Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'approfondimento

Sistemi satellitari e dati personali, le norme per il corretto trattamento

L’utilizzo di strumenti satellitari di tracciamento non deve trascurare la normativa in materia di trattamento dei dati personali. Il GDPR offre gli strumenti per comprendere dove la tutela fornita da questi sistemi scaturisce in vere e proprie violazioni della privacy. Ecco come evitare problemi

01 Lug 2019
B
Armando Bressan

Consulente Privacy, DPO


L’utilizzo degli strumenti satellitari di tracciamento ha avuto ampia diffusione negli ultimi anni, per le esigenze legate a una maggiore ottimizzazione delle risorse, tutela del patrimonio aziendale e sicurezza sul lavoro.

Tuttavia tali esigenze spesso si scontrano con le norme che regolamentano la protezione dei dati personali, ed oggi più che mai, viste le sostanziali modifiche intervenute a seguito dell’avvento del GDPR, la linea di demarcazione tra finalità di trattamento lecito e violazione dei dati personali è sempre più sottile.

La normativa pre GDPR

Il Testo Unico che riunisce la normativa vigente in materia dal 1996 fino al 2003 e che sostituisce la precedente normativa 675/96 è il D.lgs. 30 giugno 2003 numero 196 detto (Codice Privacy) in vigore dal 01/01/2004, il quale all’art. 17 “Trattamento che presenta rischi specifici” prevedeva che qualora venissero trattati dati diversi da quelli sensibili e/o giudiziari che presentino rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato in relazione alla natura dei dati o alle modalità del trattamento, questi ultimi potevano essere trattati previa verifica preliminare da effettuarsi prima di iniziare il trattamento a cura del Garante italiano, il quale nel corso di detta verifica definiva prescriveva la sospensione o indicava le azioni correttive.

Inoltre, all’art. 37 lettera a, prevedeva esplicitamente che qualora il “trattamento dei dati riguardava dati genetici, biometrici, o dati che indicano la posizione geografica di persone…” il titolare del trattamento fosse obbligato ad effettuare la notifica al Garante.

Con il provvedimento numero 370 del 4 ottobre 2011 doc. web n. 1850581 il Garante per la protezione dei dati personali dà un ulteriore chiarimento alla gestione dei sistemi di localizzazione dei veicoli nell’ambito del rapporto di lavoro.

I punti chiave di tale provvedimento sottolineano l’osservanza dei principi di:

  • liceità nel trattamento dei dati di localizzazione ed il relativo bilanciamento di interessi, i principi di pertinenza e non eccedenza,
  • informativa degli interessati, la nomina di responsabili e incaricati del trattamento dei dati di localizzazione e previsione di un modello semplificato di informativa.

Pertanto, il Garante italiano con tale provvedimento prescrive ai datori di lavoro pubblici e privati che si avvalgono di sistemi di localizzazione quale misura necessaria:

  • nel rispetto del principio di necessità, che la posizione del veicolo non sia di regola monitorata continuamente dal titolare del trattamento;
  • nel rispetto del principio di pertinenza e non eccedenza, che i tempi di conservazione delle diverse tipologie di dati personali siano commisurati tenuto conto delle finalità concrete perseguite;
  • la designazione quali responsabili del trattamento ai sensi dell’art. 29 del codice degli operatori che forniscono il servizio di localizzazione.

E quale misura opportuna, un modello semplificato di informativa, al fine di rendere noto agli interessati il trattamento effettuato mediante il sistema di localizzazione.

Altro elemento interpretativo di questa complessa materia ci viene fornito dal Gruppo di lavoro 29 per la protezione dei dati con il parere 13/2011 sui servizi di geolocalizzazione su dispositivi mobili intelligenti, 881/11/IT WP 185 adottato il 16 maggio 2011.

Infine, assume grande rilievo dal punto di vista  della liceità del trattamento dei dati personali derivanti dalla rilevazioni delle coordinate satellitare la Legge 20 maggio 1970 numero 300 Statuto dei lavoratori art. 4 “Impianti Audiovisivi” il quale prescrive il divieto di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori, salvo che quest’ultime siano istallate per esigenze organizzative e produttive ovvero dalla sicurezza del lavoro e previo accordo con le rappresentanze sindacali o in mancanza con la commissione interna.

WHITEPAPER
Cybersecurity: come superare le vulnerabilità delle tecniche di Intelligenza Artificiale
Sicurezza
Sicurezza

In difetto di accordo su istanza presentata dal datore di lavoro, provvede l’Ispettorato del lavoro.

Il Jobs Act

La prima modifica normativa è di natura giuslavoristica, con l’introduzione del D.lgs. del 14 settembre 2015 numero 151 il Jobs Act ossia legge delega n. 183/2014 ed integrato successivamente dal D.lgs. n 185/2016, ha introdotto importanti modifiche rispetto alla possibilità del datore di lavoro di controllare l’attività lavorativa svolta dai propri dipendenti e con l’art. 23 modifica l’art. 4 della legge 20 maggio 1970 n. 300, rendendo possibile il controllo a distanza delle attività dei lavoratori esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro, sempre previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali, in mancanza di accordo gli impianti possono essere istallati previa autorizzazione della Direzione territoriale del lavoro.

A mitigare e chiarire la portata di tale modifica normativa, lo fa immediatamente il Garante italiano il 9 luglio 2015 attraverso un’audizione del Presidente dell’Autorità Garante sugli schemi di decreti legislativi attuativi del c.d. Jobs Act, presso la Commissione Lavoro della Camera dei Deputati e la Commissione Lavoro del Senato, specificando che tali modifiche dovranno comunque rispettare i principi di legittimità e determinatezza del fine perseguito con il trattamento, nonché della sua proporzionalità, correttezza e non eccedenza, escludendo pertanto l’ammissibilità di controlli massivi, ed imponendo comunque una gradualità nell’ampiezza e tipologia del monitoraggio, che renda assolutamente residuali i controlli più invasivi, legittimandoli solo a fronte della rilevazione di specifiche anomalie e comunque all’esito dell’esperimento di misure preventive meno limitative dei diritti dei lavoratori.

Un’altra indicazione circa la corretta lettura dell’art. 4 della Legge 300/1970 come novellato dall’art. 23 del D.lgs. 151 del 14 settembre 2015 viene dalla circolare n. 2 del 7/11/2016 dell’Ispettorato Nazionale del Lavoro per quanto attiene all’istallazione di apparecchiature di localizzazione satellitare GPS montate su autovetture aziendali, volte in particolare a chiarire se le stesse siano da considerarsi quali strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa, e quindi se considerati tali determinando l’esclusione dalle condizioni e dalle procedure previste dal medesimo art. 4.

In linea generale, si può ritenere che i sistemi di geolocalizzazione rappresentino un elemento “aggiunto” agli strumenti di lavoro per rispondere ad esigenze di carattere assicurativo, organizzativo, produttivo o per garantire la sicurezza del lavoro.

Ne consegue che l’applicazione del secondo comma dell’art. 4 riveste carattere di eccezionalità e pertanto prevista solo in particolari casi, come per esempio nel caso di normative di carattere legislativo o regolamentare (ad esempio: uso dei sistemi GPS per il trasporto di portavalori superiore a euro 1.500.000).

GDPR e accountability

Il 25 maggio 2018 è entrato in vigore per tutti gli Stati membri il GDPR. Il Regolamento introduce alcuni principi fondamentali che per alcuni aspetti stravolgono l’approccio del titolare e del responsabile del trattamento sulla tutela dei dati personali.

Il primo tra tutti è il principio dell’accountability che viene recepito dal GDPR con l’art. 24 “il quale prevede che tenuto conto della natura, del campo di applicazione, del contesto e delle finalità del trattamento… il titolare del trattamento mette in atto misure tecniche ed organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento dei dati personali è effettuato conformemente al Regolamento”.

Ciò comporta per il titolare, che non dovrà adeguarsi alle misure minime di sicurezza previste dalla precedente normativa Codice Privacy, ma dovrà effettuare un’analisi del rischio, vale a dire valutare tutti i possibili rischi che possono verificarsi in ordine ai dati trattati.

L’entrata in vigore del D.lgs. 101 del 10 agosto 2018 “Disposizioni per l’adeguamento della normativa nazionale alle disposizione del Regolamento (UE) 2016/679″, ha modificato radicalmente, il cosidetto Codice Privacy secondo due direttive.

La prima è “abrogativa” e riguarda l’abolizione di alcune disposizioni del vecchio codice; la seconda “innovativa” con l’inserimento e la modifica di nuove disposizioni del Codice Privacy rimanenti in vigore in una nuova lettura “europea” disciplinata dal Regolamento UE 2016/679.

Finalità e liceità del trattamento

In un quadro normativo così rinnovato, al centro dell’interesse del Garante europeo occupa un posto di rilevanza, le finalità del trattamento, la liceità ed il relativo bilanciamento di interessi.

Le finalità che le aziende sia private che pubbliche si prefiggono di raggiungere e che nella maggior parte dei casi sono condivise con il Garante, sono rappresentate da:

  • ottimizzare l’impiego delle risorse sul territorio e migliorarne la gestione ed il coordinamento (si pensi ad un’azienda che opera nel campo dell’assistenza a domicilio);
  • incrementare la sicurezza del personale, specie se operanti in aree remote o disagiate;
  • verifica delle attività svolte al fine di poter dimostrare alla ditta appaltante l’assolvimento delle attività previste nel contratto (sempre più nel settore pubblico, come ad esempio le aziende che gestiscono il servizio di igiene ambientale ed in particolar modo la raccolta porta a porta e lo spazzamento, hanno l’esigenza di dover dimostrare al Comune appaltante l’effettivo espletamento del servizio);
  • tutela del patrimonio aziendale.

Affinché il trattamento dei dati personali basato sul rilevamento delle coordinate geografiche sia legittimo e quindi sia proporzionale alle finalità perseguite, e che garantisca un bilanciamento di interessi che tenga conto degli interessi in campo, occorre che il tracciamento GPS rispetti queste regole:

  • non sia continuo (ad esempio: una “rilevazione ad eventi”, cioè attivata in prossimità di punti precedentemente geo referenziati);
  • non permetta di poter individuare direttamente l’identità dell’autista;
  • permetta all’autista di poter sospendere in qualsiasi momento la rilevazione e nello stesso tempo lo informi per il tramite di una spia luminosa all’interno dell’abitacolo che il sistema GPS è attivo;
  • eventuali anomalie del tracciamento possano essere individuate dopo un tempo tale da poter giustificare eventuali soste per traffico e/o semafori e comunque non inferiori a 5/7 minuti;
  • la conservazione dei dati in misura disaggregata per il tempo strettamente necessario alle finalità perseguite, oltre chiaramente ad una informativa completa a norma dell’articolo 13 ed un informativa ridotta da collocare sui mezzi oggetto del tracciamento.

Adempimenti e procedure per essere compliant

Come precedentemente detto l’avvento del GDPR ha modificato per molti versi anche gli adempimenti e le procedure necessarie per poter essere compliant, nel trattamento dei dati personali derivanti dalla rilevazione di coordinate satellitari relative alla geolocalizzazione di apparati elettronici di tipo radio mobili e veicolari.

Il D.lgs. 101/2018 ha abrogato art. 17 del Codice Privacy “Verifica preliminare” e anche l’art. 37 relativo alla notificazione al Garante, sostituendo l’art. 17 con l’art. 35 del GDPR “Valutazione d’impatto sulla protezione dei dati” che, sebbene non obbligatoria per tutte le aziende, è uno strumento per compiere una valutazione puntuale dello stato di fatto, perché pone la sua attenzione sui rischi legati ad un trattamento e li valuta al netto delle attività poste in essere o pianificate per contenerlo e ridimensionarlo.

L’articolo 36 specifica inoltre che il titolare del trattamento, prima di procedere al trattamento, consulta l’autorità di controllo qualora la valutazione d’impatto sulla protezione dei dati a norma dell’articolo 35 indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio.

Pertanto, nel caso in cui la valutazione del rischio evidenzia una situazione finale con “rischio elevato residuale” sarà necessario procedere con una consultazione preventiva con il Garante.

In caso di consultazione preventiva a norma dell’art. 36 l’autorità dovrà fornire una risposta entro 8 settimane cui se ne aggiungono altre 6 qualora il trattamento comportasse particolari complessità.

WHITEPAPER
Cybersecurity: come superare le vulnerabilità delle tecniche di Intelligenza Artificiale
Sicurezza
Sicurezza

Infine sarà necessario effettuare la nomina come responsabile esterno del trattamento ai sensi dell’art. 28 all’azienda che si occuperà di tracciare le coordinate satellitari, e nominare persone autorizzate al trattamento tutti coloro che dietro indicazione del titolare possono aver accesso al sistema di geolocalizzazione.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5