Veicoli connessi e dati personali: i paletti del Comitato europeo per la protezione dei dati | Agenda Digitale

le linee guida

Veicoli connessi e dati personali: i paletti del Comitato europeo per la protezione dei dati

In tema di trattamento dati e veicoli connessi, lo European Data Protection Board ha pubblicato delle linee guida volte a delimitare l’ambito di applicazione e le fonti normative applicabili, indicare i rischi per i soggetti interessati dal trattamento, e fornire una serie di raccomandazioni destinate ai titolari

09 Mar 2020
Vincenzo Colarocco

Responsabile del Dipartimento Data Protection, Compliance e Cyber Security, Studio Previti Associazione Professionale

Pietro Maria Mascolo

Avvocato, Studio Previti Associazione Professionale


Lo European Data Protection Board (EDPB) ha di recente pubblicato delle linee guida, concordemente con i poteri previsti dall’art. 70 del GDPR, per far fronte della sempre maggior invasività del trattamento dei dati personali attraverso i veicoli connessi.

Il testo delle Linee Guida[1] -sottoposto a consultazione pubblica sino al 20 marzo 2020- si concentra, anzitutto, nel delimitare l’ambito di applicazione e le fonti normative applicabili al tema in esame, per poi indicare, in funzione degli emergenti rischi per i soggetti interessati dal trattamento, una serie di raccomandazioni destinate ai titolari del trattamento impattati.

In conclusione delle Linee Guida si segnala la descrizione di una serie di “case studies”, volta a porre in evidenza situazioni di criticità riscontrabili nella prassi e best practices per tutelare al meglio i diritti e le libertà dei soggetti coinvolti, in conformità con le prescrizioni dettate dal GDPR.

Ambito di applicazione delle Linee Guida

In premessa, risulta doveroso inquadrare l’oggetto delle Linee Guida, per l’effetto chiarendo le specificità del trattamento dati dalle stesse preso in analisi. In particolare, l’EDPB sottolinea la necessità di concentrarsi sulle operazioni di trattamento che, soprattutto negli ultimi anni, hanno coinvolto –e continuano a coinvolgere- un numero sempre crescente di guidatori. Tanto risulta diretta conseguenza dell’installazione, all’interno dei veicoli, di sensori ed apparecchiature di bordo in grado di raccogliere e conservare una serie di dati anche particolari quali, a titolo meramente esemplificativo, le abitudini di guida, i luoghi visitati, dati biometrici per l’apertura/chiusura del veicolo. Tale elaborazione di dati avviene in un sistema complesso, che non si limita ai tradizionali attori dell’industria automobilistica, ma vede coinvolti anche soggetti della digital economy in grado di offrire servizi di infotainment quali musica online, informazioni sulla viabilità e sul traffico, assistenza alla guida, aggiornamenti sulle condizioni dei veicolo[2].

Le Linee Guida, in particolare, si concentrano sull’analisi:

  • dei dati personali raccolti e trattati all’interno del veicolo;
  • dei dati personali oggetto di interazione tra il veicolo e i dispositivi ad esso collegati (es: lo smartphone dell’utilizzatore);
  • dei dati personali raccolti all’interno del veicolo ed esportati verso soggetti terzi (es: case automobilistiche costruttrici, imprese assicurative, gestori di infrastrutture…) per essere sottoposti a trattamenti ulteriori.

Normativa di riferimento

Stante l’evidenza che i descritti veicoli connessi generano una quantità crescente di dati, la maggior parte dei quali possono essere considerati dati personali in quanto riferibili a conducenti o passeggeri, non possono essere mossi dubbi circa l’applicabilità al trattamento di specie delle prescrizioni di cui al GDPR. A tale evidenza, il Comitato aggiunge l’ulteriore considerazione che, ai fini della normativa applicabile al trattamento di specie, rileverebbe anche quanto disposto ai sensi dell’art. 5, par. 3, della Direttiva UE 58/2002 (in seguito “Direttiva ePrivacy”). Tale previsione, infatti, risulterebbe munita di una portata generale, non limitando la propria vincolatività ai soli fornitori di servizi di comunicazione elettronica. Ne deriverebbe, quindi, che l’uso di reti di comunicazione elettronica per archiviare informazioni o per avere accesso a informazioni archiviate nell’apparecchio terminale di un utente sia consentito unicamente a condizione che quest’ultimo sia stato informato in modo chiaro e completo, tra l’altro, sugli scopi del trattamento e, in più, che al medesimo sia offerta la possibilità di rifiutare tale trattamento. Sul punto, l’EDPB espressamente chiarisce che l’“apparecchio terminale” di cui all’art. 5, par. 3, della Direttiva ePrivacy ricomprenda anche i veicoli connessi ed ogni strumento digitale ai medesimi connesso.

Rischi per gli interessati

Prima di fornire una serie di raccomandazioni volte a garantire la compliance dei trattamenti dati in esame, il Comitato mette in luce i rischi che tali trattamenti potrebbero comportare rispetto ai diritti e alle libertà degli interessati.

Anzitutto, l’EDPB rileva potenziali criticità connesse ad un difetto di adeguata informazione degli interessati in virtù dell’evidenza che, spesso, il proprietario del veicolo (al quale si suppone sia stata fornita apposita informativa ex artt. 13-14 GDPR in relazione ai trattamenti correlati all’utilizzo del veicolo) possa non coincidere con l’utilizzatore dello stesso, con la conseguenza che quest’ultimo potrebbe avere delle difficoltà a ricavare informazioni sul trattamento de quo ed eventualmente opporsi allo stesso. Tale ipotesi risulterebbe ovviamente maggiormente impattante negli ambiti del noleggio veicoli e del car sharing. Le medesime circostanze di fatto, inoltre, non potrebbero che comportare delle difficoltà altresì per quanto attiene all’acquisizione (qualora necessario) di un consenso informato. A tanto si aggiunga che, come più volte chiarito dall’EDPB, qualora il trattamento di specie risulti legittimato da una prestazione di consenso da parte dell’interessato, tale consenso non potrà in alcun modo legittimare trattamenti ulteriori (non inizialmente previsti) volti al perseguimento di finalità inizialmente non palesate all’interessato medesimo[3].

Un ulteriore rischio per gli interessati potrebbe derivare dal numero sempre crescente di sensori impiegati nei veicoli connessi, comportando una raccolta di dati potenzialmente eccessiva rispetto a quanto necessario per raggiungere le finalità alla base del trattamento, che potrebbero in tal modo violare i principi fondamentali del GDPR. Parimenti, le molteplici funzionalità e i numerosi servizi offerti dai veicoli di ultima generazione non potranno che aumentare le vulnerabilità dei medesimi, aumentando sensibilmente i potenziali obiettivi di hacker nonché di utenti malintenzionati e, per l’effetto, esponendo gli utilizzatori a numerosi rischi connessi alle possibili violazioni sui loro dati personali.

Raccomandazioni e best practices

WHITEPAPER
Come è cambiato in Italia il quadro normativo dei pagamenti digitali verso la PA?

Le Linee Guida, quindi, dettano una serie di raccomandazioni per i titolari e i responsabili coinvolti nei trattamenti in esame, volte a mitigare i già indicati rischi per gli interessati. Anzitutto, l’EDPB invita gli operatori a volgere particolare attenzione rispetto a tre categorie di dati particolarmente impattanti sui diritti e le libertà degli interessati:

  • i dati di geolocalizzazione;
  • i dati biometrici (nonché ogni ulteriore categoria di dati rientrante nel novero di cui all’art. 9 GDPR);
  • i dati suscettibili di rivelare infrazioni o violazioni del codice della strada (che dovranno essere sottoposti a quanto statuito ai sensi dell’art. 10 GDPR ed alle normative nazionali applicabili in materia).

Per quanto attiene alla prima categoria dei dati già menzionati, le Line Guida chiariscono che titolari e responsabili devono muovere dal presupposto che i dati di geolocalizzazione siano potenzialmente rivelatori delle abitudini di vita dei soggetti interessati; dai viaggi effettuati potrebbero desumersi il luogo di lavoro e di residenza del conducente, i suoi centri di interesse, i luoghi di culto frequentati e la religione praticata. Da tanto non può che discendere la necessità per cui, nell’ottica di garantire quanto più possibile il principio di minimizzazione, tali dati non vengano sottoposti a trattamento, salvo che ciò sia assolutamente necessario per il perseguimento di specifiche finalità. In quest’ultima circostanza, ad ogni modo, dovranno essere adoperate specifiche accortezze volte a:

  • stabilire una frequenza di accesso ai dati ed un livello di dettaglio dei medesimi che risulti concretamente adeguato alle finalità di specie[4];
  • fornire indicazioni chiare circa le finalità perseguite dal trattamento;
  • nei casi in cui il trattamento sia fondato sul consenso, acquisire un consenso valido e specifico che risulti distinto dalle condizioni generali di utilizzo;
  • informare, anche mediante l’utilizzo di apposite icone e/o stampe, che i sistemi di geolocalizzazione sono attivi;
  • permettere di disabilitare la geolocalizzazione in ogni momento;
  • definire un chiaro limite di conservazione per tali dati.

Parimenti suscettibili di tutela rafforzata risulteranno i dati biometrici dell’interessato che, a titolo meramente esemplificativo, potrebbero essere utilizzati per consentire l’apertura/chiusura del veicolo, per autenticare il conducente/proprietario e/o per consentire l’accesso alle preferenze del profilo del conducente. In tali circostanze il Comitato suggerisce, da un lato, di prevedere l’esistenza di un’alternativa “non biometrica” (ad esempio, utilizzando una chiave fisica o un codice) per il medesimo trattamento e, dall’altro, di dare spazio alla criptazione di tali dati, la cui conservazione deve limitarsi nel dispositivo locale, prescindendo quindi da qualunque forma di trasmissione verso un terminale esterno.

Nell’ambito delle raccomandazioni fornite ai titolari del trattamento, il Comitato dedica ampia considerazione ai principi della cosiddetta “privacy by design and privacy by default”, in conformità ai quali sarebbe opportuno prevedere che le tecnologie alle base dei veicoli connessi risultino -sin dalla fase di progettazione- concepite in modo da ridurre al minimo la raccolta di dati personali, fornire impostazioni predefinite di protezione dei dati personali e garantire che gli interessati, oltre ad essere adeguatamente informati, siano muniti della possibilità di modificare facilmente ogni impostazione associata ai propri dati personali. A tal fine l’EDPB considera vantaggiosa per tutti gli operatori del settore, in particolare per i costruttori dei veicoli che possono intervenire più comodamente nella fase di progettazione dei trattamenti, l’elaborazione di una guida specifica che agevoli il rispetto dei suindicati principi, fulcro dell’attuale impianto normativo in materia.

Tra le best practices applicabili sul punto, il Comitato suggerisce di dare spazio a tecniche di anonimizzazione nel caso in cui avesse luogo un trasferimento di dati, ribadendo come, qualora l’interessato non risultasse identificato o identificabile, non troverebbe più applicazione il GDPR[5]. Altre tecniche riversibili, come la pseudonimizzazione, possono comunque contribuire a ridurre i rischi connessi al trattamento dei dati; in tal caso troverà applicazione la disciplina del GDPR in forza dell’evidenza che un dato pseudonimizzato rientrerebbe nel novero dei “dati personali” ai sensi della normativa vigente.

Altrettanto consigliato è lo svolgimento di una valutazione d’impatto ai sensi dell’art. 35 GDPR al fine di valutare i rischi connessi ai trattamenti qui in analisi; con l’ovvia considerazione che, stante l’ampia portata e della sensibilità dei dati personali che possono essere raccolti attraverso i veicoli connessi, è probabile che il trattamento – soprattutto in situazioni in cui i dati personali sono trasmessi al di fuori del veicolo – comporti spesso un rischio elevato per i diritti e le libertà degli individui e, per l’effetto, il necessario svolgimento di una o più valutazioni d’impatto.

Ulteriori indicazioni sono dettate per quanto attiene alla informativa da fornire ai soggetti interessati dal trattamento. Sul punto particolare attenzione è riservata alla circostanza in cui il titolare non raccolga i dati dell’interessato direttamente presso quest’ultimo; in tal caso il titolare dovrà attivarsi per fornire adeguata informativa entro un tempo ragionevole e, concordemente con quanto previsto ai sensi dell’art. 14 del GDPR, entro un periodo di tempo ragionevole dall’ottenimento dei dati, comunque non oltre: (i) un mese dall’ottenimento dei dati, tenuto conto delle circostanze specifiche in cui i dati personali sono trattati, (ii) alla prima comunicazione con l’interessato, o (iii) se tali dati sono trasmessi a terzi, prima della trasmissione dei dati.

Per quanto invece attiene alle garanzie connesse all’esercizio dei diritti di cui agli artt. 16 e ss. del GDPR da parte degli interessati, l’EDPB suggerisce la predisposizione di tool specifici che agevolino tale esercizio e, in particolare, l’implementazione di un “profile management system” all’interno del veicolo che, centralizzando tutte le impostazioni connesse al trattamento dati, permetta, con facilità, l’accesso, la cancellazione e la rimozione dei dati personali dai sistemi del veicolo su richiesta dell’interessato e, in più, abiliti quest’ultimo ad interrompere la raccolta di alcuni tipi di dati, temporaneamente o permanentemente, in qualsiasi momento, a meno che una specifica legislazione non preveda diversamente o i dati risultino essenziali per il funzionamento del veicolo.

Il caso dei servizi “Pay as you drive”

Come in precedenza accennato, le Linee Guida prendono in analisi anche le peculiarità proprie di una serie di servizi che comprendono alcune forme di trattamento di dati personali riconducibili a quelle sin qui esaminate.

Tra queste, in particolare, si segnala il servizio c.d. “Pay as you drive”, promosso dalle imprese assicuratrici che, offrendo premi assicurativi scontati a fronte di un comportamento di guida diligente, inevitabilmente comportano l’esame del driving behaviour dell’utilizzatore[6]. In primo luogo, si ritiene utile sottolineare quanto affermato dal Comitato con riferimento alla base legale del descritto trattamento. In dettaglio si prevede che, qualora i dati venissero raccolti attraverso servizi di comunicazione elettronica quali le SIM presenti all’interno dei dispositivi di telematics, risulterebbe necessario acquisire il consenso dell’interessato, concordemente con quanto previsto ai sensi dell’art. 5, par. 3, della Direttiva ePrivacy; tale consenso potrebbe essere raccolto al momento della conclusione del contratto. Al contempo, per quanto attiene alle operazioni di trattamento successive al mero accesso ai dati, la compagnia assicurativa potrà basare il trattamento sull’esecuzione del contratto stipulato con l’interessato; tanti in conformità con quanto disposto ai sensi dell’art. 6, lett. b), del GDPR.

Stante l’elevato rischio connesso al trattamento dei dati questione (dai quali potrebbero essere potenzialmente ricostruite le abitudini sia di guida che di localizzazione del conducente), l’EDPB sottolinea l’importanza, per i soggetti coinvolti, di attenersi quanto più possibile al principio di minimizzazione dei dati. In forza di tali premesse si prevede ad esempio che gli operatori di telematics acquisiscano un dato “grezzo” (in quanto non riconducibile ad un interessato specifico) circa le abitudini di guida ed i tracciati correlati ad un veicolo e, una volta assegnato un punteggio derivante dai dati acquisiti, trasferiscano tale informazione all’impresa assicuratrice che potrà associare il detto punteggio ad un interessato specifico (senza però entrare in contatto con dati quali quelli di geolocalizzazione).

Tale impostazione non potrebbe che riversarsi anche nell’informativa da fornire all’interessato ai sensi dell’art. 13 GDPR ove, nel caso in cui i dati fossero trattati da un fornitore di servizi telematici per conto della compagnia assicurativa, potrà precisarsi che il fornitore non avrà accesso ai dati direttamente connessi o riconducibile all’identità del conducente (come nomi, targhe, ecc.); il Comitato, inoltre, sottolinea l’importanza di informare gli interessati circa l’esistenza di una profilazione e delle conseguenze della stessa, anche se non dovesse sussistere l’assunzione di alcuna decisione automatizzata ai sensi dell’articolo 22 GDPR.

Conclusioni

Dall’esame della Linee Guida traspare in maniera chiara l’attenzione che l’EDPB ritiene doveroso dedicare alle descritte recenti forme di trattamento, sempre più diffuse. Tale attenzione si riflette, complessivamente, in un riepilogo – calato, ovviamente, nelle peculiarità di specie- dei principi posti alla base del GDPR e dell’intero impianto normativo comunitario in materia di protezione dei dati personali. Tra queste ultime, probabilmente, l’aspetto di maggiore interesse è costituito dall’omologazione tra l’“apparecchio terminale” di cui alla Direttiva ePrivacy ed il veicolo connesso; con la diretta conseguenza che il Comitato, in più di un’occasione, ribadisca l’applicabilità al caso di specie della previsione di cui all’art. 5, par. 3, della Direttiva ePrivacy[7], interpretata come un necessario consenso dell’interessato rispetto al trattamento.

