GRUPPO DI LAVORO PER LA TUTELA DEI DATI EX ART. 29 Parere 13/2011 - WP 185 sui servizi di geolocalizzazione su dispositivi mobiliintelligenti Adottato il 16 maggio 2011 INDICE 4.2.1 Applicabilità della direttiva e-privacy modificata 4.2.2 Applicabilità della direttiva sulla protezione dei dati 5. Obblighi derivanti dalle leggi sulla protezione dei dati 5.1 Responsabile del trattamento 5.1.1 Responsabili di un'infrastruttura di geolocalizzazione 5.1.2 Fornitori di applicazioni e servizi di geolocalizzazione 5.1.3 Sviluppatore del sistema operativo 5.2 Responsabilità di altre parti 5.3.1 Dispositivi mobili intelligenti 5.5 Diritti della persona interessata 5.6 Periodi di conservazione dei dati IL GRUPPO PER LA TUTELA DELLE PERSONECON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI istituito dalla direttiva 95/46/CE del Parlamento europeo e delConsiglio, del 24 ottobre 1995, visti l'articolo 29 e l'articolo 30, paragrafo 1, lettera a), eparagrafo 3, della succitata direttiva, visto il proprio regolamento interno, HA ADOTTATO IL PRESENTE DOCUMENTO: L'informazione geografica svolge un ruolo importante nella nostrasocietà. Quasi tutte le attività e le decisioni umane presentano una componentegeografica e, in generale, il valore dell'informazione aumenta se è collegata aun luogo. Tutti i tipi di informazioni, quali dati finanziari, dati sanitari ealtri dati comportamentali dei consumatori, si possono collegare a unaubicazione geografica. Con il rapido sviluppo tecnologico e l'ampia diffusionedi dispositivi mobili intelligenti, si sta sviluppando un'intera nuovacategoria di servizi basati sulla localizzazione geografica. Il presente parere ha l'obiettivo di chiarire il quadro giuridicoapplicabile ai servizi di geolocalizzazione disponibili su dispositivi mobiliintelligenti (e/o generati dagli stessi) che possono connettersi a Internet esono dotati di sensori sensibili alla posizione, come i sensori GPS. Esempi ditali servizi sono mappe e navigazione, servizi geografici personalizzati(compresi punti di interesse vicini), realtà aumentata, geotagging di contenutisu Internet, individuazione della posizione di amici, controllo di minori epubblicità basata sulla localizzazione. Il parere tratta inoltre dei tre principali tipi di infrastruttureutilizzate per fornire servizi di geolocalizzazione, segnatamente GPS, stazionibase GSM e WiFi. Una particolare attenzione è dedicata alle nuoveinfrastrutture basate sulla localizzazione di punti di accesso WiFi. Il Gruppo di lavoro è consapevole dell'esistenza di molti altriservizi che elaborano dati relativi all'ubicazione che possono sollevarepreoccupazioni in merito alla protezione dei dati. Questi servizi vanno dallebiglietterie elettroniche ai sistemi di pedaggio elettronico, dai servizi dinavigazione satellitare al tracciamento della posizione con l'aiuto, adesempio, di telecamere, nonché la geolocalizzazione di indirizzi IP. Tuttavia,in considerazione dei rapidi sviluppi tecnologici concernenti in particolare lamappatura dei punti di accesso wireless, unitamente al fatto che nuovioperatori di mercato si stanno preparando a sviluppare nuovi servizi di geolocalizzazionebasati su una combinazione di dati da stazioni base, GPS e WiFi, il Gruppo dilavoro ha deciso di chiarire specificamente i requisiti legali relativi aquesti servizi ai sensi della direttiva sulla protezione dei dati. Il parere descrive innanzitutto la tecnologia, successivamenteindividua e valuta i rischi per la privacy e infine esprime delle conclusioniin merito all'applicazione degli articoli di legge pertinenti ai variresponsabili che raccolgono e trattano dati sulla posizione geografica derivatida dispositivi mobili, che comprendono ad esempio fornitori di infrastrutturedi geolocalizzazione, produttori di smartphone e sviluppatori di applicazionibasate sulla geolocalizzazione. Il presente parere non intende valutare la specifica tecnologia digeotagging collegata al cosiddetto "web 2.0", nel quale gliutenti integrano informazioni georeferenziate su social network come Facebook oTwitter. Inoltre, il parere non intende entrare nel dettaglio di altretecnologie di geolocalizzazione utilizzate per interconnettere dispositivi inun'area relativamente limitata (centri commerciali, aeroporti, complessi di uffici,ecc.) quali Bluetooth, ZigBee, geofencing e tag RFID basati su WiFi,benché molte delle conclusioni del parere riguardo a legittimazione,informazioni e diritti degli interessati si applichino anche a questetecnologie quando sono utilizzate per localizzare le persone attraverso i lorodispositivi. 2. Contesto: diverse infrastrutture digeolocalizzazione Il territorio coperto dai diversi operatori di telecomunicazioni èsuddiviso in aree generalmente note come celle. Per essere in grado diutilizzare un telefono cellulare o di connettersi a Internet servendosi di unacomunicazione 3G, il dispositivo mobile deve connettersi all'antenna (inappresso: stazione base) che copre la cella. Le celle coprono aree didimensioni diverse, a seconda dell'interferenza, ad esempio con montagne oedifici alti. Per tutto il tempo in cui è acceso, il dispositivo mobile ècollegato a una stazione base specifica. L'operatore di telecomunicazioniregistra costantemente questi collegamenti. Ogni stazione base ha un proprio IDunivoco ed è registrata con una posizione specifica. L'operatore ditelecomunicazioni e molti dispositivi mobili sono in grado di utilizzaresegnali provenienti da celle sovrapposte (stazioni base limitrofe) per stimarela posizione del dispositivo mobile con maggiore precisione. Questa tecnica èdenominata anche triangolazione. Il grado di precisione può essere ulteriormente aumentato conl'aiuto di informazioni quali RSSI (Received Signal Strength Indicator),TDOA (Time Difference of Arrival) e AOA (Angle Of Arrival). I dati da stazione base si possono utilizzare in modi innovativi,ad esempio per individuare ingorghi di traffico. Ogni strada presenta unavelocità media in ciascun segmento della giornata, ma quando i passaggi allasuccessiva stazione base richiedono più tempo del previsto potrebbe esserci uningorgo. Nel complesso, questo metodo di posizionamento fornisceun'indicazione rapida e approssimativa della posizione, non molto accuratarispetto ai dati GPS e WiFi. Il grado di precisione è all'incirca di 50 metriin zone urbane densamente popolate, ma raggiunge anche diversi chilometri nellezone rurali. I dispositivi mobili intelligenti sono dotati di chipsetincorporati con ricevitori GPS che ne determinano la posizione. La tecnologia GPS (Global Positioning System) si basa su 31satelliti, ciascuno ruotante in una delle 6 diverse orbite attorno alla terra. Il dispositivo mobile può stabilire la propria posizione