[doc. web n. 9009360]

Verifica preliminare. Trattamento di dati personali derivante dal prospettato utilizzo di un sistema di monitoraggio dei veicoli in transito per finalità di commisurazione del pedaggio al percorso realmente effettuato dagli utenti - 22 maggio 2018

Registro dei provvedimenti
n. 318 del 22 maggio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il d.lgs. 30 giugno 2003, n. 196, recante il “Codice in materia di protezione dei dati personali” (di seguito “Codice”);

VISTA la richiesta di verifica preliminare presentata ai sensi dell’art. 17 del Codice da Aiscat Servizi s.r.l., Società Autostrade per l’Italia S.p.A. e da numerose altre società concessionarie di tratte autostradali aderenti ad Aiscat, tutte rappresentate dall’avv. Nicola Maione;

VISTE le osservazioni formulate dalle società istanti;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Augusta Iannini;

PREMESSO

1. Il sistema oggetto della richiesta.

1.1. Con comunicazione inviata il 25 agosto 2015 (integrata e regolarizzata con note del 20 giugno 2016, dell’11 gennaio e del 30 marzo 2017, quest’ultima inviata il 26 aprile 2017, nonché del 4 e 13 luglio 2017) Aiscat Servizi s.r.l., unitamente a Società Autostrade per l’Italia S.p.A. e a numerose altre società concessionarie di tratte autostradali, ha presentato al Garante, ai sensi dell’art. 17 del Codice, una richiesta di verifica preliminare relativa al trattamento di dati personali derivante dal prospettato utilizzo di un sistema di monitoraggio dei veicoli in transito su tali tratte per finalità di commisurazione del pedaggio al percorso realmente effettuato dagli utenti. Le società, reputando che il correlato trattamento di dati personali possa comportare rischi specifici per gli interessati, hanno interpellato questo Garante per un vaglio preliminare dell’iniziativa. Secondo quanto riferito, l’esigenza di parametrare l’importo pedaggiabile in funzione della tratta effettivamente percorsa troverebbe giustificazione in una serie di riferimenti a livello comunitario (in particolare, la direttiva 1999/62/CE del 17 giugno 1999, che definisce la nozione di “pedaggio”; la Comunicazione della Commissione europea del 30 agosto 2012 recante “Attuazione del servizio europeo di telepedaggio”; la direttiva 2004/52/CE, che valorizza talune nuove tecnologie applicate al telepedaggio; la decisione 750/09/Ce, sul Sistema Europeo di Telepedaggio; la nota del 13 aprile 2010, con cui la Commissione europea ha evidenziato al Ministero delle Infrastrutture e dei Trasporti alcune questioni relative all’implementazione dell’EETS- European Eletronic Tool Service).

1.2. A differenza dell’attuale sistema di tariffazione –che prevede la rilevazione dei dati relativi al tragitto dei veicoli e la connessa fatturazione solo attraverso i caselli di entrata e di uscita, prescindendo dal percorso concretamente effettuato dagli utenti– la soluzione prefigurata prevede l’acquisizione di informazioni riguardanti tutti gli autoveicoli in transito sulla rete autostradale anche mediante “portali” intermedi (c.d. portali “in itinere”) ubicati in punti strategici della rete autostradale. 

A seguito dell’ingresso al casello, il sistema procederebbe, tramite telecamere conformi agli standard UNI 10772:1998, alla raccolta delle informazioni relative alla fase iniziale del percorso (data e ora di entrata del veicolo; codice identificativo della stazione e della pista di accesso; numero di biglietto o codice dell’apparato di telepedaggio) e alla rilevazione fotografica (anteriore e posteriore) della targa dei veicoli, con relativa percentuale di affidabilità. Tali informazioni, acquisite presso i CED delle società concessionarie delle singole tratte autostradali, verrebbero quindi trasmesse a un sistema centralizzato di elaborazione dei dati (“Sistema Centrale di Comparto”) che provvederebbe alla generazione di un codice univoco (TIN–Transaction Identification Number) relativo all’“evento” in entrata e successivamente associabile a tutti gli ulteriori “eventi” concernenti il medesimo veicolo.

Durante il tragitto, i portali “in itinere” raccoglierebbero le informazioni relative al passaggio del mezzo (data, ora e corsia; codice dell’apparato di telepedaggio, ove presente), unitamente alla rilevazione fotografica della targa e alla percentuale di affidabilità del suo riconoscimento. Il sistema, quindi, provvederebbe ad associare i singoli “passaggi” registrati all’“evento” in entrata, assegnandogli lo stesso TIN di riferimento.

