Data: 28/12/2023 07:00:00 - Autore: Andrea Pedicone

Che cos'� il sistema GPS

[Torna su]

Il GPS (global positioning system) � un sistema per la determinazione delle tre coordinate geocentriche relative alla posizione di ogni punto posto sulla superficie terrestre o al di sopra di essa. Il GPS � una delle componenti del GNSS (global navigation satellite system) e costituisce il pi� avanzato sistema di radionavigazione per le navi, gli aeromobili, le autovetture. Oltre ad essere installato sui mezzi di spostamento � oggi un fattore nei nostri telefoni cellulari.

Il GPS nel quotidiano

[Torna su]

Al giorno d�oggi siamo tutti geolocalizzati. Il GPS � soprattutto presente in tutti i telefoni cellulari per consentirci di georeferenziarci quando pubblichiamo un post sui social e vogliamo far sapere che abbiamo visitato una data localit�; quando utilizziamo il navigatore; quando ricerchiamo sul telefono un ristorante oppure consultiamo il meteo. Il nostro telefono cellulare, inoltre, agganciandosi al ripetitore telefonico, traccia costantemente e con assoluta precisione i luoghi in cui ci troviamo. Il GPS � anche installato in molte autovetture private; sulle auto a noleggio; su quelle degli istituti di vigilanza privata; sui veicoli delle flotte aziendali; sui taxi, su molti veicoli pubblici e di soccorso. � inoltre utilizzato dagli investigatori privati per pedinare a distanza le persone su cui svolgere le indagini.

Geolocalizzazione e GDPR

[Torna su]

Il trattamento dei dati relativi alla geolocalizzazione delle persone fisiche � disciplinato dal GDPR. In caso di utilizzo di sistema di geolocalizzazione trovano, quindi, applicazione:

� la valutazione d�impatto del trattamento (art. 35 GDPR)

� i principi generali della privacy by design e privacy by default (art. 25 GDPR)

� l�informativa (art. 13 GDPR)

In buona sostanza, l�interessato dovr� sempre preventivamente sapere di essere geolocalizzato, e dovr� sempre essere in condizione di esercitare i propri diritti (articoli da 15 a 22 del GDPR).

Un esempio

[Torna su]

Il GPS � installato su un�auto aziendale. Il titolare del trattamento � quindi l�azienda. Il dipendente che ha in uso l�auto �, pertanto, l�interessato. Il GPS rileva le coordinate e quindi gli spostamenti del dipendente, comunicandoli ad un server che li mette a disposizione dell�azienda, i cui rappresentanti potranno consultare gli spostamenti del dipendente accedendo ad un�area riservata del software che gestisce il GPS. A chi vengono comunicati questi dati, "chi li tratta", "dove sono trasferiti", "cosa accade se la piattaforma ed il software che gestiscono i dati raccolti dal GPS sono all�estero". � importante che il titolare del trattamento (nel nostro esempio l�azienda) sia sempre nella condizione di poter consentire al dipendente di esercitare i suoi diritti, tra quali spiccano quelli di cui all�articolo 15 del GDPR.

In particolare, qualora i dati della geolocalizzazione siano trasferiti all�estero, l�interessato (nel nostro esempio il dipendente) ha il diritto di essere informato dell�esistenza di garanzie adeguate relative al trasferimento (ai sensi dell�articolo 46 GDPR). La normativa, infatti, nel fornire le massime garanzie al soggetto geolocalizzato, prevede che i dati possano essere trasferiti all�interno dello Spazio Economico Europeo (ossia UE + Norvegia, Liechtenstein, Islanda) o verso un�organizzazione internazionale a condizione che l�adeguatezza del Paese terzo o dell�organizzazione sia riconosciuta tramite decisione della Commissione europea (articolo 45 GDPR). In assenza di tale decisione, il trasferimento � consentito ove il titolare o il responsabile del trattamento forniscano garanzie adeguate che prevedano diritti azionabili e mezzi di ricorso effettivi per gli interessati (articolo 46 GDPR).

Le eccezioni

[Torna su]

In alcuni casi i dati personali possono essere trasferiti in un paese extra SEE dove non siano vigenti accordi di reciprocit� con il paese e/o con l�organizzazione alla quale sono inviati i dati. Trattasi di trasferimenti in deroga, regolamentati dall�articolo 49 GDPR. Il comma 1, lettera E di tale articolo, prevede anche la possibilit� che il trasferimento avvenga non soltanto in un paese presso il quale non vi siano garanzie, ma addirittura senza il consenso preventivo dell�interessato. � il caso in cui il trasferimento dei dati � necessario per accertare, esercitare o difendere un diritto in sede giudiziaria. Tale deroga, per�, consente esclusivamente il trasferimento dei dati, e non annienta i diritti dell�interessato e il loro esercizio. Pertanto, la persona che dovesse essere stata geolocalizzata a sua insaputa, e ne dovesse venire poi a conoscenza, potr� chiedere dove e come sono stati trattati i suoi dati personali. Ma siamo cos� sicuri che il titolare del trattamento (azienda, autonoleggio, investigatore privato, ecc.) sia in grado di rispondere ad un quesito posto dall�interessato che abbia esercitato i propri diritti" Probabilmente no.

Criticit� e rimedi

[Torna su]

Raramente chi utilizza il GPS chiede preliminarmente al gestore del sistema se i dati sono trasferiti all�estero; in quale paese; per quanto tempo sono trattenuti; ecc. Pertanto, ad una richiesta dell�interessato di esercitare il diritto di cui all�articolo 15, comma 1, lettera C del GDPR, molto probabilmente il titolare del trattamento non sar� in grado di rispondere nei termini di legge (30 giorni). L�incapacit� di rispondere adeguatamente ed entro i termini di legge all�esercizio dei diritti effettuato dall�interessato costituisce una violazione della norma che � ovviamente sanzionabile.

Cosa fare, pertanto, nel caso si abbia la necessit� di utilizzare un sistema GPS per monitorare, a qualsiasi legittimo titolo, gli spostamenti di un terzo o per localizzare un veicolo in uso ad altri" Quando il titolare del trattamento e l�interessato non coincidono (come gi� rappresentato nei casi di autonoleggio, flotta aziendale, ragioni di sicurezza, investigazioni private, ecc.), il titolare del trattamento dovrebbe preliminarmente farsi comunicare � dal gestore del software che elabora i dati relativi agli spostamenti del mezzo � se vi � trasferimento dei dati al di fuori dello Spazio Economico Europeo. Nel caso in cui i dati siano trasferiti al di fuori dei paesi in cui � applicato il GDPR, il titolare del trattamento dovr� accertarsi che il paese o l�organizzazione presso i quali sono trasferiti i dati siano adeguati, ovvero forniscano garanzie idonee che prevedano diritti azionabili e mezzi di ricorso effettivi per gli interessati. Qualora non ci si sia procurati questa informazione preliminarmente all�utilizzo del GPS (che si ritiene acquisibile una tantum), vi � il concreto rischio di non poter fornire riscontro, nei termini di legge, all�interessato che dovesse farne richiesta, esponendosi cos� alla sanzione.

La giurisprudenza internazionale

[Torna su]

Con sentenza del 6 ottobre 2020, riferita alle cause riunite C-511/18, C-512/18, C-520/18, la Corte di Giustizia Europea ha affermato che il diritto dell�UE si oppone ad una normativa nazionale che imponga, ad un fornitore di servizi di comunicazione elettronica, la trasmissione o la conservazione generalizzata e indifferenziata dei dati relativi al traffico e alla localizzazione. Possono esservi delle eccezioni in caso di lotta contro la criminalit� grave e la prevenzione di minacce gravi alla sicurezza pubblica. Una tale ingerenza sui diritti fondamentali deve per� essere accompagnata da garanzie effettive e deve essere sottoposta al controllo di un giudice o di un�autorit� amministrativa indipendente.

L�accesso ad un insieme di dati relativi all�ubicazione pu� effettivamente consentire di trarre conclusione precise sulla vita privata delle persone, come le abitudini, i luoghi di interesse, gli spostamenti giornalieri, i contesti sociali frequentati. � quindi indispensabile soddisfare il requisito di proporzionalit� e minimizzazione in virt� dei quali la limitazione della riservatezza altrui sia attuata entro lo stretto necessario. La durata del trattamento e la categoria di dati trattati devono essere quindi in funzione delle circostanze del caso di specie, e limitate a quanto strettamente necessario alla finalit�. Tuttavia, anche in tale situazione potrebbero esservi delle violazioni quando l�insieme di dati trattati, e relativi all�ubicazione, sia tale da permettere di trarre precise conclusioni sulla vita privata dell�interessato.

Cosa fare se scopri di essere controllato tramite GPS

[Torna su]

Qualora dovessi essere controllato tramite GPS (con o senza il tuo consenso) e volessi mettere in crisi il controllore, la cosa migliore da fare sarebbe quella di esercitare i miei diritti privacy e chiedere informazioni sulle modalit� di trattamento dei dati personali raccolti tramite GPS.

In particolare, dovrei esercitare il mio diritto di cui all�articolo 15, comma 1, lettera C del GDPR, ed accedere ai dati per verificare innanzitutto che non vi sia stata una raccolta massiva dei miei dati personali, e che sia stato rispettato il criterio di minimizzazione; in secondo luogo, dovrei accertare se vi � stato un trasferimento dei miei dati all�estero, ed in caso affermativo se limitato all�interno dello SEE. In caso contrario potr� verificare l�adeguatezza del paese o dell�organizzazione presso la quale sono stati trasferiti i miei dati, e la presenza in tali paesi/organizzazioni delle garanzie previste dal GDPR. Difficilmente il soggetto che mi sta controllando sar� in grado di rispondere nei tempi statuiti dalla norma (30 giorni + ulteriori 60), proprio perch� quasi nessun �controllore� acquisisce queste informazioni preliminarmente. Questi sar� quindi sanzionato ed io potr� ottenere un risarcimento danni.

Andrea Pedicone

Consulente investigativo ed in materia di protezione dei dati personali

Auditor/Lead Auditor Qualificato UNI CEI EN ISO/IEC 27001:2017

Sistemi di Gestione per la Sicurezza delle Informazioni


Tutte le notizie