Anche il gps deve rispettare la privacy degli utenti. Sin dalla sua progettazione. Per la prima volta il Garante della privacy ha intimato a un fornitore di servizi di geolocalizzazione di “incorporare” il diritto alla privacy nelle funzionalità del prodotto. In applicazione del regolamento europeo, l’Autorità ha imposto il rispetto del principio di minimizzazione dei dati e di privacy by design e by default. In modo che il cliente abbia a disposizione un sistema in tutto adattabile alle proprie esigenze organizzative e di sicurezza.
Il servizio standard dovrà essere rimodulato, con particolare riguardo agli intervalli temporali di rilevazione della posizione geografica dei veicoli – al momento fissati tra i 30 e i 120 secondi – e ai tempi di conservazione dei dati – ora stabiliti in 365 giorni – nonché alla memorizzazione e messa a disposizione delle mappe di tutti i percorsi effettuati. La società dovrà, inoltre, informare i propri clienti della possibilità di adattare le caratteristiche del servizio alle concrete finalità perseguite. La funzione che consente la disattivazione del Gps dovrà essere resa disponibile per tutti i tipi di abbonamento al servizio senza costi aggiuntivi eccessivi.
L’intervento del Garante ha preso l’avvio dalla segnalazione di un dipendente di una società che utilizza il servizio di localizzazione sulla propria flotta aziendale. Si è reso necessario intervenire a causa della diffusione sul mercato del servizio con caratteristiche non conformi alla normativa in materia di protezione dei dati e a quella sui controlli a distanza dei lavoratori.
Dagli accertamenti, svolti dall’Autorità con la collaborazione della Guardia di Finanza, è emerso, infatti, che il sistema consentiva il monitoraggio continuo dell’attività del dipendente senza che i lavoratori ne fossero informati. Configurando così una violazione dei principi di necessità e proporzionalità. In più, visto che le autovetture potevano essere utilizzate anche al di fuori dell’orario di lavoro e dai familiari dei dipendenti, la attività di raccolta e conservazione dei dati derivanti dalla geolocalizzazione del veicolo risultava sproporzionata. Consentiva tra l’altro di raccogliere informazioni sul lavoratore non rilevanti rispetto allo svolgimento dell’attività lavorativa, in violazione dell’art. 8 dello Statuto dei lavoratori, nonché su terzi estranei.
Il Garante ha, quindi, vietato l’ulteriore trattamento dei dati alla società che ha installato il sistema e ha prescritto al fornitore di adeguare il sistema alla disciplina europea sulla protezione dei dati.