In uscita dal casello, il sistema procederebbe ad acquisire le informazioni relative a tale “evento” (data e ora di uscita del veicolo; codice identificativo della stazione e della pista di uscita; numero di biglietto o codice dell’apparato di telepedaggio) e ad interrogare, per le tratte suscettibili di percorsi alternativi, il Sistema Centrale di Comparto, che attraverso una struttura-dati pre-calcolata provvederebbe al computo del pedaggio sulla base delle informazioni trasmesse, individuando per ogni possibile combinazione di “entrata/uscita”, e tra più tratte alternativamente transitabili, quella concretamente percorsa dall’utente. 

Eventuali anomalie nel riconoscimento del veicolo, secondo quanto sostenuto, non inficerebbero il processo di ricostruzione del percorso, stante la presenza lungo la rete autostradale di portali “in itinere” in numero sufficientemente ridondante e l’asserita capacità del sistema stesso di “filtrare” tali anomalie. 

1.3. In base a quanto dichiarato, i portali “in itinere”, comunque in numero non superiore a 90 per l’intera rete autostradale, verrebbero dislocati lungo quest’ultima in base al flusso veicolare e alle possibili combinazioni di percorso. Tali portali, inoltre, non verrebbero installati nei tratti “terminali” della rete, per i quali l’assenza di alternative di percorso renderebbe superfluo il loro posizionamento.

I dispositivi presso le stazioni di accesso, i portali “in itinere” e le stazioni di uscita non rileverebbero continuativamente le immagini delle targhe, ma si attiverebbero esclusivamente al passaggio dei veicoli; queste ultime, peraltro, verrebbero trasmesse al Sistema Centrale di Comparto, in uscita dal casello, solo in casi residuali (unicamente in presenza di tratte alternativamente percorribili e in assenza di apparati di telepedaggio a bordo dei veicoli). In ogni caso, non verrebbero ripresi dettagli idonei a consentire il riconoscimento dei passeggeri in transito.

Il flusso di informazioni tra i CED delle concessionarie e il Sistema Centrale di Comparto avverrebbe su canali dichiaratamente sicuri, attraverso connessioni di rete e infrastrutture riconducibili, in larga misura, al comparto autostradale italiano e i cui punti di accesso, irraggiungibili dall’esterno in assenza di “specifiche autenticazioni”, sarebbero protetti da appositi firewall. Le singole concessionarie accederebbero ai dati ivi presenti unicamente in rapporto ai transiti d’interesse e rispetto alle tratte di propria esclusiva competenza, senza possibilità di scambio o di condivisione tra loro delle informazioni. 
Le immagini acquisite dal sistema ma non funzionali alla definizione effettiva dei tragitti (percorsi che non presentano alternative transitabili; percorsi determinati direttamente tramite i dati veicolati dagli apparati di telepedaggio), pari a circa il 95% dei casi, verrebbero cancellate entro i necessari tempi tecnici (entro 48 ore dall’uscita dal casello); quelle effettivamente utilizzate per la determinazione dei percorsi (secondo quanto riferito, il restante 5%) verrebbero conservate, invece, per un arco temporale massimo di sei mesi (termine individuato sulla base delle normali tempistiche di fatturazione, della ricezione della documentazione da parte degli utenti, nonché dell’inoltro di possibili contestazioni) onde garantire, a tutela delle società e degli stessi utenti, piena trasparenza circa il calcolo del percorso e della tariffa applicata.

Tutte le attività verrebbero tracciate tramite appositi sistemi di “logging”. I dati verrebbero conservati in modalità protetta e resi accessibili, esclusivamente in caso di “richieste informative, contestazioni o controversie”, ai soli incaricati del trattamento legittimamente designati, secondo profili autorizzatori e permessi diversamente assegnati in funzione delle mansioni svolte. Le attività degli amministratori di sistema verrebbero disciplinate secondo quanto previsto dal provvedimento del Garante del 27 novembre 2008 [doc. web n. 1577499].

1.4. Il sistema verrebbe utilizzato, come funzionalità del tutto secondaria, anche come strumento di ausilio nella prevenzione e accertamento di eventuali condotte irregolari; ciò, muovendo dalla pertinente disciplina di settore, che legittimerebbe le società concessionarie a effettuare servizi di prevenzione e accertamento delle violazioni dell’obbligo di pagamento del pedaggio. Le informazioni acquisite, ad ogni buon conto, non verrebbero utilizzate per finalità diverse da quelle indicate.

1.5. La richiesta di verifica preliminare è stata oggetto di una prima valutazione da parte dell’Autorità nell’adunanza del 26 luglio 2017, nella quale sul progetto in questione era stato manifestato un giudizio, sulla base della documentazione disponibile, negativo. Ciò, rilevando che il descritto trattamento dei dati appariva particolarmente massivo a fronte di una non sufficiente rappresentazione delle concrete esigenze tecniche e operative che rendevano necessario ricorrere ad un così esteso monitoraggio del traffico veicolare sulla rete autostradale.

Oltre alle rappresentate criticità in ordine al profilo della proporzionalità e  necessità del trattamento, il Garante aveva messo in luce la carenza di indicazioni in ordine al profilo della necessaria informazione agli interessati e del ruolo, dal punto di vista della protezione dei dati, di alcune società cui venivano commissionati compiti tecnici.

A seguito della ricezione del citato provvedimento di rigetto, le società istanti hanno fin da subito manifestato la volontà di integrare la documentazione inizialmente fornita. Ciò è avvenuto anche con incontri che si sono tenuti presso l’Autorità nel corso dei quali sono state meglio illustrate finalità e specificità dell’iniziativa in parola. Da ultimo, gli istanti hanno proposto, in data 21 marzo 2018, una memoria contenente “osservazioni ed integrazioni per richiedere il riesame della richiesta di verifica preliminare”.

In tale memoria sono state fornite alcune utili precisazioni. Tra l’altro è stata ricostruita l’evoluzione del meccanismo di riscossione del pedaggio autostradale, affidato a società concessionarie che inizialmente posizionavano le barriere di pedaggio all’inizio e alla fine di ogni concessione (affidata, di volta in volta, a soggetti giuridici differenti). L’aumento nel corso del tempo delle concessioni e il rapido completamento della rete ha portato per evidenti ragioni di efficienza del sistema di mobilità, alla necessità di abbattere “le barriere al confine tra concessioni autostradali adiacenti”. L’obiettivo è stato realizzato anche attraverso un apposito strumento normativo (la legge n. 531 del 1982). L’abbattimento delle barriere ha portato le concessionarie autostradale a condividere “dei meccanismi e delle procedure per consentire ad una concessionaria di incassare anche il pedaggio dovuto ad un’altra, per poi poterlo versare alla stessa...”. Al momento della costituzione di quella che fu definita la “Rete Interconnessa” le tecnologie non permettevano un’identificazione dei veicoli, quindi fu necessario operare una scelta su quale pedaggio far pagare all’utente. La scelta è stata quella di maggiore garanzia verso gli utenti, attribuendo l’itinerario più breve tra quelli disponibili (considerato che il ramificarsi della rete aveva reso possibile in alcuni casi, partendo da un medesimo punto, raggiungere una medesima località percorrendo tratti autostradali diversi).

In alcuni casi, però, il percorso più breve poteva anche non essere quello meno costoso poiché “alcuni tratti dell’itinerario più breve potevano avere una tariffa chilometrica di pedaggio superiore”. Ciò, tenendo conto che, in generale, ogni concessione prevede uno specifico pedaggio chilometrico che risulta da parametri finanziari differenti (costi di costruzione e gestione, traffico previsto, ecc…).

Il criterio del percorso più breve è quello ancor oggi applicato, ma la Commissione Europea ha precisato che il metodo applicato in Italia “ancorché […] in generale favorevole al cliente, prevedendo il percorso più breve anche in caso di percorrenza più lunga, non è ottemperante al combinato disposto delle direttive” 1992/62/CE e 2004/52/CE. 

“Di conseguenza l’Italia è tenuta ad allinearsi e a rendere possibile il calcolo del pedaggio esattamente corrispondente all’itinerario seguito dal cliente, anche in presenza di itinerari alternativi e anche se il pedaggio corrispondente al percorso più breve dovesse essere più basso”.

1.6. La predisposizione degli impianti di videosorveglianza di cui alla presente verifica preliminare è dunque funzionale all’ottemperanza di questo obbligo.

