g-docweb-display Portlet

Installazione a bordo del parco veicoli di un dispositivo satellitare multifunzione annoverabile tra i c.d. 'event data recorder'. Verifica preliminare richiesta da Europcar Italia S.p.A. - 7 novembre 2013 [2911484]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 2911484]

Installazione a bordo del parco veicoli di un dispositivo satellitare multifunzione  annoverabile tra i c.d. ´event data recorder´. Verifica preliminare richiesta da Europcar Italia S.p.A. - 7 novembre 2013

Registro dei provvedimenti
n. 499 del 7 novembre 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il d.lgs. 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito "Codice");

VISTA la richiesta di verifica preliminare presentata da Europcar Italia S.p.A. ai sensi dell´art. 17 del Codice;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Antonello Soro;

PREMESSO

1. La richiesta formulata dalla società.

1.1. Europcar Italia S.p.A. –società operante nel settore del noleggio a breve e medio termine di auto e veicoli commerciali leggeri– ha manifestato l´intenzione, in vista dell´implementazione delle proprie strategie commerciali, di voler procedere all´installazione, a bordo del proprio parco veicoli (pari a circa 30000 unità), di un dispositivo satellitare multifunzione (denominato "Clear Box") annoverabile tra i c.d. "event data recorder" (cfr. nota del 28 maggio 2012, successivamente regolarizzata con comunicazione del 30 novembre 2012). Tale dispositivo, unitamente ai relativi connessi servizi (meglio descritti al successivo punto 1.2), verrebbero forniti da Octo Telematics Italia s.r.l. al fine, tra l´altro, di "accrescere la sicurezza sia dei beni dell´azienda (proprietà delle autovetture) sia della clientela e dei drivers", oltre che per "ottimizzare la gestione della flotta" (v. anche, più diffusamente, il successivo punto 1.3). Tenuto conto che l´utilizzo dello strumento, in ragione delle sue molteplici funzionalità, comporterebbe una pluralità di trattamenti di dati personali potenzialmente forieri di rischi specifici per gli interessati, la società ha ritenuto di dover formulare all´Autorità una specifica richiesta di verifica preliminare ai sensi dell´art. 17 del Codice.

1.2. Secondo quanto prospettato (invero in termini non sempre univoci e, talora, contraddittori) con le note del 28 maggio 2012, cit., del 30 novembre 2012, cit. e del 22 aprile 2013, il dispositivo prescelto  –dotato di tecnologia GPS e GSM/GPRS, di un accelerometro triassale e di una memoria interna– sarebbe in grado di rilevare numerose informazioni concernenti il veicolo (e, indirettamente, il conducente) e di trasmetterle a un centro servizi (gestito dalla stessa Octo Telematics Italia s.r.l., di seguito "fornitore") per la relativa elaborazione. Tali informazioni, trasmesse a mezzo di protocolli di comunicazione ritenuti sicuri, verrebbero utilizzate per garantire i seguenti servizi:

a) crash management;

b) furto del veicolo;

c) assistenza stradale;

d) raccolta ed elaborazione dati (profiling);

e) fleet management basic;

f) monitoraggio chilometri;

g) diagnostica.

a) crash management.

Il servizio risulta preordinato a supportare l´attività di gestione e liquidazione di eventuali sinistri (consentendo la ricostruzione della relativa dinamica), riducendo il rischio di potenziali frodi e ottimizzando, in pari tempo, l´intero processo di claim management. Il dispositivo, infatti, è in grado di rilevare le informazioni relative all´ubicazione del veicolo e alle sue accelerazioni (longitudinali, trasversali e verticali) e di trasmetterle al fornitore, in forma parzialmente grezza, nel caso in cui le stesse superino valori predeterminati (tali da far ipotizzare il verificarsi di un sinistro). Più precisamente, per ogni "evento di crash", il sistema rileva "latitudine, longitudine, velocità e direzione di guida" del mezzo, "cristallizzando" le informazioni relative alle "accelerazioni frontali e laterali" nei 4 secondi immediatamente precedenti e nei due secondi immediatamente successivi l´evento; tali informazioni, "convalidate" nei 15 secondi successivi al "sinistro" unitamente a quelle relative alla velocità e direzione di guida del mezzo, vengono trasmesse al centro servizi per la relativa elaborazione e successivamente tradotte in appositi "report" e "dossier" resi disponibili alla società. Questi ultimi, contenenti "la validazione dell´evento, la validazione della dinamica e la valutazione approssimativa del danno", permetterebbero di disporre di elementi utili soprattutto a "ridurre le frodi legati ai sinistri" –e, per l´effetto, i costi legati al relativo contenzioso–, consentendo altresì, anche in prospettiva assicurativa, di agevolare e snellire le procedure di liquidazione dei danni.

Le predette informazioni, temporaneamente registrate sul dispositivo attraverso un buffer di memoria circolare, non verrebbero invece trasmesse –venendo, al contrario, immediatamente sovrascritte– nel caso in cui non dessero origine ad allarmi "crash" (perché non riconosciute dal sistema come superiori alla soglia predefinita e –quindi– come sintomatiche di potenziali sinistri).

