NEWS

Auto connesse e rischi sulla privacy, le criticità sono anche tra le righe della normativa

L’Internet of Things (IoT) ha reso le automobili uno dei luoghi ove il profilo della privacy è più a rischio. Recentemente una ricerca di Mozilla ha evidenziato alcuni preoccupanti aspetti sulle principali case automobilistiche, inerenti alle componenti IT di cui sempre più le vetture sono dotate e tramite cui possono essere veicolati informazioni sui nostri comportamenti in una maniera che può essere poco compliant al rispetto della privacy, ma in certi casi sono le stesse previsioni della normativa a presentare delle criticità sulla protezione dei dati personali.

Auto, sicurezza stradale e privacy. Alcune riflessioni per non perdere la strada…

In questa sede si intende infatti approfondire alcuni aspetti inerenti al trattamento dei dati personali sempre nel mondo automobilistico, in funzione di due Regolamenti UE finalizzati alla sicurezza stradale e delle persone; si tratta di:

- Regolamento UE 2015/758 (eCall) che prevede l’impianto sulle nuove auto del cd sistema eCall per chiamare in automatico, oppure manualmente, il 112, tramite centri di raccolta delle chiamate di emergenza (cd. PSAP) gestiti da una autorità pubblica o da un soggetto privato autorizzato. Tale sistema è finalizzato a ridurre il numero di vittime nell'Unione e la gravità delle lesioni causate dagli incidenti stradali, grazie all'allerta precoce dei servizi di emergenza. Il Regolamento riconosce la possibilità di sistemi privati analoghi (TPS eCall, già esistenti) che sugli autoveicoli possono essere anche compresenti ma non sostitutivi di quello pubblico, che è obbligatorio per le vetture la cui omologazione è stata approvata dal 31 marzo 2018; i due sistemi non possono inoltre scambiarsi dati;

- Regolamento UE 2019/2144 relativo ad alcune funzionalità tecniche di cui devono essere provvisti i veicoli a motore afferenti alla sicurezza e protezione degli occupanti dei veicoli e degli altri utenti della strada, con l’obiettivo di ridurre in modo significativo il numero di decessi e di lesioni gravi sulle strade. Questo Regolamento impone una dotazione base di tecnologie di sicurezza per le auto: a) adattamento intelligente della velocità; b) interfaccia di installazione di dispositivi di tipo alcolock; c) avviso della disattenzione e della stanchezza del conducente d) avviso avanzato di distrazione del conducente e) segnalazione di arresto di emergenza; f) rilevamento in retromarcia; e g) registratore di dati di evento (RDE) o (ulteriori sistemi sono previsti per veicoli diversi dalle auto). Dal 6 luglio 2022 solo le auto con RDE possono avere l’omologazione UE, mentre dal 7 luglio 2024, invece, l'obbligo si estende anche alle auto di nuova immatricolazione.

Le tecnologie previste dalle due normative hanno evidenti connotazioni anche sulla privacy che possono presentare delle criticità di cui addetti ai lavori e Data Protection Officer devono tenere conto.

Infatti, con riguardo al Regolamento UE “eCall” in particolare è previsto che il sistema debba essere configurato per permettere la conservazione delle ultime tre posizioni del veicolo per quanto strettamente necessario a indicare la posizione attuale e la direzione di marcia al momento dell'evento e che il costruttore debba fornire informazioni chiare e complete nel manuale di istruzioni sul trattamento dei dati e sulle modalità per esercitare i propri diritti.

Per quanto riguarda l’eventuale analogo sistema privato pure installato dalla casa costruttrice, va da sé che il suo utilizzo può andare oltre la safety ed essere fonte di informazioni tramite i centri raccolta privati e tramite loro mezzo per fornire servizi commerciali (come la prenotazione di un ristorante), ma (dovrebbe essere così almeno) previo consenso dell’interessato.

Con riguardo al Regolamento UE 2019/2144 rileva a fini privacy - oltre al rilevatore di disattenzione/stanchezza (i cui dati è previsto che debbano essere immediatamente cancellati dopo il trattamento) il RDE, apparentemente analogo alla cd. black box già in uso da anni nel settore automobilistico. Il RDE deve essere in grado di registrare e memorizzare, per il periodo immediatamente prima, durante e immediatamente dopo una collisione, almeno la velocità del veicolo, la frenata, la posizione e l’inclinazione del veicolo sulla strada, lo stato e la frequenza di attivazione di tutti i suoi sistemi di sicurezza, il sistema eCall, l’attivazione del freno e qualsiasi altro parametro di input pertinente dei sistemi di bordo di sicurezza attiva e di prevenzione degli incidenti, nel rispetto del Regolamento UE 2016/679 (GDPR).

