Privacy ed efficienza non sono incompatibili

Lavoro e mobilità. Smart working e strumenti aziendali. L’incontro tra vantaggi e necessità di verifica da parte delle imprese, è sempre terreno di delicato confronto, soprattutto in termini di privacy

Il Garante per la protezione dei dati personali ha avuto occasione di sottolineare come interessi aziendali e tutela della riservatezza dei lavoratori non siano incompatibili, fatte salve regole precise. Il caso riguarda una nota multinazionale, la quale si è rivolta al Garante per una verifica preliminare riguardo al trattamento di dati personali dei dipendenti dotati di telefono aziendale per tenere sotto controllo le fatture di telefonia e analizzare i consumi aziendali nel loro complesso. L’azienda sottolinea che non sono previste finalità ulteriori né finalità disciplinari. L’elaborazione dei dati sarà compito di una società inglese specializzata. A fornire i dati, per gli scopi citati, sarà il provider che, per ogni bolletta bimestrale, invierà “il numero chiamato o chiamante, il giorno, l’ora dell’inizio della telefonata e la durata della stessa”.

[amazon_link asins=’B079V3BFSX,B079WYBGJ2,8890341912′ template=’ProductCarousel’ store=’dmo0e-21′ marketplace=’IT’ link_id=’fa8bddd7-22c2-11e8-a67e-5163bed9a305′]

QUALI MISURE DI TUTELA PER I DIPENDENTI INTERESSATI?

I numeri dei chiamati verranno inviati all’azienda oscurati nelle ultime 3 cifre, mentre i numeri chiamanti saranno riportati solo in presenza di telefonate in roaming; in generale, i consumi sono rilevati per ciascun dipendente. L’azienda ha provveduto a comunicare al fornitore del servizio nominativo e indirizzo e-mail aziendale dei dipendenti reali utilizzatori dei dispositivi nei quali sono inserite le schede SIM agli stessi assegnate. L’azienda provvederà a rendere dovuta informativa ai dipendenti interessati “in occasione della prima attivazione del servizio”. Ogni bimestre, il provider consentirà all’incaricato dell’azienda di scaricare i dati di dettaglio, registrarli su file Excel in una cartella riservata e, una volta criptato il file, inviarli alla società inglese. La chiave di criptazione viene spedita in un messaggio separato. A questo punto avverrà l’analisi vera e propria e la restituzione dei risultati in relazione alle utenze assegnate ai dipendenti. La società inglese incaricata di tale compito provvederà a distruggere i dati di dettaglio dopo 12 mesi dalla ricezione. Eventuali “consumi anomali” su un singolo dipendente verranno segnalati al manager al solo scopo di contenere i costi.

IL PARERE DEL GARANTE PER LA PRIVACY

I punti critici di un simile procedimento possono riguardare: il realizzarsi del controllo a distanza del lavoratore, un non corretto bilanciamento di interessi rispetto a necessità e proporzionalità dei trattamenti effettuati, l’inadeguatezza delle misure a tutela adottate. Tutti aspetti, si badi bene, che il GDPR europeo già pone al centro dell’attenzione in questo come in altri casi.

Leggi anche:  ReeVo rende il proprio cloud ancora più sicuro con NetApp

Sul primo punto, l’azienda di cui stiamo parlando si è premurata di realizzare un accordo sindacale specifico. Secondo il Garante, il trattamento che l’azienda intende effettuare risulta in generale lecito. Tuttavia, in termini di necessità e proporzionalità, alcuni dati risulterebbero raccolti in eccedenza rispetto alle finalità in quanto non comportano un impatto sui costi effettivamente sopportati (per esempio, se esistono tariffazioni cosiddette “flat”). Anche nel caso delle chiamate in entrata in roaming, non sono necessari – salvo differenze impattanti sulla fatturazione – numero telefonico “chiamante”, dettagli della chiamata in entrata e il paese di provenienza.

Sulla durata della conservazione dei dati raccolti, il Garante ha ridotto a 6 mesi il tempo considerato congruo, allineandolo a quello concesso ai provider di telefonia. Inoltre, viene richiesta l’adozione di un disciplinare interno che regoli le condizioni di utilizzo delle SIM, aggiornato periodicamente e adeguatamente promosso presso i dipendenti. Infine, l’autorità prescrive, qualora il trattamento inizi, che l’azienda adotti tecniche di cifratura e di anonimizzazione che non consentano la re-identificazione dell’interessato.


Yuri Monti consultant Colin & Partners – www.consulentelegaleinformatico.it

[spacer color=”8BC234″ icon=”fa-info” style=”1″]

Data Manager mette a disposizione un White Paper a download gratuito sul GDPR.

Un documento completo per affrontare in maniera esaustiva tutto ciò che c’è da sapere per essere in regola

Clicca qui per scaricarlo gratuitamente

[spacer color=”8BC234″ icon=”fa-info” style=”1″]