quando ilsensore GPS rileva almeno 4 di questi segnali. A differenza dei dati dastazione base, il segnale va soltanto in una direzione. Le entità chegestiscono i satelliti non possono tenere traccia dei dispositivi che hannoricevuto il segnale radio. La tecnologia GPS consente un posizionamento preciso, tra 4 e 15metri, ma presenta lo svantaggio principale di una partenza relativamentelenta.2 Oltre a ciò, spesso il funzionamento in ambienti chiusi èintermittente o del tutto assente. In pratica, la tecnologia GPS spesso ècombinata con i dati da stazione base e/o punti di accesso WiFi. Una fonte relativamente nuova di informazioni di geolocalizzazionesono i punti di accesso WiFi. La tecnologia è simile a quella delle stazionibase. Entrambe si basano su un ID univoco (dalla stazione base o dal punto diaccesso WiFi) che può essere rilevato da un dispositivo mobile e inviato a unservizio che ha una posizione per ciascun ID univoco. L'ID univoco per ciascun punto di accesso WiFi è il suo indirizzoMAC (Medium Access Control), un identificatore univoco attribuito aun'interfaccia di rete e solitamente registrato in un hardware, come chip dimemoria e/o schede di rete in computer, telefoni, laptop o punti di accesso. I punti di accesso WiFi possono essere utilizzati come fonte diinformazioni di geolocalizzazione perché segnalano costantemente la propriaesistenza. La maggior parte dei punti di accesso a Internet a banda largadispone anche di un'antenna WiFi. Secondo l'impostazione predefinita dei puntidi accesso più comunemente utilizzati in Europa, la connessione è"on" (attiva), anche quando l'utente ha collegato il proprio computersolo via cavo al punto di accesso. Come una radio, il punto di accesso WiFitrasmette continuamente il proprio nome di rete e l'indirizzo MAC, anche senessuno utilizza la connessione e persino quando i contenuti dellacomunicazione wireless sono criptati con WEP, WPA o WPA2. Gli indirizzi MAC dei punti di accesso WiFi si possono raccoglierein due diversi modi.4 1. Scansione attiva: invio di richieste attive 2. Scansione passiva: registrazione dei frame di segnalamentoperiodici trasmessi da ogni punto di accesso (di solito 10 volte al secondo).Come alternativa non standard, alcuni strumenti registrano tutti i frame WiFitrasmessi da punti di accesso, compresi quelli che non trasmettono frame disegnalamento. Se viene eseguita senza una corretta applicazione della privacynelle specifiche di progettazione (privacy by design) questo tipo discansione può consentire la raccolta di dati scambiati tra punti di accesso etra i dispositivi ad essi connessi. In questo modo, si potrebbero registraregli indirizzi MAC di computer da tavolo, portatili e stampanti. Con questo tipodi scansione si potrebbe anche effettuare la registrazione illegale deicontenuti delle comunicazioni, che sono facilmente leggibili se il proprietariodel punto di accesso WiFi non ha attivato la criptazione WiFi (WEP/WPA/WPA2). La posizione di un punto di accesso WiFi si può calcolare in duediversi modi. 1. Staticamente/una volta: i responsabili del trattamentoraccolgono gli indirizzi MAC dei punti di accesso WiFi spostandosi conautoveicoli dotati di antenna. Essi registrano l'esatta latitudine elongitudine del veicolo nel momento in cui viene percepito il segnale e sono ingrado di calcolare la posizione dei punti di accesso sulla base, tra l'altro,dell'intensità del segnale. 2. Dinamicamente/in continuo: gli utilizzatori di servizi di geolocalizzazioneraccolgono automaticamente gli indirizzi MAC percepiti dai loro dispositiviWiFi, ad esempio quando usano una mappa online per stabilire la propriaposizione ("Dove mi trovo?"). Il dispositivo mobile poi invia tuttele informazioni disponibili al fornitore di servizi di geolocalizzazione,compresi indirizzi MAC, SSID e intensità di segnale. Il responsabile deltrattamento può utilizzare queste osservazioni continue per calcolare e/omigliorare la localizzazione dei punti di accesso WiFi nella propria banca daticon la mappatura dei punti di accesso WiFi. È importante notare che i dispositivi mobili non devononecessariamente "connettersi" a punti di accesso WiFi per raccogliereinformazioni WiFi, ma rilevano automaticamente la presenza dei punti di accesso(in modalità di scansione attiva o passiva) e raccolgono automaticamente irelativi dati. Inoltre, i telefoni cellulari che richiedono di essere geolocalizzatinon si limitano a inviare dati WiFi, ma spesso trasmettono anche altreinformazioni di cui dispongono, ivi compresi dati GPS e da stazione base.Questo consente al provider di calcolare la posizione di "nuovi"punti di accesso WiFi e/o migliorare la localizzazione di punti di accesso WiFigià compresi nella banca dati. In questo modo, la raccolta di informazioni suipunti di accesso WiFi risulta decentrata in modo molto efficiente, senza che iclienti ne siano necessariamente consapevoli. In sintesi: la geolocalizzazione basata su punti di accesso WiFioffre un posizionamento rapido e sempre più preciso, sulla base di costantimisurazioni. Un dispositivo mobile intelligente è intimamente connesso a unindividuo specifico. La maggior parte delle persone tende a tenere i propridispositivi mobili molto vicini, dalle tasche o dalla borsa al comodino, vicinoal letto. Succede raramente che una persona presti questi oggetti adun'altra. Per la maggior parte, le persone sono consapevoli del fatto che iloro dispositivi mobili contengono una certa quantità di informazioni moltopersonali, che vanno da messaggi e-mail a fotografie private, dalla storia dinavigazione del browser a, ad esempio, una lista di contatti. Questo consente ai fornitori di servizi basati sulla geolocalizzazionedi ottenere una panoramica approfondita di abitudini e modelli di comportamentodel proprietario del dispositivo e di costruire profili dettagliati. Da unmodello di inattività notturna è possibile dedurre il luogo preposto al sonno,e dal modello di un percorso regolare la mattina è possibile dedurrel'ubicazione del datore di lavoro. Il modello può includere anche dati ricavatidai modelli di spostamento di amici, sulla base del cosiddetto graficosociale.6 Un modello comportamentale può anche comprendere specialicategorie di dati, ad esempio se rivela visite in ospedali o luoghi diculto, la partecipazione a manifestazioni politiche o la presenza in altriluoghi specifici, magari che rivelino dati sulla vita sessuale dell'utente.Questi profili si possono utilizzare per prendere decisioni che influiscono inmisura significativa sul proprietario. La tecnologia dei dispositivi mobili intelligenti consente ilmonitoraggio costante dei dati di localizzazione. Gli smartphone possonoraccogliere permanentemente segnali da stazioni base e