È stato depositato da Assoutenti, Associazione a tutela dei diritti dei consumatori, un esposto al Garante Privacy nei confronti di Autostrade per l’Italia, nel quale si lamenta la violazione di alcuni obblighi fondamentali del disposto normativo in materia di protezione dei dati personali da parte della app Free to X.
L’esposto riguarderebbe, in particolar modo, la modalità di raccolta del consenso all’interno dell’app e la tipologia di dati utilizzati per verificare la spettanza del rimborso dei pedaggi che spetta a chi subisce ritardi a causa di cantieri e lavori sulla rete autostradale.
Indice degli argomenti
L’esposto al Garante: i dettagli
Autostrade per l’Italia ha introdotto, come anticipato in premessa, la possibilità di accedere tramite l’app Free to X al cosiddetto cashback dei pedaggi, a partire dal 15 settembre, data in cui l’applicazione sarà resa disponibile sugli store di Apple e Google.
Tuttavia, all’interno dell’esposto Assoutenti spiega come tutti i servizi forniti da Free to X sarebbero vincolati alla compilazione di un form che prevede la prestazione obbligatoria del consenso alla ricezione di comunicazioni di marketing per prodotti e offerte della medesima società, pena l’impossibilità di procedere oltre.
Inoltre, il meccanismo dei rimborsi risulterebbe eccessivamente invasivo della privacy degli utenti: “per calcolare il ritardo”, riporta Assonime sul proprio sito web, “verrebbero infatti incrociati i dati relativi alla presenza dei cantieri con quelli di Google Maps riguardo alle code e quelli relativi agli orari di entrata e uscita dall’autostrada da parte degli automobilisti. Procedura di rimborso che in realtà potrebbe essere automatica e senza necessità di iscrizione o cessione dati alla App in questione per l’85% degli utenti, considerato che oggi il 62% degli automobilisti che utilizzano le autostrade paga i pedaggi attraverso Telepass, il 23% con carte di credito e solo il 15% in contanti”.
A fronte di tali criticità, Assoutenti ha quindi deciso di investire della questione il Garante, inviando un esposto in cui si chiede di aprire un’istruttoria sull’app Free to X e sulle procedure seguite da Aspi (Autostrade per l’Italia) per riconoscere i rimborsi agli automobilisti.
“La trasmissione dei dati personali degli automobilisti aventi diritto al rimborso dei pedaggi”, spiega Fabio Truzzi, presidente dell’associazione, “potrebbe violare l’art. 5 del Regolamento UE 2016/679 e il Codice in materia di protezione dei dati personali”, ledendo in modo ingiustificato i diritti degli interessati.
La gestione del consenso privacy
L’esposto di Assoutenti rileva, in primo luogo, come Aspi proceda alla raccolta del consenso mediante modalità contrarie a quanto previsto dal GDPR.
All’art. 7, infatti, si prevede espressamente che, “qualora il trattamento sia basato sul consenso” (come nel caso di specie, trattandosi di finalità di marketing non connesse alla semplice erogazione del servizio di Cashback, e, dunque, sottoposte alla condizione di cui all’art. 6 par. 1 lett. a) GDPR) “il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali”.
Tale consenso, al fine di consentire al titolare di dimostrare la liceità del trattamento, deve essere preferibilmente fornito mediante una dichiarazione scritta o altri strumenti che permettano di avere traccia delle preferenze espresse dall’interessato.
A tal fine, il considerando 32 precisa che “il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici […]. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto”.
Non si configura, pertanto, come validamente espresso il consenso fornito mediante comportamenti di natura omissiva, come il silenzio, l’inattività o la previsione di caselle preselezionate.
Si ritiene illecitamente raccolto il consenso dell’interessato anche nell’ipotesi in cui lo stesso interferisca immotivatamente con il servizio per il quale il consenso è espresso. “Il consenso non dovrebbe essere considerato liberamente espresso”, indica il considerando 42 del GDPR, “se l’interessato non è in grado di operare una scelta autenticamente libera o è nell’impossibilità di rifiutare o revocare il consenso senza subire pregiudizio”.
Per assicurare la libertà di espressione del consenso, pertanto, si presume che il consenso non sia stato liberamente espresso se, come nel caso che ci occupa, l’esecuzione di un contratto, compresa la prestazione di un servizio, è subordinata al consenso, sebbene esso non sia necessario per tale esecuzione.
Recita, infatti, l’art. 7 GDPR al par. 4: “Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto”.
Non solo: qualora vi siano più finalità basate sul consenso, occorre che per ognuna di esse sia prevista la prestazione di un consenso specifico ed autonomo, secondo il principio per il quale ogni richiesta deve essere posta all’interessato in modo chiaro e conciso.
Sulla scorta di quanto riferito da Assoutenti, tali norme, rispondenti al più generale principio di trasparenza e liceità del trattamento, sarebbero stati violati da Aspi, in quanto il consenso per finalità di marketing sarebbe non libero, ma obbligatoriamente reso al fine di poter accedere al servizio di rimborso.
Il meccanismo di rimborso
La seconda criticità rilevata da Assoutenti riguarda la non necessarietà dell’app per fornire il servizio di rimborso. Come riportato dall’associazione all’interno dell’esposto, infatti, al fine di erogare il rimborso fra i mezzi utilizzati per raggiungere la finalità di indennizzo degli automobilisti.
Poiché il calcolo dell’indennizzo è svolto tramite la combinazione dei dati di Google Maps sulle code con i dati di entrata e uscita dall’autostrada da parte degli automobilisti, e solo il 15% paga in contanti (non consentendo dunque la tracciabilità del percorso effettuato), l’associazione ritiene che sussista una sproporzione tra i dati raccolti dall’app e le finalità del rimborso.
Aspi, infatti, potendo già accedere alle informazioni dell’85% degli automobilisti che usano modalità tracciabili di pagamento, potrebbe prevedere per questi una procedura automatica di rimborso, senza richiedere la necessaria iscrizione all’app e il conseguente trattamento dei dati per finalità ultronee.
Al fine di verificare l’eventuale violazione dei principi previsti all’art. 5 GDPR (in particolare, il principio di limitazione della finalità e minimizzazione dei dati) si renderà senz’altro necessaria un’istruttoria particolarmente approfondita da parte del Garante, che tenga conto anche dell’eventuale lesione dei principi di privacy by design e by default di cui all’art. 25 GDPR.
Si richiede al titolare, infatti, nella fase di progettazione di ogni trattamento, di trattare, “per impostazione predefinita”, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo, precisa l’art. 25 GDPR al par. 2, vale “per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità”.