Le criticità e le tutele in caso di trasferimento dei dati relativi ai nostri spostamenti

Che cos'è il sistema GPS

[Torna su]

Il GPS (global positioning system) è un sistema per la determinazione delle tre coordinate geocentriche relative alla posizione di ogni punto posto sulla superficie terrestre o al di sopra di essa. Il GPS è una delle componenti del GNSS (global navigation satellite system) e costituisce il più avanzato sistema di radionavigazione per le navi, gli aeromobili, le autovetture. Oltre ad essere installato sui mezzi di spostamento è oggi un fattore nei nostri telefoni cellulari.

Il GPS nel quotidiano

[Torna su]

Al giorno d'oggi siamo tutti geolocalizzati. Il GPS è soprattutto presente in tutti i telefoni cellulari per consentirci di georeferenziarci quando pubblichiamo un post sui social e vogliamo far sapere che abbiamo visitato una data località; quando utilizziamo il navigatore; quando ricerchiamo sul telefono un ristorante oppure consultiamo il meteo. Il nostro telefono cellulare, inoltre, agganciandosi al ripetitore telefonico, traccia costantemente e con assoluta precisione i luoghi in cui ci troviamo. Il GPS è anche installato in molte autovetture private; sulle auto a noleggio; su quelle degli istituti di vigilanza privata; sui veicoli delle flotte aziendali; sui taxi, su molti veicoli pubblici e di soccorso. È inoltre utilizzato dagli investigatori privati per pedinare a distanza le persone su cui svolgere le indagini.

Geolocalizzazione e GDPR

[Torna su]

Il trattamento dei dati relativi alla geolocalizzazione delle persone fisiche è disciplinato dal GDPR. In caso di utilizzo di sistema di geolocalizzazione trovano, quindi, applicazione:

· la valutazione d'impatto del trattamento (art. 35 GDPR)

· i principi generali della privacy by design e privacy by default (art. 25 GDPR)

· l'informativa (art. 13 GDPR)

In buona sostanza, l'interessato dovrà sempre preventivamente sapere di essere geolocalizzato, e dovrà sempre essere in condizione di esercitare i propri diritti (articoli da 15 a 22 del GDPR).

Un esempio

[Torna su]

Il GPS è installato su un'auto aziendale. Il titolare del trattamento è quindi l'azienda. Il dipendente che ha in uso l'auto è, pertanto, l'interessato. Il GPS rileva le coordinate e quindi gli spostamenti del dipendente, comunicandoli ad un server che li mette a disposizione dell'azienda, i cui rappresentanti potranno consultare gli spostamenti del dipendente accedendo ad un'area riservata del software che gestisce il GPS. A chi vengono comunicati questi dati, "chi li tratta", "dove sono trasferiti", "cosa accade se la piattaforma ed il software che gestiscono i dati raccolti dal GPS sono all'estero". È importante che il titolare del trattamento (nel nostro esempio l'azienda) sia sempre nella condizione di poter consentire al dipendente di esercitare i suoi diritti, tra quali spiccano quelli di cui all'articolo 15 del GDPR.

In particolare, qualora i dati della geolocalizzazione siano trasferiti all'estero, l'interessato (nel nostro esempio il dipendente) ha il diritto di essere informato dell'esistenza di garanzie adeguate relative al trasferimento (ai sensi dell'articolo 46 GDPR). La normativa, infatti, nel fornire le massime garanzie al soggetto geolocalizzato, prevede che i dati possano essere trasferiti all'interno dello Spazio Economico Europeo (ossia UE + Norvegia, Liechtenstein, Islanda) o verso un'organizzazione internazionale a condizione che l'adeguatezza del Paese terzo o dell'organizzazione sia riconosciuta tramite decisione della Commissione europea (articolo 45 GDPR). In assenza di tale decisione, il trasferimento è consentito ove il titolare o il responsabile del trattamento forniscano garanzie adeguate che prevedano diritti azionabili e mezzi di ricorso effettivi per gli interessati (articolo 46 GDPR).

Le eccezioni

[Torna su]

In alcuni casi i dati personali possono essere trasferiti in un paese extra SEE dove non siano vigenti accordi di reciprocità con il paese e/o con l'organizzazione alla quale sono inviati i dati. Trattasi di trasferimenti in deroga, regolamentati dall'articolo 49 GDPR. Il comma 1, lettera E di tale articolo, prevede anche la possibilità che il trasferimento avvenga non soltanto in un paese presso il quale non vi siano garanzie, ma addirittura senza il consenso preventivo dell'interessato. È il caso in cui il trasferimento dei dati è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria. Tale deroga, però, consente esclusivamente il trasferimento dei dati, e non annienta i diritti dell'interessato e il loro esercizio. Pertanto, la persona che dovesse essere stata geolocalizzata a sua insaputa, e ne dovesse venire poi a conoscenza, potrà chiedere dove e come sono stati trattati i suoi dati personali. Ma siamo così sicuri che il titolare del trattamento (azienda, autonoleggio, investigatore privato, ecc.) sia in grado di rispondere ad un quesito posto dall'interessato che abbia esercitato i propri diritti" Probabilmente no.

Criticità e rimedi

[Torna su]

Raramente chi utilizza il GPS chiede preliminarmente al gestore del sistema se i dati sono trasferiti all'estero; in quale paese; per quanto tempo sono trattenuti; ecc. Pertanto, ad una richiesta dell'interessato di esercitare il diritto di cui all'articolo 15, comma 1, lettera C del GDPR, molto probabilmente il titolare del trattamento non sarà in grado di rispondere nei termini di legge (30 giorni). L'incapacità di rispondere adeguatamente ed entro i termini di legge all'esercizio dei diritti effettuato dall'interessato costituisce una violazione della norma che è ovviamente sanzionabile.

Cosa fare, pertanto, nel caso si abbia la necessità di utilizzare un sistema GPS per monitorare, a qualsiasi legittimo titolo, gli spostamenti di un terzo o per localizzare un veicolo in uso ad altri" Quando il titolare del trattamento e l'interessato non coincidono (come già rappresentato nei casi di autonoleggio, flotta aziendale, ragioni di sicurezza, investigazioni private, ecc.), il titolare del trattamento dovrebbe preliminarmente farsi comunicare - dal gestore del software che elabora i dati relativi agli spostamenti del mezzo - se vi è trasferimento dei dati al di fuori dello Spazio Economico Europeo. Nel caso in cui i dati siano trasferiti al di fuori dei paesi in cui è applicato il GDPR, il titolare del trattamento dovrà accertarsi che il paese o l'organizzazione presso i quali sono trasferiti i dati siano adeguati, ovvero forniscano garanzie idonee che prevedano diritti azionabili e mezzi di ricorso effettivi per gli interessati. Qualora non ci si sia procurati questa informazione preliminarmente all'utilizzo del GPS (che si ritiene acquisibile una tantum), vi è il concreto rischio di non poter fornire riscontro, nei termini di legge, all'interessato che dovesse farne richiesta, esponendosi così alla sanzione.

La giurisprudenza internazionale

[Torna su]

Con sentenza del 6 ottobre 2020, riferita alle cause riunite C-511/18, C-512/18, C-520/18, la Corte di Giustizia Europea ha affermato che il diritto dell'UE si oppone ad una normativa nazionale che imponga, ad un fornitore di servizi di comunicazione elettronica, la trasmissione o la conservazione generalizzata e indifferenziata dei dati relativi al traffico e alla localizzazione. Possono esservi delle eccezioni in caso di lotta contro la criminalità grave e la prevenzione di minacce gravi alla sicurezza pubblica. Una tale ingerenza sui diritti fondamentali deve però essere accompagnata da garanzie effettive e deve essere sottoposta al controllo di un giudice o di un'autorità amministrativa indipendente.

L'accesso ad un insieme di dati relativi all'ubicazione può effettivamente consentire di trarre conclusione precise sulla vita privata delle persone, come le abitudini, i luoghi di interesse, gli spostamenti giornalieri, i contesti sociali frequentati. È quindi indispensabile soddisfare il requisito di proporzionalità e minimizzazione in virtù dei quali la limitazione della riservatezza altrui sia attuata entro lo stretto necessario. La durata del trattamento e la categoria di dati trattati devono essere quindi in funzione delle circostanze del caso di specie, e limitate a quanto strettamente necessario alla finalità. Tuttavia, anche in tale situazione potrebbero esservi delle violazioni quando l'insieme di dati trattati, e relativi all'ubicazione, sia tale da permettere di trarre precise conclusioni sulla vita privata dell'interessato.

Cosa fare se scopri di essere controllato tramite GPS

[Torna su]

Qualora dovessi essere controllato tramite GPS (con o senza il tuo consenso) e volessi mettere in crisi il controllore, la cosa migliore da fare sarebbe quella di esercitare i miei diritti privacy e chiedere informazioni sulle modalità di trattamento dei dati personali raccolti tramite GPS.

In particolare, dovrei esercitare il mio diritto di cui all'articolo 15, comma 1, lettera C del GDPR, ed accedere ai dati per verificare innanzitutto che non vi sia stata una raccolta massiva dei miei dati personali, e che sia stato rispettato il criterio di minimizzazione; in secondo luogo, dovrei accertare se vi è stato un trasferimento dei miei dati all'estero, ed in caso affermativo se limitato all'interno dello SEE. In caso contrario potrò verificare l'adeguatezza del paese o dell'organizzazione presso la quale sono stati trasferiti i miei dati, e la presenza in tali paesi/organizzazioni delle garanzie previste dal GDPR. Difficilmente il soggetto che mi sta controllando sarà in grado di rispondere nei tempi statuiti dalla norma (30 giorni + ulteriori 60), proprio perché quasi nessun "controllore" acquisisce queste informazioni preliminarmente. Questi sarà quindi sanzionato ed io potrò ottenere un risarcimento danni.

Andrea Pedicone

Consulente investigativo ed in materia di protezione dei dati personali

Auditor/Lead Auditor Qualificato UNI CEI EN ISO/IEC 27001:2017

Sistemi di Gestione per la Sicurezza delle Informazioni


Altri articoli che potrebbero interessarti:
In evidenza oggi: