Questo blog è rivolto alle figure assoggettate al GDPR (aziende, professionisti ed enti che offrono beni e servizi a terzi). I privati che usano dei localizzatori satellitari in ambito domestico, o comunque per motivi confinati nella loro sfera personale, non sono assoggettati al GDPR ('household exclusion provision' art. 2 lett. C).
Quanto incidono le norme europee GDPR (trattamento dei dati personali) sulle piattaforme WEB per il cloud GPS tracking e sui webserver che ospitano le piattaforme per la geolocalizzazione?
I controlli elettronici degli spostamenti delle persone sono considerati dal GDPR 'trattamento di dati personali' quando vengono effettuati da aziende, professionisti ed enti. Da qui scaturisce un obbligo connesso al GDPR: aziende, professionisti ed enti devono utilizzare delle piattaforme WEB per il tracking satellitare GPS installate su webserver residenti all'interno dello Spazio Economico Europeo.
In sintesi il GDPR vieta che i dati personali (nella fattispecie le posizioni satellitari GPS) vengano archiviati in luoghi dove non vigono i diritti e le tutele del GDPR. Sono ammessi anche webserver extraeuropei, purchè residenti in nazioni dove vigono diritti e tutele conformi con il GDPR europeo (artt. 45-46 GDPR). Es. Argentina, Israele, Svizzera, Australia, Nuova Zelanda, Canada, Giappone, Uruguay, Corea del Sud e alcuni stati minori. E' inclusa anche l'Inghilterra, che però nel 2022 ha dichiarato di voler mettere in atto una 'Data Reform Bill' meno complessa, meno burocratizzata e meno penalizzante per l'economia rispetto al GDPR. E sono inclusi anche gli USA, in virtù dell'accordo 'Data privacy framework' firmato nel luglio 2023 con l'Europa. Ma il resto del mondo 'non-GDPR', fra cui Cina, Brasile, India, Russia, Messico e nazioni del sud-est asiatico, dispone complessivamente di circa il 70% delle risorse informatiche globali e produce circa l'85% dell'elettronica di consumo globale.
All'atto pratico il problema potrebbe sorgere quando una persona, che è stata controllata con un localizzatore satellitare GPS, viene colta dal dubbio che alcuni aspetti connessi al GDPR non siano stati rispettati.
In questo caso la persona può esercitare il diritto di cui all'articolo 15 GDPR comma 1 lett. C, inoltrando una PEC a chi ha effettuato il controllo. Cioè al titolare del trattamento dati personali previsto dall'art. 4 del GDPR. In molti casi è un'azienda che controlla la sua flotta di veicoli aziendali tramite GPS. Questa richiesta obbliga l'azienda a fornire alcune informazioni entro 30 giorni. L'informazione più importante è l'ubicazione del webserver nel quale è installata la piattaforma WEB. La persona che è stata controllata nei suoi spostamenti potrà quindi verificare se i dati delle tracciature GPS che la riguardano sono rimasti dentro lo Spazio Economico Europeo (o in altri luoghi del mondo dove vigono diritti e tutele conformi al GDPR europeo). La persona controllata ha anche il diritto di consultare i dati raccolti, ad es. per verificare il principio di proporzionalità e minimizzazione dei controlli nella sua sfera privata o per predisporre tesi difensive (artt. 5, par. 1, lett. a, 12 e 15 del GDPR, rif. provvedimento Garante 290 del 6/7/2023).
Ma a volte le aziende non dispongono di informazioni sui webserver e sulle piattaforme GPS perchè ricorrono a servizi di tracking GPS low cost basati in oriente. Quindi non sono in grado di rispondere. Oppure dispongono di informazioni frammentarie desunte da semplici servizi online di tracciatura degli IP. Ne consegue il rischio di contestazioni e sanzioni.
La questione dei server extraeuropei è nota dal 2018. Ma solo in tempi recenti ha assunto una certa consistenza. Conviene utilizzare dei servizi per la geolocalizzazione con webserver assoggettati GDPR e dove siano noti i gestori del software e del server fisico, indirizzo e nominativo della struttura che ospita il server (hosting), criteri e livelli di sicurezza del server, durata della memorizzazione dei dati nel server (inclusi i backup di sicurezza) e l'elenco dei requisiti 'privacy by design - privacy by default' art. 25 GDPR.
Approfondimenti dello Studio Legale Cataldi sul tema.
Tutti i diritti sul contenuto del link sopra sono riservati allo Studio Legale Cataldi.