SIM AZIENDALI, SI AL CONTROLLO DEI CONSUMI MA NEL RISPETTO DELLA PRIVACY
Una società multinazionale ha presentato al Garante per la protezione dei dati personali una richiesta di verifica preliminare circa il trattamento di dati personali concernenti la analisi dell'andamento dei consumi telefonici dei propri dipendenti in possesso di telefono aziendale, allo scopo di valutare l'adeguatezza e l'ottimizzazione, sotto il profilo della qualità e dei costi, del contratto con il fornitore del servizio. Il controllo sarebbe stato effettuato, per ogni bolletta inviata bimestralmente, sul numero chiamato o chiamante, le relative numerazioni (oscurate nelle ultime cifre), la durata della telefonata ecc.
Il Garante, con Provvedimento n. 3 dell'11 gennaio 2018, ha ammesso l'istante al trattamento dei suddetti dati personali purché nel rispetto delle cautele che di seguito si evidenziano:
a) in primo luogo possono essere ammessi al trattamento solo quei dati costituenti delle specifiche voci di spesa a carico della società (come evidenziate in fattura), in funzione della tipologia di tariffazione prescelta. Non rientrano in tali costi, ad esempio, le tariffe c.d. flat o i dati relativi al numero telefonico "chiamante", nonché al giorno, ora ed inizio delle telefonata per le chiamate in roaming (ossia provenienti da reti differenti da quelle dell'operatore), sempre che non rappresentino specifiche voci di spesa;
b) i dati devono essere conservati per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti e successivamente trattati, ossia 6 mesi;
c) è necessario che la società istante adotti una specifica policy aziendale sulle condizioni ed i limiti di utilizzo delle sim telefoniche fornite dall'azienda ai suoi dipendenti. Infatti, rileva il Garante, a fronte della rilevata presenza di consumi anomali, la società si limita ad informare il superiore del dipendente affinché questi provveda ad invitarlo a limitare i costi, esclusa la adozione di misure disciplinari. Tuttavia la raccolta e la elaborazione dei dati del traffico telefonico dei dipendenti dotati di sim aziendale suggerisce la necessità che le relative condizioni di utilizzo siano adottate in un disciplinare interno ed adeguatamente pubblicizzate. Ove la società volesse invece addebitare specifici costi ai dipendenti a fronte di traffico telefonico fruito per esigenze non aziendali, in ogni caso i numeri di telefono riguardanti tali chiamate non dovranno essere raccolti e dovrà essere assicurato agli interessati un separato sistema di addebito e tariffazione;
d) è necessario che i supporti di memorizzazione/file contenenti i i dati estratti dal portale del fornitore del servizio siano protetti mediante tecniche di cifratura aggiuntive rispetto alle ordinarie misure di protezione già adottate;
e) infine anche i dati di fatturazione utilizzati per effettuare le analisi dei dati dovranno essere opportunamente anonimizzati, in modo da non consentire la re-identificazione dell'interessato.