Secondo quanto riferito, le informazioni rilevate dal dispositivo in caso di incidente sarebbero solo quelle "necessarie […] per l´analisi del sinistro"; a tal fine, la società ha prodotto documentazione relativa a un "tipico caso di urto con tamponamento a catena in fase di frenata", che riporta le seguenti informazioni: "ID incidente"; "Data"; "Tipo crash"; "Stato crash"; "Luogo di accadimento"; "Stato del quadro" del veicolo; "Ultima velocità rilevata"; "Accelerazione massima rilevata"; "Info" gps. La successiva documentazione inviata all´Autorità (cfr. allegato   alla nota del 22 aprile 2013, cit.) ha evidenziato, peraltro, la presenza di un ulteriore campo (invero non compilato) relativo all´"intestatario contratto"; in proposito, la società ha precisato, da un punto di vista generale, che "Octo Telematics –per ciascun servizio e nel complesso– non visualizza i dati identificativi della singola persona fisica/driver del veicolo e cliente di Europcar", non essendo prevista, a tal fine, alcuna veicolazione di detti dati al fornitore.

Infine, le informazioni relative ai sinistri (invero comprensive anche dei "dati del cliente": cfr. nota del 28 maggio 2012) confluirebbero in un "archivio storico" reso accessibile alla società anche oltre la data di scadenza del contratto; ciò, al fine di permettere la gestione di eventuali sinistri, sia pure nel rispetto dei termini prescrizionali legislativamente previsti, anche a distanza di tempo dalla loro verificazione.

b) furto del veicolo.

Tale servizio, in caso di furto del veicolo, consente di attivare un´apposita procedura basata sulla localizzazione satellitare del mezzo in vista del suo successivo recupero da parte delle forze dell´ordine, preallertate a tal fine dalla "Sala Operativa di Sicurezza" (S.O.S.) del fornitore. Tale procedura, avviata in automatico dal sistema o attivata dal "cliente Europcar" tramite contatto telefonico con la S.O.S., permette di ricercare e individuare il veicolo attraverso un applicativo informatico "con base cartografica europea"; successivamente alla localizzazione del mezzo, la S.O.S. provvede a richiedere l´intervento delle preposte autorità per il concreto recupero dello stesso e per la sua restituzione alla società (con notifica al cliente dell´esito dell´operazione). Ove risultasse necessario il coinvolgimento di una S.O.S. di altro paese (perché il veicolo ha varcato i confini nazionali), sarà quest´ultima, previa ricezione delle sole informazioni tecniche riferite alla vettura (targa; marca; modello; colore; dati di localizzazione), a provvedere al recupero del mezzo e ad avvisare la S.O.S. "del paese di origine" dell´intervento effettuato. In tale evenienza, diversamente da quanto originariamente dichiarato (cfr. nota del 28 maggio 2012, cit.), non sarebbe previsto, a vantaggio delle "sale operative estere", alcun accesso diretto ai sistemi informativi per la visualizzazione dei dati dei clienti della società o dei percorsi eseguiti dai veicoli (in tal senso, v. nota del 22 aprile 2013, cit.). In ogni caso, l´eventuale flusso di dati personali sarebbe diretto verso paesi prevalentemente appartenenti all´Unione europea (cfr. nota del 30 novembre 2012, cit., e relativo all. 1).

Inoltre, i contatti con la S.O.S. per la denuncia del furto e il recupero del veicolo sarebbero attivati, anziché dall´interessato (come inizialmente sostenuto), "esclusivamente da personale Europcar".

Ogni intervento effettuato (dal contatto con il denunciante al recupero del veicolo) verrebbe registrato in uno specifico dossier reso fruibile alla società per le connesse attività di natura amministrativa o assicurativa e a fini di giustizia. A titolo esemplificativo, la società ha prodotto due distinti dossier "incidente" che riportano, in un caso, oltre alle informazioni relative al veicolo e alla tipologia di contratto, i dati personali relativi al cliente/denunciante (segnatamente: nominativo "cliente"; nominativo e recapito telefonico del "contatto") e, nell´altro, alcuni campi (non compilati) relativi a: "nominativo", "telefono" e "indirizzo" del denunciante; "utilizzatore" del veicolo e "intestatario contratto".

c) assistenza stradale.

Tale servizio, accessorio a quello descritto sub lett. a), consente, in caso di "allarme crash", di inviare automaticamente e in tempo reale ai soggetti preposti e al conducente –ove concordato con la società in sede di stipula del contratto di autonoleggio– un messaggio per l´eventuale assistenza medica o meccanica. In tale evenienza, il preposto Centro Operativo per l´Assistenza di Octo Telematics (C.O.A.), ovvero le sale operative prescelte dalla società (cfr. all. 1 alla nota del 30 novembre 2012), fruiranno in tempo reale del "dossier incidente" onde poter organizzare un tempestivo intervento di assistenza stradale a vantaggio degli interessati, secondo standard operativi in parte analoghi a quelli già descritti sub lett. b) del presente provvedimento (con particolare riferimento al flusso di eventuali dati concernente i sinistri occorsi in territorio extranazionale).

L´assistenza, tuttavia, potrà essere richiesta dall´utente anche a prescindere dal verificarsi di un sinistro, attraverso le previste modalità telefoniche.

d) raccolta ed elaborazione dati (profiling).

Il servizio risulta approntato per rendere fruibile, in forma statistica e aggregata, i dati rilevati dal dispositivo installato a bordo dei veicoli. Attraverso un´area web specificamente progettata e implementata sul portale del fornitore, infatti, è possibile accedere, sulla base dei servizi sopra descritti, alle informazioni elaborate dal sistema secondo criteri di aggregazione riferiti a gruppi di veicoli o alla flotta complessivamente considerata. Il servizio, sulla base della documentazione trasmessa, risponderebbe all´esigenza di rendere disponibile un patrimonio informativo di natura strettamente statistica, attraverso modalità operative dichiaratamente idonee ad evitare operazioni di trattamento su dati personali riconducibili a persone fisiche identificate o identificabili (v. il successivo punto 1.3).

e) fleet management basic.

