Quanto incidono le norme europee GDPR (trattamento dei dati personali) sulle piattaforme WEB per il cloud GPS tracking e sui webserver che ospitano le piattaforme per la geolocalizzazione?
I controlli elettronici degli spostamenti delle persone sono considerati dal GDPR 'trattamento di dati personali' quando vengono effettuati da aziende, professionisti ed enti.
Da qui scaturisce un obbligo connesso al GDPR: aziende, professionisti ed enti devono utilizzare delle piattaforme WEB per il tracking satellitare GPS installate su webserver residenti all'interno dello Spazio Economico Europeo.
In massima sintesi il GDPR vieta che i dati personali (nella fattispecie le posizioni satellitari GPS) vengano trasferiti, o comunque archiviati, in luoghi dove non vigono i diritti e le tutele del GDPR. Sono ammessi anche webserver extraeuropei, purchè residenti in nazioni dove vigono diritti e tutele comparabili al GDPR europeo. Es. Argentina, Israele, Svizzera, Australia, Nuova Zelanda, Canada, Giappone, Uruguay, Corea del Sud e alcuni stati minori. E' inclusa anche l'Inghilterra, che però nel 2022 ha dichiarato di voler mettere in atto una sua 'Data Reform Bill' meno complessa e meno penalizzante per l'economia rispetto al GDPR. E sono inclusi anche gli USA, in virtù dell'accordo 'Data privacy framework' firmato nel luglio 2023 con l'Europa. Ma il resto del mondo 'non-GDPR', fra cui colossi come Cina, Brasile, India, Russia, Messico e nazioni del sud-est asiatico, dispone complessivamente di circa il 60-70% delle risorse informatiche globali e produce circa l'80% dell'elettronica di consumo globale.
All'atto pratico il problema potrebbe sorgere quando una persona, che è stata controllata con un localizzatore satellitare GPS, viene colta dal dubbio che alcuni aspetti connessi al GDPR non siano stati rispettati.
In questo caso la persona può esercitare il diritto di cui all'articolo 15 GDPR comma 1 lett. C, inoltrando una raccomandata o una PEC a chi ha effettuato il controllo. Cioè al titolare del trattamento dati personali previsto dall'art. 4 del GDPR. In molti casi è un'azienda che controlla la sua flotta di veicoli aziendali tramite GPS. A volte può essere anche un'agenzia investigativa che ha svolto dei pedinamenti. Questa richiesta obbliga l'azienda o l'agenzia investigativa a fornire alcune informazioni entro 30 giorni. L'informazione più importante è l'ubicazione del webserver nel quale è installata la piattaforma WEB. La persona che è stata controllata nei suoi spostamenti potrà quindi verificare se i dati delle tracciature GPS che la riguardano sono rimasti dentro lo Spazio Economico Europeo (o in altri luoghi del mondo dove vigono diritti e tutele comparabili al GDPR europeo). Potrà verificare inoltre il livello di sicurezza informatica e il tempo di conservazione dei dati. La persona controllata ha anche il diritto di vedere i dati raccolti, ad es. per verificare il principio di proporzionalità e minimizzazione dei controlli nella sua sfera privata o per predisporre tesi difensive (artt. 5, par. 1, lett. a, 12 e 15 del GDPR, rif. provvedimento Garante 290 del 6/7/2023).
Ma spesso le aziende e le agenzie investigative non dispongono di informazioni sui webserver e sulle piattaforme GPS. Quindi non sono in grado di rispondere. Oppure dispongono di informazioni frammentarie desunte da semplici servizi online per la tracciatura degli IP. Ne consegue il rischio di contestazioni, invalidazioni delle prove e sanzioni.
La questione degli artt. 45-46 del GDPR per i server informatici extraeuropei è nota dal 2018, ma solo in tempi recenti ha assunto una certa consistenza. Conviene utilizzare un fornitore di servizi per la geolocalizzazione che sia in grado di comunicare dov'è ubicato fisicamente il webserver, chi lo gestisce, indirizzo e nominativo della struttura che lo ospita, criteri e livelli di sicurezza, requisiti 'privacy by design - privacy by default' art. 25 GDPR. Va detto che tutto questo ha un costo. Perchè creare e mantenere un webserver per la geolocalizzazione in Europa, che sia il più possibile conforme ai complessi e mutevoli requisiti GDPR, è un lavoro impegnativo e oneroso.
N.B. Questa pagina è rivolta ad aziende, professionisti ed enti. I privati cittadini che usano dei localizzatori satellitari in ambito domestico, o comunque per motivi privati e personali, non sono assoggettati al GDPR.
