Sistemi di guida assistita, informazioni in tempo reale su condizioni della strada e segnaletica, sullo stato degli impianti di bordo; infotainment; chiamate d’emergenza automatiche.
Questi servizi si fondano su un continuo scambio di informazioni, sia di natura tecnica che comportamentale, tra i sensori presenti sulla vettura, il computer di bordo e i server online dei molteplici attori coinvolti.
Il Comitato Europeo per la Protezione di Dati personali ha adottato il 28 gennaio 2020le linee guida sui trattamenti di dati personali effettuati nel contesto dei “veicoli connessi” e delle app relative alla “mobilità”. Le linee guida ci ricordano come, ulteriormente e diversamente rispetto ad altri dispositivi di IoT, l’autovettura implichi rischi potenzialmente impattanti sulla stessa integrità fisica dell’utente. Cosa vuol dire questo?
CHI GIRA IL VOLANTE?
Il Garante europeo ci invita a riflettere come la sicurezza del dato e della sua trasmissione, pur importante anche nel caso di un semplice fit-watch o di una web-cam per la videosorveglianza domestica, assume un rilievo capitale quando riguarda le informazioni che permettono, ad esempio, allo sterzo della nostra vettura di forzare una manovra di rientro in carreggiata o all’impianto frenante di attivarsi in automatico in caso di presunto rilevamento ostacoli.
E’ evidente che se questi dati venissero compromessi, sia in fase di elaborazione che in fase di trasmissione, verrebbe messa a repentaglio la stessa incolumità fisica degli occupanti del veicolo.
Oltre ad esprimere questa preoccupazione il Comitato Europeo rivolge la propria attenzione sull’enorme quantitativo di informazioni raccolte in automatico dall’automezzo in ordine: al comportamento del conducente (tramite la telemetria di bordo); ai suoi spostamenti (tramite la geolocalizzazione); ai suoi interessi (tramite la connettività di infotainment); alle sue frequentazioni (tramite l’”ospitalità” bluetooth a favore dei propri passeggeri), ecc., soprattutto in considerazione di due aspetti ritenuti problematici:
a) I dati raccolti dal veicolo restano registrati “dentro” il veicolo e “passano” di mano in mano quando questo cambia proprietario, oppure, ancora con maggior frequenza, nel caso di veicoli noleggiati;
b) I dati raccolti dal veicolo vengono trasmessi al di fuori del veicolo, sia al produttore sia, spesso, a terzi (compagnie di assicurazione, centri di studi statistici, ecc.).
Il Comitato evidenzia, quindi, l’assoluta necessità che tutti i protagonisti del settore automotive assumano comportamenti corretti sia sotto il profilo della tutela dei dati in sé, a garanzia della sicurezza, anche fisica, degli utenti, sia sotto quello della tutela della loro riservatezza, informando correttamente sul tipo di dati raccolti, sulle finalità del trattamento e sugli eventuali destinatari, per consentire agli utenti un controllo pieno ed effettivo dei loro dati personali, cosa che, al momento, non si sta affatto verificando.
In particolare l’acquirente/conducente/utente del veicolo andrà fin da subito informato, in maniera chiara ed immediatamente percepibile, su tutti i soggetti che verranno a conoscere le informazioni personali raccolte in automatico dal veicolo.
QUANDO ACCELERI TI VEDO!
Quanti di noi acquistando una vettura si sono posti la domanda di quali fossero i soggetti che sarebbero venuti a conoscere il nostro stile di guida? Quanti di noi si sono interrogati sulla possibilità che le compagnie di assicurazione in futuro ci propongano condizioni assolutamente peggiori perché, magari, hanno accesso al database della casa produttrice del nostro veicolo che ha trasmesso anni consecutivi delle nostre accelerazioni e frenate da GDA5, violazioni frequenti dei limiti di velocità e altre infrazioni minori del codice della Strada?
Chi di noi conosce esattamente a quanti ulteriori soggetti tutte le informazioni raccolte dal veicolo vengano trasmesse?
Il Comitato invita a fornire ai clienti informative complete e facili da comprendere fin dall’acquisto dell’auto (anche tramite apposite icone all’interno dell’abitacolo); l’inserimento di procedure semplificate (tipo la previsione di un “pulsante” di reset), per consentire al cliente/conducente di cancellare in un solo colpo tutte le informazioni personali raccolte dall’auto prima di venderla o di restituirla al noleggiatore a lungo termine.
Altro tema assolutamente sensibile è la raccolta di dati biometrici che alcune vetture di oggi compiono, consentendo, ad esempio, l’accesso del proprietario al veicolo e ad alcune funzioni dello stesso tramite impronta digitale o riconoscimento facciale.
Anche questa tipologia di dati, come da sempre sottolineato dal Comitato, va sottoposto alle più ferree cautele e tutele (quali la cancellazione immediata dei raw-data biometrici; la cifratura dei patterns; la conservazione degli stessi solo all’interno del dispositivo).
L’invito esplicito all’intero settore dell’automotive è quello di attenersi scrupolosamente ai principi del GDPR, fornendo informative chiare e complete soprattutto sulle “sorti” dei dati raccolti, consentendo agli utenti un esercizio facilitato dei propri diritti, minimizzando al massimo la raccolta di informazioni, utilizzando cifratura e anonimizzazione, svolgendo sempre – e mantenendo aggiornate – serie ed effettive valutazioni di impatto sul trattamento dei dati, soprattutto quando l’elaborazione degli stessi viene effettuata all’esterno del veicolo (ad es. presso i server della casa produttrice).
NECESSARIO CONSENSO DA PARTE DEL PROPRIETARIO DELL’AUTO
In questo ultimo caso, cioé quando si consente ad un soggetto esterno al veicolo di accumulare dati all’interno del veicolo ed agli stessi accedere da fuori, il Comitato sottolinea, inoltre, che deve applicarsi sempre l’art. 5 par. 3 della Direttiva e-privacy, che si conferma prevalere come lex specialis sull’art. 6 GDPR, per cui, nonostante il trattamento possa fondarsi anche su altre basi giuridiche di cui all’art. 6 GDPR, la sua legittimità è sempre subordinata alla previa informativa dell’utente che deve poterlo sempre rifiutare, sicché, di fatto, si renderà in ogni caso necessaria l’acquisizione del suo idoneo e libero consenso (sia che si tratti del proprietario che del conducente sia, infine, si tratti di terzi trasportati. Ciò a seconda del tipo di dati coinvolti).
Avv. Francesco Cucci
Se necessiti di assistenza/consulenza per rendere conforme la tua attività alla nuova normativa europea ed italiana in materia di privacy e tuteta dei dati personali, contattami anche solo per un preventivo gratuito a questi recapiti:
