Il fornitore non è sempre responsabile del trattamento

Enjoy controlla come guidi. E poi…

Descrizione del nuovo trattamento di profilazione Enjoy.

Enjoy, il famoso servizio di car sharing di ENI operante nei maggiori capoluoghi italiani con una flotta di oltre 3.000 veicoli, si appresta a introdurre un nuovo trattamento di dati personali dei suoi utenti: attraverso dei sensori installati sulla vettura sarà monitorato e registrato il comportamento alla guida degli utenti.

Si tratta di una profilazione accennata all’art. 18 delle condizioni generali di contratto di Enjoy (“Valutazione del comportamento di guida”) e giustificata con il generico «fine di incentivare comportamenti di guida che contribuiscono ad una maggiore sicurezza stradale».

Leggendo meglio le condizioni generali e l’annesso regolamento [1] apprendiamo che i dati di guida sono selezionati e rilevati attraverso la definizione di tre Eventi (frenate brusche, accelerazioni improvvise e andatura nel corso di curve) e altrettanti Parametri (fascia oraria, giorno della settimana e contesto stradale), entrambi elaborati da un Algoritmo gestito da terza parte.

Al termine di ciascun noleggio, l’Algortimo, relativamente alla corsa appena effettuata, attribuisce un punteggio da 0 a 10 alla guida dell’utente.

Cosa non ci dicono

Ogni volta che si trattano dati personali, occorre sempre partire da due pilastri che reggono tutto l’impianto normativo: la minimizzazione, ovvero il contenimento del trattamento a solo ciò che è necessario, e soprattutto la trasparenza verso il soggetto interessato[2], ovvero l’obbligo del titolare di rendere chiara e completa informativa sulle circostanze del trattamento.

Ebbene, scorrendo i documenti offerti da Enjoy (Condizioni di contratto, Regolamento e Informativa GDPR), l’azienda non ha senz’altro reso una completa informativa in ordine alla profilazione degli utenti e – mi sento di poter azzardare – non ha neanche rispettato il principio di minimizzazione.

Quanto alle finalità

Leggendo l’informativa pubblicata da Enjoy (consultata il 12 novembre 2020), all’art. 5, si apprende che i dati di guida sono raccolti e trattati per assumere decisioni automatizzate. Quali siano però tali decisioni non è indicato né nell’informativa stessa, né nelle condizioni generali di contratto. In queste ultime è solo dichiarato, in modo assolutamente generico, che i dati sono trattati per «incentivare comportamenti di guida che contribuiscano ad una maggiore sicurezza stradale […] nonché al fine di tutelarsi da comportamenti che possano danneggiare i propri Veicoli» (art. 18 delle CGC). Come però il trattamento riesca a tradursi in un meccanismo di tutela del parco macchine e di incentivazione del driver alla guida sicura non è dato sapere. L’unica certezza è che esiste una profilazione (lo scoring) e un qualche processo decisionale automatizzato ad esso associato.

Quanto alla conservazione

L’informativa è altresì incompleta sotto il profilo della data retention. In essa, cioè, non è indicata la durata della conservazione dei dati di guida. Né si può ritenere in alcun modo sufficiente la vaga clausola dell’art. 7: «I dati saranno conservati per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati». Non solo essa è tautologica, e quindi per lo più priva di significato, ma poiché come ho appena detto non sono indicate le finalità di trattamento, è di impossibile decifrazione[3].

Diritto di opposizione e integrazione

Infine, l’informativa dovrebbe indicare lo specifico diritto di opposizione alla profilazione del soggetto interessato e della sua possibilità di fornire informazioni integrative[4], e ciò indipendentemente del fatto che abbia luogo o meno un processo decisionale con intervento umano o unicamente automatizzato (circostanza peraltro non chiarita nell’informativa o altrove)[5].

La base giuridica

Ai sensi dell’art. 6 GDPR, il titolare può procedere al trattamento dei dati personali solo se ricorrono una o più delle condizioni ivi indicate.

Quella scelta da Enjoy, per espressa sua ammissione nell’informativa, è quella della lett. b), del comma 1 dell’art. 6 in parola: «il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso».

Enjoy, quindi, procede alla profilazione e al successivo processo decisionale automatizzato non sulla base del consenso degli utenti (lett. a), comma 1, dell’art. 6 GDPR), ma direttamente, a prescindere da questo, ritenendo la profilazione necessaria alla conclusione del contratto.

Tuttavia, la nozione di necessità non deve essere apprezzata in una prospettiva soggettiva, la quale potrebbe ricorrere come tale ogni volta a libera scelta del titolare del trattamento (“è necessario ciò che io ritengo essere necessario per concludere un contratto con me”), ma oggettiva (“è necessario solo ciò che in ogni circostanza è necessario per prestare il servizio oggetto del contratto”).

In altri termini, come chiarito in numerose occasioni, la nozione di necessità deve essere interpretata in maniera restrittiva[6].

Non pare proprio che nel caso di specie la profilazione dell’utente proposta da Enjoy sia condizione obiettivamente imprescindibile per la prestazione del servizio di car sharing, tanto è vero che si tratta di un trattamento che fino a poco tempo fa non veniva effettuato.

Più opportunamente, Enjoy dovrebbe raccogliere il consenso degli utenti, specifico ed espresso.

A tale riguardo è bene ricordare che il titolare del trattamento che intende fare affidamento sul consenso come base giuridica per la profilazione dovrà dimostrare che gli interessati comprendono esattamente a cosa stanno acconsentendo e dovrà ricordare che il consenso non è sempre una base appropriata per il trattamento[7]. E comunque, in tutti i casi, gli interessati dovrebbero disporre di sufficienti informazioni pertinenti sull’uso previsto dei loro dati e sulle conseguenze del trattamento in maniera da assicurare che il consenso fornito sia frutto di una scelta informata (magari ricorrendo anche ad esempi esplicativi, come anche raccomandato dalle Linee Guida del 2018[8]).

Valutazione d’impatto

Qualsiasi trattamento che possa presentare un rischio elevato per gli interessati impone al titolare del trattamento di svolgere una valutazione d’impatto sulla protezione dei dati[9].

Oltre ad affrontare qualsiasi altro rischio connesso al trattamento, una valutazione d’impatto sulla protezione dei dati può essere particolarmente utile per i titolari del trattamento che non sono certi che le attività da loro proposte rientrino nella definizione di cui all’articolo 22, paragrafo 1[10], e, laddove tali attività siano consentite da un’eccezione individuata, non sappiano quali garanzie debbano essere applicate.

Una valutazione d’impatto sulla protezione dei dati può altresì costituire uno strumento utile a disposizione del titolare del trattamento per individuare le misure che introdurrà per far fronte ai rischi per la protezione dei dati connessi al trattamento. Tali misure potrebbero comprendere:

  • informare l’interessato dell’esistenza e della logica utilizzata nel processo decisionale automatizzato;
  • spiegare l’importanza e le conseguenze previste del trattamento per l’interessato;
  • fornire all’interessato i mezzi per opporsi alla decisione;
  • consentire all’interessato di esprimere il proprio punto di vista.

Fermo restando quanto precede, va chiarito che, con particolare riguardo ai servizi di car sharing, laddove il fine del trattamento possa essere circoscritto alla tutela patrimoniale (revisionare le vetture più usurate per via della guida “oltre soglia” degli utenti), è senz’altro immaginabile il processamento dei dati raccolti dalle unità di bordo senza che essi siano associati all’identità del guidatore, e quindi senza che ricorra alcun trattamento di dati personali. In tale prospettiva, non occorrerebbe l’esito di una DPIA (Data Protection Impact Assessment) potrebbe condurre il titolare a minimizzare così tanto il trattamento, fino ad escludere che serva davvero alcun trattamento di dati personali, evitando così di incorrere in tutte le tutele e prescrizioni del GDPR.

Alla luce di tutto quanto evidenziato nei precedenti paragrafi, mi chiedo se Enjoy abbia svolto una corretta valutazione di impatto (che suggerisco di condurre in applicazione delle norme ISO/IEC 29134), magari coinvolgendo anche un campione di utenti, e se abbia o meno chiesto una consultazione preventiva con il Garante privacy ex art. 36 GDPR, quanto mai opportuna in questo caso.

Conclusioni

Chi scrive, non solo è un fedele utilizzatore del servizio Enjoy, ma è assolutamente favorevole alla profilazione delle abitudini di guida degli utenti, e perfino ad un sistema di feedback peer-to-peer per la stigmatizzazione delle cattive condotte e modalità di utilizzo delle vetture.

Tuttavia, queste possibilità offerte dalla tecnologia devono essere implementate nel pieno rispetto della prevalenza dei diritti fondamentali dell’individuo. Mai il loro impiego deve essere oscuro agli utenti o sbilanciato verso gli interessi economici del provider, per quanto legittimi.

Sono anzi convinto (e ne ho avuta esperienza professionale più volte) che il rispetto del GDPR non è riducibile ad un cieco ossequio alla legge poiché la primaria tutela delle libertà e dei diritti dei soggetti interessati si riflette sempre in un migliore design di servizi offerti, e quindi in una loro maggiore remuneratività, per vie che passano per l’orgoglio dei dipendenti e per l’apprezzamento della clientela.

Detto questo, Enjoy dovrebbe a mio avviso sospendere l’impiego del Software e dell’Algoritmo fino a quando non chiarirà meglio al pubblico le finalità e le conseguenze del trattamento e, se del caso, fino a quanto non avrà altresì condotto un serio e approfondito assessment sulla necessità e modalità di profilazione degli utenti nel pieno rispetto della normativa e della miglior prassi in tema di tutela dei dati personali.

Francesco Rampone – f.rampone@lascalaw.com

© RIPRODUZIONE RISERVATA

[1] Quest’ultimo curiosamente e presuntivamente soggetto all’approvazione specifica di clausole generiche e non vessatorie (che peraltro sarebbero in ongi caso inapplicabili in un rapporto B2C).

[2] Si vedano al riguardo le Guidelines on Transparency under Regulation 2016/679 (WP 260, rev.01).

[3] La politica di conservazione dei dati deve tenere conto dei diritti e delle libertà delle persone fisiche in linea con le prescrizioni di cui all’articolo 5, paragrafo 1, lettera e) del GDPR.

[4] Si vedano le Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679 (WP 251 rev.01 – rev. il 6 febbraio 2018). In particolare cap. III, lett. D), parr. 1)-4).

[5] Il considerando 71 del GDPR afferma che tale trattamento dovrebbe essere «subordinato a garanzie adeguate, che dovrebbero comprendere la specifica informazione all’interessato e il diritto di ottenere l’intervento umano, di esprimere la propria opinione, di ottenere una spiegazione della decisione conseguita dopo tale valutazione e di contestare la decisione».

[6] Vedi Parere n. 06/2014 della Commissione Europea, del 9 aprile 2014, sul concetto di interesse legittimo del titolare del trattamento ai sensi dell’articolo 7 della direttiva 95/46/CE.

[7] Si vedano la Linee guida del Gruppo di lavoro articolo 29 sul consenso ai sensi del regolamento (UE) 2016/679 (del 28 novembre 2017, WP 259).

[8] V. ancora WP 251 rev.01, esempio a pag. 19.

[9] Si vedano le Linee guida in materia di valutazione d’impatto on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 (Gruppo di lavoro articolo 29, rev. 4 ottobre 2017 – WP 248, rev. 01).

[10] «L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona».

Print Friendly

Condividi su

Potrebbe interessarti anche
Il fornitore non è sempre responsabile del trattamento

Terzo articolo della serie a commento delle Linee Guida n. 8/2020 (in consultazione) pubblicate dall...

Privacy

Mario Valentino vs. Valentino

Secondo articolo della serie a commento delle Linee Guida n. 8/2020 adottate dall’European Data Pr...

Privacy

Il fornitore non è sempre responsabile del trattamento

Con questo articolo inizia una breve serie di contributi a commento delle Linee Guida n. 8/2020 adot...

Privacy

X