02 Maggio 2018

Trattamento dati personali dei dipendenti: raccolta e analisi delle informazioni contenute nel telefono aziendale

NICOLA CIANGHEROTTI

Immagine dell'articolo: <span>Trattamento dati personali dei dipendenti: raccolta e analisi delle informazioni contenute nel telefono aziendale</span>

Abstract

Con il recente provvedimento del giorno 11 gennaio 2018 il Garante Privacy, esaminando la richiesta di verifica preliminare presentata da un nota multinazionale farmaceutica ai sensi dell’art 17 del Codice, in proprio e per conto delle altre società del Gruppo presenti in Italia, ha avuto modo di dare specifiche indicazioni sulle modalità del trattamento dei dati personali dei dipendenti acquisiti mediante controllo del telefono aziendale a loro assegnato, anche alla luce delle nuove misure di sicurezza introdotte dal Reg. UE n. 679/2016 all’art. 32.

***

Secondo il sistema descritto dalla società, il trattamento sarebbe finalizzato a svolgere un’analisi dell'andamento complessivo dei consumi in modo da valutare nel tempo l'adeguatezza del contratto di fornitura, con l'obiettivo di ridurre i costi aziendali e ottimizzare la qualità del servizio nonchè di rilevare eventuali situazioni anomale nei consumi.

Tali informazioni verrebbero elaborate attraverso l’intervento esterno di una società inglese specializzata nel settore e che il titolare del trattamento si impegna a designare quale responsabile ai sensi dell'articolo 29 del Codice (art. 28 Reg. UE).

I dati raccolti (quali numero chiamato o chiamante, giorno, ora inizio telefonata e durata) verrebbero quindi resi disponibili dal provider sul proprio portale e registrati su foglio Excel memorizzato su una cartella riservata del sistema informativo.

Nell’esaminare la richiesta il Garante ha rilevato che:

  1. il trattamento riguarda certamente dati personali dei dipendenti trattandosi di informazioni relative al traffico telefonico dagli stessi fruito mediante l'uso di una o più sim aziendali in dotazione (artt. 4, commi 1, lett. b) del Codice);
  2. gli scopi perseguiti dalla società risultano in termini generali leciti considerata la loro riconducibilità alle legittime esigenze organizzative e di tutela del patrimonio aziendale anche alla luce della normativa in materia di controlli a distanza dei dipendenti (a tal proposito la società datrice di lavoro avrebbe stipulato uno specifico accordo con le rappresentanze sindacali nel rispetto della disciplina di settore, fornendo peraltro assicurazioni in merito al non utilizzo delle informazioni "per finalità ulteriori né per finalità disciplinari" (v. artt. 11, comma 1, lett. a) e 114 del Codice e art. 4, comma 1, l. 20 maggio 1970, n. 300, come modificato dall'art. 23 del d. lg. n. 151/2015);
  3. il trattamento descritto dalla società può essere effettuato in applicazione della disciplina sul c.d. "bilanciamento di interessi" (ai sensi dell'articolo 24, comma 1, lett. g) del Codice), che individua un legittimo interesse del titolare al trattamento di tale tipologia di dati in relazione alle finalità rappresentate.

Il Garante sottolinea, inoltre, che la società, prima dell'inizio dei descritti trattamenti, è tenuta a:

  1. fornire ai dipendenti della società coinvolti dai descritti trattamenti un'informativa comprensiva di tutti gli elementi contenuti nell'articolo 13 del Codice (da integrarsi con quelli previsti dal corrispondente art. 13 del Reg. UE);
  2. adottare le misure di sicurezza previste dagli articoli 31 ss. del Codice (nonché quelle ritenute più adeguate ai sensi dell’art. 32 del Reg. UE) al fine di preservare l'integrità dei dati trattati e prevenire l'accesso agli stessi da parte di soggetti non autorizzati (in tal senso la società ha dichiarato che intende attuare, in particolare, l'anonimizzazione dei numeri del chiamante e del chiamato, mediante mascheramento delle ultime quattro cifre);
  3. designare la società provider inglese responsabile del trattamento ai sensi dell'articolo 29 del Codice (art 28 del Reg. UE) a cura di ogni singolo titolare del trattamento che dovrà provvedere a fornire opportune istruzioni affinché i dati dei dipendenti siano trattati e conservati separatamente in relazione a ciascuna società dalla quale dipendono; alle singole società dovranno essere resi i risultati dell'analisi dei consumi con riferimento al solo personale di propria appartenenza;
  4. predisporre misure al fine di garantire agli interessati l'esercizio dei diritti previsti dagli articoli 7 e seguenti del Codice (art. 15 del Reg. UE);

In conclusione, il Garante ha prescritto che la società predisponga misure necessarie ed aggiuntive rispetto a quelle già individuate ed in particolare:

  1. l’adozione di un disciplinare interno per regolare sia le condizioni di utilizzo delle sim, sia gli altri profili relativi ai trattamenti che si intendono effettuare, da pubblicizzare adeguatamente e da sottoporre ad aggiornamento periodico;
  2. l’adozione di opportune tecniche di cifratura del file sul quale sono memorizzati i dati estratti dal portale, che si andranno ad aggiungere alle misure di protezione già implementate per i tutti i trattamenti della società stessa;
  3. l’anonimizzazione dei dati mediante l'utilizzo di tecniche che non consentano la re-identificazione dell'interessato.

Il Garante ha inteso pertanto allinearsi con la previsione di quelle misure tecniche ed organizzative adeguate quali la “pseudonimizzazione” e la “cifratura” dei dati personali previste dall’art.32 comma 1 lettera a) del nuovo Reg. UE, intese a garantire che i dati personali raccolti - e successivamente conservati - non siano più riconducibili all’interessato.

Altri Talks