[doc. web n. 4167756]

Installazione a bordo di veicoli aziendali di un dispositivo multifunzione annoverabile tra i c.d. "event data recorder". Verifica preliminare -  7 maggio 2015

Registro dei provvedimenti
n. 270 del 7 maggio 2015

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il d.lgs. 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito "Codice");

VISTA la richiesta di verifica preliminare presentata da XY S.p.A. ai sensi dell´art. 17 del Codice e le successive comunicazioni inviate dalla società;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

PREMESSO

1. La richiesta formulata dalla società.

1.1. XY S.p.A. –società operante nel settore del noleggio a lungo termine di autovetture – ha manifestato l´intenzione di voler procedere all´installazione, a bordo del proprio parco veicoli (ammontante a oltre 100.000 unità), di un dispositivo satellitare multifunzione denominato "Clear Box" (cfr. nota del 20 maggio 2014, successivamente regolarizzata con comunicazione dell´8 agosto 2014 e integrata con le note del 17 settembre, 29 ottobre e 12 dicembre 2014). Tale dispositivo, unitamente ai relativi connessi servizi (meglio descritti al successivo punto 1.2), verrebbero forniti da Octo Telematics Italia s.r.l al fine, tra l´altro, di "offrire una maggiore sicurezza ai conducenti dei […] veicoli, tutelare i beni e la proprietà dell´azienda, razionalizzare e ottimizzare la gestione della […] flotta", anche in termini di rafforzamento delle proprie strategie commerciali e di riduzione dei costi operativi legati a furti e incidenti.

Posto che l´utilizzo del sistema, in ragione delle sue molteplici funzionalità, comporterebbe una pluralità di trattamenti di dati personali potenzialmente forieri di rischi specifici per gli interessati, la società ha ritenuto di dover formulare all´Autorità una richiesta di verifica preliminare ai sensi dell´art. 17 del Codice.

1.2. Secondo quanto prospettato, il dispositivo prescelto –dotato di tecnologia GPS e GSM/GPRS, di un accelerometro triassale e di una memoria interna– sarebbe in grado di rilevare numerose informazioni concernenti il veicolo e di trasmetterle a un centro servizi, gestito dalla stessa Octo Telematics Italia s.r.l. (anche per il tramite di eventuali sub-fornitori) per la relativa elaborazione. Per il solo servizio di "assistenza stradale" (v. infra), la gestione sarebbe affidata, invece, ad Aci Global S.p.A.

Le informazioni complessivamente acquisite dal dispositivo, associabili a posteriori a soggetti identificati o identificabili, verrebbero utilizzate da XY S.p.A. nell´ambito dei seguenti servizi:

a) gestione incidenti;

b) ricerca del veicolo;

c) assistenza stradale;

d) monitoraggio chilometri e tempi di utilizzo;

e) diagnostica.

a) gestione incidenti

Il servizio sarebbe preordinato, in un´ottica (tra l´altro) di corretta attribuzione delle responsabilità e di puntuale esecuzione degli obblighi derivanti dal contratto di autonoleggio, a supportare l´attività di gestione e liquidazione di eventuali sinistri (risultando di ausilio nella ricostruzione della loro dinamica), riducendo il rischio di potenziali frodi e ottimizzando, in pari tempo, l´intero processo di claim management. Il dispositivo, infatti, rileverebbe le informazioni relative al veicolo (ubicazione; velocità e direzione di guida; accelerazioni frontali e laterali), trasmettendole automaticamente a Octo Telematics Italia s.r.l., in forma parzialmente grezza, solo nel caso in cui le stesse superino valori predeterminati (tali da far ipotizzare il verificarsi di un sinistro). Più precisamente, per ogni "allarme crash", il sistema rileverebbe "latitudine, longitudine, velocità e direzione di guida" del mezzo, "cristallizzando" le informazioni relative alle "accelerazioni frontali e laterali" negli istanti immediatamente precedenti e successivi all´evento; tali informazioni, quindi, verrebbero trasmesse al fornitore del servizio per la relativa elaborazione e successivamente messe a disposizione della società, anche tramite appositi "dossier".

I dati acquisiti, suscettibili di comunicazione a terzi (anzitutto società di assicurazione e autorità giudiziarie) nei limiti consentiti dalle disposizioni di legge e di contratto e per finalità di tutela di eventuali diritti in sede giudiziaria, verrebbero conservati, anche oltre la scadenza contrattuale, per il periodo di tempo strettamente necessario alla ricostruzione del sinistro e all´accertamento delle relative responsabilità e, comunque, nel rispetto dei vigenti termini prescrizionali. Nessuna informazione, invece, verrebbe memorizzata sui dispositivi di rilevamento, che provvederebbero a sovrascriverle, anche in caso di "allarme crash" (e previa trasmissione, in quest´ultimo caso, dei dati al fornitore), a intervalli regolari non superiori a 30 secondi.

b) ricerca del veicolo

Il servizio, in caso di furto o appropriazione indebita del veicolo, consentirebbe di attivare un´apposita procedura basata sulla localizzazione satellitare del mezzo in vista del suo successivo recupero da parte delle forze dell´ordine, preallertate a tal fine dalla centrale operativa di Octo Telematics Italia s.r.l. Tale procedura, avviata dalla società di autonoleggio, dal cliente di XY S.p.A. o dal conducente del veicolo attraverso apposita denuncia sporta alle autorità competenti, permetterebbe alla centrale operativa del fornitore del servizio, attraverso alcune informazioni distintive della vettura ("targa"; "marca"; "modello"; "colore"), di ricercare e individuare il mezzo attraverso un apposito applicativo informatico, che ne consentirebbe la localizzazione in tempo reale su mappa cartografica; successivamente alla sua avvenuta localizzazione, la centrale operativa provvederebbe a richiedere l´intervento delle preposte autorità per il concreto recupero del mezzo e per la sua restituzione alla società.

I dati, utilizzati dalla società per "migliorare la protezione di beni e proprietà aziendali" avverso possibili atti illeciti, verrebbero "conservati per il periodo strettamente necessario all´individuazione e al recupero del veicolo e fino al termine del contratto per gli eventuali adempimenti amministrativi e giudiziari, nel rispetto dei termini di prescrizione previsti per legge".

c) assistenza stradale (emergency call).

Il servizio, accessorio a quello descritto sub lett. a), verrebbe utilizzato da XY S.p.A. per salvaguardare l´incolumità dei conducenti dei veicoli e di eventuali terzi trasportati, fornendo un canale di comunicazione immediato e diretto con il soggetto preposto alla gestione dei contatti con le strutture del soccorso medico-stradale. In caso di "allarme crash", infatti, Octo Telematics Italia s.r.l. provvederebbe ad inoltrare una segnalazione ad Aci Global S.p.A. (preposta alla gestione del servizio) che, esperito un primo tentativo di contatto telefonico con l´interessato, provvederebbe, in caso di necessità o di mancata risposta, ad allertare i soccorsi.

L´assistenza, tuttavia, potrebbe essere discrezionalmente richiesta dall´utente, ove contrattualmente stabilito, anche a prescindere dal verificarsi di un sinistro, attraverso l´apposito pulsante disponibile sulla "Clear Box". In tal caso, la società provvederebbe a trattare i dati personali del conducente nei limiti delle informazioni acquisite nel corso del contatto telefonico.

Qualora si rendesse necessaria l´assistenza, i dati relativi al servizio verrebbero conservati per il tempo strettamente necessario alla gestione dell´emergenza, se del caso anche oltre il termine di scadenza del contratto, ma sempre nei limiti dei termini di prescrizione applicabili. Ove, invece, non risultasse necessario l´intervento, i dati verrebbero immediatamente cancellati.

Oltre alla tutela dell´incolumità dei conducenti, il servizio sarebbe altresì preordinato a salvaguardare i veicoli di proprietà dell´azienda, garantendo un più tempestivo ed efficace intervento in caso di eventuali situazioni di emergenza.

d) monitoraggio chilometri e tempi di utilizzo del veicolo.

Il servizio permetterebbe di monitorare il chilometraggio e i tempi di utilizzo dei veicoli al fine di poter programmare, se del caso, un´adeguata manutenzione degli stessi. Le informazioni raccolte (chilometri percorsi; tipologia di strada: autostrada/percorso urbano/percorso extraurbano; tempi d´uso del veicolo: fermo/in movimento) ed elaborate dal sistema su base percentuale e secondo intervalli di tempo non inferiori a una settimana verrebbero sintetizzate all´interno di appositi "report" resi disponibili alla società. Tali report, visualizzabili tramite criteri di ricerca anch´essi predefiniti (targa e/o marca del veicolo; data di attivazione del servizio; ecc.) in un´area dedicata e ad accesso riservato del portale web del fornitore, consentirebbero alla società di poter verificare, sulla base dei parametri sopra richiamati, l´effettiva usura dei veicoli di interesse, sì da poter pianificare, anche nell´ottica di una riduzione dei connessi costi di gestione, un´adeguata attività manutentiva.

Il servizio verrebbe offerto solamente a persone giuridiche clienti della società, con esclusione, pertanto, delle persone fisiche. Le informazioni relative al veicolo verrebbero conservate per il tempo funzionale alla gestione delle attività di manutenzione e successivamente cancellate o trasformate in forma anonima, scollegando i dati "tecnici" sopra richiamati dalla possibile associazione con l´identità dell´utilizzatore del veicolo.

e) diagnostica.

Il servizio permetterebbe di controllare costantemente le caratteristiche e la qualità delle informazioni raccolte dai dispositivi mobili rispetto a valori predeterminati. Il rapporto generato dal sistema riporterebbe solo dati tecnici e aggregati riferiti alla vettura, senza possibilità alcuna di poterli ricollegare, nemmeno indirettamente, a soggetti identificabili. Ciò consentirebbe di individuare preventivamente eventuali criticità generate dal sistema e di intervenire tempestivamente per il ripristino della sua corretta funzionalità.

1.3. I servizi sopra indicati consentirebbero a XY S.p.A., ancorché indirettamente –attraverso l´associazione delle informazioni rilevate dai dispositivi con altre nella propria disponibilità–, di trattare dati personali relativi a soggetti identificati o identificabili. Per contro, nessun dato personale verrebbe trattato in relazione al servizio di "diagnostica", che a detta della società non contemplerebbe la raccolta di informazioni riconducibili alla nozione di cui all´art. 4, comma 1, lett. b), del Codice.

È previsto, inoltre, che la società, tramite Aci Global S.p.A., possa trattare, nell´ambito del servizio di "assistenza stradale", anche dati sensibili relativi allo stato di salute degli interessati. È stato infine escluso, dopo reiterate rettifiche, che Octo Telematics Italia s.r.l. possa trattare, nell´ambito dei servizi erogati, dati riconducibili a soggetti identificati o identificabili.

Tutti i servizi sopra richiamati (e i connessi trattamenti di dati personali) verrebbero evidenziati all´interno di un´apposita informativa che la società intenderebbe allegare al contratto di autonoleggio. Inoltre, al fine di adempiere agli obblighi informativi nei confronti di eventuali interessati diversi dal contraente, la società ha dichiarato di voler apporre, a bordo dei propri veicoli, un modello di informativa sintetica, integrata da ulteriori e più dettagliati elementi resi disponibili sul proprio sito web.

A seconda della tipologia di dati raccolti e delle finalità perseguite, il trattamento verrebbe svolto da XY S.p.A., nell´ambito dei distinti servizi considerati, con il preventivo consenso degli interessati (eventualmente acquisito anche successivamente alla stipula del contratto di autonoleggio), ovvero sulla base di altri presupposti equipollenti, qualora applicabili (artt. 24, comma 1, lett. a), b), e), f), e 26, comma 4, lett. b), del Codice).

Quanto alle misure di sicurezza, la società ha indicato accorgimenti tecnici di natura fisica (controllo accessi; protezione dei locali; misure anti-intrusione) e logica (cifratura dei dati; protezione dei sistemi; profili autorizzativi; log degli accessi), accompagnati da attività di formazione degli incaricati del trattamento e piani di backup e disaster recovery. Inoltre, la trasmissione delle informazioni dai dispositivi al data center della centrale operativa avverrebbe attraverso protocolli di comunicazione di proprietà del fornitore ritenuti sicuri e affidabili. Nessuna dettagliata misura, invece, risulta indicata per quanto riguarda i fornitori dei servizi (Octo Telematics Italia s.r.l. e Aci Global S.p.A.).

Il dispositivo verrebbe configurato riducendo al minimo l´utilizzo di dati personali, asseritamente trattati "solo in quanto necessari al perseguimento delle finalità indicate". In ogni caso, i dati raccolti –suscettibili di comunicazione a terzi solo se necessario per l´adempimento di obblighi contrattuali o legali, ovvero per la tutela di eventuali diritti in sede giudiziaria–, non verrebbero utilizzati dalla società per scopi diversi da quelli indicati, in particolare per profilare i conducenti o a fini di marketing. È stato precisato, infine, che i trattamenti oggetto dell´istanza sarebbero effettuati, in conformità ai rispettivi profili di autorizzazione, da incaricati specificamente designati e adeguatamente istruiti in merito alle operazioni da effettuarsi (art. 30 del Codice).

Titolare del trattamento sarebbe XY S.p.A., mentre Aci Global S.p.A. opererebbe quale responsabile formalmente designato ai sensi degli artt. 4, comma 1, lett. g) e 29 del Codice. Nessuna designazione a responsabile, benché originariamente prevista, sarebbe invece contemplata in capo a Octo Telematics Italia s.r.l., che, come detto, non tratterebbe, nella prospettiva ultima indicata da XY S.p.A., informazioni riconducibili a "dati personali".

La società –che sta valutando l´opportunità di utilizzare i predetti dispositivi anche a bordo dei veicoli affidati in dotazione ai propri dipendenti–, ha dichiarato, da ultimo, che provvederà a notificare il trattamento in conformità agli artt. 37 e ss. del Codice.

A sostegno della propria istanza, XY S.p.A. ha prodotto documentazione relativa, tra l´altro, a: le caratteristiche tecniche dei dispositivi da installare; un "dossier" esemplificativo relativo a un possibile "allarme crash"; le misure e le procedure di sicurezza adottate in relazione ai propri sistemi; alcune bozze relative a profili "privacy" (tra cui l´informativa agli interessati e la designazione del responsabile del trattamento). Nessuna documentazione, nemmeno in forma di bozza, è stata invece prodotta con riferimento alla modulistica contrattuale che la società intenderebbe utilizzare per disciplinare i rapporti con i clienti e i fornitori dei servizi, trattandosi di attività in itinere e condizionata, secondo quanto riferito, all´esito della presente pronuncia.

2. Event data recorder e disciplina di protezione dei dati personali.

Come già evidenziato dall´Autorità (cfr. Provv. 7 novembre 2013 [doc. web n. 2911484]), i dispositivi annoverabili tra i c.d. "event data recorder" –cui appartiene anche la "Clear Box" che la società intende utilizzare a molteplici fini– trovano espresso riconoscimento, oltre che sul piano nazionale (decreto interministeriale 25 gennaio 2013; art. 32 del d.l. n. 1/2012; art. 49 della l. n. 120/2010), anche a livello comunitario (cfr. Risoluzione del Parlamento europeo del 27 settembre 2011 sulla sicurezza stradale in Europa 2011-2020; Comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni "Verso uno spazio europeo della sicurezza stradale: orientamenti 2011-2020 per la sicurezza stradale" del 20 luglio 2010; International Working Group on Data Protection in Telecommunications, Working Paper, Event Data Recorder (EDR) on Vehicles Privacy and data protection issues for governments and manufacturers del 4 aprile 2011 [doc. web n. 1895966]; Technical Development and Implementation of Event Data Recording in the Road Safety Policy, a cura del Directorate-General for Internal Policies – Policy Department B, Structural and Cohesion Policies – Transport and Tourism, September 2014).

Tali dispositivi, per le molteplici funzionalità di cui risultano dotati, sono in grado di raccogliere numerose informazioni che –benché inerenti, in prima battuta, ai veicoli di pertinenza– sono comunque riconducibili, in virtù dell´associazione (anche a posteriori) con altre informazioni nella disponibilità del titolare, a soggetti identificati o identificabili (cfr. Provv. 7 novembre 2013, cit.; Provv. 29 novembre 2012 [doc. web n. 2257616]; Provv. 1° agosto 2012 [doc. web n. 1923293]; Provv. 4 ottobre 2011 [doc. web n. 1850581]; Provv. 7 luglio 2011 [doc. web n. 1828354]; Provv. 5 giugno 2008 [doc. web n. 1531604]; v. altresì il Parere n. 5/2005 sull´uso di dati relativi all´ubicazione al fine di fornire servizi a valore aggiunto, WP 115, e il Parere n. 4/2007 sul concetto di dati personali, WP 136, del Gruppo di lavoro articolo 29 per la protezione dei dati); anche a tali dati (e ai correlati trattamenti), pertanto, devono poter trovare applicazione le tutele previste dalla disciplina in materia di protezione dei dati personali. Non fanno eccezione, ovviamente, i trattamenti connessi all´impiego del dispositivo qui in esame, suscettibili di distinta valutazione –con esclusione, invero, del servizio di "diagnostica", rispetto al quale la società ha dichiarato (anche ai sensi e per gli effetti di cui all´art. 168 del Codice), di non trattare "dati personali"– nell´ambito dei singoli servizi di seguito considerati.

3. Servizi della "Clear Box" e protezione dei dati personali.

3.1. Gestione incidenti

In termini generali, la finalità che la società intende perseguire attraverso il servizio di "crash management" risulta lecita. Il dispositivo in esame, infatti, consente di rilevare –e, limitatamente ad eventi ritenuti significativi, memorizzare– informazioni utili all´accertamento della dinamica di eventuali sinistri e delle condotte connesse alla circolazione dei veicoli noleggiati, permettendo alla società di ricostruire (soprattutto dal punto di vista cinematico) il possibile svolgimento dei fatti in vista del successivo utilizzo, per finalità di tutela dei diritti, dei dati rilevati come eventuali elementi di prova (nello stesso senso, Provv. 7 novembre 2013, cit. e Provv. 29 novembre 2012, cit.).

Appare, dunque, ragionevole ritenere che il trattamento in esame, ove effettuato nei limiti delle finalità indicate –profilo rispetto al quale, in base alle previsioni di legge, il consenso degli interessati non risulta nemmeno necessario (art. 24, comma 1, lett. f), del Codice)–, possa essere considerato conforme alla disciplina vigente, avuto particolare riguardo ai princìpi di liceità e finalità (art. 11, comma 1, lett. a) e b), del Codice). Qualora il trattamento venga effettuato anche in adempimento a specifiche disposizioni contrattuali che prevedano forme di esonero e/o manleva da responsabilità –circostanza, invero, non meglio chiarita dalla società– lo stesso potrà avvenire, ricorrendone i presupposti, anche sulla base di quanto previsto dall´art. 24, comma 1, lett. b), del Codice.

Sotto altro profilo, il medesimo trattamento, ove effettuato in aderenza alle modalità indicate, non appare in contrasto con i princìpi di necessità e proporzionalità stabiliti dagli artt. 3 e 11, comma 1, lett. d), del Codice, atteso che i dati del veicolo che la società intende trattare –peraltro associabili unicamente a posteriori, e solo dal titolare del trattamento, a soggetti identificati o identificabili– non risultano essere, sulla base della documentazione fornita, sovrabbondanti o ultronei rispetto alla corretta ricostruzione delle dinamiche dei sinistri. Tali dati, fatta salva la tutela di eventuali diritti in sede giudiziaria, potranno essere conservati, nell´ambito della finalità connessa alla fruizione del servizio, per il tempo strettamente necessario alla ricostruzione del sinistro e all´accertamento delle relative responsabilità (art. 11, comma 1, lett. e), del Codice), tenendo a tal fine presente anche quanto previsto dall´art. 2947 cod. civ. (nello stesso senso, Provv. 7 novembre 2013 e Provv. 29 novembre 2012, cit.) e da altre specifiche normative eventualmente applicabili.

3.2. Ricerca del veicolo

Considerazioni in parte analoghe possono essere effettuate in relazione al distinto trattamento che la società intende svolgere attraverso il servizio "ricerca del veicolo". Tale servizio, infatti, risulta preordinato ad assecondare legittime esigenze di tutela del patrimonio aziendale –costituito, in buona parte, dai veicoli della società adibiti in locazione– avverso atti illeciti (furto e appropriazione indebita), fornendo informazioni utili anche a fini assicurativi e per la tutela di eventuali diritti in sede giudiziaria. Nei limiti di tali finalità, la società potrà trattare i dati personali relativi al necessario funzionamento del servizio, che dovranno essere pertinenti e non eccedenti rispetto allo scopo dichiarato (in tal senso, peraltro, la documentazione allegata non ha evidenziato particolari criticità, posto che i dati trattati atterrebbero alle sole informazioni necessarie alla localizzazione e al recupero del veicolo e alla gestione dei contatti con il "denunciante").

Il trattamento, in considerazione delle finalità perseguite, non necessita del consenso degli interessati in base al già citato art. 24, comma 1, lett. f), del Codice. Ove effettuato in adempimento a precisi obblighi contrattuali –circostanza, anch´essa, non sufficientemente delineata dalla società–, il trattamento potrà essere altresì effettuato, ricorrendone i concreti presupposti, in base all´art. 24, comma 1, lett. b), del Codice.

La società, ai sensi dell´art. 11, comma 1, lett. e), del Codice, potrà conservare i dati personali acquisiti nell´ambito del servizio in esame per il solo periodo di tempo strettamente necessario all´individuazione e al recupero del mezzo, fatte salve eventuali ulteriori esigenze di conservazione legate a specifiche disposizioni normative o per la tutela di propri diritti in sede giudiziaria.

3.3. Assistenza stradale

Parimenti lecita è la finalità di assistenza stradale che la società intende perseguire attraverso l´omonimo servizio. Non vi è dubbio che tale servizio possa contribuire ad assicurare, in caso di sinistro, notevoli benefici agli interessati (anzitutto in termini di maggiore efficacia e celerità nelle operazioni di assistenza), consentendo in pari tempo alla società di offrire all´utenza servizi maggiormente appetibili e qualitativamente più elevati (cfr. anche, a livello sovranazionale, le molteplici iniziative succedutesi nel campo dell´eSafety, con particolare riguardo all´eCall: Memorandum of understanding for realisation of interoperable in-vehicle eCall del 28 maggio 2004; "Relazione sulla sicurezza stradale: mettere eCall a disposizione dei cittadini" del Parlamento europeo del 27 marzo 2006; "Documento di lavoro sulle implicazioni in materia di protezione dei dati e rispetto delle vita privata dell´iniziativa eCall", adottato il 26 settembre 2006 dal Gruppo di lavoro "articolo 29", WP 125; v., altresì, la direttiva 2010/40/Ue del Parlamento e del Consiglio del 7 luglio 2010 sul quadro generale per la diffusione dei sistemi di trasporto intelligenti nel settore del trasporto stradale e nelle interfacce con altri modi di trasporto); ciò, a condizione che il correlato trattamento resti comunque soggetto alla scrupolosa osservanza della disciplina in materia di protezione dei dati personali.

In tale quadro, la società potrà trattare, nell´ambito del servizio qui considerato, i soli dati personali e sensibili, anche di terzi, strettamente necessari e pertinenti rispetto all´attività di assistenza stradale e/o medica, previa acquisizione del libero consenso degli interessati ovvero, ricorrendone i presupposti, ai sensi degli artt. 24, comma 1, lett. e) e 26, comma 4, lett. b), del Codice. Nei limiti di tale finalità, e solo in caso di sinistro, la società, per il tramite dell´organismo a ciò preposto (ritualmente designato responsabile del trattamento), potrà gestire l´intervento di assistenza, avendo cura di cancellare le informazioni non più necessarie all´esito dell´intervento effettuato. Resta salva, in ogni caso, la possibilità di una loro ulteriore conservazione in adempimento a eventuali obblighi di legge o per la tutela di ipotetici diritti in sede giudiziaria.

3.4. Monitoraggio chilometri e tempi di percorrenza del veicolo

La società ha dichiarato di voler offrire il servizio –che contempla, come detto, la rilevazione dei chilometri, delle strade e dei tempi di percorrenza dei veicoli per finalità manutentive– ai soli clienti che rivestano la qualità di persone giuridiche; nel far ciò, tuttavia, tratterebbe anche dati personali dei conducenti (nella misura in cui, attraverso altre informazioni nella disponibilità della società, quegli stessi dati siano associati o associabili, anche a posteriori, a soggetti identificati o identificabili), sia pure al solo (dichiarato) fine di "fornire un più efficiente supporto in termini di manutenzione de[i] veicol[i]". Atteso che la raccolta di tali informazioni, alla luce dell´acquisito parere tecnico, potrebbe comportare ipotetici rischi di "profilazione" degli interessati (avuto riguardo, in particolare, alle abitudini di utilizzo dei veicoli locati), si ritiene che il prospettato trattamento possa essere effettuato, previa acquisizione del libero consenso dei conducenti (art. 23 del Codice), per il solo periodo di tempo strettamente necessario all´espletamento dell´attività manutentiva, compiuta la quale i dati "tecnici" dovranno essere opportunamente "anonimizzati".

In alternativa, le suddette informazioni potranno essere utilizzate dalla società, a fini manutentivi, rimodulando i tempi di misurazione e le modalità di aggregazione dei dati in termini sufficientemente ampi da impedire la loro puntuale riconduzione a soggetti identificati o identificabili.

4. Ulteriori (eventuali) adempimenti.

Le misure di sicurezza indicate da XY S.p.A. in relazione ai propri sistemi (v. punto 1.3) risultano potenzialmente idonee a garantire il livello minimo di sicurezza prescritto dalla normativa vigente (artt. 33 e ss. del Codice e relativo disciplinare tecnico). Per contro, non risultano chiaramente ed esaustivamente illustrati gli accorgimenti individuati da Octo Telematics Italia s.r.l. e da Aci Global S.p.A. ai fini della tutela delle informazioni raccolte nell´ambito dei servizi erogati alla società titolare. Muovendo, pertanto, da quanto previsto dall´art. 17 del Codice, il Garante ritiene di dover prescrivere a XY S.p.A. di assicurare che entrambe le società fornitrici dei servizi (nonché eventuali sub-fornitori di Octo Telematics Italia s.r.l.), qualora carenti da tale punto di vista, garantiscano effettivamente un livello di tutela dei dati pari almeno a quello minimo previsto dai già citati artt. 33 e ss. del Codice e dall´allegato "B" al Codice medesimo; e ciò, a prescindere dal fatto che compiano o meno, nella veste di eventuali responsabili ex art. 29 del Codice, operazioni di trattamento su "dati personali".

Inoltre, i dispositivi elettronici utilizzati per la rilevazione e trasmissione dei dati dovranno presentare, ove non già caratterizzati in tal senso, rigorose garanzie in termini di affidabilità, autenticità, accuratezza e integrità delle informazioni raccolte, nonché requisiti strutturali e/o tecnici in grado di ridurre al minimo il rischio di eventuali manomissioni (art. 31 del Codice).

Le predette misure, ove necessario, dovranno essere poi integrate con riferimento al portale web del fornitore, che dovrà risultare accessibile, tramite protocollo "https", unicamente agli incaricati dotati di idoneo profilo di autorizzazione e che dovrà essere provvisto di certificato digitale rilasciato da un organismo certificatore accreditato. Infine, dovrà essere assicurata all´interessato che ne faccia richiesta ai sensi dell´art. 7 del Codice la possibilità di accedere ai propri dati personali firmati digitalmente.

I modelli di informativa e consenso, opportunamente emendati sulla base delle indicazioni da ultimo fornite, dovranno tenere conto, ovviamente, anche delle prescrizioni contenute nel presente provvedimento.

La società, ferme restando le già menzionate esigenze di ulteriore conservazione, dovrà provvedere, infine, alla distruzione dei dati personali non più necessari in rapporto agli scopi perseguiti nell´ambito dei distinti servizi, anche attraverso il ricorso a meccanismi di cancellazione automatica e integrale delle informazioni o a tecniche di anonimizzazione delle stesse.

Per tutti i servizi e le finalità indicate nel presente provvedimento, il trattamento dovrà avvenire con modalità sempre rispettose, in concreto, dei diritti e delle libertà fondamentali, nonché della dignità degli interessati (art. 2, comma 1, del Codice) e dovrà essere svolto, in ogni caso, in conformità all´art. 11, comma 1, lett. a) del medesimo Codice, nel rispetto di altre discipline di legge eventualmente applicabili. Qualora "cliente" di XY S.p.A. sia una persona giuridica, i dati personali dei conducenti e di eventuali soggetti terzi non potranno essere conosciuti dal titolare se non nella misura in cui ciò sia strettamente necessario all´esecuzione dei servizi richiesti ed erogati o per finalità di tutela di eventuali diritti; tale circostanza dovrà essere adeguatamente evidenziata al cliente in occasione della stipula del contratto di noleggio.

I dati personali rilevati dalla "Clear Box", come espressamente dichiarato, non potranno essere trattati dalla società per "profilare" gli interessati (ad esempio per la memorizzazione delle abitudini e dello stile di guida), ovvero per negare la stipula di nuovi contratti di noleggio, né potranno essere utilizzati in operazioni di trattamento incompatibili con le finalità originarie della raccolta (art. 11, comma 1, lett. b), del Codice). Inoltre, le informazioni rilevate nell´ambito del servizio "diagnostica" potranno essere liberamente utilizzate dalla società solo nella misura in cui le stesse non siano in alcun modo riconducibili, nemmeno indirettamente (a mezzo di incrocio, raffronto o collegamento con altri dati), a persone identificate o identificabili.
La società, ove intenda "estendere" al proprio personale dipendente il trattamento dei dati relativi alla localizzazione, non dovrà presentare una specifica richiesta di verifica preliminare laddove ricorrano, in concreto, i presupposti indicati nel Provv. 4 ottobre 2011, cit.

Il presente provvedimento, redatto sulla base delle dichiarazioni fornite dalla società istante e della documentazione prodotta, non pregiudica eventuali successive determinazioni che dovessero rendersi necessarie alla luce dei trattamenti concretamente posti in essere.

TUTTO CIÒ PREMESSO, IL GARANTE,

a conclusione della verifica preliminare richiesta da XY S.p.A. relativamente all´utilizzo di un dispositivo multifunzione annoverabile tra i c.d. "event data recorder", ammette i trattamenti oggetto dell´istanza presentata –da effettuarsi in stretta aderenza ai termini di cui in narrativa e nel rigoroso rispetto di quanto dichiarato ai sensi dell´art. 168 del Codice–, fermo restando, ai sensi dell´art. 17 del Codice, che la predetta società:

1. dovrà assicurare che Aci Global S.p.A. e Octo Telematics Italia s.r.l. (nonché eventuali sub-fornitori di quest´ultima), qualora carenti da tale punto di vista, garantiscano effettivamente un livello di tutela dei dati pari almeno a quello minimo previsto dai già citati artt. 33 e ss. del Codice e dall´allegato "B" al Codice medesimo;

2. dovrà garantire che i dispositivi elettronici utilizzati per la rilevazione e trasmissione dei dati presentino, ove non già caratterizzati in tal senso, rigorose garanzie di in termini di affidabilità, autenticità, accuratezza e integrità delle informazioni raccolte, nonché requisiti strutturali e/o tecnici in grado di ridurre al minimo il rischio di eventuali manomissioni (art. 31 del Codice);

3. dovrà assicurare, ove necessario, che il portale web del fornitore, dotato di certificato digitale rilasciato da un organismo certificatore accreditato, sia reso accessibile, tramite protocollo "https", unicamente a incaricati del trattamento dotati di idoneo profilo di autorizzazione;

4. dovrà garantire agli interessati che ne facciano richiesta ai sensi dell´art. 7 del Codice la possibilità di accedere ai propri dati personali firmati digitalmente;

5. dovrà opportunamente emendare i modelli di informativa e consenso sulla base delle indicazioni da ultimo fornite e delle prescrizioni contenute nel presente provvedimento;

6. dovrà provvedere alla distruzione dei dati personali non più necessari in rapporto agli scopi perseguiti nell´ambito dei distinti servizi, anche attraverso il ricorso a meccanismi di cancellazione automatica e integrale delle informazioni o a tecniche di anonimizzazione delle stesse;

7. dovrà trattare i dati personali degli interessati per i soli scopi dichiarati o in termini comunque compatibili con i medesimi scopi (art. 11, comma 1, lett. b), del Codice), con esclusione, pertanto, di forme di utilizzo dei dati medesimi per scopi, ad esempio, di profilazione o di marketing;

8. dovrà trattare i dati personali, per tutte le finalità perseguite, con modalità sempre rispettose, in concreto, dei diritti e delle libertà fondamentali, nonché della dignità degli interessati (art. 2, comma 1, del Codice) e in conformità all´art. 11, comma 1, lett. a) del medesimo Codice;

9. potrà trattare i dati personali acquisiti nell´ambito del servizio "monitoraggio chilometri e tempi di percorrenza del veicolo", previa acquisizione del libero consenso degli interessati (art. 23 del Codice), per il solo periodo di tempo strettamente necessario all´espletamento dell´attività manutentiva, dopodiché i dati dovranno essere opportunamente anonimizzati. In alternativa, le suddette informazioni potranno essere utilizzate dalla società, a fini manutentivi, rimodulando i tempi di misurazione e le modalità di aggregazione dei dati in termini sufficientemente ampi da impedire la loro puntuale riconduzione a soggetti identificati o identificabili;

10. potrà conoscere i dati personali dei conducenti affidatari di veicoli per conto di persone giuridiche solo nella misura in cui ciò sia strettamente necessario all´esecuzione dei servizi richiesti ed erogati al cliente o per finalità di tutela di eventuali diritti. Tale circostanza dovrà essere adeguatamente evidenziata al cliente in occasione della stipula del contratto.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 7 maggio 2015

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia