L’Agenzia Spagnola per la Protezione dei Dati (AEPD) ha avviato un procedimento sanzionatorio contro una società spagnola parte di un Gruppo internazionale in seguito a un reclamo presentato da una ex dipendente.
La lavoratrice ha denunciato che l’azienda l’aveva aggiunta a un gruppo WhatsApp aziendale utilizzando il suo numero di telefono personale, senza consenso, per lo svolgimento delle sue mansioni in attesa di ricevere un cellulare aziendale, che però non le era mai stato fornito. Prima di un periodo di vacanza, la dipendente aveva espressamente comunicato via email che avrebbe smesso di utilizzare il suo numero privato per questioni lavorative e aveva lasciato il gruppo WhatsApp aziendale. Tuttavia, pochi giorni dopo, il suo numero era stato nuovamente incluso in un gruppo WhatsApp. La società ha sostenuto che l’inclusione era temporanea, in attesa della consegna del telefono aziendale, e che i gruppi WhatsApp servivano solo per comunicazioni di lavoro tra dipendenti.
L’AEPD, invece, ha ritenuto che l’uso del numero personale senza consenso violasse l’articolo 6.1 del GDPR, che richiede una base giuridica per ogni trattamento di dati personali.
Fondamenti di diritto e decisione dell’Autorità
L’Autorità spagnola ricorda che il numero di telefono cellulare personale è un dato personale, e che il suo utilizzo per includere un lavoratore in un gruppo di messaggistica aziendale costituisce un trattamento che deve essere coperto da una qualsiasi delle basi giuridiche previste dall’articolo 6.1 del GDPR.
- Il GDPR richiede che i dati personali siano trattati in modo lecito – Art. 5, (1), (a);
- Affinché un trattamento sia considerato lecito devono essere soddisfatte le seguenti condizioni – Art. 6, (1):
- l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
- il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
- il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
- [omissis].
Nel caso posto all’attenzione dell’Autorità però non vi era stato alcun consenso dell’interessato né la necessità contrattuale o altra motivazione legittima. Inoltre, secondo il Garante spagnolo il fatto che la società avesse elaborato una policy interna sull’uso dei telefoni aziendali non la esenta dal rispettare l’obbligo di avere una base giuridica adeguata.
Alla società è stata quindi imposta una sanzione amministrativa di 70.000 euro, ridotta a 42.000 euro poiché ha scelto di riconoscere la violazione e di pagare la sanzione ridotta ed le è stato ordinato di adottare misure correttive per garantire la conformità futura al GDPR.
Bring Your Own Device
Le BYOD policy (Bring Your Own Device policy) sono regole aziendali che disciplinano l’uso di dispositivi personali — come smartphone, laptop o tablet — per scopi lavorativi.
In pratica, una BYOD policy stabilisce come i dipendenti possono usare i propri dispositivi per accedere a dati, e-mail o applicazioni aziendali, e definisce le misure di sicurezza,
Sarebbe sempre preferibile fornire strumenti aziendali e garantire una netta separazione tra strumenti personali e strumenti di lavoro. Ma qualora il datore di lavoro dovesse comunque decidere di far utilizzare ai propri lavoratori strumenti personali per scopi aziendali è necessario adottare una policy aziendale documentata che disciplini:
- obblighi di informazione e consenso (quando necessario).
- requisiti di sicurezza informatica;
- limiti di utilizzo;
- misure per la tutela della privacy del lavoratore;
- modalità di cancellazione dei dati aziendali;
Altri insights correlati:
