Servizio di geolocalizzazione e privacy

Una società di trasporto, che vuole ottimizzare l'uso dei propri mezzi, può fornirsi di servizi di geolocalizzazione. Occorrerà tuttavia “perimetrare” accuratamente e preventivamente il corretto trattamento dei dati personali compiendo un’obbligatoria valutazione d’impatto, cosi come previsto dal Regolamento Europeo GDPR, da presentare alle rappresentanze sindacali o all'Ispettorato del lavoro.

Lo ha chiarito il TAR Emilia - Romagna, sez. II, con la sentenza n. 618 del 29 luglio 2022 nel caso di una società partecipata che aveva appunto 100 mezzi in dotazione. 

Molto interessanti le riflessioni tese in sentenza rispetto ai principi fondamentali introdotti dal Regolamento europeo sulla protezione dei dati personali. La pronuncia infatti chiarisce che il Gdpr «impone una radicale rilettura dei comportamenti in materia di privacy, riconoscendo un ruolo specifico al titolare del trattamento, che non può più limitarsi ad un approccio puramente formale. Il Gdpr enuclea il principio dell'accountability, ossia della responsabilizzazione delle figure coinvolte nella gestione della privacy: quest'ultimo, tenuto conto della natura, del campo di applicazione, del contesto e delle finalità, nonché dei rischi per i diritti e le libertà delle persone fisiche, deve mettere in atto misure tecniche ed organizzative adeguate e costantemente aggiornate per garantire ed essere in grado di dimostrare che il trattamento sia effettuato conformemente al regolamento stesso. Un elemento introdotto dal Gdpr che risponde al principio suddetto - accanto al dovere del datore di lavoro di fornire adeguata informativa - è rappresentato dall'obbligo di eseguire un cd. Data protection impact assessment (Dpia), consistente in una valutazione preliminare di impatto posta a garanzia dei diritti del singolo, da espletare ogniqualvolta il trattamento dei dati comporti un rischio per i suoi diritti e le sue libertà: essa viene elaborata direttamente dal titolare e consiste nell'analisi di costi e rischi del trattamento, con predisposizione di eventuali contromisure. L'art. 35 Gdpr individua i casi in cui la valutazione d'impatto è necessaria. Con provvedimento n. 467 dell'11/10/2018 - avente per oggetto l'elenco delle tipologie di trattamenti soggetti al requisito di una valutazione di impatto sulla protezione dei dati ai sensi dell'art. 35 comma 4 del regolamento UE 2016/679 - il Garante della privacy ha stabilito l'obbligo del Dpia per tutti i trattamenti effettuati nell'ambito del rapporto di lavoro mediante sistemi tecnologici dai quali derivi la possibilità di effettuare un controllo a distanza dell'attività dei dipendenti».

CHE COSA E’ LA DPIA, QUANDO E’ NECESSARIA E COSA CONTIENE

L’art. 35 del Regolamento Europeo GDPR (Regolamento del 27/04/2016 - N. 679) chiarisce, come peraltro richiamato dalla medesima pronuncia, che la DPIA è “una valutazione dell'impatto dei trattamenti previsti sulla protezione dei datipersonali”. Il comma 3 distingue i casi in cui questo studio si impone come opportuno e necessario:

• una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
• il trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, o di datirelativi a condanne penali e a reati di cui all'articolo 10; 
• la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

Al seguente comma 4, vengono prescritte anche alcune regole circa la sua elaborazione e contenuto. Infatti è previsto che la DPIA, per rispondere al principio di “accountability” debba contenere:

• “a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l'interesse legittimo perseguito dal titolare del trattamento;
• b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
• c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; e
• d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.”

CONCLUSIONI

Alla luce delle considerazioni distese in sentenza appare chiaro come la Data protection impact assessment Dpia, ha lo stesso livello di importanza rispetto l’informativa ed è quindi un “requisito di legittimità” per il trattamento dei dati personali nel “campo” della serie di controlli a distanza mediante gli strumenti rilevanti ai fini dell'art. 4 dello statuto dei lavoratori. 

In conclusione l’azienda di trasporto, qui parte in causa, potrà impartire specifiche prescrizioni solo dopo una preventiva quanto esaustiva implementazione dello strumento della DPIA. Tutto questo in virtù di una legittima tutela del diritto dei datipersonali dei suoi stessi collaboratori.