EVENT DATA RECORDER: VERIFICA PRELIMINARE PER INSTALLAZIONE A BORDO DEGLI AUTOVECICOLI

di Graziano Garrisi

Garante della Privacy – Verifica preliminare – 7 novembre 2013 (doc. web n. 2911484)

Una società operante nel noleggio di autoveicoli ha ritenuto di dover formulare all’Autorità una specifica richiesta di verifica preliminare ai sensi dell’art. 17 del Codice, in vista dell’installazione a bordo del proprio parco veicoli (pari a circa 30.000 unità) di un dispositivo satellitare multifunzione, denominato “Clear Box” e annoverabile tra i c.d. “event data recorder”.

Con istanza ex art. 17 d.lgs. 196/2003, una società operante nell’autonoleggio ha richiesto una verifica preliminare all’Autorità Garante per la protezione dei dati personali finalizzata all’accertamento del corretto trattamento e dei presupposti di legittimità (anche per quanto concerne le misure di sicurezza e organizzative) circa l’installazione a bordo del proprio parco veicoli di un dispositivo satellitare multifunzione (denominato “Clear Box”), annoverabile tra i c.d. “event data recorder” (dispositivo fornito da una società esterna, unitamente ad altri connessi servizi). Le finalità dichiarate sarebbero quelle di tutelare il patrimonio aziendale, accrescere la sicurezza dei conducenti e dei lavoratori, ridurre i costi aziendali (legati anche alle frodi e al furto dei veicoli) e migliorare le strategie commerciali. Le specifiche funzionalità di tale dispositivo sono:

1. crash management (dati quali l’ubicazione del veicolo, latitudine, longitudine, velocità e direzione di guida del mezzo);
2. furto del veicolo (sistema di localizzazione satellitare che il titolare del trattamento può attivare in caso di furto, per finalità amministrative, assicurative e di giustizia);
3. assistenza stradale (in caso di incidente stradale o in qualunque caso di richiesta da parte dell’utente);
4. raccolta ed elaborazione dati (c.d. profiling, ma solo su dati aggregati e, quindi, anonimi);
5. fleet management basic (ovvero analisi dei percorsi effettuati, degli indirizzi e delle velocità, dati relativi a eventuali incidenti con altri veicoli, tempi di marcia e di fermata, km percorsi e tempo impiegato, sebbene tutti raccolti in forma anonima);
6. monitoraggio chilometri;
7. diagnostica.

Relativamente ai servizi di cui alla lettera da d) a g), essendo coinvolti dati che il d.lgs. 196/2003 definisce come “anonimi” o, comunque, non riconducibili al concetto di “dato personale”, non sono stati presi in considerazione dal provvedimento in commento. L’accesso ai dati “personali” rilevati nei restanti casi, invece, è stato oggetto di approfondimento, anche perché le modaltà di raccolta e trattamento del dato avvengono attraverso due distinti canali: 1) machine-to-machine o 2) interfaccia web via internet.
La società titolare, ai fini della procedura avviata presso l’Autority, ha dichiarato di aver adottato, per il tramite del suo fornitore esterno, tutte le misure minime e idonee di sicurezza (previste anche dall’allegato B al Codice Privacy). In particolare, si è dichiarata compliant relativamente alla protezione delle aree e dei locali ove si svolge il trattamento; ai criteri e procedure per assicurare l’integrità e la correttezza dei dati, nonché per la sicurezza delle trasmissioni; ai piani di formazione degli incaricati, di backup e di disaster recovery.

A tal riguardo, l’Autorità Garante ha giustamente confermato che tale soggetto esterno (fornitore) poiché non gode – anche alla luce del contratto di appalto per la fornitura di servizi – di un autonomo potere decisionale in merito alle finalità e alle modalità del trattamento (riscontrabile solo in capo a Europcar Italia, unico titolare del trattamento), deve essere considerato e designato quale Responsabile esterno del trattamento, ai sensi dell’art. 29 del Codice Privacy(1).

Tra le varie attività preliminari a tali trattamenti, inoltre, è necessario procedere anche a una specifica notifica ex art. 37 del Codice Privacy, che dovrà riportare tra i presupposti di legittimità nel trattamento il consenso specifico ed espresso degli interessati (salvo indicare altri presupposti di liceità legislativamente previsti). Per i servizi concessi in dotazione ai lavoratori, poi, devono essere preliminarmente esperite le necessarie procedure previste dallo Statuto dei Lavoratori. D’altronde, se si tratta di dipendenti assunti con regolare contratto di lavoro, devono essere attuate le specifiche garanzie previste dall’art. 4, comma 2 della Legge n. 300/1970 (che si ricorda, prevedono o il raggiungimento di un accordo con le RSA o l’autorizzazione della Direzione Provinciale del Lavoro del luogo in cui ha sede la società titolare).

Lawful Interception per gli Operatori di Tlc

Per le finalità indicate, pertanto, il trattamento è stato ritenuto lecito e conforme alla disciplina in materia di privacy, perché finalizzato comunque alla tutela dei diritti o in esecuzione di specifici obblighi contrattuali, profili rispetto ai quali il consenso degli interessati non sarebbe nemmeno necessario (art. 24, comma 1, lett. b) e f) del Codice).

…continua su EDICOLeA

Altri articoli di Graziano Garrisi

1. DIRITTO ALL’OBLIO: PRIME PRONUNCE DEL GARANTE
2. MODALITÀ PER L’INFORMATIVA E PER L’ACQUISIZIONE DEL CONSENSO ALL’USO DI COOKIE SUL WEB
3. TRATTAMENTO DEI DATI PERSONALI EFFETTUATO MEDIANTE L’UTILIZZO DI CALL CENTER SITI IN PAESI FUORI DELL’UE
4. TRATTAMENTO DEI DATI PERSONALI DELLA CLIENTELA PER FINALITÀ DI PROFILAZIONE E MARKETING
5. LE AUTORITÀ EUROPEE DI PROTEZIONE DEI DATI PUBBLICANO IL LORO PARERE SULLE APPLICAZIONI MOBILI (APP)