Il Garante Privacy si è nuovamente pronunciato in tema di geolocalizzazione dei veicoli e, in particolare, in merito alla necessità per le imprese di trasporto che intendono avvalersi di tale tecnologia, di procedere ad una preliminare valutazione d’impatto (c.d. DPIA) ai sensi dell’articolo 35 del GDPR (i.e. Reg. UE n. 679/2016).
Con il Provvedimento n. 396 del 28 giugno 2018 l’Autorità sembra in effetti avere messo nero su bianco l’obbligo, per le imprese di trasporto che localizzano i mezzi, di procedere alla oramai nota analisi dei rischi, necessaria allorquando un trattamento di dati personali possa presentare un rischio elevato per coloro le cui informazioni sono raccolte ed utilizzate.
La localizzazione di un mezzo di trasporto è infatti questione delicata in quanto suscettibile di consentire in qualsiasi momento, sebbene anche solo indirettamente, di conoscere l’esatta ubicazione dell’autista con tutte le conseguenze del caso sia in tema di protezione dei dati, sia in tema di tutela del lavoratore la cui prestazione potrebbe essere monitorata a distanza.
Nel caso esaminato dal Garante, nato dalla segnalazione di un autista, è peraltro emerso come il software di localizzazione fosse stato venduto, dal fornitore del servizio all’impresa di trasporto, senza alcuna specifica indicazione delle misure organizzative potenzialmente adottabili per garantirne un utilizzo conforme alla normativa sulla privacy applicabile.
La menzionata circostanza rende ancor più evidente, a parere di chi scrive, l’importanza per le imprese – soprattutto laddove ci si avvalga di nuove tecnologie – di organizzare preventivamente un’analisi delle possibili implicazioni privacy sulla gestione dell’attività aziendale. Ciò anche al fine di tenere in debita considerazione le prescrizioni eventualmente già emanate dal Garante sul tema di volta in volta considerato.
In futuro, pertanto, le imprese di trasporto che per motivi di ottimizzazione dell’attività volessero impiegare un sistema di geolocalizzazione, dovranno cautelativamente predisporre un documento di valutazione d’impatto contenente tutti gli elementi previsti dalla legge, oltreché organizzare il relativo software nel rispetto delle misure di minimizzazione e protezione dei dati già rese note dal Garante nel contesto dei provvedimenti emanati negli ultimi anni sul tema.
(a cura dell’ufficio di Bologna – Avv. Valentina Saviotti – valentina.saviotti@studiozunarelli.com)