punti di accesso WiFi.Tecnicamente, il monitoraggio può avvenire segretamente, senza che ilproprietario ne sia informato. Il monitoraggio può anche essere effettuatosemi-segretamente, quando le persone "dimenticano" o non sonoadeguatamente informate sul fatto che i servizi di localizzazione sono attivi oquando le impostazioni di accessibilità dei dati di localizzazione vengonomodificate da "privato" a "pubblico". Anche quando le persone rendono intenzionalmente disponibili suInternet i propri dati di geolocalizzazione, attraverso servizi diposizionamento e geotagging, l'accesso globale illimitato pone nuovirischi, che vanno dal furto di dati all'effrazione, o addirittura a episodi diaggressione fisica o stalking. Come per altre nuove tecnologie, un rischio rilevante insitonell'uso di dati di localizzazione è la function creep, o estensioneindebita delle funzionalità, ossia il fatto che sulla base della disponibilitàdi un nuovo tipo di dati si possano sviluppare nuove finalità che non eranopreviste al momento della raccolta dei dati. Il quadro giuridico pertinente è costituito dalla direttiva sullaprotezione dei dati (95/46/CE) che si applica ogniqualvolta vengano trattatidati personali in conseguenza dell'elaborazione di dati relativiall'ubicazione. La direttiva e-privacy (2002/58/CE, modificata dalla direttiva2009/136/CE) si applica esclusivamente al trattamento di dati da stazioni baseda parte di servizi e reti di comunicazione elettronica accessibili al pubblico(operatori delle telecomunicazioni). 4.1 Dati da stazioni base trattati da operatori delle telecomunicazioni Gli operatori delle telecomunicazioni elaborano continuamente datida stazioni base nel quadro dell'offerta di servizi pubblici di comunicazioneelettronica.7 Inoltre, possono trattare dati da stazioni base per fornireservizi a valore aggiunto. Questo caso è già stato affrontato dal Gruppo dilavoro nel parere 5/2005 (WP115). Benché alcuni degli esempi contenuti nelparere risultino inevitabilmente superati con la diffusione della tecnologiaInternet e di sensori inseriti in dispositivi sempre più piccoli, leconclusioni giuridiche e le raccomandazioni del documento restano valide perquanto concerne l'uso di dati da stazioni base. 1. Poiché i dati relativi all'ubicazione ricavati da stazioni basesi riferiscono a una persona fisica identificata o identificabile, sonosoggetti alle disposizioni sulla protezione dei dati personali di cui alladirettiva 95/46/CE del 24 ottobre 1995. 2. Si applica anche la direttiva 2002/58/CE del 12 luglio 2002(modificata nel novembre 2009 dalla direttiva 2009/136/CE), secondo ladefinizione di cui all'articolo 2, lettera c), della stessa: "datirelativi all'ubicazione": ogni dato trattato in una rete di comunicazioneelettronica o da un servizio di comunicazione elettronica che indichi laposizione geografica dell'apparecchiatura terminale dell'utente di un serviziodi comunicazione elettronica accessibile al pubblico; Se un operatore delle telecomunicazioni offre un servizio di geolocalizzazioneibrido, ossia che si basi anche sul trattamento di altri tipi di dati dilocalizzazione, quali dati GPS o WiFi, tale attività si qualifica come serviziopubblico di comunicazione elettronica. L'operatore deve ottenere il consensopreventivo dei suoi clienti se fornisce a terzi questi dati di geolocalizzazione. 4.2.1 Applicabilità della direttiva e-privacy modificata Tipicamente, le società che forniscono servizi di localizzazione eapplicazioni basate su una combinazione di dati da stazioni base, GPS e WiFicostituiscono servizi della società dell'informazione. In quanto tali,sono espressamente escluse dalla direttiva e- privacy e dalla rigorosadefinizione di "servizio di comunicazione elettronica" (articolo 2,lettera c), della direttiva quadro modificata (inalterata). La direttiva e-Privacy non si applica al trattamento di datirelativi all'ubicazione da parte di servizi della società dell'informazione,anche quando tale trattamento avviene mediante una rete pubblica dicomunicazione elettronica. Un utente può scegliere di trasmettere dati GPS suInternet, ad esempio quando accede a servizi di navigazione su Internet. In talcaso, il segnale GPS è trasmesso nel livello applicativo della comunicazionevia Internet, a prescindere dalla rete GSM. Il fornitore di servizi ditelecomunicazione funge semplicemente da tramite e non può ottenere l'accesso adati GPS e/o WiFi e/o da stazione base comunicati da e verso un dispositivomobile intelligente tra un utente/abbonato e un servizio della societàdell'informazione senza ricorrere a mezzi molto invadenti, quali la deeppacket inspection (DPI). 4.2.2 Applicabilità della direttiva sulla protezione dei dati Dove non si applica la direttiva e-privacy modificata, ai sensidell'articolo 1, paragrafo 2, si applica la direttiva 95/46/CE: "Aifini di cui al paragrafo 1, le disposizioni della presente direttiva precisanoe integrano la direttiva 95/46/CE." Secondo la direttiva sulla protezione dei dati, per dati personalis'intende "qualsiasi informazione concernente una persona fisicaidentificata o identificabile ("persona interessata"); si consideraidentificabile la persona che può essere identificata, direttamente oindirettamente, in particolare mediante riferimento ad un numero diidentificazione o ad uno o più elementi specifici caratteristici della suaidentità fisica, fisiologica, psichica, economica, culturale o sociale" (articolo2, lettera a), della direttiva). Il considerando 26 della direttiva presta un'attenzioneparticolare al termine "identificabile" laddove afferma che "perdeterminare se una persona è identificabile, è opportuno prendere inconsiderazione l'insieme dei mezzi che possono essere ragionevolmenteutilizzati dal responsabile del trattamento o da altri per identificare dettapersona." Il considerando 27 della direttiva definisce l'ampia portata dellatutela: "la portata della tutela non deve infatti dipendere dalletecniche impiegate poiché, in caso contrario, sussisterebbero gravi rischi dielusione delle disposizioni;". Nel parere 4/2007 sul concetto di dati personali, il Gruppo dilavoro fornisce ampie indicazioni sulla definizione di dati personali. Dispositivi mobili intelligenti I dispositivi mobili intelligenti sono inestricabilmente collegatia persone fisiche e di norma sussiste un'identificabilità diretta e indiretta.In primo luogo, l'operatore delle telecomunicazioni che fornisce l'accessoInternet GSM e mobile di solito tiene un registro con il nominativo,l'indirizzo e i dettagli bancari di ciascun cliente, in combinazione con unaserie di codici univoci del dispositivo, quali IMEI e IMSI. In secondo luogo, nell'acquisto di software extra per ildispositivo (applicazioni o "apps") di