La autoridad de control de Eslovenia ha dictaminado que, mientras que la seguridad de la propiedad puede suponer un interés legítimo para realizar rastreo por GPS, éste debe ser apropiado y necesario.
La autoridad de control de Eslovenia ha determinado que una empresa que llevaba a cabo rastreo por GPS de ocho vehículos de la compañía no tenía base legal para hacerlo, según este informe del CEPD. Los empleados utilizaban los vehículos de empresa para el transporte de materiales y la instalación de equipos en las instalaciones de los clientes. El rastreo por GPS era posible gracias a un transmisor especial instalado en el vehículo, el cual se monitorizaba mediante una aplicación que registraba de manera continua la distancia recorrida por cada vehículo. Dado que se podía identificar a los sujetos, la autoridad de control de Eslovenia ha dictaminado que el rastreo era ilegítimo y ha ordenado a la organización que cese la recogida de dichos datos obtenidos mediante un rastreo por GPS continuo, sistemático y automático.
El rastreo por GPS se introdujo en la empresa después de un robo en el lugar de trabajo y le permitió rastrear a los empleados en tiempo real y de forma retrospectiva.
Después de que se registrara un robo en el lugar de trabajo en 2009, la empresa introdujo el rastreo por GPS en los vehículos de empresa. Estos se utilizaban para transportar materiales y equipos a las instalaciones de los clientes. El objetivo del rastreo era la seguridad de los vehículos, los equipos de alto coste y los documentos que se encuentran en el interior de los mismos. Se creaban entonces registros especiales con grandes cantidades de datos de localización de los empleados. Esta información se trataba de manera continua, sistemática y automática para que la empresa pudiese determinar en cualquier momento dónde se dirigía cualquiera que condujese uno de los vehículos. Se podía acceder a estos datos también retrospectivamente. En consecuencia, la empresa podía fácilmente determinar qué empleado estaba utilizando el vehículo y su localización, y, por tanto, a quien pertenecían todos los datos recogidos.
La autoridad de control de Eslovenia ha determinado que no había base legítima para tratar los datos personales conforme al Artículo 6 del RGPD.
La autoridad de control de Eslovenia llevó a cabo una investigación para evaluar si este tratamiento de datos era legítimo conforme al Artículo 6.1 (f) del RGPD, según el cual el tratamiento puede llevarse a cabo si “es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño”. La autoridad de control de Eslovenia consideró que el responsable no demostró en qué manera el rastreo por GPS era apropiado y necesario. También se descubrió que el rastro por GPS tenía lugar incluso cuando el vehículo y los elementos dentro del mismo se encontraban bajo supervisión de un empleado. La autoridad de control de Eslovenia determine así que no se había demostrado la existencia de intereses legítimos de acuerdo al Artículo 6.1 (f) del RGPD y que el rastro por GPS no se realizaba con respeto al principio de minimización de datos (Artículo 5.1 (c) del RGPD).
La autoridad de control de Eslovenia ha solicitado al responsable de los datos que adapte su tratamiento de datos en relación al rastreo de empleados para que cumpla con la normativa.
Conforme a la autoridad de control de Eslovenia, en este caso específico el rastreo por GPS debería haberse implementado de tal modo que los conductores pudiesen activarlo únicamente cuando el vehículo, el equipo y los documentos se encontrasen en riesgo, y desactivarlo en el resto de casos en que se encontrasen bajo la supervisión del empleado una vez éste hubiese regresado al vehículo. La autoridad de control ha ordenado cesar este tratamiento de datos de los empleados mediante rastreo GPS continuo, sistemático y automático.
¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de Datos, Evaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado de Protección de Datos. Infórmate aquí.