Può il datore di lavoro, al fine di una riduzione dei costi aziendali, procedere al controllo dei consumi registrati sulla carta SIM offerta in dotazione al lavoratore? A tale interrogativo ha tentato di rispondere il Garante della Privacy che, con provvedimento n. 3 dell’11 gennaio 2018, si è espresso con riferimento ad una richiesta di verifica preliminare ai sensi dell’art. 17 del Codice della Privacy.
In particolare, una società per azioni, rivolgendosi al Garante, intendeva provvedere al trattamento dei dati personali dei propri dipendenti, cui la stessa azienda aveva fornito un telefono aziendale per l’esecuzione della prestazione lavorativa, effettuando controlli a distanza sulla SIM. Le finalità del trattamento, come riportate dalla predetta società e come pattuite in sede di stipulazione di apposito accordo sindacale, riguardavano la valutazione a lungo termine della convenienza o meno del contratto stipulato con l’operatore telefonico, oltre alla tempestiva rilevazione di eventuali anomalie nei consumi. Il datore, per mezzo di tale attività, avrebbe avuto modo di venire a conoscenza, a cadenza bimestrale, del numero di telefonate effettuate e ricevute dal lavoratore, della durata delle comunicazioni, dei numeri chiamati e chiamanti, nonché dei relativi Paesi di provenienza.
Occorre preliminarmente rilevare che dalla lettura dell’art. 11 lettere a) e b) del D.Lgs. n. 196 del 30 giugno 2003 (Codice della Privacy) si evince come il trattamento dei dati debba avvenire “in modo lecito e secondo correttezza” e al fine del raggiungimento di “scopi determinati, espliciti e legittimi”. Il Garante ha, in primo luogo, affermato la liceità degli obiettivi posti alla base del trattamento, così come indicati dalla società, in quanto ritenuti riconducibili alle “legittime esigenze organizzative e di tutela del patrimonio aziendale”. Pur essendo indiscussa la sussistenza di un potenziale controllo a distanza indiretto dell’attività lavorativa, l’avvenuto accordo con le rappresentanze sindacali è parso idoneo a conferirne legittimità. Per mezzo di tale accordo, peraltro, il datore si era impegnato ad assicurare come in alcun modo le risultanze dell’attività di controllo posta in essere avrebbero potuto fondare l’irrogazione di provvedimenti in capo al lavoratore, posta la dichiarata e preventiva esclusione di qualsivoglia utilizzo dei dati raccolti “per finalità disciplinari”. Il dipendente, in particolare, si sarebbe tutt’al più visto recapitare, da parte del manager di riferimento, una segnalazione riguardante, in caso di accertati consumi anomali della propria carta SIM, la generale “esigenza di contenere i costi aziendali”. In ogni caso, il Garante ha avuto modo di indicare particolari misure cui dar seguito a tutela dei diritti dei lavoratori interessati. In particolare, il datore è chiamato a dotarsi di un regolamento interno in cui siano facilmente rinvenibili le “condizioni di utilizzo delle sim” nonché “gli altri profili relativi ai trattamenti che si intendono effettuare”. Ove, poi, la società intendesse in futuro provvedere all’addebito di parte dei costi sostenuti e dei consumi registrati al dipendente, risulterebbe necessaria la configurazione di un separato sistema di addebito e fatturazione.
Per di più, al datore è prescritta l’indispensabile adozione di particolari meccanismi di cifratura per la protezione dei dati ricavati direttamente dal fornitore, “che si andranno ad aggiungere alle misure di protezione già implementate per i tutti i trattamenti della società stessa”, nonché la limitazione dei tempi di conservazione di detti dati ad un massimo di sei mesi (contrariamente ai dodici mesi richiesti dalla società) in ossequio a quanto disposto dal Codice. Infatti, a norma dell’art. 123 comma 2, specificatamente riferito all’ipotesi dei “dati relativi al traffico strettamente necessari a fini di fatturazione”, il periodo di trattamento non può superare i citati sei mesi.
Il Garante della Privacy ha, altresì, colto l’occasione per ribadire i necessari adempimenti previsti dalla normativa vigente e prodromici all’effettuazione del trattamento. Giova, a tal proposito, richiamare l’art. 13 del Codice della Privacy che, per ogni tipologia di trattamento, impone un’adeguata – e generale – informativa all’interessato, in particolare, delle “finalità e le modalità del trattamento” e della “natura obbligatoria o facoltativa del conferimento dei dati”. A norma dello stesso Codice, poi, è richiesta l’adozione di misure di sicurezza in grado di ridurre al minimo i rischi di distruzione o perdita dei dati (art. 31) nonché l’individuazione di uno specifico soggetto che funga da responsabile del trattamento ex art. 29. Ad ogni modo, in un’opera di bilanciamento degli interessi e stante la richiamata liceità delle finalità, il Garante ha ritenuto, in termini generali, del tutto proporzionate anche le modalità di effettuazione del trattamento e ha, con ciò, ammesso la richiesta del datore.