Il Garante per la privacy ha autorizzato una multinazionale ad avvalersi di un sistema per il controllo dei consumi telefonici aziendali allo scopo di ridurre i costi e valutare l’adeguatezza del contratto sottoscritto con il fornitore dei servizi telefonici.
Le società del gruppo, che potranno trattare alcune informazioni desunte dalla fatturazione bimestrale relative alle chiamate in uscita dei dipendenti assegnatari di una o più sim aziendali, dovranno utilizzare le informazioni sul traffico telefonico solo se necessarie, pertinenti e non eccedenti e se, in base alle condizioni contrattuali applicabili dal provider, possano comportare dei costi (ipotesi esclusa per le chiamate in entrata in roaming senza specifici addebiti e in caso di tariffe flat). Sui numeri delle chiamate in uscita e di quelle in entrata (nei casi consentiti), sarà operato il mascheramento delle ultime quattro cifre.
L’azienda chiamata ad effettuare l’elaborazione di dati sarà designata responsabile del trattamento e chiamata a restituire i risultati dell’analisi dei consumi (svolta per ciascuna società del gruppo per il solo personale di propria appartenenza).
In caso di “consumi anomali”, la società provvederà a rilevarne le cause e, se necessario, a comunicare al proprio interno l’esigenza di contenere i costi.
L’utilizzo di strumenti in grado di operare un controllo indiretto comporta l’applicazione dall’art. 4 dello Statuto dei lavoratori, con obbligo di stipulare specifico accordo sindacale nel rispetto della disciplina di settore e l’impossibilità di utilizzare i dati raccolti a fini disciplinari.
La multinazionale, infine, dovrà:
- conservare i dati per soli 6 mesi (e non 1 anno come richiesto);
- informare adeguatamente i dipendenti;
- adottare un disciplinare interno per regolamentare le condizioni di uso delle sim in dotazione ai dipendenti;
- disporre che il file sul quale sono memorizzati i dati estratti dal portale del fornitore del servizio di comunicazione elettronica sia protetto con tecniche di cifratura e che le successive elaborazioni dei dati comportino la loro anonimizzazione con tecniche che non consentano la re-identificazione dell’interessato.
Provvedimento del Garante privacy n. 3 dell’11.1.2018