Il servizio consentirebbe la consultazione dello "storico" dei dati registrati per uno o più veicoli, evidenziando puntualmente:

– i percorsi effettuati, con dettaglio degli indirizzi e delle velocità;

– l´analisi dei dati relativi ad eventuali incidenti con altri veicoli;

– i tempi di marcia e di fermata;

– i km percorsi e il tempo impiegato.

Anche in tal caso, il servizio sarebbe approntato e configurato in modalità tale da non comportare trattamenti di dati personali relativi a persone fisiche identificate o identificabili (v. il successivo punto 1.3).

f) monitoraggio chilometri.

Tale servizio permette di monitorare il chilometraggio del veicolo d´interesse al fine di poter programmare, se del caso, un´adeguata attività manutentiva dello stesso. Le informazioni, rese disponibili all´interno dell´apposita area web personalizzata del portale del fornitore, risulterebbero visualizzabili secondo criteri di ricerca predefiniti (targa e/o marca del veicolo; data di attivazione del servizio; ecc.).

g) diagnostica.

Il servizio consente di controllare costantemente le caratteristiche e la qualità dei dati raccolti dai dispositivi mobili rispetto a valori predeterminati. Ogni qualvolta dovesse essere rilevato un comportamento che si discosta dalla soglia prestabilita in relazione al comportamento medio previsto in capo al singolo dispositivo (irregolarità nel ricevitore gps; anomalie nei "sensori di crash"; ecc.), il sistema genera un messaggio di avviso che viene analizzato in vista delle successive azioni da intraprendere per il ripristino della sua corretta funzionalità.
Il servizio, sulla base delle dichiarazioni rese (cfr. nota del 22 aprile 2013), riguarderebbe solo ed esclusivamente il funzionamento del dispositivo, "senza alcun trattamento di dati del driver".

1.3. I servizi relativi alle funzionalità "furto del veicolo", "crash management" e "assistenza stradale" consentirebbero, ancorché indirettamente –attraverso l´associazione delle informazioni rilevate dal dispositivo con quelle disponibili presso la società–, di trattare dati personali relativi a soggetti identificati o identificabili (anzitutto i conducenti, di norma riconducibili ai locatari del mezzo).
Riguardo agli altri servizi, invece, il fornitore risulterebbe contrattualmente "vincolato […] a trattare […] dati anonimi, anonimizzati o in aggregato senza la possibilità neanche indiretta di risalire alla singola persona fisica interessata (cioè il conducente) identificata o identificabile". In particolare, per quanto concerne il servizio sub lett. d), la società ha precisato (cfr. nota del 30 novembre 2012, cit.) che le operazioni avranno ad oggetto informazioni relative alla flotta complessivamente considerata o a gruppi di veicoli identificati unicamente per categoria o marca (con esclusione dell´indicazione della targa), mentre, con riferimento al servizio di cui alla lett. e), è stato chiarito che  le informazioni rilevate (percorsi; velocità; chilometri; tempi di marcia e di fermata; ecc.) verranno acquisite utilizzando criteri di aggregazione (ad es., percorrenze/indirizzi plurimi per singolo veicolo) e cadenze temporali (ad es., intervalli di tempo non inferiori a 30 giorni) ritenuti idonei ad escludere "la riconoscibilità o ricostruzione di singoli eventi" (parametri analoghi o similari, sulla base della documentazione acquisita, verrebbero utilizzati anche in relazione ai servizi "Raccolta ed elaborazione dati (profiling)" e "monitoraggio chilometri"). L´esclusione di operazioni di trattamento di dati personali nell´ambito dei predetti servizi, a fronte di una specifica richiesta formulata dall´Ufficio, è stata confermata dalla società anche con la nota del 22 aprile 2013, cit. Per quanto concerne, infine, il servizio di diagnostica, la società ha dapprima prospettato la possibilità di contattare l´interessato in vista dei controlli tecnici da effettuarsi sul dispositivo a fronte di eventuali anomalie rilevate (cfr. nota del 28 maggio 2012, cit.), salvo poi rettificare che il servizio non prevede il trattamento di dati personali relativi al conducente (cfr. nota del 22 aprile 2013).  
L´accesso ai dati rilevati dalla "Clear Box" avverrebbe attraverso due distinte modalità: "machine-to-machine" (trasmissione, con cadenze temporali predefinite in funzione della tipologia di dati da trasferire dal database del fornitore al database della società); "interfaccia web via internet" (visualizzazione attraverso un portale ad accesso riservato).

Le informazioni e i dati personali complessivamente acquisiti nell´ambito dei servizi sopra richiamati verrebbero utilizzati dalla società per finalità connesse, in particolare, a:

– la tutela del patrimonio aziendale (in buona parte costituito dal parco veicoli);

– la sicurezza dei conducenti (anche nell´ottica di fornire, attraverso interventi tempestivi e adeguati, un servizio qualitativamente elevato) e, in prospettiva, dei lavoratori;

– la riduzione dei costi, legati anche alle frodi e al furto dei veicoli;

– il miglioramento delle proprie strategie commerciali.

I report generati in occasione di eventuali furti o incidenti "non saranno utilizzati per alcuna forma di profilazione della clientela o per possibili successivi rifiuti alla stipula di nuovi contratti di noleggio" (cfr. nota del 30 novembre 2012), né verranno utilizzati per la creazione di eventuali banche di dati, peraltro –attualmente– nemmeno previste.

Titolare del trattamento sarebbe la sola Europcar Italia S.p.A., che opererà sui dati elaborati e resi disponibili dal fornitore nella formale veste di responsabile del trattamento. Gli specifici trattamenti relativi ai servizi sopra evidenziati saranno effettuati, in conformità ai rispettivi profili di autorizzazione, da incaricati ritualmente designati ai sensi dell´art. 30 del Codice e adeguatamente istruiti in merito alle operazioni di trattamento.

La società ha manifestato l´intenzione di voler integrare la prevista informativa (sia quella già presente sulla modulistica cartacea che quella disponibile sul proprio sito web), fornendo compiuti ragguagli –tenuto anche conto delle diverse finalità perseguite– in merito alla natura dei dati trattati, alle caratteristiche del progetto, dei connessi servizi e dei sistemi impiegati, nonché all´ambito di comunicazione dei dati medesimi.

Rispetto ai tempi di conservazione, la società, ribadito che il sistema (per come contrattualmente concepito e disciplinato) rileverebbe dati personali riconducibili a soggetti identificabili "nei soli casi di furto o sinistro che interessino il veicolo" (nonché nel caso di assistenza connessa al sinistro), ha precisato che gli stessi saranno conservati per il periodo necessario "ai fini degli accertamenti di legge e assicurativi", anche in vista dell´eventuale tutela di un diritto in sede giudiziaria.

Ancora, per quanto riguarda le misure di sicurezza adottate, la società ha dichiarato di aver "messo in esercizio", per il tramite del fornitore, "le misure minime e idonee in ottemperanza all´allegato B al Codice". In particolare, tenuto anche conto del grado di "sensibilità" delle informazioni trattate, sarebbero state adottate misure adeguate relativamente a:

– la protezione delle aree e dei locali ove si svolge il trattamento;

–  i criteri e le procedure per assicurare l´integrità e la correttezza dei dati, nonché la sicurezza delle trasmissioni;

–  i piani di formazione degli incaricati e quelli di backup e di disaster recovery.
Infine, la società ha dichiarato che provvederà a modificare la notifica già effettuata, conformemente a quanto previsto dagli artt. 37 e ss. del Codice, provvedendo altresì all´acquisizione del consenso degli interessati anche ai sensi del relativo art. 126 del Codice.

1.4. La "Clear Box", secondo quanto dichiarato, verrebbe inizialmente installata a bordo delle vetture destinate al noleggio, con successiva possibile "estensione", previo esperimento delle procedure di cui all´art. 4 della legge n. 300/1970, anche a quelle concesse in dotazione ai lavoratori. In tale evenienza, peraltro, i servizi attivati riguarderebbero unicamente le funzionalità "furto del veicolo" e "crash management", con esclusione di tutti gli altri (ritenuti, quanto al trattamento che ne deriverebbe, eccedenti e non proporzionati).

2. Event data recorder e disciplina di protezione dei dati personali.

I dispositivi annoverabili tra i c.d. "event data recorder", cui appartiene anche la "Clear Box" che la società intende utilizzare a molteplici fini, trovano espresso riconoscimento, oltre che sul piano nazionale (cfr. art. 49, l. n. 120/2010; art. 32, commi 1-bis e 1-ter, d.l. n. 1/2012, convertito con modifiche con l. n. 27/2012), anche a livello comunitario (cfr. Risoluzione del Parlamento europeo del 27 settembre 2011 sulla sicurezza stradale in Europa 2011-2020; Comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni "Verso uno spazio europeo della sicurezza stradale: orientamenti 2011-2020 per la sicurezza stradale" del 20 luglio 2010; International Working Group on Data Protection in Telecommunications, Working Paper, Event Data Recorder (EDR) on Vehicles Privacy and data protection issues for governments and manufacturers del 4 aprile 2011, doc. web n. 1895966).

Ciò premesso, l´impiego del dispositivo in esame, per le molteplici funzionalità di cui risulta dotato, comporta una pluralità di trattamenti di dati personali suscettibili di distinta valutazione nell´ambito dei singoli servizi considerati (v. infra). Al riguardo, peraltro, appare imprescindibile ribadire che la disciplina di protezione dei dati personali può trovare applicazione nei soli confronti delle operazioni di trattamento relative a "dati personali" (nell´accezione accolta dall´art. 4, comma 1, lett. b) del Codice), con esclusione, pertanto, delle informazioni non riconducibili (nemmeno indirettamente) a persone identificate o identificabili. Conseguentemente, con l´eccezione dei servizi di cui alle precedenti lett. d), e), f) e g) –rispetto ai quali la società ha dichiarato, assumendosi ogni responsabilità al riguardo (anche ai sensi dell´art. 168 del Codice), di non trattare dati personali, avendo contrattualmente vincolato Octo Telematics s.r.l ad adottare accorgimenti atti ad escludere, anche indirettamente, l´identificabilità degli interessati– i princìpi del Codice troveranno applicazione con riferimento alle sole operazioni di trattamento (oggetto del presente provvedimento) derivanti dall´attivazione delle funzionalità "furto del veicolo", "crash management" e "assistenza stradale"; tanto, muovendo dall´ulteriore assunto –nascente dalla legge e reiteratamente riconosciuto anche dall´Autorità (cfr. Provv. 29 novembre 2012, doc. web n. 2257616; Provv. 1° agosto 2012, doc. web n. 1923293; Provv. 4 ottobre 2011, doc. web n. 1850581; Provv. 7 luglio 2011, doc. web n. 1828354; Provv. 5 giugno 2008, doc. web n. 1531604; v. altresì il Parere n. 5/2005 sull´uso di dati relativi all´ubicazione al fine di fornire servizi a valore aggiunto, WP 115, e il Parere n. 4/2007 sul concetto di dati personali, WP 136, del Gruppo di lavoro ex art. 29, direttiva n. 95/46/Ce)–, che le informazioni acquisite, benché in prima battuta inerenti al veicolo, sono comunque riconducibili, in virtù dell´associazione (anche a posteriori) con altre informazioni nella disponibilità della società, a soggetti identificati o identificabili.

