Veicoli connessi: profili di data protection nelle “smart car” - Cyber Security 360

GUIDA NORMATIVA

Veicoli connessi: profili di data protection nelle “smart car”

Le nostre automobili, divenute ormai dei veri e propri veicoli connessi, rappresentano dei giganteschi data hub nei quali sensori e strumenti di rilevazione registrano tutto quanto accade al loro interno: non solo informazioni tecniche ma anche abitudini di guida fino ai movimenti degli occhi del guidatore e il suo battito cardiaco. È utile, dunque, analizzare le principali criticità in materia di data protection

21 Ott 2020
C
Enrico Cardone

Legal Consultant P4I – Partners4Innovation

C
Francesco Curtarelli

Senior Legal Consultant & DPO P4I - Partners4Innovation


La commistione tra mondo reale e mondo digitale, l’esigenza di essere connessi per avere informazioni e servizi in tempo reale, l’integrazione tra intelligenza umana e intelligenza artificiale, stanno sempre più colonizzando ogni ambito della quotidianità individuale: in questo senso, nemmeno le automobili costituiscono più un’eccezione, tanto che, da semplici mezzi di trasporto, esse diventano veicoli connessi trasformati in giganteschi data hub, nei quali sensori e strumenti di rilevazione registrano tutto quanto accade al loro interno. Dalle performance del motore, alle abitudini di guida e ai luoghi visitati, fino ai movimenti degli occhi del guidatore e, perché no, il suo battito cardiaco.

La narrazione comune ritiene che dalla diffusione dei c.d. CAV (“Connected and Automated Vehicles”) non possano che derivare benefici per la società, quali la riduzione del numero di vittime della strada e delle emissioni nocive, così come una maggior accessibilità ai sistemi di mobilità.

Tutto ciò è indubbiamente vero, ma, come recentemente affermato dalla Commissione Europea, il progresso tecnologico in sé non è sufficiente a realizzare pienamente il potenziale dei CAV. Al fine di conseguire i risultati sperati, infatti, è necessario che tale progresso integri una serie più ampia di considerazioni, di ordine etico, legale e sociale.

In questa sede, ci occuperemo dunque di analizzare gli aspetti legali della questione e, in particolare, i profili di rilievo che da essa derivano in materia di protezione dei dati personali.

I CAV, infatti, raccolgono e trattano incredibili quantità di informazioni, statiche e dinamiche, relativamente ai loro conducenti e passeggeri. Tali operazioni devono necessariamente avvenire in conformità a quanto previsto dal Regolamento EU 679/2016 (GDPR) sulla protezione dei dati personali, prevedendo misure di salvaguardia per i diritti e le libertà degli interessati ai fini privacy, assicurando l’assenza di qualsivoglia forma di discriminazione tra gli utenti e seguendo processi accessibili e comprensibili da parte di tutti i soggetti coinvolti.

Sul punto, sono intervenute le recenti Linee Guida elaborate dallo European Data Protection Board (EDPB), pubblicate il primo gennaio di quest’anno e aventi ad oggetto proprio il trattamento di dati personali nel contesto dei veicoli connessi.

Il documento in esame rappresenta lo sforzo, profuso dai Garanti privacy comunitari, di regolamentare ed uniformare la disciplina di un ambito – quale quello dei CAV – oggetto della costante attenzione dei regolatori negli ultimi dieci anni.

Veicoli connessi: definizione e tipologie di dati personali trattati

All’interno delle Linee Guida, l’EDPB fornisce innanzitutto una definizione di veicoli connessi, qualificandoli come “veicoli dotati di numerose centraline elettroniche di controllo (ECU), collegate tra loro tramite una rete di bordo, e dotati di sistemi di connettività funzionali a consentire lo scambio di informazioni con altri dispositivi, sia all’interno che all’esterno dei veicoli stessi”.

Molte delle informazioni generate dai sistemi elettronici presenti nei CAV si riferiscono a persone fisiche identificate, o comunque identificabili, e, pertanto, costituiscono dati personali ai sensi dell’art. 4 del GDPR.

