Provvedimento GPDP n. 232 del 18 aprile 2018

Provvedimento GPDP n. 232 del 18 aprile 2018 / Trattamento dati personali geolocalizzazione Personale di Security

ID 25379 | 12.03.2026

Provvedimento GPDP n. 232 del 18 aprile 2018
Verifica preliminare. Trattamento di dati personali mediante un sistema di localizzazione geografica dei dispositivi
aziendali - 18 aprile 2018 - Personale di Security
________

[…]

Adempimenti previsti dalla legge

Resta fermo che la società, prima dell'inizio dei descritti trattamenti, è tenuta in base alla normativa vigente a:

a. fornire ai dipendenti della società coinvolti dai descritti trattamenti un'informativa comprensiva di tutti gli elementi
contenuti nell'articolo 13 del Codice (tipologia di dati, finalità e modalità del trattamento, compresi i tempi di conservazione),
anche in conformità al principio di correttezza in base al quale il titolare è tenuto a rendere chiaramente riconoscibili agli
interessati i trattamenti che intende effettuare (art. 11, comma 1, lett. a), del Codice); in particolare la società è tenuta ad
informare circa le consentite condizioni d'uso dei dispositivi smartphone/tablet forniti in dotazione, specificando anche se e
a quali condizioni sia consentito l'uso a fini personali, e le conseguenze di eventuali abusi;
b. adottare le misure di sicurezza idonee a preservare l'integrità dei dati trattati e prevenire l'accesso agli stessi da parte di
soggetti non autorizzati;
c. predisporre misure al fine di garantire agli interessati l'esercizio dei diritti previsti dagli articoli 7 e seguenti del Codice. A
far data dal 25 maggio 2018 i diritti degli interessati sono disciplinati dagli artt. 15 e seguenti del Regolamento generale
sulla protezione dei dati (UE) 2016/679;
d. effettuare la notificazione al Garante ai sensi degli articoli 37 e ss., qualora il trattamento abbia effettivamente inizio prima
del 25 maggio 2018 (tenendo conto che tale adempimento non sarà più dovuto in data successiva al 25 maggio p.v.)

[…]

Il Garante ai sensi dell'articolo 17 del Codice, a conclusione della verifica preliminare:

1. ammette il trattamento di dati personali da parte di Sicuritalia S.p.A. mediante il sistema di localizzazione geografica dei
dispositivi aziendali, illustrato nei termini di cui in motivazione, e prescrive che la società, quali misure necessarie, debba:

a. configurare il sistema in modo tale che sul dispositivo sia posizionata un'icona che indichi che la funzionalità di
localizzazione è attiva;
b. configurare il sistema in modo da consentire la disattivazione della funzionalità di localizzazione durante le pause
consentite dell'attività lavorativa;
c. configurare il sistema in modo da oscurare la visibilità della posizione geografica decorso un periodo determinato
di inattività dell'operatore sul monitor presente nella centrale operativa relativamente a tale funzionalità;
d. individuare profili differenziati di autorizzazione relativi alle diverse tipologie di dati e di operazioni eseguibili;
e. individuare i tempi di conservazione dei dati in concreto trattati tenendo conto delle finalità perseguite;
f. predisporre i rapporti per i clienti privi di qualunque riferimento che consenta l'identificazione di dipendenti;
g. procedere alla designazione quale responsabile esterno del trattamento il fornitore del software NavNet;
h. predisporre periodiche verifiche di test sulla funzionalità "eccesso sosta" e l'affidabilità dei parametri adottati, in
vista della valutazione di eventuali falsi positivi o negativi effettuati dal sistema e la conseguente predisposizione di
correttivi a tutela della qualità dei dati trattati.
...
segue allegato

Collegati
Privacy: il Nuovo Regolamento (UE) 2016/679
Regolamento Privacy | Regolamento (UE) 2016/679
D.Lgs. 196/2003 Codice protezione dati personali | GDPR
Decreto 22 gennaio 2010
Circolare INL n. 1511 del 16 febbraio 2026
Legge 20 maggio 1970 n. 300