|
In sintesi il GDPR vieta che i dati
personali (nella fattispecie le
posizioni satellitari GPS)
vengano archiviati in luoghi del
mondo dove non vigono i diritti
e le tutele del GDPR. Sono
ammessi anche webserver
extraeuropei, purchè residenti
in nazioni dove vigono diritti e
tutele conformi al GDPR europeo
(artt. 45-46 GDPR). Es.
Argentina, Israele, Svizzera,
Australia, Nuova Zelanda,
Canada, Giappone, Uruguay, Corea
del Sud e alcuni stati
minori. E' inclusa anche
l'Inghilterra, che però nel 2022
ha dichiarato di voler mettere
in atto una 'Data Reform Bill'
meno complessa, meno burocratizzata e meno penalizzante
per l'economia rispetto al GDPR. E
sono inclusi anche
gli USA, in virtù dell'accordo 'Data privacy framework'
firmato nel luglio 2023 con
l'Europa. Ma il resto del mondo 'non-GDPR',
fra cui Cina, Brasile, India,
Russia, Messico e nazioni del
sud-est asiatico, dispone
complessivamente di circa il 70% delle
risorse informatiche globali e
produce circa l'85%
dell'elettronica di consumo globale.
All'atto pratico il problema
potrebbe sorgere
quando una persona, poniamo
un dipendente aziendale, che
è stata
controllata dall'azienda con un localizzatore
satellitare GPS,
viene colta dal dubbio che alcuni aspetti connessi al GDPR
non siano stati
rispettati.
|
In
questo caso il dipendente può esercitare il
diritto di cui all'articolo 15
GDPR comma 1 lett. C, inoltrando una PEC all'azienda
che ha effettuato il controllo. Cioè al titolare del trattamento
dati personali previsto dall'art. 4
del GDPR. In molti casi casi
si tratta di un controllo flotta
aziendale tramite GPS. Questa
richiesta
obbliga l'azienda a
fornire alcune informazioni entro 30
giorni. L'informazione più importante è
l'ubicazione del
webserver nel quale è installata la piattaforma WEB. Il
dipendente che è stato
controllato nei
suoi spostamenti potrà quindi
verificare se i dati delle tracciature GPS che
lo riguardano sono rimasti dentro
dentro lo Spazio Economico Europeo
(o in altri luoghi del mondo
dove vigono diritti e tutele
conformi al GDPR europeo).
Il dipendente
ha altresì il diritto di consultare i dati raccolti,
ad es. per verificare il principio
di proporzionalità e minimizzazione dei
controlli nella sua sfera privata o
per predisporre tesi difensive (artt.
5, par. 1, lett. a, 12 e 15 del
GDPR, rif. provvedimento Garante
290 del 6/7/2023).
Ma a volte le aziende non
dispongono di informazioni sui
webserver e sulle piattaforme
GPS perchè ricorrono a
servizi di tracking GPS basati in oriente. Oppure
dispongono di informazioni
frammentarie desunte da
semplici servizi online di
tracciatura degli IP. Ne
consegue il rischio di
contestazioni e sanzioni. |
La questione dei server
extraeuropei è nota dal
2018. Ma solo in tempi recenti ha
assunto una certa consistenza.
Conviene utilizzare dei
servizi per la geolocalizzazione con
webserver assoggettati GDPR e
dove siano noti i gestori del
software e del server fisico, indirizzo e nominativo
della struttura che ospita il server
(hosting),
criteri e livelli di sicurezza del
server,
durata della memorizzazione dei
dati nel server (inclusi i
backup di sicurezza) e l'elenco
dei requisiti 'privacy by design -
privacy by default' art.
25 GDPR.
Approfondimenti dello Studio Legale Cataldi.
I nostri servizi.
Vedi.
Altre pagine
connesse
all'argomento nel
nostro blog.
Vedi.
|
|
