L’importanza del diritto della privacy, unita alla rilevanza che l’automobile riveste da sempre nelle nostre vite, ha fatto sì che studiosi e legislatori, sia comunitari che nazionali, abbiano già cominciato ad interrogarsi e a proporre soluzioni idonee a:
- Garantire il rispetto del diritto alla PRIVACY;
- Ridurre il rischio di DATA BREACHES, ovvero il rischio di accessi fraudolenti a dati personali registrati all’interno dei veicoli.
Come già osservato nei precedenti articoli di questa serie (rintracciabili tramite il tasto search del sito scrivendo: “macchine a guida autonoma”), infatti, la rilevazione di informazioni da parte di dispositivi quali telecamere, sensori, modem e processori è perfettamente aderente alle definizioni di DATO PERSONALE e TRATTAMENTO, come contenute nell’Articolo 4 del Regolamento UE n°2016/679 per la tutela dei dati personali (anche G.D.P.R. – “General Data Protection Regulation”).
Negli ultimi anni il legislatore comunitario, proseguendo sul solco tracciato dal G.D.P.R., ha emanato una serie di fonti dirette a regolamentare il trattamento di dati personali da parte dei c.d. SMART VEHICLES (o veicoli intelligenti) e dei soggetti appartenenti all’ambito latu sensu stradale (ad esempio costruttori e compagnie di assicurazione).
Il REGOLAMENTO UNECE n°155/2022 prescrive l’adozione, da parte dei costruttori, di adeguati sistemi di cybersecurity necessari per l’omologazione dei veicoli, in quanto idonei a garantire il diritto alla privacy degli utenti.
Allo stesso modo, lo STANDARD ISO 21434 prescrive, sempre ai costruttori, una serie di accorgimenti finalizzati a limitare i rischi connessi ai DATA BREACHES e riguardanti gli ambiti privacy, financial, security.
Le Linee Guida E.D.P.B.
La più estesa regolamentazione in materia è senza dubbio costituita dall’European Data Protection Board (anche EDPB), ovvero da linee guida, pubblicate nella loro versione definitiva nel marzo del 2021, contenenti raccomandazioni generali, rivolte ai legislatori nazionali, per l’applicazione dei principi cardine del GDPR in ambito automotive.
Anche alla gestione di dati raccolti all’interno dei c.d. VEICOLI CONNESSI, definitivi come “un veicolo dotato di numerose centraline tra loro per mezzo di una rete di bordo, nonché di strumenti di connettività che consentono di condividere informazioni con altri dispositivi interni ed esterni al veicolo”, vanno infatti applicate le norme del G.D.P.R..
In particolare, le linee guida EDPB sono rivolte al trattamento di tre tipologie di dati nell’ambito dei VEICOLI CONNESSI per uso privato:
- Dati trattati all’interno del veicolo;
- Dati scambiati tra il veicolo e i dispositivi personali ad esso connessi;
- Dati raccolti localmente nel veicolo ed esportati verso soggetti esterni ai fini di un ulteriore trattamento.
Venendo ora al contenuto normativo, le linee guida EPDB prevedono quanto segue.
Ogni trattamento dei dati deve essere determinato, specifico e lecito, nonché giustificato ricorrendo una delle basi normative previste dall’Art. 6 del GDPR, privilegiando ove possibile il consenso da parte di ogni nuovo occupante.
Detto consenso deve essere libero, specifico ed informato.
Per ogni ulteriore o più ampio trattamento dei dati raccolti all’interno del veicolo, rispetto alle finalità comunicazione inizialmente, deve essere prestato, da parte dell’occupante, un nuovo e specifico consenso.
I dati, inoltre, devono essere trattati in modo strettamente aderente alle finalità del trattamento.
Ciascun costruttore dovrà garantire anche misure latu sensu di sicurezza, ovvero dirette a garantire la protezione e l’integrità dei dati raccolti.
Per quanto riguarda i servizi che impiegano dati c.d. SENSIBILI (in quanto diretti a rivelare l’origine razziale o etnica, le opinioni personali, l’appartenenza sindacale, la salute, la vita e l’orientamento sessuali) e BIOMETRICI (derivanti cioè dalle scansioni effettuate dalle telecamere interne al veicolo e diretti e rivelare in modo univoco l’identità di una persona), deve applicarsi la disciplina di specie prevista dall’Art. 9 del GDPR.
Ne deriva che i predetti dati devono essere trattati:
- Previo consenso dell’interessato che di volta in volta utilizzi il veicolo, ovvero in presenza delle basi giuridiche previste dal secondo comma della norma richiamata;
- Solo ove ciò sia indispensabile per l’erogazione del servizio.
CONCLUDENDO, non resta che guardare all’imminente futuro, con la speranza che si possa giungere concretamente ad una piena tutela degli utenti e ad una efficiente risposta da parte dei legislatori nazionali.