Con provvedimento dello scorso 11 gennaio 2018, il Garante per la protezione dei dati personali è tornato ad occuparsi del controllo degli strumenti aziendali e del trattamento dei dati personali dei dipendenti da parte del datore di lavoro.

Il Garante è stato, infatti, chiamato ad esprimersi su una richiesta di verifica preliminare presentata da una nota società, avente ad oggetto l’ammissibilità del trattamento dei dati personali dei propri dipendenti operato attraverso un sistema di controllo delle sim aziendali, che sono state loro assegnate.

Nella richiesta la società oltre ad aver precisato le finalità del trattamento (analisi dei consumi e valutazione dell’adeguatezza del contratto concluso con la compagnia telefonica), ha altresì indicato le misure tecniche ed organizzative ritenute adeguate a garantire il rispetto della riservatezza dei dati dei dipendenti.

In particolare la società ha chiarito di aver: i) concluso un apposito accordo con le rappresentanze sindacali, ii) reso l’informativa ai propri dipendenti prima dell’attivazione del servizio, ii) previsto la nomina a responsabile della società che si occuperà della raccolta e dell’elaborazione dei dati, iv) determinato in 12 mesi il periodo di conservazione dei dati e v) previsto l’anonimizzazione dei numeri di telefono in entrata e uscita mediante il mascheramento delle ultime quattro cifre, quale misura di sicurezza.

Esaminato il contenuto della richiesta, il Garante da un lato ha ammesso il trattamento dei dati personali dei dipendenti operato attraverso il controllo delle sim aziendali per le finalità sopra descritte, in quanto queste ultime sono state considerate lecite e riconducibili a legittime esigenze organizzative e di tutela del patrimonio aziendale, e dall’altro ha prescritto alla società l’adozione di ulteriori misure rispetto a quelle già identificate, che sono state ritenute insufficienti a garantire il rispetto degli interessati.

A tale ultimo proposito, il Garante ha, quindi, richiesto alla società che vengano trattati solo i dati relativi alle specifiche voci di spesa previste nella fattura e che questi ultimi siano conservati per un periodo non superiore a 6 mesi, così come previsto dal Codice Privacy per la conservazione dei dati relativi al traffico.

Ma non solo. Ha, altresì, chiesto che venga predisposta una specifica policy per l’utilizzo delle sim aziendali e che sia introdotto un sistema di cifratura per i dati estratti dal portale del fornitore del servizio di comunicazione oltre che di anonimizzazione per i dati relativi alla fatturazione ed utilizzati per l’analisi dei consumi.

Attenzione, quindi, il via libera del Garante al controllo delle sim aziendali non autorizza comunque il datore di lavoro ad operare controlli indiscriminati nei confronti dei propri dipendenti. É, infatti, sempre necessario che il datore di lavoro prima di effettuare un nuovo trattamento verifichi i rischi connessi allo stesso ed adotti tutte quelle misure (tecniche e organizzative) adeguate a garantire oltre il rispetto della normativa privacy (ora Codice Privacy e a far tempo dal prossimo 25.05.2018 Regolamento UE n. 2016/679) anche la tutela dei singoli interessati.

 

Iscriviti alla Newsletter