Richiedi una consulenza in studio gratuita!

Servizio di geolocalizzazione e privacy


La valutazione di impatto nel trattamento dei dati nella giurisprudenza amministrativa
Servizio di geolocalizzazione e privacy

Una società di trasporto, che vuole ottimizzare l'uso dei propri mezzi, può fornirsi di servizi di geolocalizzazione. Occorrerà tuttavia “perimetrare” accuratamente e preventivamente il corretto trattamento dei dati personali compiendo un’obbligatoria valutazione d’impatto, cosi come previsto dal Regolamento Europeo GDPR, da presentare alle rappresentanze sindacali o all'Ispettorato del lavoro.

Lo ha chiarito il TAR Emilia - Romagna, sez. II, con la sentenza n. 618 del 29 luglio 2022 nel caso di una società partecipata che aveva appunto 100 mezzi in dotazione. 

Molto interessanti le riflessioni tese in sentenza rispetto ai principi fondamentali introdotti dal Regolamento europeo sulla protezione dei dati personali. La pronuncia infatti chiarisce che il Gdpr «impone una radicale rilettura dei comportamenti in materia di privacy, riconoscendo un ruolo specifico al titolare del trattamento, che non può più limitarsi ad un approccio puramente formale. Il Gdpr enuclea il principio dell'accountability, ossia della responsabilizzazione delle figure coinvolte nella gestione della privacy: quest'ultimo, tenuto conto della natura, del campo di applicazione, del contesto e delle finalità, nonché dei rischi per i diritti e le libertà delle persone fisiche, deve mettere in atto misure tecniche ed organizzative adeguate e costantemente aggiornate per garantire ed essere in grado di dimostrare che il trattamento sia effettuato conformemente al regolamento stesso. Un elemento introdotto dal Gdpr che risponde al principio suddetto - accanto al dovere del datore di lavoro di fornire adeguata informativa - è rappresentato dall'obbligo di eseguire un cd. Data protection impact assessment (Dpia), consistente in una valutazione preliminare di impatto posta a garanzia dei diritti del singolo, da espletare ogniqualvolta il trattamento dei dati comporti un rischio per i suoi diritti e le sue libertà: essa viene elaborata direttamente dal titolare e consiste nell'analisi di costi e rischi del trattamento, con predisposizione di eventuali contromisure. L'art. 35 Gdpr individua i casi in cui la valutazione d'impatto è necessaria. Con provvedimento n. 467 dell'11/10/2018 - avente per oggetto l'elenco delle tipologie di trattamenti soggetti al requisito di una valutazione di impatto sulla protezione dei dati ai sensi dell'art. 35 comma 4 del regolamento UE 2016/679 - il Garante della privacy ha stabilito l'obbligo del Dpia per tutti i trattamenti effettuati nell'ambito del rapporto di lavoro mediante sistemi tecnologici dai quali derivi la possibilità di effettuare un controllo a distanza dell'attività dei dipendenti».

CHE COSA E’ LA DPIA, QUANDO E’ NECESSARIA E COSA CONTIENE

L’art. 35 del Regolamento Europeo GDPR (Regolamento del 27/04/2016 - N. 679) chiarisce, come peraltro richiamato dalla medesima pronuncia, che la DPIA è “una valutazione dell'impatto dei trattamenti previsti sulla protezione dei datipersonali”. Il comma 3 distingue i casi in cui questo studio si impone come opportuno e necessario:

  • una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
  • il trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, o di datirelativi a condanne penali e a reati di cui all'articolo 10; 
  • la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

Al seguente comma 4, vengono prescritte anche alcune regole circa la sua elaborazione e contenuto. Infatti è previsto che la DPIA, per rispondere al principio di “accountability” debba contenere:

  • a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l'interesse legittimo perseguito dal titolare del trattamento;
  • b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
  • c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; e
  • d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.”

CONCLUSIONI

Alla luce delle considerazioni distese in sentenza appare chiaro come la Data protection impact assessment Dpia, ha lo stesso livello di importanza rispetto l’informativa ed è quindi un “requisito di legittimità” per il trattamento dei dati personali nel “campo” della serie di controlli a distanza mediante gli strumenti rilevanti ai fini dell'art. 4 dello statuto dei lavoratori. 

