Prendono il via i provvedimenti del Garante della Privacy fondati sui principi del Regolamento n. 679/2016. L’autorità ha recentemente imposto ad una società fornitrice di sistemi di geolocalizzazione per flotte aziendali il rispetto del principio di minimizzazione dei dati e dei principi della privacy by design e default.
La privacy va tutelata fin dalla fase di progettazione di un prodotto o di un servizio. Questo è quanto in sintesi si deduce dal provvedimento del Garante [doc. web. n. 9023246 del 28 giugno 2018] con cui sono state impartite prescrizioni non solo alla società che utilizzava i sistemi GPS sulle proprie auto aziendali in violazione della normativa privacy, ma anche imposti precisi obblighi al fornitore del servizio di geolocalizzazione, al quale il Garante ha intimato di incorporare il “diritto alla privacy” direttamente nelle funzionalità del prodotto, nel rispetto dei principi di minimizzazione dei dati e della privacy by design e by default. Solo così i clienti potranno fruire di un sistema integralmente adattabile alle proprie esigenze organizzative e di sicurezza.
La segnalazione era giunta al Garante da un dipendente della società che utilizzava tale sistema GPS sulle proprie auto aziendali con un servizio in abbonamento. Il lavoratore aveva denunciato nella sua segnalazione al Garante che la società per cui lavorava effettuava il trattamento di dati personali a lui riferiti mediante l’installazione di un dispositivo GPS a bordo dell’autovettura aziendale, senza una previa informativa o, comunque, senza la comunicazione di una policy aziendale che informasse dell’esistenza e delle caratteristiche sostanziali del sistema di geolocalizzazione (sulle auto vi era solo una vetrofania con una informativa minima).
Tale sistema tecnologico, secondo gli accertamenti poi condotti dalla GdF, permetteva al datore di lavoro di raccogliere e trattare i dati relativi alla posizione geografica del dipendente anche oltre l’orario di lavoro, dati che venivano conservati per un anno; i veicoli aziendali erano affidati con “autorizzazione all’utilizzo promiscuo”, senza obbligo di riconsegna del veicolo al termine della prestazione lavorativa, pertanto, potenzialmente potevano trattare dati personali anche di terzi estranei e raccogliere informazioni private del dipendente che nulla avevano a che fare con la prestazione lavorativa. Inoltre, sebbene il sistema fosse dotato di una funzionalità che consentiva la personalizzazione delle caratteristiche in riferimento alla periodizzazione temporale della rilevazione geografica e ai tempi di conservazione attraverso la selezione delle funzionalità astrattamente disponibili, il fornitore non aveva fornito adeguate istruzioni al cliente su tali funzioni, ma informava delle stesse solo su richiesta del cliente; il GPS poteva essere disattivato, ma tale funzione era disponibile solo in una versione avanzata del servizio in abbonamento che aveva un costo più elevato rispetto alla versione base.
Il Garante, quindi, ha innanzitutto vietato alla società l’ulteriore trattamento dei dati mediante tale sistema sui propri veicoli aziendali, ha imposto di modificare il termine di conservazione dei dati personali fissato a 365 giorni e gli intervalli temporali di rilevazione della posizione geografica dei veicoli oltre alla registrazione e ricostruzione di tutti i percorsi effettuati dal veicolo, prescrivendo alla società di fornire idonea informativa ai dipendenti; mentre ha ordinato al fornitore di adeguare il GPS alla normativa europea sul trattamento dei dati personali nel rispetto dei principi della privacy by design e default.
Il fornitore del servizio dunque dovrà informare a monte i propri clienti della possibilità di personalizzare le caratteristiche del servizio alle reali finalità perseguite, indipendentemente da una loro richiesta in tal senso, informandoli altresì della possibilità di modificare il sistema rispetto alla impostazione standard, selezionando le funzionalità disponibili e modificando i parametri principali in relazione alle finalità perseguite dal cliente/titolare del trattamento; mentre la funzione che permette la disattivazione del GPS dovrà essere resa disponibile senza costi eccessivi e per tutti i tipi di abbonamento al servizio. La società fornitrice dovrà inoltre intervenire proprio sul sistema nella versione standard configurandolo con modalità proporzionate rispetto al diritto alla riservatezza degli interessati, con specifico riferimento alla periodizzazione temporale della rilevazione della posizione geografica, ai tempi di conservazione dei dati ed alla messa a disposizione e memorizzazione delle mappe dei percorsi effettuati.
E' la prima volta che il Garante interviene imponendo prescrizioni, non solo ad un titolare del trattamento, ma anche al fornitore del servizio di tecnologia con cui si viola la privacy che in tale contesto ricopre il ruolo di responsabile del trattamento, intimandogli il rispetto dei principi di privacy by design e default sin dalla fase di progettazione e sviluppo del sistema tecnologico fornito, secondo quanto preordinato dall' art. 25 del Regolamento n. 679/2016.