Geolocalizzazione e legge sulla privacy

21 Maggio 2021

Ogni giorno, anche se non ne siamo a conoscenza o non vi prestiamo attenzione, utilizziamo dispositivi che possono raccogliere la nostra posizione geografica e comunicarla a soggetti terzi, questa pratica è denominata geolocalizzazione.

Ad esempio, è stato stimato che, già nel 2019, il 41,5% della popolazione mondiale, pari a 3,5 miliardi di persone, utilizzava uno smartphone (Fonte Nazioni Unite)

Cosa si intende per geolocalizzazione

La capacità di collocare un dispositivo in una posizione geografica in un determinato istante temporale.

La posizione geografica può essere raccolta attraverso “rilevazione” (ed esempio: sensori, gps, reti wi-fi nelle vicinanze, rete cellulare, ..) e “deduzione” (ad esempio: indirizzo IP, attività passate di ricerca sui motori di ricerca, indicazioni dell’utente in caso di utilizzo app, ..).

Tipologie di geolocalizzazione

La geolocalizzazione di un dispositivo può effettuarsi:

In tempo reale – RTLS (Real Time Location Systems) → Necessaria una connessione Internet
In tempo differito→ Necessario download delle informazioni registrate dal dispositivo

La possibilità di geolocalizzare in tempo reale un dispositivo è il principale abilitatore del mercato dei «Location Based Services». Troviamo esempi di applicazione nella gestione delle flotte aziendali, nella Pubblicità e marketing (Geofence), nel Monitoraggio della salute, nello utilizzo di Mappe e navigazione, nel Social Networking, ..

Geolocalizzazione e normative di riferimento

L’Azienda che decide di introdurre sistemi di geolocalizzazione (GPS sui veicoli, su tablet e smartphone) può avere come obiettivo:

l’ottimizzazione delle risorse
esigenze organizzative e produttive dell’azienda
la sicurezza del lavoratore in caso di emergenza o lavoro in aree disagiate
la tutela del patrimonio aziendale

Fondamentale è essere consapevoli degli impatti normativi che l’utilizzo di strumenti di localizzazione nel contesto lavorativo incontra e, precisamente, dei limiti dettati dalla disciplina giuslavorista e dalla protezione dei dati personali.

Quanto alla disciplina giuslavorista, il «controllo a distanza» del datore di lavoro è illecito quando si configuri “occulto” ossia posto in essere senza rispettare le prescrizioni stabilite dall’art. 4 dello Statuto dei Lavoratori (cfr. Legge n. 300/1970 così come modificata dal D. Lgs. n. 151/2015)

Per introdurre sistemi GPS dai quali derivi la possibilità di controllo dei lavoratori, è quindi necessario che:

sia stato raggiunto uno specifico Accordo con le rappresentanze sindacali presenti in Azienda, o
sia stata richiesta e ottenuta l’apposita Autorizzazione dell’Ispettorato Nazionale del Lavoro

Attenzione: L’assenza dell’autorizzazione comporta la violazione dell’art. 4 dello Statuto dei lavoratori!!

Geolocalizzazione e GDPR

Il trattamento dei dati relativi alla geolocalizzazione degli individui è disciplinato dal GDPR quando i dati sulla posizione sono riconducibili, anche in modo indiretto, ad un individuo.

In caso di utilizzo di sistema di geolocalizzazione trovano, quindi, applicazione:

la Valutazione d’impatto del trattamento (art. 35 GDPR)
i principi generali della privacy by design e privacy by default (art. 25 GDPR)
l’Informativa (art. 13 GDPR)

Valutazione d’impatto del trattamento

Con provvedimento dell’11 ottobre 2018, il Garante ha reso pubblico un elenco di tipologie di trattamenti per i quali si rende necessaria la DPIA.

Al punto 5), in particolare, viene chiarito che per trattamenti che implicano videosorveglianza e geolocalizzazione nell’ambito del rapporto di lavoro vige l’obbligo di condurre una valutazione d’impatto.