Gli utenti verrebbero informati del trattamento a mezzo di apposita informativa volta a “pubblicizzare il nuovo sistema di telepedaggio”; le informazioni, inoltre, verrebbero “rese di facile ed immediata reperibilità” agli utenti. 

Titolari dei trattamenti, in base alle dichiarazioni rese, sarebbero le singole concessionarie autostradali elencate nell’istanza inviata il 25 agosto 2015, ognuna per le tratte di rispettiva competenza; ad Aiscat Servizi s.r.l., designata responsabile del trattamento ex art. 29 del Codice, verrebbe invece demandata, con l’ausilio di soggetti terzi (nella specie il R.T.I. costituito da Autostrade Tech S.p.A. e Sinelec S.p.A.), l’implementazione e la gestione del sistema, nell’interesse delle singole concessionarie e per finalità riconducibili a queste ultime.

2. Le valutazioni dell’Autorità.

2.1. Il sistema che le società istanti vorrebbero implementare per commisurare il pagamento del pedaggio autostradale alla tratta effettivamente percorsa dagli utenti, oltre che come strumento di possibile ausilio nelle attività di prevenzione e accertamento di eventuali comportamenti irregolari concernenti il relativo versamento, comporta un trattamento di dati personali (v. anche, con riferimento alle targhe dei veicoli, Provv. 6 luglio 2016 [doc. web n. 5411269]; Provv. 2 febbraio 2012 [doc. web n. 1875840]; Provv. 18 giugno 2009 [doc. web n. 1635704]) che deve essere valutato nei termini a seguire.

2.2. Dall’esame della documentazione acquisita e degli approfondimenti tecnici effettuati dall’Ufficio, anche a seguito dell’acquisizione dei nuovi riscontri pervenuti nello scorso mese di marzo, il trattamento oggetto dell’istanza, qualora svolto nei termini e con le modalità indicate, oltre che nel rispetto delle prescrizioni di seguito formulate (v. punto 3), risulta lecito. 

Premesso che la determinazione del calcolo della tariffa sulla base della tratta effettivamente percorsa trova sostanziale riscontro nei documenti e nella disciplina anche comunitaria precedentemente richiamata (v. punto 1.1) e che i servizi di prevenzione e accertamento delle violazioni degli obblighi di pagamento del pedaggio possono essere effettuati, tra l’altro, dalle concessionarie autostradali a norma dell’art. 176 del d.lgs. 285/1992 (recante il “Nuovo codice della strada”), il sistema descritto risponde a un legittimo interesse dei titolari del trattamento.

In tale quadro, rilevante anche ai sensi dell’art. 11, comma 1, lett. a), del Codice, le società titolari potranno trattare i dati in precedenza indicati che, allo stato, non appaiono eccedenti, nei limiti delle finalità dichiarate, avendo cura di rendere previamente note agli interessati le informazioni inerenti ai trattamenti effettuati (artt. 3, 11, comma 1, lett. b) e d), e 13 del Codice). Fermo restando, a tale ultimo proposito, quanto precisato al successivo punto 3, le società titolari potranno procedere ai trattamenti in esame, senza il consenso degli interessati, in virtù:

− di quanto stabilito dall’art. 24, comma 1, lett. b), del Codice per i trattamenti funzionali alla commisurazione del pedaggio al percorso concretamente effettuato dagli utenti;

− sulla base del presente provvedimento, adottato ai sensi dell’art. 24, comma 1, lett. g), del Codice, per i trattamenti connessi alle attività di prevenzione e accertamento delle violazioni inerenti all’obbligo di pagamento del pedaggio. Muovendo, infatti, da quanto stabilito in proposito dalla normativa di settore sopra richiamata, l’Autorità ritiene che il trattamento oggetto della presente istanza, relativo a un numero circoscritto di dati personali degli utenti (peraltro identificabili solo indirettamente e a posteriori), non sia lesivo −se effettuato nei limiti e con le modalità indicate e per le dichiarate finalità di verifica− dei diritti, delle libertà fondamentali e della dignità degli interessati. 

Le immagini effettivamente utilizzate per la determinazione dei percorsi non potranno essere conservate per periodi di tempo superiori a quelli necessari alla fatturazione dei tragitti o all’esercizio dei controlli relativi al pagamento del pedaggio ovvero per periodi superiori all’individuato termine di sei mesi, fatte salve eventuali esigenze di ulteriore conservazione per la tutela di eventuali diritti in sede giudiziaria.

