Il datore di lavoro che intende trattare i dati dei dipendenti cui è stato assegnato un telefono aziendale è tenuto ad adottare un regolamento ad hoc. Questo l’orientamento del Garante della Privacy espresso con il provvedimento n. 3 dell’11 gennaio 2018.
L’opinione dell’authority arriva all’esito di una richiesta di verifica preliminare avanzata da una multinazionale, riguardante il trattamento dei dati personali dei propri dipendenti cui sia stato assegnato un telefono aziendale.
Il Garante sottolinea innanzitutto la liceità delle ragioni sottese al trattamento dei dati, consistenti nella riduzione dei costi aziendali, come tali, si legge nel provvedimento, “riconducibili alle legittime esigenze organizzative e di tutela del patrimonio aziendale”. Il controllo, stando a quanto dichiarato dall’azienda, sarebbe diretto da un lato ad analizzare l’andamento complessivo dei consumi in modo da valutare l’adeguatezza del contratto con l’operatore telefonico e, dall’altro, rilevare eventuali situazioni anomale dei consumi da parte di alcuni dipendenti. Sotto il primo profilo, il Garante prescrive all’azienda che per le finalità specifiche della raccolta (determinare l’economicità delle condizioni del provider) i dati “devono essere anonimizzati, mediante l’utilizzo di tecniche di anonimizzazione che non consentano la re-identificazione dell’interessato”.
Potranno formare oggetto del trattamento solo i dati “necessari, pertinenti e non eccedenti”. Sotto questo aspetto avranno rilevanza solo gli elementi con un effettivo impatto sui costi dell’azienda, da intendersi come oneri non preventivabili (ciò esclude il trattamento dei dati riguardanti le tariffe c.d. flat). Inoltre, come dichiarato dall’azienda, i numeri telefonici chiamati saranno oscurati con le ultime tre cifre coperte da asterischi.
Infine il Garante, nel prendere atto che, come previsto dall’accordo sindacale siglato dall’azienda, in presenza di “consumi anomali” non vi sono conseguenze disciplinari bensì una semplice informativa al manager del dipendente affinché lo inviti a contenere i costi, afferma che “tenuto conto che la società intende raccogliere ed elaborare i dati di traffico dei dipendenti si ritiene necessario adottare un disciplinare interno per regolare sia le condizioni di utilizzo delle sim, sia gli altri profili relativi ai trattamenti che si intendono effettuare, da pubblicizzare adeguatamente e da sottoporre ad aggiornamento periodico”.