I connected vehicles, in particolare, raccolgono, tanto dati funzionali a consentire un’identificazione diretta dell’interessato, quanto dati che ne consentono un’identificazione indiretta, attraverso l’incrocio di diverse banche dati.

Fra questi: i dettagli dei viaggi fatti, i dati relativi alle modalità di utilizzo del veicolo (e.g. stile di guida del conducente e distanze percorse), oltre che i dati tecnici della macchina (e.g. lo stato di usura delle sue componenti).

Tali dati, se incrociati o arricchiti con altre informazioni come, ad esempio, il numero di telaio del veicolo (il fatto che le automobili siano beni mobili registrati ha una enorme rilevanza in tal senso), possono essere ricondotti ad una determinata persona fisica.

WHITEPAPER
Come vendere un maggior numero di soluzioni di data protection?
Sicurezza dei dati

È evidente, quindi, come i CAV raccolgano, trattino e condividano tipologie di dati molto differenti ed eterogenee tra loro che tuttavia, spesso, “agganciate” ad un ID, ad un account, o ad un numero seriale univoco a cui corrisponde una persona fisica identificata o identificabile, fanno potenzialmente assumere a tutto l’insieme di dati la qualifica di dati personali.

Tale aspetto riveste un’importanza tutt’altro che secondaria se consideriamo che, oltre ai dati forniti direttamente dagli interessati e “osservati” dalle ECU, all’interno dei CAV esistono veri e propri computer che eseguono algoritmi di machine learning, in grado – partendo da informazioni apparentemente “impersonali” – di dedurre e creare set di dati anche ex novo decisamente rilevanti per la privacy degli interessati.

Tutto questo costituisce un nuovo rischio in materia di data protection, oltre che una sfida per i policymaker, chiamati a sviluppare linee guida funzionali a disciplinare il trattamento di un così vasto e complesso insieme di dati personali.

I player del mondo automotive: fra tradizione e nuovi scenari

La moltitudine di dati e di informazioni raccolte e processate dai veicoli connessi, peraltro, si muove in un ecosistema profondamente trasformato e caratterizzato dalla presenza di un ampio spettro di portatori di interesse.

Un ecosistema, più precisamente, in cui ai tradizionali attori del mondo dell’automotive si aggiungono i player emergenti dell’industria digitale. Il guidatore o passeggero di un CAV, quindi, dovrà avere ben chiaro il fatto che i suoi dati personali saranno trattati non più solo da soggetti quali produttori di automobili, concessionari e società di noleggio, ma anche compagnie di assicurazione, fornitori di servizi di intrattenimento ed operatori del settore delle telecomunicazioni, per citare solo alcuni esempi.

Tale situazione dovrà necessariamente essere regolamentata in conformità a quanto previsto dal GDPR in tema di contitolarità del trattamento (art. 26 GDPR) ovvero di designazione a responsabile del trattamento (art. 28 GDPR) e non sarà cosa facile dal momento che la qualifica di tali soggetti deriva dalla situazione sostanziale in cui si trovano e non dall’atto formale che viene sottoscritto.

Veicoli connessi: le principali criticità in materia di data protection

Ma quali sono, dunque, le principali preoccupazioni, in materia di data protection, espresse dall’EDPB con riferimento ai veicoli connessi?

La prima è senz’altro quella relativa all’asimmetria informativa e all’assenza di controllo sui propri dati gravanti sugli interessati. Guidatori e passeggeri dei CAV, in altre parole, potrebbero non essere adeguatamente informati circa il trattamento di dati personali effettuato dal veicolo.

Si pensi, ad esempio, al caso in cui le informazioni circa il trattamento siano date unicamente al proprietario della macchina – soggetto potenzialmente diverso dal conducente della stessa – o all’ipotesi in cui il veicolo passi di proprietario in proprietario, senza che il primo si premuri di informare il secondo della raccolta di dati effettuata dal mezzo.

Altro tema di rilievo è poi quello relativo alle basi giuridiche che rendono lecito il trattamento dei dati personali raccolti dai CAV.

Fra queste, soprattutto, il consenso degli utenti, con particolare attenzione alla qualità di tale consenso. Un consenso che, come ricorda l’EDPB, per potersi considerare valido dev’essere libero, specifico, informato ed inequivocabile.

Requisiti, questi, tutt’altro che di facile soddisfacimento nell’ambito dei veicoli connessi. La ragione? La potenziale mancanza di trasparenza – da parte del titolare del trattamento – e di consapevolezza – da parte del conducente – circa il trattamento dei suoi dati personali effettuato dalla vettura.

I Garanti europei evidenziano poi i rischi connessi ad una raccolta eccessiva di dati personali, così come ai trattamenti ultronei che da questa raccolta potrebbero derivare.

A tal riguardo, l’EDPB ribadisce che il consenso inizialmente prestato per specifiche finalità di trattamento, non potrà essere impiegato per il perseguimento di finalità diverse ed ulteriori. A titolo esemplificativo, i dati di telemetria raccolti durante l’uso della macchina per finalità manutentive non potranno – in assenza dello specifico consenso dell’interessato – essere condivisi con compagnie assicurative per profilare il conducente e proporgli polizze basate sul suo stile di guida.

Da ultimo, il Comitato Europeo per la Protezione dei dati sottolinea come la moltitudine di sensori, funzionalità ed interfacce presente nei CAV (e.g. USB, RFID e Wi-Fi), sia, di fatto, all’origine dell’aumento dei rischi di sicurezza e delle potenziali vulnerabilità caratterizzanti i veicoli connessi.

In quest’ottica, non può trascurarsi il fatto che, diversamente dalla maggior parte dei dispositivi appartenenti al mondo IoT, i CAV rappresentano sistemi critici, per i quali una violazione di sicurezza può ingenerare rischi concreti per la vita delle persone.

Veicoli connessi e criticità privacy: alcune possibili soluzioni

Quali sono, dunque, alcune delle raccomandazioni formulate dall’EDPB al fine di mitigare tali criticità?

In primis, procedere alla realizzazione dei CAV secondo i princìpi di Data Protection by Design & by Default. Le tecnologie impiegate nelle smart car dovrebbero cioè essere progettate in modo tale da ridurre al minimo la raccolta di dati personali, fornendo impostazioni di base orientate alla protezione dei dati e della privacy degli utenti, garantendo a questi ultimi la possibilità di modificare con facilità le impostazioni concernenti il trattamento dei loro dati personali.

In seguito, le aziende costruttrici dovranno, tra l’altro:

  1. prevedere soluzioni tali per cui i dati raccolti dai CAV vengano trasmessi ai differenti player coinvolti nel loro trattamento, ove possibile, in forma anonimizzata/pseudonimizzata;
  2. effettuare serie e approfondite valutazioni d’impatto per la protezione dei dati personali (DPIA);
  3. assicurarsi di informare gli interessati in conformità agli art. 13 e 14 del GDPR;
  4. mettere in atto tutte le misure tecniche e organizzative necessarie al fine di garantire sicurezza e confidenzialità dei dati trattati per mezzo dei CAV.

Conclusioni

Preme infine evidenziare come le Linee Guida dell’EDPB costituiscano solo uno dei diversi strumenti che, a livello comunitario, sono stati predisposti al fine di accompagnare produttori e sviluppatori nell’impresa di realizzare tecnologie CAV secondo modalità legalmente sostenibili.

Nel solco così tracciato dal Data Protection Board, infatti, si è inserito anche il report della Commissione Europea, datato ottobre 2020 e intitolato “Ethics of Connected and Automated Vehicles Recommendations on road safety, privacy, fairness, explainability, and responsibility”.

Quest’ultimo affronta non soltanto gli aspetti data protection relativi ai veicoli connessi, ma anche tutti i profili etici, di sicurezza sociale e di trasparenza che da essi derivano.

In tal senso, il report della Commissione Europea, unitamente alle Linee Guida dell’EDPB, costituisce uno strumento essenziale al fine di guidarci in sicurezza verso la transizione al futuro della mobilità.

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

@RIPRODUZIONE RISERVATA

Articolo 1 di 5