Le immagini non funzionali alla determinazione dei percorsi, inoltre, dovranno essere cancellate tempestivamente e, comunque, non oltre l’indicato termine di 48 ore (v. punto 1.3). 

Per quanto attiene alle misure di sicurezza, le valutazioni tecniche effettuate non hanno evidenziato, allo stato, significativi profili di criticità rispetto agli standard minimi richiesti dagli artt. 33 e ss. del Codice e dal relativo allegato “B”.

Le società concessionarie, infine, potranno avere accesso unicamente ai dati personali concernenti le tratte di propria competenza, dovendosi ritenere ingiustificata, sulla base degli elementi forniti e delle dichiarazioni rese, ogni eventuale forma di condivisione delle informazioni raccolte.

3. Ulteriori adempimenti.

Al fine di consentire una piena ed effettiva consapevolezza negli utenti, si ritiene di dover prescrivere alle società concessionarie elencate nell’istanza inviata il 25 agosto 2015, ai sensi dell’art. 17 del Codice, di predisporre un’informativa idonea a soddisfare i requisiti di cui al vigente art. 13 dello stesso Codice. Tale informativa, redatta anche in forma sintetica, dovrà dare opportuno risalto alle finalità perseguite −comprensive, come detto, degli obiettivi di prevenzione e accertamento di eventuali violazioni agli obblighi di pagamento del pedaggio− e dovrà essere fornita con modalità atte a garantire agli interessati un’immediata visibilità anche notturna (ad esempio, attraverso cartellonistica adeguatamente illuminata o messaggi luminosi). Un’informativa completa e dettagliata, inoltre, dovrà essere pubblicata sul sito web di tutte le società titolari (se del caso anche mediante link “ad hoc” opportunamente evidenziati) e potrà essere ulteriormente resa, eventualmente, anche tramite soggetti terzi (ad esempio, Telepass S.p.A.). 

In qualità di soggetti coadiutori di Aiscat Servizi s.r.l., dovranno essere poi opportunamente designate responsabili del trattamento anche Autostrade Tech S.p.A. e Sinelec S.p.A., chiamate a garantire, sulla base della documentazione prodotta in atti, le attività di sviluppo, gestione e manutenzione del sistema qui considerato.

Si ricorda che a decorrere dal 25 maggio 2018, data di applicazione del Regolamento (UE) 2016/679, il titolare del trattamento, in ossequio al principio di responsabilizzazione di cui all’art. 24, dovrà valutare autonomamente la conformità del trattamento che intende effettuare alla disciplina vigente, verificando il rispetto di tutti i principi in materia ed effettuando, ove necessario, una valutazione di impatto ex art. 25 del citato Regolamento ovvero attivando la consultazione preventiva ai sensi dell’art. 36 del Regolamento medesimo.

TUTTO CIÒ PREMESSO, IL GARANTE

preso atto della richiesta di verifica preliminare presentata dalle società istanti, ammette il trattamento oggetto dell’istanza medesima nei limiti, per le finalità e con le modalità sopra indicati, fermo restando che:

1. le società concessionarie, ai sensi dell’art. 17 del Codice, dovranno predisporre, in forma anche sintetica, un’idonea informativa da rendersi con modalità atte a garantire agli interessati un’immediata visibilità anche notturna e dando opportuno risalto alle finalità perseguite. Un’informativa completa e dettagliata, inoltre, dovrà essere pubblicata sul loro sito web (se del caso anche mediante link “ad hoc” opportunamente evidenziati) e potrà essere ulteriormente resa, eventualmente, anche tramite soggetti terzi;

2. le immagini, fatte salve eventuali esigenze di ulteriore conservazione in adempimento a specifici obblighi di legge o per la tutela di eventuali diritti in sede giudiziaria, non potranno essere conservate per periodi di tempo superiori a quelli indicati (v. punti 1.3. e 2.2);

3. Autostrade Tech S.p.A. e Sinelec S.p.A. dovranno essere opportunamente designate, ai sensi degli artt. 17 e 29 del Codice, responsabili del trattamento;

4. il trattamento potrà avvenire senza il consenso degli interessati anche per effetto del presente provvedimento, nei termini di cui in motivazione.

Ai sensi degli articoli 152 del Codice e 10 del decreto legislativo n. 150 del 2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 22 maggio 2018

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia