Specificate dal Garante per la Privacy, con provvedimento n. 3 del 2018, le modalità per un corretto trattamento dei dati dei dipendenti con telefono aziendale.
Trattamento dati dei dipendenti con sim aziendale – Provvedimento n. 3/2018 Garante Privacy –
Con l’allegato provvedimento n. 3 dell’11 gennaio scorso, il Garante per la privacy ha risposto all’istanza presentata dalla Società Johnson&Johnson Medical Spa (e sue associate), in merito alla verifica preliminare per il trattamento dei dati personali dei propri dipendenti cui è stato assegnato un telefono aziendale.
In particolare, l’istante ha rilevato la necessità di procedere al controllo delle fatture del provider del servizio telefonico e all’analisi dell’andamento complessivo dei consumi, al fine di valutare l’adeguatezza del contratto, ridurre i costi aziendali e rilevare eventuali situazioni anomale nei consumi.
Il trattamento di tali dati[1] sarebbe effettuato da una Società (Tangoe Europe Limited), con sede a Londra, specializzata nella raccolta e nelle elaborazioni dei dati personali dei dipendenti, nominata responsabile del trattamento ai sensi dell’art. 29 del Codice.
L’Autorità, nel rilevare la liceità, in termini generali e alla luce della documentazione fornita dalla Società, del trattamento dei dati personali dei dipendenti mediante il sistema di analisi dei consumi del servizio telefonico, ha chiarito quanto segue.
L’istante e le due Società collegate, ciascuna per i propri dipendenti, dovranno, nell’esecuzione del trattamento dei dati, adottare le seguenti misure:
a) trattare i dati, anche riferiti alle chiamate in roaming, solo se, secondo le condizioni contrattuali, tali chiamate comportano costi specifici per la Società. Potranno pertanto essere oggetto di trattamento solo i dati necessari, pertinenti e non eccedenti;
b) trattare e conservare i dati relativi al traffico telefonico, da parte del fornitore del servizio, per un periodo non superiore a sei mesi;
c) adottare un disciplinare interno per regolare le condizioni di utilizzo delle sim e gli altri profili relativi al trattamento che si vogliono effettuare, da pubblicizzare e aggiornare periodicamente;
d) adottare le tecniche di cifrazione e anonimizzazione necessarie. L’incaricato della Società dovrà, pertanto, proteggere, con apposite tecniche di cifratura, il file sul quale vengono memorizzati i dati.
Resta fermo, pertanto, che la Società dovrà rispettare quanto previsto dalla normativa vigente in materia di privacy: fornire ai dipendenti l’informativa, adottare le misure di sicurezza previste, designare la Società Tangoe Europe Limited responsabile del trattamento, predisporre le misure idonee a garantire agli interessati l’esercizio dei diritti di cui all’art. 7 e segg. del Codice.
Per quanto non riportato nella presente, si rimanda al provvedimento allegato.
[1] I dati oggetto del trattamento, forniti dal provider, sono: numero chiamato o chiamante (con mascheramento ultime 4 cifre), giorno, ora inizio e durata della chiamata, paese di provenienza o destinazione della chiamata.
31412-Garante privacy- provvedimento n.3-2018 .pdfApri