3. Rapporto tra la società e il fornitore.

Fermo restando quanto evidenziato al successivo punto 5, merita in questa sede rilevare che l´esternalizzazione delle attività finalizzate all´esecuzione dei servizi richiesti, formalizzata attraverso un apposito contratto di appalto, asseconda legittime esigenze organizzative proprie della società istante, che si avvale a tal fine del fornitore chiamato appropriatamente a rivestire, sulla base dell´assetto contrattuale prescelto, il ruolo di responsabile del trattamento (art. 29 del Codice) (in tal senso v. già Parere 19 dicembre 1998, doc. web n. 41941 e Parere 8 giugno 1999, doc. web n. 1092666; v. anche Provv. 7 luglio 2011 e Provv. 5 giugno 2008, cit.). Quest´ultimo, infatti, salva l´autonomia necessaria dal punto di vista tecnico-organizzativo per la fornitura dei servizi richiesti, non gode, in concreto (cfr. contratto di appalto per la fornitura di servizi del 25 maggio 2012), di un autonomo potere decisionale in merito alle finalità e alle modalità del trattamento –tale, cioè, da poter essere considerato, con ragionevole certezza, quale autonomo titolare o contitolare dei medesimi trattamenti–, potere viceversa riscontrabile solo in capo alla società, correttamente qualificatasi, a tal proposito, quale unico titolare alla stregua degli artt. 4, comma 1, lett. f), e 28 del Codice (v. anche, più in generale, il Parere 1/2010 sui concetti di responsabile e incaricato del trattamento, adottato dal Gruppo di lavoro ex art. 29, WP 169).

Il fornitore, pertanto, dovrà operare in stretta aderenza alle direttive stabilite dalla società anche in merito ai profili di protezione dei dati personali, attenendosi rigorosamente alle istruzioni da questa impartite, che devono tener conto, a loro volta, delle indicazioni fornite con il presente provvedimento.

4. Servizi della "Clear Box" e protezione dei dati personali.

4.1. Crash management.

In termini generali, la finalità che la società intende perseguire attraverso il servizio di "crash management" risulta lecita. Il dispositivo in esame, infatti, consente di rilevare –e, limitatamente ad eventi ritenuti significativi, memorizzare– informazioni utili all´accertamento della dinamica di eventuali sinistri e delle condotte connesse alla circolazione dei veicoli locati, permettendo alla società di ricostruire l´andamento del "crash" (soprattutto dal punto di vista cinematico) in vista del successivo utilizzo, per finalità di tutela dei diritti, dei dati rilevati come possibili elementi di prova (nello stesso senso, Provv. 29 novembre 2012, cit.). E ciò, invero, non solo in vista dell´accertamento di eventuali condotte fraudolente, ma anche –e più in generale– per la corretta attribuzione delle responsabilità in occasione dei sinistri, anche ai fini dell´applicazione delle pertinenti disposizioni contrattuali (che prevedono, al riguardo, ipotesi di esonero, limitazione delle responsabilità e manleva del locatore: cfr. condizioni generali di contratto). Appare dunque ragionevole ritenere che il trattamento in esame, ove effettuato per finalità di tutela dei diritti o in esecuzione di specifici obblighi contrattuali –profili rispetto ai quali, in base alle previsioni di legge, il consenso degli interessati non risulta nemmeno necessario (art. 24, comma 1, lett. b) e f), del Codice)–, possa essere considerato conforme alla disciplina vigente, avuto particolare riguardo ai princìpi di liceità e finalità (art. 11, comma 1, lett. a) e b), del Codice).

Sotto altro profilo, il medesimo trattamento, ove effettuato in aderenza alle modalità indicate, non appare in contrasto con i princìpi di necessità e proporzionalità stabiliti dagli artt. 3 e 11, comma 1, lett. d), del Codice, atteso che i dati relativi al "crash" che la società intende trattare –peraltro associabili solo a posteriori a soggetti identificati– non risultano essere, sulla base della documentazione in atti, sovrabbondanti o ultronei rispetto alla corretta ricostruzione delle dinamiche dei sinistri. Tali dati, fatta salva la tutela di eventuali diritti in sede giudiziaria, potranno essere conservati, nell´ambito della finalità connessa alla fruizione del servizio, per il tempo strettamente necessario alla ricostruzione del sinistro e all´accertamento delle relative responsabilità (art. 11, comma 1, lett. e), del Codice), tenendo a tal fine presente anche quanto previsto dall´art. 2947 cod. civ. (nello stesso senso, Provv. 29 novembre 2012, cit.) e da altre specifiche normative eventualmente applicabili.

