Veicoli connessi

Il 9 marzo 2021 il Comitato europeo (EDPB), a seguito della fase di consultazione pubblica, ha adottato la versione finale (v.2.0) delle linee guida 01/2020 sul trattamento di dati personali nell’ambito dei veicoli connessi e delle applicazioni relative alla mobilità.

Considerata l’ampiezza del contesto di riferimento, il tema affronta e chiarisce aspetti di interesse generale – cioè applicabili anche in ambiti differenti – sintetizzati di seguito.

Pluralità di attori

Il contesto dei veicoli connessi vede il coinvolgimento di una pluralità di attori appartenenti sia al settore automobilistico sia a quello digitale. Insieme ai tradizionali costruttori di veicoli, di accessori e componenti, ai riparatori e alle concessionarie automobilistiche, si registrano i fornitori di servizi automobilistici, i gestori di parchi veicoli, le compagnie di assicurazione, ma anche i fornitori di servizi di intrattenimento, gli operatori di telecomunicazioni, i gestori di infrastrutture stradali e le amministrazioni pubbliche. Ciascuno di questi soggetti riveste generalmente il ruolo soggettivo di titolare autonomo del trattamento o di contitolare ma possono anche prospettarsi situazioni in cui alcune di queste tipologie di attori effettuano operazioni di trattamento per conto di altri titolari, in posizione di responsabili del trattamento.

Pluralità di interessati

I dati personali raccolti e utilizzati nell’ecosistema dei veicoli connessi sono riferibili a differenti categorie di interessati come conducenti, proprietari, passeggeri e persino estranei che si trovano nelle vicinanze, ad esempio catturati dalle immagini di videocamere installate  sul veicolo, come parti dell’equipaggiamento di cosiddette black box per la registrazione di dati relativi a incidenti (event data recorder).

Pluralità di tipi di dati raccolti

I dati raccolti e utilizzati sono del tipo più vario, possono concernere informazioni sulle prestazioni del motore, le abitudini di guida, i luoghi visitati, lo stile di guida o la distanza percorsa, i dati relativi all’usura di parti del veicolo, i dati relativi all’ubicazione o quelli raccolti da videocamere e, potenzialmente, persino i movimenti oculari del conducente, la frequenza cardiaca oppure dati biometrici al fine di identificare in maniera univoca una data persona fisica.

Natura dei dati raccolti

Anche qualora non siano direttamente correlati a un nominativo ma si riferiscano ad aspetti tecnici e caratteristiche del veicolo, i dati raccolti da un veicolo connesso riguarderanno comunque persone fisiche (conducente, passeggeri, terzi) e spesso consentono la loro identificazione diretta (come l’identità del proprietario) o indiretta, costituendo pertanto “dati personali”; infatti, anche i dati non identificativi, messi in relazione con altri dati e soprattutto con il numero di identificazione del veicolo (VIN), possono permettere di risalire a una persona fisica. 

Dati sensibili

Tra le informazioni dell’ecosistema dei veicoli connessi ve ne sono di natura sensibile, rientranti fra le cosiddette categorie particolari di dati (art. 9 GDPR) e tra i dati relativi a condanne penali e reati (art. 10), per i quali GDPR e codice privacy prescrivono una disciplina di maggior rigore. Tra i primi, si annoverano i dati biometrici ed altri altamente personali come quelli di localizzazione; nella seconda categoria, vi sono i dati indicativi di potenziali violazioni stradali – assimilabili alle informazioni dell’articolo 10 del GDPR – che possono essere trattati dalle autorità di contrasto per rilevare violazioni dei limiti di velocità o altre infrazioni, nel rispetto della direttiva 2016/680 e delle normative locali di attuazione. Nello specifico, in relazione alle informazioni da cui possono desumersi violazioni sanzionabili (come ad esempio i dati relativi alla velocità istantanea di un veicolo combinati con dati sulla posizione esatta), l’EDPB raccomanda di ricorrere al trattamento locale dei dati, sul quale l’interessato ha il pieno controllo.

Il livello di sensibilità dei dati, peraltro, è parametro per la valutazione di adeguatezza ed efficacia delle misure di sicurezza, al fine di offrire una protezione appropriata contro l’accesso, la modifica e la cancellazione illegittimi di tali dati.