Detta considerazione potrebbe certamente costituire un aspetto degno di interesse per la pubblica consultazione (prevista sino al 20 marzo) conseguita alla pubblicazione delle Linee Guida.

Altrettanto meritevole di interesse risulta l’espresso invito formulato dall’EDPB agli operatori del settore automobilistico (in particolare le aziende costruttrici) per munirsi di un codice di condotta che, recependo le indicazioni riportate all’interno delle Linee Guida, possa migliorare l’applicazione in ogni processo del principio di privacy by design e by default assicurando un’adeguata protezione per i diritti e le libertà degli interessati sin dalla fase di progettazione del trattamento/costruzione del veicolo.

_____________________________________________________________________

  1. Rinvenibile, in lingua inglese, al seguente URL: “https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/guidelines-12020-processing-personal-data-context_en”.
  2. In particolare, le Linee Guida sono dirette, in via esemplificativa e non esaustiva, ai seguenti soggetti: costruttori di veicoli, operatori del settore automotive, autoriparatori, concessionari, società di noleggio e car sharing, fleet managers, compagnie di assicurazione auto, fornitori di servizi di entertainment, operatori di telecomunicazioni, gestori di infrastrutture stradali e autorità pubbliche, nonché ai conducenti, ai proprietari, ai noleggiatori e ai passeggeri (cfr. par. 30, pag. 8, delle Linee Guida).Risultano, invece, espressamente esclusi dall’ambito di applicazione delle Linee Guida i trattamenti dati effettuati dai datori di lavoro in ordine al monitoraggio dei veicoli aziendali e dei dipendenti utilizzatori degli stessi, in quanto, stando alle valutazioni dell’EDPB, risulterebbe in tal caso necessario rifarsi alla disciplina giuslavoristica interna agli Stati membri (cfr. par. 31, pag. 8, delle Linee Guida). Analogo accertamento circa la normativa nazionale sarebbe richiesto in ordine al trattamento dati correlato alle riprese di luoghi pubblici effettuato dai sistemi di telecamere per il parcheggio installate nel veicolo; in forza di tale evidenza anche tale trattamento non rientra nell’ambito di applicazione delle Linee Guida (cfr. par. 33, pag. 8, delle Linee Guida).
  3. Anche nel caso della trasmissione di dati all’Autorità al fine di perseguire e reprimere reati, tale operazione dovrebbe in ogni caso essere posta in essere nel rispetto delle prescrizioni di cui al GDPR e alla normativa interna agli Stati membri (cfr. par. 53, pag. 11, delle Linee Guida).
  4. Ad esempio, un’applicazione meteorologica non dovrebbe essere in grado di accedere alla geolocalizzazione del veicolo ogni secondo, anche con il consenso dell’interessato (cfr. par. 61, pag. 12, delle Linee Guida).
  5. Con riferimento alle tecniche di anonimizzazione utilizzabili si veda le relativa Opinion dell’“Article 29 Working Party” qui rinvenibile in lingua inglese: “https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf”.
  6. Si sottolinea come l’EDPB espressamente dichiari la necessità che la scelta di tale tipologia di contratto assicurativo resti facoltativamente rimessa al conducente (cfr. par. 104, pag. 22, delle Linee Guida).
  7. Sul punto si sottolinea che l’11 gennaio 2017 la Commissione europea ha presentato una proposta di regolamento ( “Regolamento ePrivacy”) concernente il rispetto della vita privata e la protezione dei dati personali nelle comunicazioni elettroniche, che abrogherebbe la Direttiva ePrivacy. L’obiettivo è quello di realizzare l’armonizzazione del quadro giuridico dell’Unione per la protezione dei dati personali, avviata proprio dal GDPR. Il Regolamento ePrivacy, dopo una serie di note vicissitudini (qui il dettaglio “https://eur-lex.europa.eu/legal-content/IT/HIS/?uri=CELEX:52017PC0010#2019-11-27_DIS_byCONSIL”) è ancora attualmente in discussione al Consiglio dell’Unione Europea.
WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal

@RIPRODUZIONE RISERVATA

Articolo 1 di 2