La connettività tra autoveicoli, e tra essi e il web mediante un vasto numero di sensori si sta diffondendo anche fuori dal mondo delle auto di lusso.
I dati personali (biometrici, quelli relativi alle abitudini e allo stile di guida, ai gusti musicali, ai tragitti compiuti dal conducente e dai passeggeri) sono trattati da un vasto ventaglio di soggetti: produttori dei veicoli, service provider, gestori della rete autostradale e di telecomunicazione. Di ciò gli utenti sono largamente inconsapevoli; mentre i problemi connessi a questo specifico settore dell’internet delle cose crescono costantemente in numero e complessità.
Ciò giustifica la pubblicazione, da parte del EDPB, delle Linee Guida sul trattamento dei dati personali nel contesto degli autoveicoli connessi e delle applicazioni legate alla mobilità.
Il quadro normativo
Sul piano generale, le Linee Guida indicano, quali norme applicabili ai trattamenti legati agli autoveicoli connessi, il GDPR e la Direttiva ePrivacy; quest’ultima riferimento ineludibile per tutti i soggetti che memorizzino o leggano preliminarmente su un qualsivoglia terminale dati diversi da quelli degli utenti oggetto di futuro trattamento (come per esempio i dati precaricati nei software di navigazione forniti con l’autoveicolo), equiparando così gli autoveicoli connessi e gli altri device a essi collegati agli smartphone e ai pc.
In particolare, l’art. 5.3 della Direttiva prevale sull’art. 6 del GDPR, richiedendo il nostro consenso per la memorizzazione di tali dati preliminari e l’accesso agli stessi nei terminali da parte dei vari soggetti sopra esemplificati; fermo restando che tali trattamenti devono altresì essere leciti ai sensi dall’art. 6 del GDPR.
Per la Direttiva, sono 2 le eccezioni alla obbligatorietà del consenso: quando il trattamento sia necessario per la trasmissione di una comunicazione in sé stessa, quando sia necessario per la fornitura di un servizio della società dell’informazione già consensato dal titolare dei dati personali.
I trattamenti dei dati elaborati nell’autoveicolo
Oggetto delle Linee Guida, in secondo luogo, sono i trattamenti dei dati elaborati dentro l’autoveicolo, ovvero scambiati tra il veicolo e i device personali collegati allo stesso, ovvero ancora ivi raccolti e scambiati con soggetti esterni. Ove gli autoveicoli siano connessi esclusivamente attraverso App residenti su altri device (come i navigatori installati negli smartphone), sono escluse dall’ambito di applicazione delle Linee Guida quelle estranee all’ambito del driving; come le app che consigliano luoghi di particolare interesse.
Alcune aree sono di particolare delicatezza nell’ambito dei trattamenti sopra individuati.
I trattamenti ulteriori rispetto a quelli originariamente consensati od oggetto delle 2 eccezioni sopra richiamate, che devono essere consensati ex novo, ai sensi dell’art. 5.3 della Direttiva.
La raccolta di dati, attraverso il crescente numero di sensori, eccedente rispetto a finalità e natura dei vari trattamenti, in violazione dei principi di minimizzazione e di coerenza dei dati, tutelati dal GDPR.
La sicurezza e l’integrità dei medesimi dati, tutelate dal GDPR e minacciate dalle vulnerabilità di sensori, interfacce e canali di raccolta dei medesimi.
Le raccomandazioni sul trattamento dei dati più sensibili
Rispetto a questo scenario le Linee guida danno numerose raccomandazioni, raggruppandole in vari filoni tematici, alcuni dei quali di particolare rilevanza per milioni di utenti della strada.
Sono particolarmente delicati i trattamenti concernenti i dati biometrici od oggetto dell’art. 9 del GDPR (cd. dati sensibili), di geolocalizzazione, e quelli connessi alla commissione di reati e/o a violazioni del codice della strada.
Quanto alla geolocalizzazione, il EDPB raccomanda che la frequenza della localizzazione sia ridotta al minimo possibile per lo svolgimento del trattamento, che l’informativa preliminare al consenso al trattamento sia chiara quanto allo scopo del medesimo, che l’ottenimento del consenso al trattamento sia chiaramente distinto dalle condizioni di vendita e d’uso del veicolo, che la geolocalizzazione si attivi solo quando si utilizzi una funzione che ne necessiti (informando l’utente ogni volta che si attivi, consentendogli di disabilitarla in ogni momento), che infine si delimiti un periodo ridotto di memorizzazione dei dati.
Anche sui dati biometrici le raccomandazioni sono numerose e assai importanti: i dati biometrici dovrebbero essere utilizzati solo ove non sia possibile ricorrere ad altro, ad esempio, per avviare l’autoveicolo o per entrarvi. Ma vi è di più, poiché l’autenticazione deve rispondere ad alcuni principi: la precisione dell’autenticazione deve essere coerente col livello di sicurezza proprio dell’accesso richiesto, i sensori utilizzati devono essere resilienti agli attacchi informatici, il numero di autenticazioni consentite deve essere limitato, il riferimento biometrico (ad esempio la mappa della retina) deve essere criptato e memorizzato nell’autoveicolo mediante soluzioni allo stato dell’arte, i dati grezzi utilizzati per la creazione del modello biometrico e per l’autenticazione devono essere processati in tempo reale, e mai archiviati.
Quanto ai dati potenzialmente in grado di rivelare reati (come per esempio posizione o velocità del veicolo), essi possono essere trattati solo ove l’Autorità sia autorizzata dalla legge nazionale o della Unione ed in ogni caso la loro elaborazione ai fini del trattamento dovrebbe avvenire sempre all’interno del veicolo, salvo alcune specifiche eccezioni, e sempre ricorrendo a tecniche atte a salvaguardarli da accessi, alterazioni e cancellazioni illegali.
A questo punto, si può e si deve compiere un inciso importante: il rispetto delle raccomandazioni da parte degli operatori del settore (sopra esemplificati), qualora associato a trattamenti che non richiedono il conferimento ad essi dei dati degli utenti, sottrae i medesimi trattamenti all’ambito di applicazione del GDPR, con evidenti, rilevanti ricadute su di essi in termini di sgravio da responsabilità.
Dati di geolocalizzazione | Frequenza minima possibile Chiara indicazione dello scopo trattamento Consenso distinto dalle condizioni di vendita Geolocalizzazione facilmente disattivabile Periodo limitato di conservazione dei dati |
Dati biometrici | Utilizzo solo ove non sia possibile altrimenti Tecniche di autenticazione finalizzate al più alto standard di sicurezza |
Dati relativi a reati e infrazioni stradali | Trattamento possibile solo se autorizzato da legge della Unione o nazionale Trattamento da eseguire sempre all’interno del veicolo e mediante tecniche allo stato dell’arte quanto alla sicurezza |