I dati che vengono trattati quando si parla di smart car possono dividersi 3 categorie: dati di contesto, dati di veicolo e dati utente.

 

L’European Data Protection Board (EDPB) con le linee guida 1/2020  ha evidenziato, diversamente dal passato, come non sia possibile escludere a priori i dati di contesto e di veicolo dalla categoria dei dati personali così definita dal GDPR, e ciò in quanto, talvolta, un semplice dato esterno può fornire informazioni sul guidatore.

 

Per esempio, i dati tecnici relativi ai movimenti del veicolo (velocità, distanza percorsa, ecc) sono molto impattanti in quanto sono potenzialmente idonei a rivelare il luogo di lavoro e di residenza di un soggetto, nonché i centri di interesse (tempo libero, hobby ecc), potendo altresì rivelare informazioni sensibili come la religione (attraverso il luogo di culto) o l’orientamento sessuale attraverso i luoghi visitati.

 

Di conseguenza, secondo i Garanti, il costruttore del veicolo e il fornitore dei servizi devono essere particolarmente attenti a non raccogliere, ad esempio, dati sulla posizione, tranne quando ciò risulti assolutamente necessario ai fini del trattamento.

 

Ecco dunque alcuni suggerimenti presenti nelle linee guida al fine di minimizzare il trattamento dei dati di geolocalizzazione:

 

• adeguare la frequenza di accesso e il grado di precisione dei dati raccolti (così da poter individuare la zona dove si trova l’auto, senza individuare esattamente la posizione, capace di rivelare informazioni superflue);
• fornire informazioni accurate sullo scopo del trattamento;
• attivare la geolocalizzazione solo dove necessaria e consentirne la disattivazione.

 

Con riferimento invece  all’invio di dati all’esterno della vettura, l’EDPB suggerisce caldamente l’anonimizzazione di tali dati.

 

Infatti gran parte dei dati utente è veicolata da servizi/app che richiedono quanto meno un login. In tali casi si potrà, per esempio, procedere con invio di comunicazioni cifrate in modo da evitare il “man in the middle” ormai noto a chi si occupa di sicurezza.

 

Tutto ciò perché la tecnologia deve essere compliant “by design”.

 

Dunque il protagonista principale di questo cambiamento dovrà essere sicuramente il computer di bordo ma anche tutti i programmatori dei vari algoritmi che dovranno rispettare le linee guida e le successive indicazioni in materia di trattamenti di dati interni ed esterni al veicolo.

 

Concludendo si può affermare che queste linee guida risultino di fatto una mera declinazione dei principi generali al discorso smart car. La forza di questo intervento sta, però, nel fatto di aver preso posizione su una tematica molto sottovalutata, con l’auspicio di successivi interventi risolutivi[1].

[1] Guidelines 1/2020 on processing personal data in the context of connected vehicles and mobility related applications.