solito èrichiesto un numero di carta di credito che pertanto arricchisce lacombinazione di codici univoci e dati di localizzazione con dati direttamenteidentificativi. L'identificabilità indiretta si può ottenere mediante lacombinazione del codice univoco del dispositivo con una o più posizionicalcolate. Ogni dispositivo mobile intelligente ha almeno un identificatoreunivoco, l'indirizzo MAC, ma può avere anche altri numeri di identificazioneunivoci, aggiunti dallo sviluppatore del sistema operativo. Questiidentificatori possono essere trasmessi e ulteriormente trattati nel contestodei servizi di geolocalizzazione. È un fatto che la posizione di un particolaredispositivo si può calcolare in modo molto preciso, soprattutto quando sicombinano le diverse infrastrutture di geolocalizzazione. Tale posizione puòindicare una casa o un datore di lavoro. Soprattutto con osservazioni ripetute,è possibile individuare il proprietario del dispositivo. Nel considerare i mezzi disponibili per l'identificazione, occorretenere presente la tendenza delle persone a divulgare su Internet un numerosempre maggiore di dati personali di localizzazione, ad esempio pubblicandol'ubicazione della propria casa o del proprio luogo di lavoro, in combinazionecon altri dati identificativi. La divulgazione di queste informazioni puòavvenire anche senza che gli interessati lo sappiano, se vengono "geotaggati"da altre persone. Questi sviluppi rendono più agevole il collegamento di unluogo o di un modello comportamentale con un individuo specifico. Inoltre, secondo il parere 4/2007 sul concetto di dati personali,andrebbe anche rilevato che un identificatore univoco, nel contesto descrittosopra, consente di tracciare l'utente di un dispositivo specifico e pertantorende possibile individuarlo anche se il suo nome reale non è noto. Punti di accesso WiFi Questa identificabilità indiretta si applica anche ai punti diaccesso WiFi.9 L'indirizzo MAC di un punto di accesso WiFi, in combinazionecon la sua posizione calcolata, è inestricabilmente collegato all'ubicazionedel proprietario del punto di accesso. Un responsabile del trattamento dotato di attrezzature adeguatepuò calcolare con precisione sempre maggiore la posizione di un punto di accessoWiFi sulla base dell'intensità del segnale e dei costanti aggiornamenti dellaposizione attraverso gli utenti del suo servizio di geolocalizzazione. Con l'aiuto di queste risorse, in molti casi è possibileidentificare un piccolo gruppo di appartamenti o case dove vive il proprietariodel punto di accesso. La facilità con cui è possibile individuare ilproprietario dall'indirizzo MAC dipende dall'ambiente: € In aree scarsamente popolate, dove l'indirizzo MAC indica una casasingola, il proprietario della residenza può essere individuato direttamentecon strumenti come registri catastali, elenchi telefonici, registrazionielettorali o persino una semplice interrogazione su un motore di ricerca. € In zone più densamente popolate, con l'aiuto di risorse comel'intensità del segnale e/o SSID (che chiunque disponga di un dispositivo WiFipuò rilevare), è possibile stabilire la precisa posizione del punto di accessoe quindi, in molti casi, accertare l'identità delle persone che vivono nelluogo preciso (casa o appartamento) dove è ubicato il punto di accesso. € In zone ad alta densità di popolazione, anche con l'aiuto diinformazioni sull'intensità del segnale l'indirizzo MAC indicherà numerosiappartamenti come potenziale ubicazione del punto di accesso. In questecircostanze non è possibile, senza uno sforzo irragionevole, individuare conprecisione la persona che vive nell'appartamento dove si trova il punto diaccesso. Il fatto che in alcuni casi il proprietario del dispositivo nonpossa essere identificato senza uno sforzo irragionevole non impedisce diconcludere in generale che la combinazione dell'indirizzo MAC di un punto di accessoWiFi con la sua posizione calcolata dovrebbe essere assimilata a datipersonali. In simili circostanze, e tenendo conto del fatto che è improbabileche il responsabile del trattamento sia in grado di distinguere tra i casi neiquali il proprietario del punto di accesso WiFi è identificabile e quelli neiquali non lo è, il responsabile del trattamento dovrebbe trattare tutti i datisu router WiFi come dati personali. È importante ricordare che non è necessario che lo scopo deltrattamento di questi dati di geolocalizzazione sia quello di identificare gliutenti. Il fatto che l'identificazione dei proprietari dei punti di accesso WiFirichieda uno sforzo irragionevole dipende in larga misura dalle possibilitàtecniche del responsabile del trattamento o di qualsivoglia altra persona aifini dell'identificazione. 5. Obblighi derivanti dalle leggi sulla protezione dei dati 5.1 Responsabile del trattamento Nel contesto dei servizi di geolocalizzazione online forniti daservizi della società dell'informazione si possono distinguere tre diversefunzionalità, con diverse responsabilità per il trattamento di dati personali.Si tratta delle seguenti: responsabile di un'infrastruttura digeolocalizzazione; fornitore di specifici servizi o applicazioni digeolocalizzazione e sviluppatore del sistema operativo di un dispositivo mobileintelligente. In pratica, le aziende spesso svolgono molti ruolicontemporaneamente, ad esempio quando combinano un sistema operativo con unabanca dati di punti di accesso WiFi mappati e una piattaforma pubblicitaria. 5.1.1 Responsabili di un'infrastruttura di geolocalizzazione Allo stesso modo degli operatori delle telecomunicazioni cheelaborano la posizione di un dispositivo specifico con l'aiuto delle stazionibase, anche i proprietari di banche dati con punti di accesso WiFi mappatitrattano dati personali quando calcolano la posizione di uno specificodispositivo mobile intelligente. Poiché entrambi determinano le finalità e lemodalità del trattamento, sono da considerarsi responsabili del trattamento aisensi della definizione di cui all'articolo 2, lettera d), della direttivasulla protezione dei dati. È importante sottolineare che il dispositivo specifico èdeterminante nel calcolo della posizione, poiché trasmette i propri dati dilocalizzazione (spesso una combinazione di GPS, WiFi e stazione base) e gli IDunivoci dai vicini punti di accesso WiFi al proprietario della banca dati. Poiché l'indirizzo MAC di un punto di accesso WiFi, incombinazione con la sua posizione calcolata, dovrebbe essere assimilato a deidati personali, anche la raccolta di tali dati si configura come trattamento didati personali. Quindi, a prescindere dalla modalità con cui tali dati vengonoraccolti (una tantum o continuativa) il proprietario della banca dati dovrebberispettare gli obblighi della direttiva sulla