Le informazioni minime che devono essere presenti in una valutazione d’impatto sono:

la descrizione sistematica del trattamento previsto
la valutazione della proporzionalità e della necessità rispetto alle finalità perseguite
l’interesse legittimo del titolare
la valutazione dei rischi per gli interessati
le misure previste per affrontare i rischi

I principi della “privacy by design” e “privacy by default”

L’Azienda dovrà ricorrere a sistemi che siano integrati delle garanzie necessarie a soddisfare i requisiti del GDPR e che consentano di trattare, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento.

Dovrà effettuarsi una “valutazione del fornitore” che porti a valutare attentamente i prodotti di localizzazione presenti sul mercato, chiedendo evidenza di come il software risponda ai requisiti GDPR, nominando Responsabile del trattamento il fornitore che possa accedere ai dati personali raccolti dai sistemi GPS e verificando la presenza di garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate ex GDPR.

Altro passaggio consigliabile è l’effettuazione di una “valutazione del software”.

Con il provvedimento n. 232 del 18 aprile 2018, il Garante ha indicato alcune misure tecniche e organizzative a tutela dei diritti e delle libertà degli interessati.

Tra le Misure tecniche suggerite dall’Autorità, a garanzia della liceità del trattamento, troviamo:

il posizionamento sul dispositivo di un’icona che indichi quando la localizzazione è attiva,
la minimizzazione della frequenza di raccolta dei dati,
la disattivazione della funzionalità di tracciamento durante le pause di lavoro,
l’oscuramento della posizione in centrale operativa per prolungata inattività dell’operatore.

Per quanto inerisce la Misure organizzative, possiamo indicare:

l’individuazione di profili autorizzativi differenziati (dati/operazioni),
l’individuazione della Data Retention ossia dei tempi di conservazione dei dati in concreto trattati tenendo conto delle finalità perseguite,
la nomina a Responsabile del trattamento dei dati del fornitore del software,
la predisposizione di test periodici sulla funzionalità e sull’affidabilità dei parametri adottati

Informativa

L’Azienda, infine, deve rispettare i principi di “liceità, correttezza e trasparenza e minimizzazione”, così come enunciati dal Regolamento UE 2016/679, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c) GDPR).

Il datore, pertanto, dovrà fornire ai dipendenti l’informativa estesa (di secondo livello) sul trattamento dei dati personali, ai sensi dell’art. 13 GDPR, nella quale dovranno essere specificate, tra le altre informazioni, la base giuridica, le modalità di funzionamento del dispositivo di geolocalizzazione e le finalità di trattamento.

Quanto all’informativa breve (di primo livello):

in caso di geolocalizzazione dei veicoli, all’interno del mezzo aziendale, dovrà essere presente una vetrofania recante la dicitura «veicolo sottoposto a localizzazione»
se si utilizzano dispositivi mobili, dovrà essere presente un’icona ben visibile che segnali quando il dispositivo è geolocalizzabile.

Conclusioni

Il GDPR, grazie all’applicazione dei principi di privacy by design e privacy by default (art 25 GDPR) e alla valutazione di impatto (art. 35 GDPR), consente già nella fase di progettazione dei sistemi di geolocalizzazione di gestire al meglio il delicato punto costituito dalla necessità di bilanciamento degli interessi contrapposti dell’Azienda e dei lavoratori.

About Ilaria Arrighi

Laureata in Giurisprudenza presso l’Università Cattolica del Sacro Cuore, Ilaria per diversi anni ha svolto attività giudiziale e stragiudiziale, specialmente in ambito civile. Ha conseguito corsi di Lead Auditor Privacy e Data Privacy Officier che hanno completato la sua formazione, donando al suo approccio consulenziale una visione a 360°. Instancabilità ed intraprendenza sono due caratteristiche che la contraddistinguono.