Questa pagina è rivolta alle figure assoggettate al GDPR (aziende, professionisti ed enti che offrono beni e servizi a terzi). I privati cittadini che usano dei localizzatori satellitari in ambito domestico, o comunque per motivi confinati nella loro sfera privata e personale, non sono assoggettati al GDPR ('household exclusion provision' art. 2 lett. C).
Quanto incidono le norme europee GDPR (trattamento dei dati personali) sulle piattaforme WEB per il cloud GPS tracking e sui webserver che ospitano le piattaforme per la geolocalizzazione?
I controlli elettronici degli spostamenti delle persone sono considerati dal GDPR 'trattamento di dati personali' quando vengono effettuati da aziende, professionisti ed enti. Da qui scaturisce un obbligo connesso al GDPR: aziende, professionisti ed enti devono utilizzare delle piattaforme WEB per il tracking satellitare GPS installate su webserver residenti all'interno dello Spazio Economico Europeo.
In massima sintesi il GDPR vieta che i dati personali (nella fattispecie le posizioni satellitari GPS) vengano trasferiti, o comunque archiviati, in luoghi dove non vigono i diritti e le tutele del GDPR. Sono ammessi anche webserver extraeuropei, purchè residenti in nazioni dove vigono diritti e tutele conformi con il GDPR europeo (artt. 45-46 GDPR). Es. Argentina, Israele, Svizzera, Australia, Nuova Zelanda, Canada, Giappone, Uruguay, Corea del Sud e alcuni stati minori. E' inclusa anche l'Inghilterra, che però nel 2022 ha dichiarato di voler mettere in atto una sua 'Data Reform Bill' meno complessa e meno penalizzante per le imprese rispetto al GDPR. E sono inclusi anche gli USA, in virtù dell'accordo 'Data privacy framework' firmato nel luglio 2023 con l'Europa. Ma il resto del mondo 'non-GDPR', fra cui Cina, Brasile, India, Russia, Messico e nazioni del sud-est asiatico, dispone complessivamente di circa il 60-70% delle risorse informatiche globali e produce circa l'80-85% dell'elettronica di consumo globale.
All'atto pratico il problema potrebbe sorgere quando una persona, che è stata controllata con un localizzatore satellitare GPS, viene colta dal dubbio che alcuni aspetti connessi al GDPR non siano stati rispettati.
In questo caso la persona può esercitare il diritto di cui all'articolo 15 GDPR comma 1 lett. C, inoltrando una raccomandata o una PEC a chi ha effettuato il controllo. Cioè al titolare del trattamento dati personali previsto dall'art. 4 del GDPR. In molti casi è un'azienda che controlla la sua flotta di veicoli aziendali tramite GPS. Questa richiesta obbliga l'azienda a fornire alcune informazioni entro 30 giorni. L'informazione più importante è l'ubicazione del webserver nel quale è installata la piattaforma WEB. La persona che è stata controllata nei suoi spostamenti potrà quindi verificare se i dati delle tracciature GPS che la riguardano sono rimasti dentro lo Spazio Economico Europeo (o in altri luoghi del mondo dove vigono diritti e tutele conformi al GDPR europeo). Potrà verificare inoltre il livello di sicurezza informatica e il tempo di conservazione dei dati. La persona controllata ha anche il diritto di consultare i dati raccolti, ad es. per verificare il principio di proporzionalità e minimizzazione dei controlli nella sua sfera privata o per predisporre tesi difensive (artt. 5, par. 1, lett. a, 12 e 15 del GDPR, rif. provvedimento Garante 290 del 6/7/2023).
Ma spesso le aziende non dispongono di informazioni sui webserver e sulle piattaforme GPS. Quindi non sono in grado di rispondere. Oppure dispongono di informazioni frammentarie desunte da semplici servizi online per la tracciatura degli IP. Ne consegue il rischio di contestazioni e sanzioni.
La questione dei server extraeuropei utilizzati dalle aziende che controllano le loro flotte è nota dal 2018. Ma solo in tempi recenti ha assunto una certa consistenza. Conviene utilizzare un fornitore di servizi per la geolocalizzazione che sia in grado di comunicare dov'è ubicato fisicamente il webserver, chi lo gestisce, indirizzo e nominativo della struttura che lo ospita, criteri e livelli di sicurezza, requisiti 'privacy by design - privacy by default' art. 25 GDPR. Ma tutto questo ha un costo. Perchè creare e mantenere un webserver per la geolocalizzazione in Europa, che sia il più possibile conforme ai complessi requisiti del GDPR e alle soffocanti limitazioni imposte dalle direttive europee, è un lavoro impegnativo e oneroso.
