Il Garante per la privacy è intervenuto con provvedimento ad hoccon il quale ha fornito le regole per il controllo, da parte delle aziende, dei consumi telefonici dei propri dipendenti dotati di telefono cellulare, uno dei benefit più diffusi nell’ambito del rapporto di lavoro.

Nello specifico, si riconoscono due princìpi di fondo che possano determinare l’attività di monitoraggio delle SIMin concessione ai dipendenti, da parte del datore di lavoro:

–      l’esigenze di gestire l’organizzazione aziendale e la tutela del patrimonio aziendale;

–      la presenza di un accordo sottoscritto con le rappresentanze sindacali, in ragione del potenziale controllo a distanza indiretto sull’attività dei dipendenti che da tale controllo può derivare.

In presenza dei suddetti presupposti, le aziende sono autorizzate ad effettuare controlli sui consumi telefonici aziendali se, però, sono previste precise misure a tutela della riservatezza dei lavoratori e solo se le informazioni risultano necessarie, pertinenti e non eccedenti.

Potranno, dunque, essere monitorati solo quei dati (anche con riferimento alle chiamate in entrata in roaming) che costituiscano delle specifiche voci di spesa all’interno della fattura, comportando un impatto sui costi effettivamente sostenuti dalla società, alla luce della tipologia di tariffazione prescelta (tale circostanza ad esempio non ricorre in caso di tariffe c.d. flat).

Nel merito, il Garante ha indicato le seguenti misure volte a tutelare i diritti degli interessati e limitare il controllo a distanza del datore di lavoro:

1. predisposizione di un disciplinare interno per regolamentare le condizioni di utilizzo delle SIM,nonché qualsiasi altra misura che disciplini l’uso del telefono da pubblicizzare adeguatamente e da sottoporre ad aggiornamento periodico. Ove la società intenda addebitare specifici costi ai dipendenti in relazione al traffico telefonico fruito per esigenze personali, in ogni caso i numeri di telefono riguardanti tali chiamate non dovranno essere raccolti e dovrà essere assicurato agli interessati un separato sistema di addebito e tariffazione;
2. il file sul quale, a cura dell’incaricato della società, sono memorizzati i dati estratti dal portale del fornitore del servizio di comunicazione elettronica deve essere protetto mediante opportune tecniche di cifratura, che si andranno ad aggiungere alle misure di protezione già implementate per i tutti i trattamenti della società stessa;
3. i dati di fatturazione utilizzati al fine di effettuare “…l’analisi dell’andamento complessivo dei consumi in modo da valutare sistematicamente l’adeguatezza nel tempo del contratto con il provider, e quindi eventualmente modificarlo, con l’obiettivo di ridurre i costi aziendali e ottimizzare la qualità del servizio…” devono essere anonimizzati, mediante l’utilizzo di tecniche di anonimizzazione che non consentano la re-identificazione dell’interessato.

In conformità al principio di correttezza le aziende dovranno comunque fornire, ai dipendenti coinvolti dai controlli in questione, un’informativa comprensiva di tutti gli elementi previsti dal Codice per la privacy, ossia tipologia di dati, finalità e modalità del trattamento, compresi i tempi di conservazione che, nel caso specifico, il Garante ha fissato in un periodo non superiore ai sei mesi.

Come espressamente previsto dalla legge, dovranno essere adottate le misure di sicurezza previste al fine di preservare l’integrità dei dati trattati e prevenire l’accesso agli stessi da parte di soggetti non autorizzati.

Resta inteso, inoltre, che debbano essere predisposte misure al fine di garantire agli interessati l’esercizio dei diritti previsti dal Codice, come ad esempio il diritto alla cancellazione o alla rettifica dei dati, o il diritto alla portabilità come previsto dal nuovo regolamento europeo sulla protezione dei dati, regolamento a cui le aziende dovranno adeguarsi entro il 25 maggio 2018.

Cordiali saluti.

Luigi Birtolo