4.2. Furto del veicolo.

Considerazioni in parte analoghe possono essere effettuate in relazione al distinto trattamento che la società intende svolgere attraverso il servizio "furto del veicolo". Secondo quanto prospettato, infatti, tale servizio risulta preordinato ad assecondare legittime esigenze di tutela del patrimonio aziendale (costituito, in parte, dal parco veicoli della società adibiti in locazione) avverso atti illeciti, fornendo in pari tempo informazioni utili anche a fini assicurativi e per la tutela di eventuali diritti. Nei limiti di tali finalità, la società potrà trattare i dati personali relativi al necessario funzionamento del servizio, che dovranno essere pertinenti e non eccedenti rispetto agli scopi dichiarati (in tal senso, peraltro, la documentazione allegata non ha evidenziato significativi profili problematici, tenuto conto che i dati trattati atterrebbero alle sole informazioni necessarie alla localizzazione e al recupero del veicolo e alla gestione dei contatti con il "denunciante" e/o con l´"intestatario" del contratto di autonoleggio).

Inoltre, considerato che il trattamento che la società intende svolgere verrebbe effettuato per finalità di tutela di diritti e/o in adempimento di specifiche disposizioni contrattuali (che prevedono, anche in tal caso, specifiche limitazioni di responsabilità), il consenso può ritenersi non necessario ai sensi del già citato art. 24, comma 1, lett. b) e f), del Codice.

Anche in relazione all´eventuale trasferimento all´estero dei dati personali degli interessati non è dato ravvisare, allo stato degli atti, particolari criticità, posto che –sulla base delle dichiarazioni rese e della documentazione prodotta (cfr. nota del 30 novembre 2013, cit., e relativo all. 1, nonché nota del 22 aprile 2013, cit.)–, detto trasferimento avverrebbe, prevalentemente, all´interno di paesi appartenenti all´Unione europea (art. 42 del Codice). Nel caso in cui il trasferimento sia diretto verso paesi non appartenenti all´Unione, la società dovrà acquisire il consenso espresso degli interessati, ovvero operare sulla base degli altri presupposti di liceità legislativamente previsti (artt. 43 e 44 del Codice).

La società potrà conservare i dati personali acquisiti nell´ambito del servizio in esame per il solo periodo di tempo strettamente necessario all´individuazione e al recupero del veicolo; l´eventuale ulteriore conservazione dei dati medesimi potrà ritenersi consentita solo in presenza di specifiche disposizioni normative o per la tutela di un diritto in sede giudiziaria.

4.3. Assistenza stradale.

Parimenti lecita è la finalità di assistenza stradale che la società intende perseguire attraverso l´omonimo servizio. Non vi è dubbio, infatti, che il servizio in esame possa contribuire ad assicurare, in caso di sinistro, notevoli benefici agli interessati (soprattutto in termini di maggiore efficacia e celerità nelle operazioni di assistenza), consentendo in pari tempo alla società di offrire alla clientela servizi maggiormente appetibili e qualitativamente più elevati (cfr. anche, a livello sovranazionale, le molteplici iniziative succedutesi nel campo dell´eSafety, con particolare riguardo all´eCall: Memorandum of understanding for realisation of interoperable in-vehicle eCall del 28 maggio 2004; "Relazione sulla sicurezza stradale: mettere eCall a disposizione dei cittadini" del Parlamento europeo del 27 marzo 2006; "Documento di lavoro sulle implicazioni in materia di protezione dei dati e rispetto delle vita privata dell´iniziativa eCall", adottato il 26 settembre 2006 dal Gruppo di lavoro "articolo 29", WP 125; v., altresì, la direttiva 2010/40/Ue del Parlamento e del Consiglio del 7 luglio 2010 sul quadro generale per la diffusione dei sistemi di trasporto intelligenti nel settore del trasporto stradale e nelle interfacce con altri modi di trasporto); ciò, a condizione che il correlato trattamento resti comunque soggetto alla doverosa e scrupolosa osservanza della disciplina legale in materia di protezione dei dati personali.

In tale quadro, appare conforme a legge (oltre che coerente con il menzionato documento del Gruppo art. 29) la scelta operata dalla società di rimettere alla libera autodeterminazione dell´interessato ("laddove concordato con Europcar in sede di stipula del contratto di noleggio") la possibilità di trattare i suoi dati personali per finalità di tutela della propria incolumità fisica. Nei limiti di tale finalità, e solo in caso di sinistro, la società potrà mettere a disposizione degli organismi preposti il "dossier incidente" (contenente unicamente le informazioni relative all´evento di "crash" e necessarie per gestire l´intervento di assistenza), a condizione che l´interessato abbia effettivamente prestato il proprio libero consenso (art. 23 del Codice) e sia stato previamente informato in ordine alle caratteristiche del trattamento svolto (art. 13 del Codice). Resta ovviamente salva, ricorrendone i presupposti, l´applicabilità dell´art. 24, comma 1, lett. e) del Codice.

5. Ulteriori adempimenti.

Nel prendere atto dei trattamenti che la società intende svolgere a mezzo del dispositivo in esame, si richiamano di seguito le misure e gli accorgimenti che il Garante ritiene di dover prescrivere a Europcar Italia S.p.A. ai sensi degli artt. 17 e 154 del Codice.

In via preliminare, e sul piano generale, merita anzitutto evidenziare che, sulla base dell´equivoca e contraddittoria documentazione in atti, non risulta chiaro se, e in che termini, Octo Telematics Italia s.r.l. abbia o meno accesso, nell´esecuzione dei distinti servizi che comportano operazioni di trattamento, ai dati personali dei conducenti o dei locatari dei veicoli. Al riguardo, non può sottacersi che la qualifica di responsabile viene riconosciuta dalla legge solo in capo al soggetto preposto dal titolare al trattamento di "dati personali" (artt. 4, comma 1,  lett. b) e g), e 29 del Codice): pertanto, anche in ragione dei connessi riflessi che tale designazione riverbera sotto il profilo della corretta applicazione della disciplina in esame (si pensi, a titolo esemplificativo, all´idonea informativa che deve essere resa agli interessati, nonché alle modalità di esercizio dei, e di riscontro ai, diritti di cui all´art. 7 del Codice: artt. 8, comma 1, 9, comma 1, 10, comma 2 e 13, comma 1, lett. d) e f), dello stesso Codice), si ritiene opportuno prescrivere alla società, in assenza di elementi certi, di provvedere a una rinnovata ricognizione delle informazioni acquisite, elaborate e rese accessibili dal fornitore, confermando la sua designazione a responsabile nel solo caso in cui quest´ultimo tratti, effettivamente, dati personali (nell´accezione sopra richiamata).

Ciò premesso, e al fine di dare piena attuazione al principio di correttezza (art. 11, comma 1, lett. a), del Codice), si ritiene che un´adeguata informativa preventiva debba essere resa dalla società anche nei confronti della generalità dei soggetti (diversi dal contraente) che – sia pure indirettamente e in via remota – potrebbe essere interessata dai trattamenti in esame (conducenti diversi dall´intestatario del contratto di autonoleggio; terzi trasportati; ecc.). A tal fine, il Garante ritiene che la società possa utilizzare a bordo dei propri veicoli anche un modello semplificato di informativa, che illustri sinteticamente – anche a mezzo pittogramma o immagini stilizzate, di esplicita e immediata comprensione – le complessive caratteristiche dei trattamenti svolti attraverso il dispositivo in esame (art. 13, comma 3, del Codice). In ogni caso, tale informativa dovrà essere opportunamente integrata attraverso la pubblicazione sul sito web della società di una dettagliata descrizione dei dispositivi utilizzati e dei trattamenti svolti, con modalità tali da risultare di chiara e immediata comprensione per l´intera collettività dei potenziali interessati.

Sotto altro profilo, si ritiene che debbano essere integrate le misure di sicurezza individuate dalla società a protezione dei dati personali oggetto di trattamento. In aggiunta alle misure già indicate (cfr. punto 1.3) e a quelle minime obbligatoriamente previste dagli artt. 33 e ss. del Codice, la società, anche in ragione di quanto previsto dall´art. 11, comma 1, lett. c), dello stesso Codice, dovrà garantire la "genuinità" dei dati acquisiti e trasmessi dai dispositivi elettronici (che, in tale ottica, dovranno offrire, anche sulla base di eventuali certificazioni od omologazioni, rigorose garanzie di affidabilità in termini di autenticità, accuratezza e integrità delle informazioni rilevate) e a prevenirne eventuali manomissioni (art. 31 del Codice). Inoltre, dovrà essere garantito l´accesso ai dati ai soli incaricati effettivamente legittimati sulla base dei compiti loro assegnati; in tale prospettiva, andrà tracciato ogni accesso ai dati personali degli interessati, adottando al riguardo gli opportuni accorgimenti tecnico-organizzativi (per un´applicazione dei medesimi princìpi, sia pure in un contesto diverso, v. Provv. 12 maggio 2011, doc. web n. 1813953). Infine, dovrà essere assicurata all´interessato che ne faccia richiesta ai sensi dell´art. 7 del Codice la possibilità di accedere ai propri dati personali firmati digitalmente.

Da ultimo, con riferimento ai tempi di conservazione, la società, scaduti i termini previsti in rapporto agli scopi perseguiti nell´ambito dei distinti servizi, dovrà provvedere alla distruzione dei dati personali (anche attraverso il ricorso a meccanismi di cancellazione automatica e integrale delle informazioni) o alla loro trasformazione in dati anonimi. Resta salva, ovviamente, la possibilità di una loro ulteriore conservazione a fini di giustizia o in adempimento a specifiche disposizioni normative.

*      *      *

Per tutte le finalità indicate nel presente provvedimento, il trattamento dovrà avvenire con modalità sempre rispettose, in concreto, dei diritti e delle libertà fondamentali, nonché della dignità degli interessati (art. 2, comma 1, del Codice) e dovrà essere svolto, in ogni caso, in conformità all´art. 11, comma 1, lett. a) del medesimo Codice, nel rispetto di altre discipline di legge eventualmente applicabili.

Resta inteso, come dichiarato, che i dati personali rilevati dalla "Clear Box" e relativi a eventuali furti o incidenti non potranno essere trattati dalla società per "profilare" gli interessati (ad esempio per la memorizzazione delle abitudini e dello stile di guida), ovvero per negare la stipula di nuovi contratti di noleggio, né potranno essere utilizzati in operazioni di trattamento incompatibili con le finalità originarie della raccolta (art. 11, comma 1, lett. b), del Codice). Parimenti, resta inteso che le informazioni desunte in relazione ai servizi di cui alle lett. d), e), f) e g) del presente provvedimento potranno essere liberamente rilevate e utilizzate solo nella misura in cui le stesse informazioni non siano effettivamente riconducibili, neanche indirettamente, a persone identificate o identificabili.

