Lo scorso 9 novembre, l’European Data Protection Board ha reso nota una decisione adottata dall’Autorità di controllo slovena il 4 ottobre 2022, avente ad oggetto l’utilizzo del legittimo interesse quale base giuridica per il trattamento sotteso al tracciamento GPS.
Seguendo un ragionamento simile a quello effettuato dal Garante italiano, l’Autorità slovena, nella decisione in commento, ha chiarito che, in taluni casi, garantire la sicurezza della proprietà può essere un interesse legittimo del titolare del trattamento ai sensi dell’art. 6, par. 1, lett. f) del Regolamento UE 679/2016 (cosiddetto “GDPR”).
Il quadro normativo rilevante e i provvedimento del Garante privacy italiano
Ai sensi del Considerando 47 del GDPR, l’interesse legittimo del titolare può fondare lecitamente un trattamento di dati “a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato, tenuto conto delle ragionevoli aspettative nutrite dall’interessato in base alla sua relazione con il titolare del trattamento”.
Il Considerando indica alcune attività che potrebbero costituire un legittimo interesse del titolare, tra cui la prevenzione delle frodi.
Ulteriori attività che possono integrare un legittimo interesse del titolare ai sensi dell’art. 6, par. 1, lett. f) sono state individuate dall’EDPB che, nelle Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video adottate del gennaio 2020, ha chiarito che – in presenza di una situazione di reale rischio – la tutela della proprietà da furti può costituire un legittimo interesse, purché non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato.
Volgendo lo sguardo all’impostazione adottata dall’Autorità garante per la protezione dei dati personali italiana, risulta utile la lettura dei provvedimenti n. 138 del 16 marzo 2017 e n. 247 del 24 maggio 2017 in materia di geolocalizzazione delle flotte aziendali.
In tale contesto, in applicazione della disciplina sul cosiddetto “bilanciamento di interessi”, l’Autorità ha individuato un legittimo interesse al trattamento di tale tipologia di dati in relazione alle finalità rappresentate, precisando, in ogni caso, che:
-
i dati devono essere trattati dal sistema con una periodizzazione temporale strettamente aderente ai principi di pertinenza e non eccedenza in relazione alle finalità perseguite;
-
i dati identificativi dei conducenti devono essere trattati solo nel momento in cui ciò si renda necessario per impartire disposizioni a fronte di richieste di intervento, segnalazioni ed emergenze;
-
il titolare è tenuto ad individuare un breve termine di conservazione ritenuto necessario per la ricezione e la valutazione della denuncia di sinistro da parte del personale addetto, cancellando i dati non necessari al perseguimento delle finalità identificate nel bilanciamento di interessi;
-
il sistema deve essere configurato in modo da consentire l´accesso ai dati trattati al solo personale incaricato (per esempio, assegnando credenziali di autenticazione differenziate), nonché la cancellazione automatica (ovvero l’anonimizzazione) dei dati dopo la decorrenza dei termini di conservazione.
La decisione dell’Autorità slovena
Nel caso sottoposto al vaglio dell’Autorità slovena, diversamente da quanto prospettato dal titolare del trattamento, quest’ultima, seguendo un ragionamento simile a quello effettuato dal Garante italiano, ha concluso che nel caso sottoposto al suo esame il titolare non ha dimostrato che il trattamento era effettuato in modo appropriato e necessario.
In particolare, sarebbe emerso che la localizzazione GPS era stata effettuata anche mentre il veicolo e i beni in esso contenuti erano sotto la costante e diretta supervisione della società e che, in buona sostanza, il trattamento si risolveva in uno sproporzionato monitoraggio costante della posizione del dipendente.
Alla luce delle suesposte considerazioni, pertanto, il Garante sloveno ha ordinato al titolare del trattamento di interrompere l’elaborazione dei dati dei dipendenti raccolti tramite il tracciamento GPS continuo, sistematico e automatico.
Ariella Fonsi
