Le aziende di trasporto merci rappresentano un’esempio di impresa tipicamente “business to business”, nel senso che il loro parco clienti è costituito da altre imprese o comunque enti di qualche genere, ma non privati cittadini (non stiamo considerando quindi il caso dei traslocatori o dei cosiddetti corrieri, che al contrario hanno una parte significativa della loro clientela costituita appunto da privati). Solo apparentemente questa caratteristica semplifica l’adeguamento al GDPR; vediamo perché.

Trattamenti tipici

I trattamenti che è possibile individuare in questo genere di aziende sono i seguenti:

  • Acquisti di beni e servizi
  • Gestione del personale
  • Marketing
  • Sito web, social media
  • Servizi di trasporto

Di questi, due (acquisti e sito web/social) non presentano, in generale, particolarità; uno (marketing) presenta le consuete criticità che però devono essere analizzate caso per caso nei dettagli; per i due rimanenti è possibile fornire qui indicazioni generali.

Trattamenti dei servizi di trasporto

Un trasporto comporta di trattare i dati di diverse persone, cioè i referenti (siano essi addetti amministrativi, per l’organizzazione del trasporto, che addetti ai magazzini, per la sua esecuzione) dei mittenti e dei destinatari; tipicamente i dati trattati sono i nominativi, i contatti (telefono, mail), magari le mansioni. La base giuridica di questi trattamenti è ovviamente l’adempimento contrattuale.

Pur trattandosi di dati non particolarmente critici, c’è da considerare un certo innalzamento del iivello di rischio dovuto al fatto che questi dati sono spesso su supporto cartaceo che viene trasportato insieme alla merce; di conseguenza è facilmente visibile anche ai non autorizzati. Una possibile mitigazione del rischio complessivo risulta essere la pratica generale, nel senso che dovrebbe essere adottata da qualsiasi azienda, di limitare i contatti dei propri referenti a dati aziendali evitando quelli personali.

Trattamenti relativi al personale

In un’azienda di trasporto il personale può essere suddiviso in due grandi categorie: il personale amministrativo, che quindi lavora sostanzialmente in ufficio, ed il personale viaggiante, cioè gli autisti (autotrasportatori). Per i primi, la gestione del personale si riduce a quella consueta, comune a molte aziende. Per i secondi, invece, intervengono (almeno) due trattamenti specifici, ossia i dati relativi alle Tessere del Conducente (obbligatorie per legge) e alla geolocalizzazione, che nel caso specifico significa tracciamento degli spostamenti.

I dati delle Tessere del Conducente vanno scaricati (entro i limiti temporali previsti dalla legge) e archiviati in spazi protetti dai non autorizzati, e comunque vanno consultati e/o copiati solo in caso di effettiva necessità; inoltre vanno cancellati a scadenza del termine previsto dalla legge (un anno dalla data di utilizzo).

I sistemi di geolocalizzazione si rifericono quasi sempre ai sistemi di sicurezza satellitare installati sui mezzi; in questo caso, la sicurezza si riferisce sia alla tutela del patrimonio aziendale (il mezzo, appunto) che della sicurezza del lavoratore, che si trova ad operare spesso in situazione disagiata e potenizalmente pericolosa. L’installazione di questi apparati presuppone, ai sensi dello Statuto dei Lavoratori (art. 4) l’accordo con le rappresentanze sindacali o in subordine l’autorizzazione amministrativa dell’ispettorato del Lavoro. Inoltre, è necessario prevedere un serie di misure tecniche sugli apparati installati e sul software di controllo, in particolare l’accesso personale ai soli dati indispensabili, la consultazione e lo scarico (copia) dei dati nei soli casi previsti (utile allo scopo un documento che li espliciti), il registro degli accessi da parte degli addetti autorizzati. I mezzi devono riportare l’avviso relativo alla presenza dell’apparato satellitare; inoltre, qualora la geolocalizzazione sia effettuata tramite smartphone, deve essere disponibile la funzionalità di disattivazione del tracciamento al di fuori dell’orario di lavoro.

Adempimenti

In relazione agli adempimenti documentali previsti dal GDPR, si sottolineano alcuni aspetti che vanno oltre alle situazioni consuete.

L’informativa per il personale dovrebbe essere sdoppiata, una per il personale viaggiante, che riporti i trattamenti sopra esplicitati e l’altra per il personale amministrativo. L’informativa per i referenti dei mittenti/destinatari dovrebbe essere disponibile nelle mail usate per l’organizzazione del trasporto, e magari anche in estratto sui documenti cartacei che contengono i dati stessi.

Il trattamento della geolocalizzazione e dei dati della tessera del conducente suggerisce l’opportunità della Valutazione di Impatto, ed anche la designazione del DPO in caso di volumi di dati importanti, tipici quindi delle aziende medio-grandi. L’azienda fornitrice del sistema di geolocalizzazione è quasi certamenente un Responsabile del Trattamento, e come tale bisogna prevedere l’accordo (nomina), che comunque è presumibilmente incluso nella documentazione contrattuale del servizio.

Sono consigliabili dei documenti procedurali con le indicazioni delle modalità corrette (quindi: autorizzate) per i trattamenti da parte dei vari addetti: oltre a quelle già citate per la geolocalizzazione, anche per gli autisti per la gestione dei documenti cartacei e l’utilizzo dei dati di contatto. Tali procedure dovrebbero anche essere oggetto di formazione diretta.

Da non sottovalutare la procedura di gestione dei data breach e relativa formazione, poiché per quanto detto è probabile che possano verificarsene in numero significativo. La bontà generale delle misure di sicurezza potrà esssere valutata sulla base del rapporto tra eventi con impatti limitati ed eventi con impatti significativi.

LabPrivacy RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.