La società, ove intenda "estendere" al proprio personale dipendente il trattamento dei dati relativi alla localizzazione, non dovrà presentare una specifica richiesta di verifica preliminare laddove ricorrano, in concreto, i presupposti indicati nel Provv. 4 ottobre 2011, cit.

Infine, la società dovrà tenere in debita considerazione ogni altra indicazione e/o prescrizione che dovesse risultare eventualmente applicabile a seguito dell´adozione del regolamento attuativo di cui all´art. 32, commi 1-bis e 1-ter, del d.l. n. 1/2012, convertito con modifiche con l. n. 27/2012, come pure di ogni altro intervento che dovesse rendersi necessario in relazione a specifiche disposizioni normative.

TUTTO CIÒ PREMESSO, IL GARANTE,

a conclusione della verifica preliminare richiesta da Europcar Italia S.p.A. relativamente all´utilizzo di un dispositivo multifunzione annoverabile tra i c.d. "event data recorder", prende atto dei trattamenti oggetto dell´istanza presentata –da effettuarsi in stretta aderenza ai termini di cui in narrativa e nel rigoroso rispetto di quanto dichiarato ai sensi dell´art. 168 del Codice–, fermo restando, ai sensi degli artt. 17 e 154 del Codice, che la società dovrà:

1. provvedere a una rinnovata ricognizione delle informazioni acquisite, elaborate e rese accessibili dal fornitore, confermando la sua designazione a responsabile nel solo caso in cui quest´ultimo tratti, effettivamente, dati personali;

2. fornire alla generalità dei soggetti (diversi dal contraente) che possa essere interessata dai trattamenti in esame l´informativa (anche semplificata) di cui in motivazione (punto 5), pubblicando altresì sul proprio sito web, entro la data di messa in esercizio del sistema, informazioni dettagliate e facilmente individuabili in merito ai dispositivi installati sui veicoli e ai connessi trattamenti di dati personali;

3. garantire, anche in ragione di quanto previsto dall´art. 11, comma 1, lett. c) del Codice, la "genuinità" dei dati acquisiti e trasmessi dai dispositivi elettronici (preservandone l´autenticità, l´accuratezza e l´integrità),  adottando altresì accorgimenti atti a prevenirne eventuali manomissioni (art. 31 del Codice). Inoltre, dovranno essere adottati adeguati accorgimenti tecnico-organizzativi idonei a tracciare le operazioni di accesso ai dati personali degli interessati, operazioni che comunque potranno essere effettuate dai soli incaricati del trattamento effettivamente legittimati;

4. garantire all´interessato che ne faccia richiesta ai sensi dell´art. 7 del Codice la possibilità di accedere ai propri dati personali firmati digitalmente;

5. fatta salva l´applicabilità di specifiche normative o la tutela di eventuali diritti in sede giudiziaria, conservare i dati personali degli interessati per un periodo di tempo non superiore a quello necessario agli scopi perseguiti nell´ambito dei distinti servizi che comportano trattamenti di dati personali (art. 11, comma 1, lett. e), del Codice), tenendo a tal fine presente, con riferimento al servizio di cui al punto 1.2, lett. a), del presente provvedimento, anche quanto previsto dall´art. 2947 cod. civ. Resta inteso che, allo scadere del termine previsto per la conservazione dei dati, questi ultimi dovranno essere distrutti (anche attraverso il ricorso a meccanismi di cancellazione automatica e integrale delle informazioni) o trasformati in dati anonimi;

6. provvedere ad acquisire, in caso di eventuale trasferimento di dati personali diretto verso paesi non appartenenti all´Unione europea, il consenso espresso degli interessati, ovvero ad operare sulla base degli altri presupposti di liceità legislativamente previsti (artt. 43 e 44 del Codice);

7. trattare i dati personali rilevati dal dispositivo per i soli scopi dichiarati o in termini comunque compatibili con i medesimi scopi (art. 11, comma 1, lett. b), del Codice), con esclusione, pertanto, di forme di utilizzo dei dati per finalità di profilazione della clientela (anche in vista dell´eventuale diniego alla stipula di nuovi contratti di noleggio) o per la creazione di banche di dati non giustificate;

8. trattare i dati personali, per tutte le finalità perseguite, con modalità sempre rispettose, in concreto, dei diritti e delle libertà fondamentali, nonché della dignità degli interessati (art. 2, comma 1, del Codice) e in conformità all´art. 11, comma 1, lett. a) del medesimo Codice;

9. utilizzare le informazioni desumibili in relazione ai servizi di cui al punto 1.2, lett. d), e), f) e g) del presente provvedimento solo nella misura in cui le stesse non siano effettivamente riconducibili, neanche indirettamente, a persone identificate o identificabili;

10. tenere in debita considerazione ogni altra indicazione o prescrizione che dovesse risultare eventualmente applicabile a seguito dell´adozione del regolamento attuativo sulle "Modalità di raccolta, gestione e utilizzo dei dati raccolti dai dispositivi elettronici che registrano l´attività del veicolo" di cui all´art. 32, commi 1-bis e 1-ter, del d.l. n. 1/2012, convertito con modifiche con l. n. 27/2012, come pure ogni altro intervento che dovesse rendersi necessario in relazione a specifiche disposizioni normative.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 7 novembre 2013

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia

Scheda

Doc-Web
2911484
Data
07/11/13

Argomenti


Tipologie

Verifica preliminare