Passa ai contenuti principali

Le norme GDPR e le piattaforme WEB per il cloud GPS tracking.

Quanto incidono le norme europee GDPR (trattamento dei dati personali) sulle piattaforme WEB per il cloud GPS tracking e sui webserver che ospitano le piattaforme per la geolocalizzazione?

I controlli elettronici degli spostamenti delle persone sono considerati dal GDPR 'trattamento di dati personali' quando vengono effettuati da aziende, professionisti ed enti.

Da qui scaturisce un obbligo connesso al GDPR: aziende, professionisti ed enti devono utilizzare delle piattaforme WEB per il tracking satellitare GPS installate su webserver residenti all'interno dello Spazio Economico Europeo.

In massima sintesi il GDPR vieta che i dati personali (nella fattispecie le posizioni satellitari GPS) vengano trasferiti, o comunque archiviati, in luoghi dove non vigono i diritti e le tutele del GDPR. Sono ammessi anche webserver extraeuropei, purchè residenti in nazioni dove vigono diritti e tutele conformi con il GDPR europeo (artt. 45-46 GDPR). Es. Argentina, Israele, Svizzera, Australia, Nuova Zelanda, Canada, Giappone, Uruguay, Corea del Sud e alcuni stati minori. E' inclusa anche l'Inghilterra, che però nel 2022 ha dichiarato di voler mettere in atto una sua 'Data Reform Bill' meno complessa e meno penalizzante per l'economia rispetto al GDPR. E sono inclusi anche gli USA, in virtù dell'accordo 'Data privacy framework' firmato nel luglio 2023 con l'Europa. Ma il resto del mondo 'non-GDPR', fra cui Cina, Brasile, India, Russia, Messico e nazioni del sud-est asiatico, dispone complessivamente di circa il 60-70% delle risorse informatiche globali e produce circa l'80-85% dell'elettronica di consumo globale.

All'atto pratico il problema potrebbe sorgere quando una persona, che è stata controllata con un localizzatore satellitare GPS, viene colta dal dubbio che alcuni aspetti connessi al GDPR non siano stati rispettati. 

In questo caso la persona può esercitare il diritto di cui all'articolo 15 GDPR comma 1 lett. C, inoltrando una raccomandata o una PEC a chi ha effettuato il controllo. Cioè al titolare del trattamento dati personali previsto dall'art. 4 del GDPR. Nella stragrande maggioranza dei casi è un'azienda che controlla la sua flotta di veicoli aziendali tramite GPS. A volte può essere anche un'agenzia investigativa che ha svolto dei pedinamenti. Questa richiesta obbliga l'azienda o l'agenzia investigativa a fornire alcune informazioni entro 30 giorni. L'informazione più importante è l'ubicazione del webserver nel quale è installata la piattaforma WEB. La persona che è stata controllata nei suoi spostamenti potrà quindi verificare se i dati delle tracciature GPS che la riguardano sono rimasti dentro lo Spazio Economico Europeo (o in altri luoghi del mondo dove vigono diritti e tutele conformi al GDPR europeo). Potrà verificare inoltre il livello di sicurezza informatica e il tempo di conservazione dei dati. La persona controllata ha anche il diritto di consultare i dati raccolti, ad es. per verificare il principio di proporzionalità e minimizzazione dei controlli nella sua sfera privata o per predisporre tesi difensive (artt. 5, par. 1, lett. a, 12 e 15 del GDPR, rif. provvedimento Garante 290 del 6/7/2023). 

Ma spesso le aziende e le agenzie investigative non dispongono di informazioni sui webserver e sulle piattaforme GPS. Quindi non sono in grado di rispondere. Oppure dispongono di informazioni frammentarie desunte da semplici servizi online per la tracciatura degli IP. Ne consegue il rischio di contestazioni e sanzioni.  

La questione dei server extraeuropei è nota dal 2018, ma solo in tempi recenti ha assunto una certa consistenza. Conviene utilizzare un fornitore di servizi per la geolocalizzazione che sia in grado di comunicare dov'è ubicato fisicamente il webserver, chi lo gestisce, indirizzo e nominativo della struttura che lo ospita, criteri e livelli di sicurezza, requisiti 'privacy by design - privacy by default' art. 25 GDPR. Va detto che tutto questo ha un costo. Perchè creare e mantenere un webserver per la geolocalizzazione in Europa, che sia il più possibile conforme ai complessi requisiti GDPR e alle limitazioni imposte da direttive europee che puntano a regolamentare tutto, è un lavoro impegnativo e oneroso.

N.B. Questa pagina è rivolta ad aziende, professionisti ed enti. I privati cittadini che usano dei localizzatori satellitari in ambito domestico, o comunque per motivi confinati nella loro sfera privata, al momento non sono assoggettati al GDPR.

Approfondimenti dello studio legale Cataldi sul tema... 

Post popolari in questo blog

Cosa possono fare le agenzie investigative in Italia?

Un investigatore privato può compiere delle attività che sarebbero lecite anche se fossero compiute da un normale cittadino. L'investigatore privato non può perquisire persone e luoghi, intercettare comunicazioni riservate, acquisire dati coperti da privacy, accedere ad ambienti privati senza il consenso del titolare del luogo. Mentre l'investigatore privato può pedinare e appostarsi in luogo pubblico, scattare foto in luogo pubblico, raccogliere informazioni da banche dati pubbliche, accedere ad ambienti privati con il consenso del titolare del luogo e svolgere altre attività che, di per sè, non concretizzerebbero ipotesi di reato anche se fossero compiute da un normale cittadino (fonte  La Legge per Tutti ). Quindi qual'è la differenza giuridica fra un investigatore privato e un normale cittadino?  La differenza sta nel fatto che l'investigatore privato, in virtù della licenza rilasciata dal Prefetto ex art. 134 TULPS e DM 269/2010 (emendato con DM 56/2015), è autoriz

Trojan di Stato o captatori informatici installati a distanza. Come funzionano?

Dopo il caso Palamara del 2019 sono sorte curiosità sui Trojan di Stato (detti anche 'captatori informatici' ) introdotti dal DL 216/2017. In particolare ci si chiede se siano davvero installabili a distanza in un cellulare senza che l'utente se ne accorga. L'installazione a distanza di un Trojan non è impossibile come molti sostengono. Ma non è neppure una prassi comune come sostengono altri. Diciamo subito agli appassionati del tutto gratis e del tutto facile che stiamo parlando di strumenti concepiti per gli enti di intelligence. Quindi nulla a che vedere con le App Spyphone commerciali. Il primo passo per tentare l'inoculazione del Trojan consiste nello studio a distanza del cellulare target allo scopo di individuare delle vulnerabilità. Parliamo di falle nella sicurezza del sistema operativo (o delle App già installate nel cellulare) sfruttabili per tentare l'inoculazione a distanza del Trojan. Quasi in disuso sono invece le tecniche di 'social engineer

Furti in auto senza scasso. Attenzione al telecomando auto.

Furti in auto senza scasso. Come fanno? Attenzione al telecomando dell'auto! Il malintenzionato si apposta ad una distanza di 5-15 metri. Appena la vittima parcheggia e scende dall'auto, il ladro attiva una potente trasmissione radio di disturbo. In pratica l'impulso radio per la chiusura delle portiere parte regolarmente dal telecomando e raggiunge regolarmente la centralina dell'auto. Ma la centralina non può 'ascoltare' l'impulso perchè è assordata da una radiotrasmissione molto più potente. Quindi le portiere dell'auto restano aperte. Complici la fretta, il rumore del traffico e l'abitudine a voltare le spalle all'auto quando ci si allontana, molti automobilisti non verificano se le portiere dell'auto si sono effettivamente chiuse dopo aver premuto il pulsante del telecomando.  Il ladro trova quindi le portiere aperte e può entrare in azione. Il fenomeno riguarda soprattutto i parcheggi di grossi supermercati e gli autogrill.  Come spesso