Obbligo di notifica del trattamento scatta se il titolare è in grado di ricostruire il percorso effettuato dagli automezzi e di identificare il personale dipendente alla guida del veicolo

Scarica PDF Stampa
Garante per la protezione dei dati personali: provvedimento n.386 del 14 Giugno 2018

Riferimenti normativi: artt.163, 37, 38 del Codice in materia di protezione dei dati personali; art. 8, L. 300/1970

Fatto

Il nucleo speciale privacy della Guardia di Finanza aveva svolto degli accertamenti nei confronti di una Società operante nel campo del trasporto merce su strada al fine di accertare il corretto trattamento dei dati operato dalla stessa e posto in essere attraverso l’utilizzo di dispositivi di rilevazione della posizione.
In particolare la Guardia di finanza aveva avuto modo di accertare che la Società di trasporti, la quale effettuava trasporti su strada esclusivamente nell’interesse di una società appaltante, aveva installato su quattro automezzi di sua proprietà dei dispositivi di geolocalizzazione – questi ultimi di proprietà della società appaltante – al fine di aumentare la sicurezza del patrimonio aziendale rispetto ai furti, di ottimizzare i costi aziendali riducendo i chilometri a vuoto e permettere la geolocalizzazione della merce trasportata, dando contezza di ciò ai propri dipendenti attraverso un’informativa.
In base a quanto emerso dalle verifiche effettuate, la Guardia di Finanza aveva individuato quale titolare del trattamento dei dati personali, posto in essere mediante il sistema di geolocalizzazione, la Società di trasporti, rilevando contestualmente la violazione dell’obbligo di notificazione al Garante in relazione al trattamento dei dati che indicano la posizione geografica di persone ed oggetti mediante una rete di comunicazione elettronica.
La Società, raggiunta da una siffatta contestazione, ha chiarito la sua posizione rappresentando in primo luogo che la titolarità del trattamento dei dati non era in capo ad essa, ma viceversa alla società appaltante proprietaria dei sistemi di geolocalizzazione. Secondo la ricostruzione data, infatti, la società appaltante era l’unica a prendere decisioni in ordine alle finalità, modalità di trattamento dei dati, e agli strumenti utilizzati, evidenziato inoltre che il sistema di GPS era stato installato dalla società appaltante per soddisfare unicamente una sua esigenza logistica dei trasporti.
In secondo luogo la Società ha fatto presente che nel caso di specie mancavano i requisiti della continuità della localizzazione (la rilevazione avveniva ogni 3 minuti, interrotta poi per i successivi 2 minuti e 59 secondi, con una conservazione delle ultime 7 rilevazioni per soli 21 minuti) e della idoneità ad identificare l’interessato. In merito a questo aspetto la Società aveva, infatti, evidenziato che il sistema di geolocalizzazione non era in grado di identificare chi era in un dato luogo, ma solo dove si trovava il veicolo. La eventuale verifica di chi era alla guida del veicolo necessitava di una ulteriore attività deduttiva non automatica e non immediata.

La decisione del Garante

Il Garante, valutate le dichiarazioni della Società, ha confermato le contestazioni mosse dalla Guardia di Finanza. Il Garante, infatti, ha riconosciuto in capo alla Società di trasporti la titolarità del trattamento dei dati operato attraverso i sistemi di geolocalizzazione installati sulle 4 autovetture di sua proprietà, confermando la violazione dell’obbligo di notificazione al Garante nonché ha rilevato l’illecito trattamento dei dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica, operato dalla Società stessa.
Con riguardo all’aspetto della titolarità del trattamento dei dati, il Garante ha rilevato che nello svolgimento dei servizi di trasporto nell’interesse della società appaltante, la Società di trasporti si era solo avvalsa dei dispositivi di geolocalizzazione forniti dalla società appaltante, ma la finalità dell’installazione era ad essa riconducibile, volendo con l’installazione dei dispositivi GPS aumentare la sicurezza del patrimonio aziendale rispetto a furti, ottimizzare i costi aziendali riducendo i chilometri a vuoto e permettere la geolocalizzazione della merce trasportata. Tanto che la Società di trasporti aveva correttamente informato i propri dipendenti della presenza dei GPS sulle autovetture aziendali nonché aveva richiesto l’autorizzazione all’installazione alla ITL in ossequio della previsione legale contenuta nello Statuto dei Lavoratori.
Tenuto conto di tutto ciò, oltre al fatto che la Società di trasporti poteva accedere ai dati attraverso un portale accessibile con l’inserimento di username e password, il Garante aveva concluso ritenendo che le decisioni in ordine alle finalità, alle modalità del trattamento dei dati personali e agli strumenti utilizzati erano nel caso di specie riconducibili anche alla Società di trasporti.
In ultimo con riferimento al requisito della continuità il Garante ha ribadito quanto già in altre occasioni stabilito, ovverosia che la localizzazione deve essere notificata quando permette di individuare in maniera continuativa, anche con intervalli, l’ubicazione di un veicolo sul territorio o in determinate aree geografiche. Pertanto il Garante ha ritenuto sussistente il requisito della continuità qualora il titolare del trattamento sia in grado di individuare automaticamente, o meno, sia la posizione del veicolo geolocalizzato, prescindendo dalla possibilità o meno di una tracciatura costante in via automatica di tutto il percorso effettuato dal veicolo geolocalizzato. Il Garante ha poi dato la definizione di continuità, ritenendo che questa debba intendersi come la rilevabilità della posizione del mezzo ogni qualvolta il titolare del trattamento abbia questa esigenza conoscitiva e anche laddove la eventuale ricostruzione del tracciato del percorso effettuato risulti particolarmente laboriosa, potendo al contempo risalire alla identità del conducente anche indirettamente. Nel caso di specie la Società di trasporti aveva i mezzi per risalire all’identità del conducente del veicolo, non solo attraverso un numero di cellulare ma anche per il fatto che ogni veicolo era assegnato ad un determinato autista, o ancora consultando il cronotachigrafo, che per legge deve contenere anche i dati identificativi dell’autista.
Tenuto in considerazione quanto precedentemente pronunciato, il Garante ha riconosciuto nella condotta della Società di trasporti, la quale era in grado di ricostruire il percorso effettuato dagli automezzi e di identificare il personale dipendente alla guida del veicolo, una condotta lesiva dell’obbligo di notificazione.

Potrebbe interessarLe anche: “Il divieto di geolocalizzazione sulle macchine aziendali”.

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento