In sintesi il GDPR vieta che i dati
personali (nella fattispecie le
posizioni satellitari GPS)
vengano archiviati in luoghi del
mondo dove non vigono i diritti
e le tutele del GDPR. Sono
ammessi anche webserver
extraeuropei, purchè residenti
in nazioni dove vigono diritti e
tutele conformi al GDPR europeo
(artt. 45-46 GDPR). Es.
Argentina, Israele, Svizzera,
Australia, Nuova Zelanda,
Canada, Giappone, Uruguay, Corea
del Sud e alcuni stati
minori. E' inclusa anche
l'Inghilterra, che però nel 2022
ha dichiarato di voler mettere
in atto una 'Data Reform Bill'
meno complessa, meno burocratizzata e meno penalizzante
per l'economia rispetto al GDPR. E
sono inclusi anche
gli USA, in virtù dell'accordo 'Data privacy framework'
firmato nel luglio 2023 con
l'Europa. Ma il resto del mondo 'non-GDPR',
fra cui Cina, Brasile, India,
Russia, Messico e nazioni del
sud-est asiatico, dispone
complessivamente di circa il 70% delle
risorse informatiche globali e
produce circa l'85%
dell'elettronica di consumo globale.
All'atto pratico il problema
potrebbe sorgere
quando una persona, poniamo
un dipendente aziendale, che
è stata
controllata dall'azienda con un localizzatore
satellitare GPS,
viene colta dal dubbio che alcuni aspetti connessi al GDPR
non siano stati
rispettati.
|
In
questo caso il dipendente può esercitare il
diritto di cui all'articolo 15
GDPR comma 1 lett. C, inoltrando una PEC all'azienda
che ha effettuato il controllo. Cioè al titolare del trattamento
dati personali previsto dall'art. 4
del GDPR. In molti casi casi
si tratta di un controllo flotta
aziendale tramite GPS. Questa
richiesta
obbliga l'azienda a
fornire alcune informazioni entro 30
giorni. L'informazione più importante è
l'ubicazione del
webserver nel quale è installata la piattaforma WEB. Il
dipendente che è stato
controllato nei
suoi spostamenti potrà quindi
verificare se i dati delle tracciature GPS che
lo riguardano sono rimasti dentro
dentro lo Spazio Economico Europeo
(o in altri luoghi del mondo
dove vigono diritti e tutele
conformi al GDPR europeo).
Il dipendente
ha altresì il diritto di consultare i dati raccolti,
ad es. per verificare il principio
di proporzionalità e minimizzazione dei
controlli nella sua sfera privata o
per predisporre tesi difensive (artt.
5, par. 1, lett. a, 12 e 15 del
GDPR, rif. provvedimento Garante
290 del 6/7/2023).
Ma a volte le aziende non
dispongono di informazioni sui
webserver e sulle piattaforme
GPS perchè ricorrono a
servizi di tracking GPS basati in oriente. Oppure
dispongono di informazioni
frammentarie desunte da
semplici servizi online di
tracciatura degli IP. Ne
consegue il rischio di
contestazioni e sanzioni. |
La questione dei server
extraeuropei è nota dal
2018. Ma solo in tempi recenti ha
assunto una certa consistenza.
Conviene utilizzare dei
servizi per la geolocalizzazione con
webserver assoggettati GDPR e
dove siano noti i gestori del
software e del server fisico, indirizzo e nominativo
della struttura che ospita il server
(hosting),
criteri e livelli di sicurezza del
server,
durata della memorizzazione dei
dati nel server (inclusi i
backup di sicurezza) e l'elenco
dei requisiti 'privacy by design -
privacy by default' art.
25 GDPR.
Approfondimenti dello Studio Legale Cataldi
sul tema...
Il nostro blog.
Vedi...
Altre pagine
connesse
all'argomento:
Scoprire un
localizzatore GPS
nascosto sotto ad un
veicolo.
Vedi...
Scoprire se siamo
pedinati con un
localizzatore GPS.
Vedi...
Costruire un
basilare localizzatore
GPS di emergenza in un
minuto.
Vedi...
Cos'è il Geofence GPS e quale utilità può avere?
Vedi...
Doppio localizzatore
GPS: una soluzione
antifurto efficace.
Vedi...
Servizi tecnici e
difesa elettronica.
Vedi...
|
|