venerdì, Marzo 29, 2024
Uncategorized

Veicoli connessi e tutela dei dati personali: le linee guida 1/2020 dell’EDPB

Il 29 marzo 2021, l’European Data Protection Board (“EDPB” o “Board”), all’esito della consultazione pubblica iniziata il 7 febbraio 2020, ha adottato le Guidelines 1/2020 on processing personal data in the context of connected vehicles and mobility related applications (“Linee guida”) che si concentrano sul trattamento dei dati personali in relazione all’uso dei veicoli connessi in contesti diversi dall’attività professionale.

  1. Ambito di applicazione e obiettivo delle Linee guida

Le Linee guida si inseriscono in un contesto in cui i veicoli connessi stanno generando un ammontare sempre maggiore di dati, molti dei quali – essendo riconducibili ai driver o ai passeggeri – costituiscono dati personali ai sensi del Regolamento UE 679/2016 (“GDPR” o “Regolamento”).

In tale contesto, l’obiettivo delle Linee guida è quello di facilitare la compliance del trattamento dei dati personali e, in particolare, quello effettuato nell’ambito dell’uso non professionale dei veicoli connessi da parte degli interessati (e.g., conducenti, passeggeri, proprietari di veicoli) e in relazione ai dati personali:

  • trattati all’interno del veicolo;
  • scambiati tra il veicolo e i dispositivi personali (e.g., lo smartphone dell’utente); ovvero
  • raccolti localmente nel veicolo ed esportati ad entità esterne (g., i produttori dei veicoli e compagnie di assicurazione).

Tale necessità nasce, in particolare, a fronte del proliferare di funzioni per i veicoli connessi, tra cui quelle che permettono ai conducenti di raggiungere una destinazione rapidamente e in modo efficiente (e.g., fornendo informazioni tempestive sulla navigazione GPS), quelle che aiutano i conducenti a ridurre i costi d’uso (e.g., notifica delle condizioni del veicolo e assicurazioni personalizzate “Pay As/How You Drive”), nonché quelle che avvertono il conducente dei pericoli esterni (e.g., rilevamento della sonnolenza del conducente o le blackbox per le indagini sugli incidenti).

  1. La base giuridica per il trattamento dei dati nell’ambito dei veicoli connessi

In linea generale, i veicoli connessi possono essere definiti come quei veicoli dotati di molte unità di controllo elettronico, collegate tra loro tramite una rete di bordo e strutture di connettività che permettono di condividere informazioni con altri dispositivi all’interno e all’esterno del veicolo, che, pertanto, per il Board, potrebbe essere considerato alla stregua di un’apparecchiatura terminale ai sensi dell’art. 1, par. 1, n. 1 della Direttiva 2008/63/CE[1].

In tale contesto, di conseguenza, troverà applicazione la Direttiva 2002/58/CE[2] (la c.d. “Direttiva ePrivacy”) che fissa regole specifiche, volte a garantire la riservatezza delle comunicazioni e la tutela dei dati personali degli utenti[3] nel settore delle comunicazioni elettroniche[4], nonché ad assicurare la libera circola­zione di tali dati e delle apparecchiature e dei servizi di comu­nicazione elettronica all’interno dell’UE (art. 1, par. 1, Direttiva)[5].

Alla luce di tale considerazione, l’EDPB ritiene, pertanto, che debba applicarsi lo standard di cui all’art. 5, par. 3, Direttiva ePrivacy, che impone ai titolari del trattamento di acquisire il consenso dell’utente e, nello specifico, di trattare i dati a condizione che: (i) l’abbonato o l’utente interessato sia stato informato in modo chiaro e completo sugli scopi del trattamento; e che (ii) allo stesso sia offerta la possibilità di rifiutare tale trattamento.

Resta salva, in ogni caso, la possibilità di effettuare una memorizzazione tecnica o l’accesso al solo fine di compiere o facilitare la trasmissione di una comunicazione e, in generale, il trattamento dei dati in forma anonima.

Si noti, tuttavia, che il consenso, secondo l’EDPB, dovrebbe essere richiesto esclusivamente per l’archiviazione delle informazioni o per l’accesso a quelle già memorizzate, potendo i titolari basare le operazioni di trattamento successive e/o ulteriori sulle altre condizioni di cui all’art. 6, GDPR[6].

  1. I rischi sottesi all’utilizzo dei veicoli connessi

Nelle Linee guida, l’EDPB sottolinea innanzitutto le preoccupazioni che l’uso dei veicoli connessi potrebbe sollevare, enfatizzando soprattutto i rischi di una sorveglianza constante degli individui legato all’utilizzo di tecnologie di localizzazione. In particolare:

  • mancanza di controllo sui propri dati personali, posto che le informazioni possono essere fornite solo al proprietario del veicolo, che non è necessariamente il conducente (ed è in ogni caso diverso dai passeggeri, anche occasionali, del veicolo);
  • bassa qualità del consenso dell’utente, che può non essere adeguatamente informato sul trattamento dei dati effettuato nel veicolo. A ciò si aggiunga la difficoltà di ottenere e tracciare il consenso degli eventuali conducenti e dei passeggeri diversi dal proprietario, nonché – nel caso di rivendita, leasing o prestito – del soggetto che prende in seconda battuta possesso del veicolo;
  • trattamenti dei dati personali diversi da quelli per i quali il consenso è stato prestato. Per esempio, i dati di telemetria raccolti durante l’uso del veicolo per scopi di manutenzione, non possono essere divulgati alle compagnie di assicurazione senza il consenso degli utenti allo scopo di creare profili del conducente per offrire polizze assicurative basate sul comportamento di guida;
  • raccolta eccessiva di dati legata allo sviluppo di nuove funzionalità basate su algoritmi di apprendimento automatico;
  • sicurezza dei dati personali, che potrebbe essere compromessa dalla pluralità di funzionalità, servizi e interfacce utilizzate unitamente ai veicoli connessi.
  1. Le raccomandazioni dell’EDPB

Al fine di mitigare i rischi evidenziati nel precedente paragrafo 3, l’EDPB ha fornito agli stakeholder indicazioni utili per un corretto trattamento dei dati degli utenti, individuando tre categorie di dati personali generati da un veicolo connesso che meritano una particolare attenzione alla luce del potenziale impatto sui diritti e le libertà degli interessati e, in particolare, i dati di localizzazione, i dati biometrici e quelli che possono rivelare la commissione di reati e/o altre infrazioni.

A tale proposito, a titolo esemplificativo e non esaustivo, si segnala che il Board consiglia di:

  • raccogliere i dati di localizzazione solo quando necessario e non di default, consentendo all’interessato di disattivare l’opzione di localizzazione in qualsiasi momento;
  • assicurare che le soluzioni di autenticazione biometrica siano particolarmente “resistenti” ad eventuali attacchi, anche prevedendo numeri di tentativi di accesso limitati e la criptazione del modello biometrico;
  • considerare misure di sicurezza adeguate ad assicurare che il trattamento dei dati personali all’interno dei veicoli rimanga “locale” e, qualora un soggetto agisca in qualità di responsabile ex 28, GDPR, prestare attenzione alla sicurezza delle c.d. “in-car application” (si pensi, per esempio, alle app eco-drive che consentono di inviare in tempo reale delle notifiche sullo schermo a bordo del veicolo);
  • nel caso in cui sia prevista la trasmissione di dati personali al di fuori del veicolo, considerare di rendere tali dati anonimi;
  • fornire le informazioni di cui all’art. 13, GDPR mediante clausole concise e facilmente comprensibili nel contratto di vendita del veicolo o di prestazione di servizi, utilizzando documenti quali il manuale di utilizzazione del veicolo o proiettandole sul computer di bordo;
  • per facilitare il controllo sui propri dati da parte dell’utente, implementare sistemi di gestione delle preferenze e delle impostazioni privacy (e.g., con un pulsante di cancellazione o con un’app dedicata).

[1] In particolare, in tale nozione rientrano le stazioni terrestri per i collegamenti via satellite, nonché quelle allacciate direttamente o indirettamente all’interfaccia di una rete pubblica di telecomunicazioni per trasmettere, trattare o ricevere informazioni (e.g., dispositivi quali smartphone, tablet o computer).

[2] Si noti che la Direttiva ePrivacy verrà a breve sostituita da un apposito Regolamento e-Privacy, la cui bozza è stata da ultimo approvata dal Consiglio dell’Unione europea.

[3] Sul punto, occorre evidenziare che per “utente” s’intende qualsiasi persona fisica che utilizza un servizio di comunicazione elettronica accessibile al pubblico, per motivi privati o commerciali, senza esservi necessariamente abbonata (art. 2, par. 2, lett. a), Direttiva ePrivacy).

[4] Ai sensi della Direttiva, i servizi di comunicazione elettronica sono servizi forniti per mezzo di segnali elettronici (e.g., su reti di telecomunicazioni o di teleradiodiffusione), esclusi, tuttavia, i servizi di controllo dei contenuti editoriali ed i servizi della società dell’informazione che non comportano la trasmissione di segnali.

[5] Per un approfondimento sull’ambito di applicazione della Direttiva ePrivacy rispetto al GDPR, si rinvia al Parere sull’interazione tra la direttiva e-privacy e il regolamento generale sulla protezione dei dati adottato il 12 marzo 2019 dall’EDPB che prevede che la Direttiva ePrivacy si applichi allorché siano soddisfatte le seguenti condizioni: (i) esiste un servizio di comunicazione elettronica; (ii) il servizio è offerto tramite una rete di comunicazione elettronica; (iii) il servizio e la rete sono accessibili al pubblico; (iv) il servizio e la rete sono offerti nell’UE.

[6] In particolare, ai sensi dell’art. 6, GDPR, il trattamento può dirsi lecito quando: (i) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità; (ii) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso; (iii) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento; (iv) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica; (v) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento; (vi) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

Ariella Fonsi

Laureata in Giurisprudenza nel 2017 presso l’Università LUISS “Guido Carli”, dal 2021 è abilitata all'esercizio della professione forense. Dopo aver conseguito il master in “Diritto e Impresa” erogato dalla 24ORE Business School di Milano, si occupa di contrattualista IT e di diritto dei dati.  

Lascia un commento