Si segnala il recente provvedimento del Garante per la protezione dei dati personali n. 3 dell’11 gennaio 2018, con il quale è stato ritenuto legittimo il trattamento dei dati personali effettuato da un’azienda mediante un sistema di raccolta ed elaborazione di alcuni dati relativi al traffico telefonico riconducibile al lavoratore assegnatario di una o più sim aziendali. Trattamento, il quale veniva effettuato dall’azienda secondo una finalità di controllo delle fatture del provider del servizio telefonico, nonché di analisi dell’andamento complessivo dei consumi, rivolto a poter valutare nel tempo l’adeguatezza del contratto con il provider con l’obiettivo di ridurre i costi aziendali, ottimizzare la qualità del servizio e rilevare eventuali situazioni anomale dei consumi.

Il trattamento effettuato dalla società richiedente, con le cautele ivi indicate (quali, ex pluribus, adozione di un sistema di raccolta dati gestito da una società terza, oscuramento delle ultime quattro cifre dei numeri di telefono), è stato ritenuto legittimo con le seguenti precisazioni:

a) già prima dei descritti trattamenti, l’azienda deve fornire ai dipendenti coinvolti un’informativa comprensiva di tutti gli elementi contenuti nell’art. 13 del Codice (tipologia di dati, finalità e modalità del trattamento, compresi i tempi di conservazione), anche in conformità al principio per il quale il titolare è tenuto a rendere chiaramente riconoscibili agli interessati i trattamenti che intende effettuare e le relative modalità (art. 11 comma 1 lett. a) e 13 del Codice);

b) la società deve adottare le misure di sicurezza previste dagli artt. 31 ss. del Codice, al fine di preservare l’integrità dei dati trattati e prevenire l’accesso agli stessi da parte di terzi non autorizzati;

c) la società deve designare la società terza indicata responsabile del trattamento, ai sensi dell’art. 29 del Codice, la quale dovrà provvedere a fornire opportune istruzioni affinché i dati dei dipendenti siano trattati e conservati separatamente in relazione a ciascuna società dalla quale dipendono, cui saranno comunicati i risultati dell’analisi dei consumi con riferimento al solo proprio personale di appartenenza;

d) la società deve predisporre misure idonee al fine di garantire agli interessati l’esercizio dei diritti di cui all’art. 7 ss. del Codice.

Oltre a quanto sopra brevemente indicato, il Garante ha altresì prescritto alla società richiedente l’adozione di alcune misure necessarie, quali:

a) trattare i dati –anche con riferimento alle chiamate in entrata in roaming- solo se in base alle condizioni contrattuali applicabili tale tipo di chiamata comporti specifici costi per la società;

b) commisurare i tempi di conservazione dei dati trattati entro un limite temporale non superiore a sei mesi;

c) adottare un disciplinare interno per regolare sia le condizioni di utilizzo delle sim, sia gli altri profili relativi ai trattamenti che si intendono effettuare;

d) adottare le tecniche di cifratura e di anonimizzazione indicate.