In conclusione l’azienda di trasporto, qui parte in causa, potrà impartire specifiche prescrizioni solo dopo una preventiva quanto esaustiva implementazione dello strumento della DPIA. Tutto questo in virtù di una legittima tutela del diritto dei datipersonali dei suoi stessi collaboratori. 

 

Articolo del:



L'autore dell'articolo non è nella tua città?

Cerca un professionista con le stesse caratteristiche a te più vicino.

Cerca nella tua città o in una città di tuo interesse

Altri articoli del professionista

Green Pass e privacy: un matrimonio discusso ma felice

Il Green Pass è un pericolo per la protezione dei dati personali in ambito sanitario?

Continua

Privacy e storie di password

Password: come formularle? Cosa si rischia per il loro uso improprio? In questo articolo proponiamo suggerimenti ed esempi tratti dalla Giurisprudenza

Continua

Privacy e videosorveglianza nei condomini

Come armonizzare l’esigenza di riservatezza e privacy con l’utilizzo dei sistemi di videosorveglianza all’interno dei condomini

Continua

Green Pass e privacy sul lavoro

Consegna di copia della certificazione verde per i lavoratori del settore pubblico e privato: quali sono le perplessità relative alla privacy

Continua

Privacy e cyberbullismo: scenari e ambiti di applicazione

Come la regolamentazione privacy si integra nella tutela del minore vittima di cyberbullismo

Continua

Privacy e diritto di difesa

Il datore di lavoro, per esercitare il proprio diritto alla difesa, estrae documenti contenenti dati personali dal PC aziendale del dipendente. Può farlo?

Continua

Privacy e Green Pass: ennesima puntata

Quando è necessario il “Green Pass Rafforzato”?

Continua

“Diritto all'oblio”, privacy on web

Quali sono le responsabilità dei web provider? Riportiamo una sentenza esemplare

Continua

Telemarketing selvaggio e privacy

Quali sono i nuovi strumenti di difesa? Le ultime novità proposte dal Garante

Continua

Fidelity card e privacy

Come possiamo tutelare e proteggere i nostri dati personali?

Continua

Ahi ahi la privacy! Cosa si rischia in caso di violazioni

Breve guida sui rischi sanzionatori a carico di chi fa un uso scorretto dei dati personali

Continua

“Phishing”, la “Pesca” dei nostri dati personali

In cosa consiste e come evitare spiacevoli furti della nostra privacy!

Continua

Anagrafe nazionale degli assistiti: step privacy in ambito sanitario

Anagrafe nazionale degli assistiti: cos'è e come funziona e il potenziamento del Fascicolo sanitario elettronico

Continua

Cosa sono i “Cookie” e quale è il loro impatto sulla privacy?

Cosa sono i famigerati “Cookie” e quale è la loro importanza circa un corretto utilizzo in materia di privacy?

Continua

Privacy, minori e new tecnology

I rischi di un uso “inconsapevole” degli strumenti della nuova tecnologia da parte dei minori e possibilità di tutela

Continua

Diritto di cronaca ed esercizio della privacy

Quali sono i limiti per l'esercizio del diritto di cronaca? Qual è il rapporto con la privacy e quali i criteri per bilanciare le rispettive esigenze?

Continua

Qualcuno ha violato la tua privacy?

Contatta il Garante…Presenta un Reclamo…fai così!

Continua

Privacy Vs. trasparenza amministrativa 1-0

Cosa accade quando le “esigenze” di privacy in materia sanitaria si scontrano con quelle legate alla trasparenza amministrativa

Continua

Il caso Tik Tok: la base giuridica del consenso al trattamento del dato

Come di riconosce il presupposto giuridico che rende il trattamento lecito

Continua

Privacy e video sorveglianza, un caso sempre aperto

Tutela alla sicurezza per il proprietario di un immobile o privacy del vicino di casa? Questo è il problema...

Continua