti, né per i dati del traffico telefonico di sim con tariffe c.d. “flat”).

In base al principio di non eccedenza del trattamento, in forza del quale è possibile conservare i dati personali trattati “per un periodo di tempo non superiore a quello necessario agli scopi per i quali gli stessi sono stati raccolti e trattati” (art. 11, comma 1, lett. e) del Codice), il Garante ha inoltre circoscritto i tempi di legittima conservazione dei dati entro un limite di sei mesi e non di un anno, come aveva invece richiesto di poter fare il datore di lavoro.

Tutela dei diritti degli interessati. Divieto di utilizzare i dati trattati per fini disciplinari.

In presenza di “consumi anomali”, rilevati per effetto del trattamento in esame, l’Autorità ha stabilito che la società provvederà a evidenziare al dipendente l’esigenza di contenere i costi aziendali, senza che i dati possano essere trattati a fini disciplinari.

In ogni caso, si è affermata la necessità di stipulare uno specifico accordo sindacale nel rispetto della disciplina di settore, poiché il trattamento in questione è comunque idoneo a realizzare un potenziale e indiretto controllo a distanza sull’attività dei dipendenti.

L’azienda che effettua il trattamento dovrà inoltre fornire ai dipendenti coinvolti un’adeguata informativa comprensiva di tutti gli elementi stabiliti dal Codice Privacy (tipologia dei dati trattati, finalità e modalità del trattamento, tempi di conservazione dei dati trattati), anche in ossequio al principio di correttezza, in forza del quale il titolare del trattamento è tenuto a rendere chiaramente riconoscibili agli interessati i trattamenti che intende effettuare, così come le relative modalità (artt. 11, comma 1, lett. a) e 13 del Codice).

Misure di sicurezza e garanzie per gli interessati

Quanto alle misure di sicurezza a tutela dei dati trattati, è stato disposto l’utilizzo di opportune tecniche di cifratura per i file in cui saranno memorizzati i dati relativi al traffico telefonico dei dipendenti e che, nell’ambito delle successive elaborazioni, tali dati dovranno essere anonimizzati mediante l’utilizzo di tecniche che non consentano l’identificazione dell’interessato.

Sui numeri delle chiamate in uscita e, nei casi consentiti, di quelle in entrata, sarà altresì effettuato il mascheramento delle ultime quattro cifre.

E’ stato infine prescritto che il titolare adotti una specifica policy interna per regolamentare le condizioni di utilizzo delle sim in dotazione ai dipendenti e i trattamenti che si intendono effettuare.

In tal senso, il Garante ha precisato che, ove la società intenda addebitare ai dipendenti i costi del traffico fruito per esigenze personali, dovrà essere assicurato agli interessati un sistema di tariffazione ed addebito separato e i numeri di telefono riguardanti il traffico personale non dovranno essere raccolti.

Avv. Giulia Caruso

Ultimi aggiornamenti

spid cns azienda
La pandemia da Covid-19 è stata un fattore propulsivo di un processo che era già in progressivo e rapido avanzamento: l’avanzamento digitale dei servizi delle Pubbliche Amministrazioni è infatti un obiettivo a lungo perseguito dal legislatore, europeo ed italiano. L’auspicio è quello, fra tutti, di snellire […]
cookie policy generator iubenda privacy
Navigando in rete, è diventata sempre più alta la probabilità di imbattersi in siti web del tutto diversi fra loro – sia perché i gestori dei siti sono diversi, sia perché diversi sono i contenuti all’interno della pagina stessa – ma che hanno una Privacy & […]
e-commerce sanzioni direttiva omnibus
Il già ampio novero di strumenti legislativi previsti a tutela dei diritti dei consumatori (ed imposti agli eCommerce) è stato recentemente arricchito dall’entrata in vigore della Direttiva Omnibus (direttiva (UE) 2019/2161 che modifica la direttiva 93/13/CEE del Consiglio e le direttive 98/6/CE, 2005/29/CE e 2011/83/UE del […]

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.