Il trattamento dei dati personali nel contesto dei connected vehicles: pubblicate dall’EDPB le nuove Linee guida 1/2020

Il 7 febbraio 2020 l’European Data Protection Board (“EDPB”) ha pubblicato le Linee guida inerenti il trattamento dei dati personali nel contesto dei veicoli collegati e delle applicazioni relative alla mobilità, in consultazione pubblica fino al prossimo 20 marzo.

I veicoli stanno diventando enormi centri di raccolta dati personali in grado di fornire informazioni sui conducenti o su altri soggetti all’interno o all’esterno dello stesso: i sensori, le scatole telematiche o le applicazioni relative all’ambiente di guida raccolgono e registrano, per le più svariate finalità (tra cui la sicurezza del conducente, l’efficienza dei trasporti, l’intrattenimento o i servizi di informazione) i comportamenti degli utenti, le loro abitudini di guida, i luoghi visitati e, potenzialmente, anche dati biometrici. Tali dati potranno poi essere trattati soltanto all’interno del veicolo oppure trasmessi a dispositivi collegati (e.g., lo smartphone dell’utente) o a soggetti terzi (quali costruttori di veicoli o compagnie di assicurazione), dando vita ad un ecosistema complesso, che non si limita ai tradizionali attori dell’industria automobilistica, ma è plasmata anche dall’emergere di nuovi attori appartenenti all’economia digitale.

Le sfide sono molteplici e vanno dal rischio di una forte asimmetria informativa, a quello di un’eccessiva raccolta di dati rispetto ai singoli scopi. Tra le altre, forti criticità anche in relazione alla prestazione di un eventuale consenso, con problematiche relative non soltanto alla qualità dello stesso consenso, ma anche rispetto alle effettive modalità con cui quest’ultimo verrebbe prestato (si pensi ai casi dei veicoli usati, in leasing o in prestito).

Tra le altre misure idonee a garantire un’effettiva protezione dei dati personali, l’EDPB raccomanda in particolare l’implementazione di un sistema di gestione dei profili in grado di centralizzare tutte le impostazioni dei dati per ogni trattamento nonché di memorizzare le preferenze dei conducenti, consentendo la possibilità di modificare agevolmente le impostazioni privacy. Essenziale è altresì garantire la sicurezza e la riservatezza dei dati, limitando quanto più possibile il trasferimento al di fuori del veicolo e adottando sistemi di cifratura in grado di pseudonomizzare o anonimizzare i dati.

In conclusione, è necessario che gli stakeholder adottino il modello di protezione dei dati personali by design. Infatti, soltanto un approccio “GDPR-oriented” fin dalla fase di progettazione del prodotto può rafforzare la fiducia degli utenti e, quindi, lo sviluppo a lungo termine di tali tecnologie.