protezione dei dati. 5.1.2 Fornitori di applicazioni e servizi di geolocalizzazione I dispositivi mobili intelligenti consentono l'installazione disoftware di terzi, le cosiddette applicazioni che possono elaborare idati relativi all'ubicazione (e altri dati) di un dispositivo mobileintelligente, indipendentemente dallo sviluppatore del sistema operativo e/odai responsabili dell'infrastruttura di geolocalizzazione. Esempi di tali servizi sono: un servizio meteorologico che prevedale possibilità di pioggia nelle ore successive in una regione molto specifica,un servizio che offre informazioni su negozi nelle vicinanze, un servizio diidentificazione di un telefono perso o un servizio che mostra l'ubicazionedegli amici. Il fornitore di un'applicazione in grado di elaborare dati di geolocalizzazioneè il responsabile del trattamento dei dati personali derivantidall'installazione e dall'utilizzo dell'applicazione. Ovviamente, non è sempre necessario installare software separatisu un dispositivo mobile intelligente. Infatti è possibile accedere a moltiservizi di geolocalizzazione tramite un programma di navigazione (browser). Unesempio di questo tipo di servizio è l'utilizzo di una mappa online per guidareuna persona per le strade di una città. 5.1.3 Sviluppatore del sistema operativo Lo sviluppatore del sistema operativo di un dispositivo mobileintelligente può essere il responsabile del trattamento di dati di geolocalizzazionequando interagisce direttamente con l'utente e raccoglie dati personali (adesempio richiedendo la registrazione di utente iniziale e/o raccogliendoinformazioni sulla localizzazione al fine di migliorare i servizi). In quantoresponsabile del trattamento, lo sviluppatore deve adottare i principi dellaprivacy nelle specifiche di progettazione per impedire il monitoraggio segreto,da parte del dispositivo stesso o di diversi servizi e applicazioni. Lo sviluppatore è anche il responsabile del trattamento dei datiche elabora se il dispositivo possiede una funzionalità "phone home"("telefona a casa") per la sua posizione. Poiché in tal caso è losviluppatore a decidere sugli strumenti e sulle finalità del flusso di dati, èanche il responsabile del trattamento di tali dati. Un esempio comune di questafunzionalità "phone home" è la fornitura automatica di aggiornamentisul fuso orario in base alla posizione. In terzo luogo, lo sviluppatore è da considerarsi un responsabiledel trattamento quando offre una piattaforma pubblicitaria e/o un ambiente webshopper le applicazioni ed è in grado di elaborare i dati personali derivantidall'installazione e dall'utilizzo di applicazioni di geolocalizzazione, aprescindere dai fornitori. 5.2 Responsabilità di altre parti Molte altre parti online consentono l'ulteriore trattamento didati relativi all'ubicazione, quali browser, siti di social networking o mezzidi comunicazione che permettono ad esempio il "geotagging". Quandonella loro piattaforma sono integrati strumenti di geolocalizzazione, hanno unaresponsabilità rilevante nel decidere in merito alle impostazioni predefinitedell'applicazione ("ON" o "OFF"). Benché siano daconsiderarsi responsabili del trattamento solo nella misura in cui procedonoattivamente all'elaborazione dei dati personali, svolgono comunque un ruolofondamentale nella legittimazione del trattamento dei dati da parte di soggettiquali fornitori di applicazioni specifiche, ad esempio in fatto di visibilità equalità dell'informazione in merito al trattamento di dati di geolocalizzazione. 5.3.1 Dispositivi mobili intelligenti Se gli operatori delle telecomunicazioni intendono utilizzare idati della stazione base per fornire un servizio a valore aggiunto a uncliente, ai sensi della direttiva e-privacy modificata devono ottenere ilprevio consenso del cliente stesso. Inoltre, devono assicurarsi che questi siainformato in merito ai termini del trattamento. In considerazione della delicatezza del trattamento di (modellidi) dati relativi all'ubicazione, il previo consenso informato è ancheil principale motivo applicabile per legittimare il trattamento dei dati quandosi tratta di elaborare i dati di localizzazione di un dispositivo mobileintelligente nel contesto di servizi della società dell'informazione. Ai sensi della direttiva sulla protezione dei dati, articolo 2,lettera h), il consenso dev'essere una manifestazione di volontà libera,specifica e informata della persona interessata. A seconda del tipo di tecnologia utilizzata, il dispositivodell'utente svolge un ruolo più o meno attivo nel trattamento dei dati di geoposizionamento.Il dispositivo è in grado di trasmettere a terzi da fonti diverse i datirelativi all'ubicazione. Questa capacità tecnica non dovrebbe essere confusa conla legittimità di un simile trattamento dati. Se le impostazioni predefinite diun sistema operativo consentono la trasmissione di dati di localizzazione, ilmancato intervento dell'utente non dovrebbe essere inteso erroneamente come unconsenso concesso liberamente. Nella misura in cui procedono attivamente al trattamento di datidi geolocalizzazione (ad esempio quando ottengono l'accesso a informazioni dilocalizzazione attraverso il dispositivo), anche gli sviluppatori di sistemioperativi e altri servizi della società dell'informazione sono allo stesso modosoggetti all'obbligo di ottenere il previo consenso informato degli utenti.Occorre chiarire che tale consenso non s'intende liberamente concesso conl'accettazione obbligatoria di termini e condizioni generali, né tramitepossibilità di rinuncia (opt-out). La norma dovrebbe essere che i servizi dilocalizzazione siano disattivati (OFF) e gli utenti possono acconsentireall'attivazione (ON) di specifiche applicazioni. Consenso di dipendenti Il consenso come motivo di legittimazione del trattamento èproblematico in un contesto lavorativo. Nel suo parere sul trattamento di datipersonali nel contesto lavorativo, il Gruppo di lavoro scrive: "quandoil consenso del lavoratore è necessario, ma un suo eventuale diniego potrebbecausare un reale o potenziale pregiudizio, il consenso non è idoneo asoddisfare gli artt. 7 e 8 e non potrebbe qualificarsi come libero. Quindi, ilavoratori devono poter negare il proprio consenso senza pregiudizio. (...) Unasituazione complessa può presentarsi quando il rilascio del consenso è unacondizione dell'assunzione. Il lavoratore può in teoria rifiutare il proprioconsenso, ma la conseguenza potrebbe essere la perdita dell'opportunità dilavoro. In tali circostanze il consenso non si manifesta liberamente e quindinon è valido."12 Invece di richiedere il consenso,i datori di lavoro devono accertarsi che sia possibile dimostrare la necessitàdi vigilare sull'esatta ubicazione dei dipendenti per una finalità legittima evalutare tale necessità a fronte dei diritti e delle libertà fondamentali deidipendenti. Nei casi in cui la necessità può essere adeguatamente giustificata,il fondamento giuridico del trattamento si potrebbe basare sull'interesselegittimo del responsabile (articolo 7, lettera f) della direttiva sullaprotezione dei dati). Il datore di lavoro deve sempre adottare gli strumentimeno invadenti, evitare il monitoraggio costante e ad esempio scegliere unsistema che trasmetta un allarme quando un dipendente attraversa un confinevirtuale prestabilito. Il dipendente dev'essere in grado di disattivarequalsiasi dispositivo di monitoraggio al di fuori dell'orario di lavoro e glideve essere mostrato come farlo. I dispositivi di tracciamento dei veicoli nonsono dispositivi di tracciamento del personale, bensì la loro funzione consistenel rintracciare o monitorare l'ubicazione dei veicoli sui quali sonoinstallati. I datori di lavoro non dovrebbero considerarli come strumenti perseguire o monitorare il comportamento o gli spostamenti di autisti o di altropersonale, ad esempio inviando segnali d'allarme in relazione alla velocità delveicolo. Consenso dei minori In alcuni casi occorre il consenso di minori, che dev'esserefornito dai genitori o altri legali rappresentanti. Questo significa ad esempioche il fornitore di un'applicazione di geolocalizzazione è tenuto ad avvisare igenitori in merito alla raccolta e all'utilizzo di dati di geolocalizzazionedai minori e ad ottenere il loro consenso prima di raccogliere e utilizzareulteriormente le informazioni sui loro figli. Alcune applicazioni di geolocalizzazionesono studiate specificamente per il controllo da parte dei genitori, ad esempiorilevando costantemente la posizione del dispositivo su un sito web, o emettendoun segnale d'allarme se il dispositivo lascia un territorio prestabilito.L'impiego di simili applicazioni è problematico. Nel suo parere 2/2009 Il quadro giuridico prevede che i genitori hanno la responsabilitàdi garantire il diritto alla privacy dei minori. Come minimo, se i genitorigiudicano che l'utilizzo di una simile applicazione sia giustificato incircostanze specifiche, i minori devono esserne informati e, non appenaragionevolmente possibile, ammessi a partecipare alla decisione di utilizzarla. Il consenso dev'essere specifico per ciascuna delle diversefinalità del trattamento dei dati. Il responsabile deve chiarire molto bene seil servizio offerto si limita a fornire una risposta alla domanda volontaria"Dove mi trovo ora?" o se ha lo scopo di fornire risposte alledomande "Dove sei? Dove sei stato?, Dove sarai la prossimasettimana?". In altre parole, il responsabile del trattamento deve prestareuna particolare attenzione al consenso per finalità che una persona interessatanon si aspetta, quali ad esempio l'analisi del profilo (profiling) e/oil targeting comportamentale. Se le finalità del trattamento cambiano in modo sostanziale, ilresponsabile è tenuto a richiedere un nuovo consenso specifico. Ad esempio, seall'inizio un'azienda aveva dichiarato di non voler condividere dati personalicon terzi, mentre ora desidera farlo, deve ottenere il previo consenso attivodi ciascun cliente. La mancata risposta (o altri tipi di possibilità di opt-out)non è sufficiente. È importante distinguere tra il consenso a un servizio una tantume il consenso a un abbonamento regolare. Ad esempio, per utilizzare unparticolare servizio di geolocalizzazione, può essere necessario attivarefunzioni di geolocalizzazione nel dispositivo o nel programma di navigazione.Se la funzione di geolocalizzazione è attivata (ON), tutti i siti web possonoleggere i dati di localizzazione dell'utente di quel dispositivo mobileintelligente. Onde prevenire i rischi del monitoraggio invisibile, il Gruppo dilavoro articolo 29 considera fondamentale che il dispositivo avvertacostantemente che la funzione di geolocalizzazione è "ON"', adesempio tramite un'icona visibile permanentemente. Il Gruppo di lavoro raccomanda che i fornitori di applicazioni oservizi di geolocalizzazione chiedano di rinnovare i singoli consensi (anche inassenza di cambiamenti nella natura del trattamento) dopo un adeguato periododi tempo. Per esempio, non sarebbe logico continuare a trattare dati relativiall'ubicazione se un individuo non ha utilizzato attivamente il servizio nei 12mesi precedenti. Anche se il servizio è stato utilizzato, bisognerebbericordare agli interessati almeno una volta all'anno (o più spesso se la naturadel servizio lo giustifica) la natura del trattamento dei loro dati personali eoffrire una procedura semplice per rinunciare al servizio. Infine, è altrettanto importante che le persone interessate sianoin grado di revocare il proprio consenso in modo molto semplice, senzaconseguenze negative per l'utilizzo dei loro dispositivi. Indipendentementedalle direttive europee sulla protezione dei dati, il World Wide Web Consortium(W3C) ha formulato un progetto di standard API per la geolocalizzazione chesottolinea la necessità di un previo consenso esplicito e informato. Esempio di migliori prassi per i fornitori di applicazionidi geolocalizzazione Sulla base della direttiva sulla protezione dei dati, le aziendepossono avere un interesse legittimo nella raccolta e nel trattamento diindirizzi MAC e posizioni calcolate di punti di accesso WiFi per la finalitàspecifica di offrire servizi di geolocalizzazione. Il motivo di legittimazione di cui all'articolo 7, lettera f),della direttiva sulla protezione dei dati richiede un equilibrio tra gli interessilegittimi del responsabile del trattamento e i diritti fondamentali deisoggetti interessati. Considerando la natura semi-statica dei punti di accesso WiFi,la loro mappatura in linea di principio costituisce una minaccia minore per laprivacy dei proprietari dei punti di accesso rispetto al tracciamento in temporeale della posizione di dispositivi mobili intelligenti. L'equilibrio tra i diritti del responsabile del trattamento e idiritti delle persone interessate è dinamico. Per riuscire a far prevalere ipropri interessi legittimi sugli interessi delle persone interessate nel corsodel tempo, i responsabili del trattamento devono formulare e applicare dellegaranzie, quali il diritto ad uscire facilmente e per sempre dalla banca dati,senza che sia necessario fornire ulteriori dati personali al responsabile ditale banca dati. Ad esempio, possono utilizzare un software che accertiautomaticamente che una persona è connessa a uno specifico punto di accesso. Un'applicazione che utilizza dati di geolocalizzazione informachiaramente l'utente in merito alle finalità per le quali intende utilizzare idati e chiede un consenso esplicito per ciascuna delle possibili finalitàdiverse. L'utente sceglie attivamente il livello di granularità della geolocalizzazione(ad esempio, a livello nazionale, di città, di codice postale o con la maggiorprecisione possibile). Una volta che il servizio di localizzazione è attivato,sullo schermo compare un'icona sempre visibile che segnala che i servizi sono'ON'. L'utente può revocare il proprio consenso in qualsiasi momento, senzadover uscire dall'applicazione. Inoltre, l'utente è in grado di cancellarefacilmente e definitivamente eventuali dati di localizzazione memorizzati neldispositivo. Inoltre, al fine di offrire servizi di geolocalizzazione non ènecessario raccogliere e trattare SSID, quindi la raccolta e il trattamento diSSID sono eccessivi per lo scopo di offrire servizi di geolocalizzazione sullabase della mappatura della posizione di punti di accesso WiFi. I diversi responsabili del trattamento devono assicurarsi che iproprietari del dispositivo mobile intelligente siano adeguatamente informatiin merito agli elementi chiave del trattamento conformemente all'articolo 10della direttiva sulla protezione dei dati, quali l'identità del responsabiledel trattamento, le finalità del trattamento, il tipo di dati, la durata deltrattamento, i diritti delle persone interessate di accedere, rettificare ocancellare i propri dati e il diritto di revocare il consenso. La validità del consenso è inestricabilmente collegata allaqualità dell'informazione sul servizio. Le informazioni devono essere chiare,esaurienti, comprensibili per un pubblico ampio e non tecnico e accessibilifacilmente e permanentemente. Le informazioni devono essere mirate a un pubblico ampio. Iresponsabili del trattamento non possono presumere che i propri clienti sianopersone tecnicamente competenti solo perché possiedono un dispositivo mobileintelligente. Le informazioni devono essere adeguate alla fascia di età se ilresponsabile del trattamento sa di attirare un pubblico giovane. Se i fornitori di applicazioni di geolocalizzazione intendonocalcolare le posizioni di un dispositivo più di una volta, devono tenereinformati i propri clienti per tutto il tempo in cui trattano dati dilocalizzazione. Inoltre, devono consentire ai clienti di mantenere o revocareil consenso. Per realizzare questi obiettivi, i fornitori di applicazionidovrebbero collaborare strettamente con lo sviluppatore del sistema operativo,che tecnicamente è nella posizione migliore per creare un promemoria, visibilepermanentemente, che indichi che si stanno trattando dati relativiall'ubicazione. Lo sviluppatore è nella posizione migliore anche per controllareche non vengano offerte applicazioni che consentano il monitoraggio segretodella posizione di dispositivi mobili intelligenti. Se lo sviluppatore del sistema operativo ha creato una funzionalità"phone home" o altri mezzi per ottenere l'accesso a dati memorizzatisul dispositivo, ovvero può accedere in altri modi ai dati di localizzazione,ad esempio attraverso inserzionisti terzi, deve informare anticipatamente lapersona interessata in merito alle finalità (specifiche e legittime) per lequali intende trattare questi dati e in merito alla durata del trattamento. L'obbligo di informare le persone interessate si applica anche airesponsabili di banche dati contenenti punti di accesso WiFi geolocalizzati,che sono tenuti a informare il grande pubblico in modo adeguato in merito allapropria identità e alle finalità del trattamento, nonché a fornire altreinformazioni pertinenti. La semplice citazione della possibile raccolta di datirelativi a punti di accesso WiFi in una dichiarazione specifica sulla privacyrivolta agli utilizzatori di un'applicazione di geolocalizzazione non èsufficiente. Esistono mezzi adeguati, online e offline, per informare il grandepubblico. ,5.5 Diritti della persona interessata Le persone interessate hanno il diritto di ottenere dai diversiresponsabili del trattamento l'accesso ai dati di localizzazione che hannoraccolto dai loro dispositivi mobili intelligenti, nonché informazioni sullefinalità del trattamento e sui destinatari, o categorie di destinatari, a cuivengono divulgati i dati. Le informazioni devono essere fornite in formatoleggibile, vale a dire in forma di località geografiche invece che di codiciastratti, ad esempio di stazioni base. Le persone interessate hanno anche il diritto di accedere aeventuali profili basati sui dati di localizzazione. Se le informazioni sullaposizione sono memorizzate, agli utenti dovrebbe essere consentito diaggiornarle, rettificarle o cancellarle. Il Gruppo di lavoro raccomanda che i responsabili del trattamentoricerchino modi sicuri per fornire l'accesso diretto online ai dati dilocalizzazione e a possibili profili. È fondamentale che tale accesso vengafornito senza richiedere dati personali aggiuntivi per accertare l'identitàdelle persone interessate. 5.6 Periodi di conservazione dei dati I fornitori di servizi di geolocalizzazione e applicazionidovrebbero stabilire un periodo di conservazione dei dati di localizzazione chenon sia superiore a quanto necessario per le finalità per le quali sono statiraccolti o vengono ulteriormente trattati i dati. Inoltre, devono garantire chei dati di geolocalizzazione, o i profili ricavati dagli stessi, venganocancellati dopo un periodo di tempo giustificato. Qualora venga dimostrata la necessità per lo sviluppatore delsistema operativo e/o il responsabile di una infrastruttura di geolocalizzazionedi raccogliere dati storici di localizzazione anonimi, allo scopo di aggiornareo potenziare il servizio, occorre prestare un'estrema attenzione per evitare direndere identificabili (indirettamente) tali dati. In particolare, anche se ildispositivo mobile è identificato da un Unique Device Identifier (UDID)attribuito a caso, tale codice univoco dovrebbe essere memorizzato solo per unmassimo di 24 ore per scopi operativi. Successivamente, l'UDID dovrebbe essereulteriormente anonimizzato, tenendo conto del fatto che l'effettivaanonimizzazione è sempre più difficile da realizzare e che i dati dilocalizzazione combinati potrebbero ancora consentire l'identificazione. L'UDIDnon dovrebbe essere collegabile a precedenti o futuri UDID attribuiti aldispositivo, né a eventuali identificatori fissi dell'utente o del telefono(quali indirizzo MAC, codici IMEI o IMSI o altri codici cliente). Per quanto concerne i dati sui punti di accesso WiFi, una voltache l'indirizzo MAC di un punto di accesso WiFi è associato con una nuovaposizione, basata sull'osservazione costante di proprietari di dispositivimobili intelligenti, la precedente posizione dev'essere immediatamentecancellata, per impedire eventuali ulteriori utilizzi dei dati per finalitàinappropriate, quali attività di marketing mirato a persone che hanno cambiatola propria ubicazione. Con l'aiuto di tecnologie di geolocalizzazione quali dati dastazioni base, GPS e punti di accesso WiFi mappati, i dispositivi mobiliintelligenti possono essere rintracciati da tutti i tipi di responsabili deltrattamento dei dati, per finalità che vanno dalla pubblicità comportamentaleal controllo dei minori. Poiché smartphone e tablet computer sono inestricabilmentecollegati al proprietario, i modelli di spostamento dei dispositivi offrono unapercezione molto profonda della vita privata dei proprietari. Uno dei rischimaggiori è che i proprietari non siano consapevoli di trasmettere la loroposizione, né sappiano a chi la trasmettono. Un altro rischio correlato è chedeterminate applicazioni utilizzino dati di localizzazione senza un consensovalido, perché le informazioni sugli elementi fondamentali del trattamento sonoincomprensibili, superate o comunque inadeguate. Esistono obblighi diversi per le varie parti interessate, daglisviluppatori dei sistemi operativi ai fornitori di applicazioni e parti qualisiti di social networking che integrano nelle rispettive piattaformefunzionalità di localizzazione per dispositivi mobili. € Il quadro giuridico dell'UE per l'utilizzo di dati di geolocalizzazioneda dispositivi mobili intelligenti comprende in primo luogo la direttiva sullaprotezione dei dati. I dati relativi all'ubicazione di dispositivi mobiliintelligenti sono dati personali. La combinazione dell'indirizzo MAC univoco edella posizione calcolata di un punto di accesso WiFi dovrebbe essereassimilata a dati personali. € Inoltre, la direttiva e-privacy 2002/58/CE modificata si applicaesclusivamente al trattamento di dati da stazioni base da parte di operatoridelle telecomunicazioni. 6.2 Responsabili del trattamento € Si possono distinguere tre tipi di responsabili del trattamento:responsabili delle infrastrutture di geolocalizzazione (in particolare,responsabili di punti di accesso WiFi mappati); fornitori di applicazioni eservizi di geolocalizzazione e sviluppatori del sistema operativo didispositivi mobili intelligenti. € Poiché i dati relativi all'ubicazione di dispositivi mobiliintelligenti rivelano dettagli intimi della vita privata del proprietario, laprincipale legittimazione applicabile è il previo consenso informato. € Il consenso non si può ottenere attraverso i termini e lecondizioni generali. € Il consenso dev'essere specifico per le diverse finalità deltrattamento dei dati, tra cui ad esempio costruzione di profili e targetingcomportamentale. Se le finalità del trattamento cambiano in modo sostanziale,il responsabile deve richiedere un nuovo consenso specifico. € Di norma, i servizi di localizzazione devono essere disattivati.Un possibile meccanismo di rinuncia non costituisce un sistema adeguato perottenere il consenso informato dell'utente. € Il consenso è problematico per quanto concerne dipendenti eminori. Nel caso dei dipendenti, i datori di lavoro possono adottare questatecnologia solo quando se ne dimostri la necessità per una finalità legittima egli stessi obiettivi non si possano raggiungere con mezzi meno invadenti. Nelcaso dei minori, i genitori devono giudicare se l'uso di simili applicazionisia giustificato in circostanze specifiche. Come minimo, devono informarne iminori e, non appena ragionevolmente possibile, ammetterli a partecipare alladecisione di utilizzare queste applicazioni. € Il Gruppo di lavoro raccomanda di limitare la portata del consensoin termini di tempo e di inviare un promemoria agli utenti almeno una voltaall'anno. Allo stesso modo, il Gruppo di lavoro raccomanda agli utenti unlivello sufficiente di granularità nel consenso in merito alla precisione deidati di localizzazione. € Le persone interessate devono essere in grado di revocarefacilmente il proprio consenso, senza conseguenze negative per l'utilizzo delproprio dispositivo. € Per quanto concerne la mappatura di punti di accesso WiFi, leaziende possono avere un interesse legittimo nella raccolta e nel trattamentodi indirizzi MAC e posizioni calcolate di punti di accesso WiFi per la finalitàspecifica di offrire servizi di geolocalizzazione. L'equilibrio di interessitra i diritti del responsabile del trattamento e i diritti delle personeinteressate impone che il responsabile del trattamento offra la possibilità diuscire facilmente e in via permanente dalla banca dati senza richiedereulteriori dati personali. €Le informazioni devono essere chiare, complete, comprensibili perun pubblico ampio e non tecnico, nonché facilmente e permanentemente accessibili.La validità del consenso è inscindibilmente collegata alla qualitàdell'informazione sul servizio. € Le parti terze come browser e siti di social networking svolgonoun ruolo fondamentale per quanto concerne la visibilità e la qualitàdell'informazione sul trattamento di dati di geolocalizzazione. 6.5 Diritti delle persone interessate € I diversi responsabili del trattamento di informazioni di geolocalizzazioneda dispositivi mobili dovrebbero consentire ai clienti di accedere ai dati dilocalizzazione in un formato leggibile e permettere rettifiche e cancellazionisenza raccogliere eccessivi dati personali. € Le persone interessate hanno anche il diritto di accedere aeventuali profili basati sui dati di localizzazione e di rettificarli ocancellarli. € Il Gruppo di lavoro raccomanda la creazione di un accesso online(sicuro). € I fornitori di applicazioni o servizi di geolocalizzazionedovrebbero prevedere politiche di conservazione che garantiscano che i dati digeolocalizzazione, o i profili ricavati dagli stessi, vengano cancellati dopoun periodo di tempo giustificato. € Se lo sviluppatore del sistema operativo e/o il responsabile dellainfrastruttura di geolocalizzazione elabora un codice univoco, quale unindirizzo MAC o un UDID, in relazione a dati di localizzazione, tale codiceunivoco di identificazione può essere conservato per un periodo massimo di 24ore per scopi operativi. Fatto a Bruxelles, il 16 maggio 2011 Per il Gruppo di lavoro Il presidente Jacob KOHNSTAMM 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 responsabile del trattamento può visualizzareuna pagina di verifica contenente un messaggio che richiede la tabella ARP deldispositivo Internet. In teoria, gli indirizzi WLAN MAC si possono visualizzarecon il comando 'ARP –a'. Con l'aiuto di un codice contenuto nel browser,come Java, la tabella ARP può essere prodotta in background. 3.Se nella tabella ARP non comparel'indirizzo MAC, è evidente che l'utente connesso alla WLAN è lo stesso che haaccesso all'indirizzo locale WLAN MAC. Il responsabile del trattamento quindiverifica la richiesta di cancellazione in modo semplice e automatico. |