Le linee guida sulle smart car e mobilità connessa: informativa e consenso
L’Agenzia Europea per la sicurezza delle reti e dell’informazione (Enisa), con un report focalizzato sulla sicurezza dei dati e l’European Data Protection Board (EDPB), con la pubblicazione delle linee guida dedicate al trattamento dei dati (1/2020), sono finalmente intervenute sul delicato e sensibile tema delle smart car e della mobilità connessa.
L’European Data Protection Board ha, in primo luogo rilevato una importante mancanza di trasparenza da parte dei produttori di automobili.
Il primo problema attiene all’informativa ex art. 13 GDPR 679/2016, la quale viene fornita nella fase conclusiva del contratto di acquisto, non permettendo, dunque, una consapevole cognizione del trattamento dei dati che effettuerà l’automobile.
L’autovettura, infatti, tratterà nel corso del proprio ciclo di vita, non solo i dati dell’originario proprietario ma anche di tutti coloro i quali saliranno a bordo della stessa, non ultimo il successivo acquirente il quale non riceverà la dovuta informativa (poiché inclusa nell’originario atto di acquisto).
Il Board Europeo ha dunque suggerito di includere l’informativa nel computer di bordo arginando, temporaneamente il problema.
Il secondo e ben più complesso problema attiene alla raccolta di un valido consenso.
Infatti, secondo l’ EDPB, il consenso deve essere domandato separatamente a tutti i soggetti presenti in auto. È evidente tuttavia come il computer di bordo non permetta una facile raccolta del consenso da parte di tutti i passeggeri (anche in virtù della posizione in cui è allocato nelle autovetture).
Ciò comporta il rischio di raccogliere un consenso frammentario e generico, contrariamente a quanto disposto dall’art. 7 del GDPR.
Le case automobilistiche, pertanto, si troverebbero nella difficoltà di trattare i dati personali di numerosi passeggeri.
In conclusione, se da un lato possiamo affermare che le linee guida rappresentino, finalmente, l’analisi di una tematica attuale ma sottovalutata, dall’altro riteniamo che le stesse necessitino di interventi pratici e risolutivi che non si limitino ad una mera declinazione di principi[1].
[1] Guidelines 1/2020 on processing personal data in the context of connected vehicles and mobility related applications.