Vuoi ricevere i nostri aggiornamenti?

Registrati per accedere ai contenuti riservati e iscriverti alla nostra newsletter
Registrati
Back

Localizzazione veicoli aziendali, il trattamento e lecito solo nel rispetto dei principi “privacy”

19/09/2018
Eleonora Lenzi

Provvedimento del garante per la protezione dei dati personali n. 396 del 28/6/2018

In seguito ad un segnalazione effettuata da un dipendente nei confronti del proprio datore di lavoro e degli accertamenti svolti, il Garante per la protezione dei dati personali ha emesso un provvedimento tanto nei confronti del datore di lavoro, titolare del trattamento, che del fornitore del servizio, responsabile esterno.

In particolare:

  1. ha ritenuto illecito il trattamento di dati personali effettuato dal datore di lavoro tramite il sistema di localizzazione utilizzato, vietando l’ulteriore trattamento
  2. ha ingiunto al terzo fornitore del sistema GPS di
  • informare i propri clienti della possibilità di modificare la configurazione standard del servizio fornito conformemente alle finalità perseguite
  • configurare comunque la versione standard dei servizi secondo i principi della privacy by default e by design di cui al Reg. 679/2016.

All’esito dell’istruttoria effettuata, Il Garante ha ritenuto il trattamento illecito in quanto sia le modalità di raccolta dei dati sia i tempi di conservazione, estremamente lunghi, non rispettavano i principi di proporzionalità e di necessità in relazione alle finalità dichiarate dal datore di lavoro. Inoltre il sistema di localizzazione veniva utilizzato in modalità standard non avendo fornito il datore di lavoro alcuna indicazione specifica al fornitore terzo sulle caratteristiche essenziali del trattamento da effettuare.

In definitiva, sostiene il Garante, il titolare non ha provveduto a configurare il sistema tecnologico mediante misure adeguate a garantire che fossero trattati, per impostazione predefinita (by default) solo i dati necessari per ogni finalità di trattamento individuata.

In ogni caso, inoltre, ai dipendenti deve essere fornita idonea informativa circa le caratteristiche essenziali dei trattamenti dei loro dati personali effettuati tramite sistemi di localizzazione.

Il Garante ha ritenuto altresì necessario impartire al fornitore del servizio di localizzazione l’obbligo di adozione di alcune misure, ovvero

  • in applicazione dell’art. 58 del Reg. 679/2016 il fornitore del servizio è tenuto a comunicare a tutti i propri clienti la possibilità di modificare le impostazioni standard modificando i parametri principali secondo le finalità perseguite dal cliente/titolare del trattamento
  • in ogni caso anche la versione standard del servizio deve essere configurata con modalità tali da consentire il rispetto della riservatezza degli interessati e tenuto conto dei principi di minimizzazione e di privacy by default e by design.
Diritto delle Imprese Privacy
Share