Per quanto interessa l’aspetto qui in esame, il Regolamento UE 2019/2144 prevede che tale registratore debba in particolare: funzionare su un sistema a circuito chiuso; anonimizzare e proteggere da manipolazioni e abusi le informazioni rilevate; inoltre, il RDE non dovrà registrare e memorizzare le ultime quattro cifre del codice VIS (vehicle indicator section) del numero di identificazione del veicolo (VIN), né qualsiasi altra informazione che possa consentire di individuare il singolo veicolo o il titolare dello stesso.

Tali dati potranno essere messe a disposizione delle autorità nazionali (da considerare titolari del trattamento?), mediante un’interfaccia standardizzata, in base alla legislazione nazionale o dell’Unione, soltanto ai fini della ricerca e dell’analisi in relazione all’incidente (fra cui, è da presumere, a fini di indagine giudiziaria).

Qualche perplessità suscita la previsione dell’anonimizzazione, atteso che i dati afferenti a un registratore di eventi saranno riferibili a una specifica auto (che peraltro potrebbe lecitamente avere guidatori diversi, perché messa a disposizione dal proprietario o perché in noleggio con copertura assicurativa in capo all’impresa di noleggio); comunque, se tali dati fossero in prosieguo raccolti in forma massiva (sono registrati ricordiamo quelli afferenti a eventi/incidenti) per finalità connesse ad es. a definire misure di prevenzione, tale anonimizzazione acquisterebbe un proprio senso.

Di contro, gli interessati non potranno accedere ai propri dati, salvo eventualmente in occasione di vertenze giudiziarie e tramite il giudice; analoga preclusione vale nei confronti delle imprese costruttrici e assicurative.

La black box “di mercato” è già normata dal Dlgs. 209/2005 “Codice delle Assicurazioni Private” (CAP - cfr gli artt. 132-ter e 145-bis, norme inserite nel 2017) che prevede sconti sulla RC-auto ove la stessa sia installata e assegna valore probatorio ai dati raccolti da tale apparato, che deve avere specifiche caratteristiche tecniche e funzionali, salvo che la controparte non ne provi il malfunzionamento o la manomissione del dispositivo ( in argomento cfr. ad es. sentenza 2611-2021 del Giudice di Pace di Palermo).

Con riguardo ai ruoli privacy, il CAP (art. 145-bis) fornisce anche indicazioni sulla titolarità del trattamento e sul divieto al trattamento dei dati registrati per finalità diverse da quelle connesse alla gestione del rapporto assicurativo (ovvero: determinazione delle responsabilità in occasione dei sinistri e fini tariffari), fatto salvo il consenso dell’interessato.

Atteso che nel rapporto fra assicurato e società assicuratrice in genere si inserisce un ulteriore soggetto, il provider che gestisce il sistema di rilevazione degli utilizzi della vettura e dei dati afferenti agli incidenti (cd. crash), ne consegue che deve essere in concreto i) profilato il ruolo ex-GDPR anche del provider del servizio tecnico e ii) esplicitate fattispecie e limiti con cui i dati inerenti alla circolazione del veicolo possono essere trattati per le diverse finalità menzionate.

L’attenzione agli impatti privacy delle tecnologie di tracciamento dei veicoli risale indietro nel tempo, come ad esempio ci evidenziava una ricerca del 2013 di studiosi dell’ Università di Denver  Qui e ora, in Europa e con il GDPR, osserviamo un quadro articolato fra privacy e IT applicata alle auto, in cui alcuni dispositivi possono essere in doppia dotazione, una per le finalità pubbliche e normata dalla legge e una contrattualizzata (ma nel rispetto delle previsioni del GDPR) e con prevalente motivazione in aspetti di business.

Diverso pure l’ambito di esercizio dei diritti degli interessati mentre dovrebbero essere fra loro coerenti le informazioni registrate ad esempio in caso di incidenti, auspicabilmente residuali grazie anche alle tecnologie in parola. Si tratta di una sovrapposizione di strumenti, finalità, ruoli che possono certo coesistere ma per che la quale occorre evitare che, sotto il profilo privacy, l’interessato resti confuso sull’effettivo trattamento – obbligatorio e/o per consenso - dei propri dati. Ed è una, fra le tante situazioni, in cui i Responsabili per la protezione dei dati (Data Protection Officer) possono svolgere un utile ruolo al riguardo per orientare comportamenti e atti delle organizzazioni di appartenenza.

Note Autore

Pasquale Mancino Pasquale Mancino

Componente del Gruppo di Lavoro per la privacy nella Pubblica Amministrazione. Nota: Le opinioni espresse sono a titolo esclusivamente personale e non coinvolgono l’Ente di appartenenza dell’autore

Prev Non basta rispondere all’interessato che i suoi dati personali vengono utilizzati in conformità alla normativa sulla privacy
Next Corte europea dei diritti dell’uomo, pubblicata una scheda informativa con tutte le sentenze in materia di privacy

Privacy Day Forum 2023: i momenti salienti

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy