Cos’è la smart mobility? Noleggio auto on demand, car sharing, nuovi servizi e nuove modalità di pagamento, veicoli elettrici, la smart mobility è tutto questo. È una mobilità a misura di cittadino a basso impatto ambientale che grazie all’uso delle tecnologie digitali sta cambiando il mondo di muoversi nelle città. Insomma la smart mobility rappresenta un pezzo importante della smart city. Con la smart mobility, inoltre, si generano un’immensa quantità di dati che, se ben gestiti, possono permettere una razionalizzazione della mobilità stessa ma anche l’abilitazione di nuovi business.
Secondo lo Smart Mobility Report 2019, sono circa 6.000 le auto elettriche “pure” (BEV – Battery Electric Vehicle) che sono state vendute in Italia nei primi sette mesi del 2019, un migliaio in più rispetto a tutto il 2018, con una crescita del 113% sullo stesso periodo dell’anno precedente. Un risultato importante anche se i numeri delle smart car in Italia risultano ancora piccoli in confronto al mercato interno totale dei veicoli o all’andamento della mobilità elettrica nei principali Paesi europei. Queste vetture connesse (appunto smart) processano una enorme mole di dati e nella maggior parte dei casi questo avviene ancora senza fornire alcuna informativa sulla privacy GDPR agli interessati. La crescita della smart mobility rende quindi sempre più importante il Regolamento europeo per la protezione dei dati personali.
Quali sono i dati trattati dalle smart car
I dati trattati dalle vetture sono spesso considerati come un unicum, ma non solo, pur essendo il numero di smart car in Italia sempre in crescita, anche grazie allo sviluppo delle reti 5G e 6G, sono pochi i produttori che hanno espresso sensibilità sul tema del trattamento dei dati personali da parte delle automobili osservando il GDPR (General Data Protection Regulation) introdotto dalla nuova normativa europea.
Ma quali dati utilizza un’automobile? Fondamentalmente i dati trattati dai sistemi di bordo si suddividono i 3 categorie: i dati del pilota, i dati di contesto (situazione del traffico, dati delle altre auto, temperatura), e i dati del veicolo (relativi all’utilizzo della vettura, ai km percorsi, alla pressione delle gomme).
Uno studio pubblicato nel 2017 dalla Commissione europea dal titolo “The Race for Automotive” fornisce un quadro delle finalità per cui queste informazioni vengono trattate, tra cui le più importanti sono:
- la gestione della mobilità – funzioni di navigazione che permettono di raggiungere una meta determinata fornendo informazioni tempestive su traffico, condizioni ambientali, possibili situazioni di pericolo;
- la gestione del veicolo – funzioni che aiutano i conducenti a gestire ad esempio la manutenzione del veicolo;
- la sicurezza stradale – funzioni che avvertono il conducente di pericoli imminenti o della presenza di ostacoli come i sistemi di protezione da collisione;
- l’intrattenimento – funzioni che riguardano ad esempio i servizi per smartphone, musica, video, Internet e social media;
- l’assistenza al conducente – funzioni che coinvolgono la guida parzialmente o completamente automatizzata;
il benessere – funzioni che monitorano l’effettivo stato di salute del conducente in modo da verificarne costantemente l’idoneità alla guida.
Privacy by default e privacy by design GDPR: cosa cambia
Il Regolamento europeo per la protezione dei dati personali impone al titolare del trattamento l’adozione di misure tecniche e organizzative adeguate per la tutela contro il trattamento illecito dei dati personali. In particolare l’articolo 25 del Regolamento introduce il principio di privacy by design e privacy by default. Due concetti innovativi che impongono alle aziende l’obbligo di avviare progetti prevedendo fin da subito i rischi che si possono incontrare per la tutela dei dati personali e di conseguenza scegliere di quali strumenti dotarsi. In particolare, con la definizione di privacy by default il legislatore europeo ha affermato la necessità che la protezione dei dati personali sia garantita “per impostazione predefinita”. Un’azienda, quindi, non dovrà ricorrere all’utilizzo di eccessivi dati senza motivi specifici. La privacy by default, infatti, stabilisce che le imprese debbano svolgere un’analisi preventiva e debbano trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo di tempo strettamente necessario a tali fini. Il concetto invece di privacy by design conforme al GDPR (già introdotto nel 2010) è un concetto di prevenzione rischi, con il quale il Regolamento europeo richiama l’attenzione sull’esigenza che la protezione dei dati personali venga garantita fin dalla progettazione. Un concetto che si può riassumere in pochi punti:
- prevenire e non correggere eventuali problemi già nella fase di progettazione;
- privacy incorporata nel progetto di un’azienda;
- funzionalità e flessibilità tali da rispettare tutte le esigenze dell’azienda;
- sicurezza dei dati durante tutto il ciclo del servizio aziendale;
- principio della trasparenza;
- centralità dell’utente.
È necessario quindi tutelare non solo i dati personali del soggetto, ma anche il soggetto stesso per far sì che vi sia conformità con il regolamento.
La disciplina introdotta dal GDPR in materia di protezione dei dati personali si caratterizza quindi per l’attenzione che viene posta sulla responsabilizzazione dei titolari e dei responsabili del trattamento dei dati, e in particolare il quadro normativo delinea un sistema nel quale la valutazione dei rischi per i diritti e le libertà degli interessati, derivanti dalle attività di trattamento dei dati personali, sono rimesse direttamente a ciascun titolare. Saranno quindi loro e non i singoli legislatori o le Autorità Garanti, a dovere determinare in prima persona le misure e le procedure necessarie per garantire una corretta applicazione del Regolamento.
Il trasferimento dei dati personali al di fuori dei Paesi SEE
Mentre la circolazione dei dati all’interno dei Paesi dello Spazio Economico Europeo (SEE) è libera (art. 12, Convenzione 108), i trasferimenti al di fuori di quest’area sono generalmente vietati a meno che non intervengano specifiche garanzie, e nel caso in cui il destinatario garantisca un livello di protezione dei dati adeguato a quello europeo.
Il requisito dell’adeguatezza consente l’utilizzo di diverse vie per garantire la protezione dei dati. L’intero Capo V del Regolamento europeo – Trasferimento di dati personali verso paesi terzi o organizzazioni internazionali) – si occupa della disciplina dei flussi transfrontalieri dei dati personali e di conseguenza anche dell’utilizzo dei servizi cloud. Per operare un trasferimento di dati all’estero occorre innanzi tutto una base legale. La regolamentazione è diversa a seconda dei settori: il regolamento GDPR si occupa dei trasferimenti dei privati e delle autorità pubbliche mentre la direttiva di Polizia si occupa dei trasferimenti che riguardano le autorità delle forze dell’ordine. Infine secondo la Corte di Giustizia europea la semplice pubblicazione di dati personali su un sito Internet non può considerarsi trasferimento all’estero, in quanto tale trasferimento avverrebbe necessariamente verso tutti i Paesi esteri e quindi il regime speciale stabilito per i flussi transfrontalieri finirebbe per diventare un regime generale. Per cui se un solo Stato estero non garantisse un livello di protezione adeguato, gli Stati membri dovrebbero bloccare l’immissione di tutti i dati in rete.