Auto connesse, le linee guida EDPB: focus sul trattamento dati dei veicoli

Come molti settori industriali “tradizionali”, anche l’automotive non è esente dalle molte sfide tecnologiche provenienti dal mondo digitale. Sfide che hanno spinto lo European Data Protection Board (“EDPB”) ad adottare, lo scorso gennaio, le nuove linee guida sulle auto connesse^[1].

Obiettivo dell’intervento è quello di facilitare l’adeguamento al GDPR^[2] e alla Direttiva e-Privacy^[3] da parte dei vari stakeholders coinvolti nel trattamento dei dati personali nell’ecosistema delle auto connesse.

Auto e trattamento dati personali

L’EDPB affronta varie questioni, relative al trattamento dei dati personali nell’ecosistema delle auto connesse. Ne analizzeremo solo alcune, che ci sembrano particolarmente rilevanti.

Innanzitutto, le Linee Guida non fanno chiarezza sui ruoli e le responsabilità dei vari soggetti (costruttori dell’auto, fornitori dell’infrastruttura, app terze che forniscono informazioni all’utente, ecc.) di volta in volta coinvolti nel trattamento dei dati personali attraverso i dispositivi presenti sull’auto. Si tratta di ecosistemi molto complessi, per i quali non esiste una soluzione “one-fits-all” e dovrà necessariamente essere condotta un’analisi caso per caso.

Quanto all’individuazione della base giuridica per il trattamento dei dati personali attraverso l’apparecchiatura terminale presente sull’auto, l’EDPB chiarisce che – ai fini dell’accesso e della conservazione ai dati presenti su tale apparecchiatura – è necessario applicare il criterio previsto dalla Direttiva e-Privacy, e dunque, generalmente, il previo consenso dell’utente^[4]. Per tutti i trattamenti “successivi”, troverà applicazione l’articolo 6 GDPR.

L’avere individuato la base giuridica nel consenso, ha importanti conseguenze anche sugli usi successivi (per finalità diverse da quelle originarie) dell’enorme mole di dati che viene raccolta attraverso l’auto connessa. Infatti, chiarisce l’EDPB che qualsiasi uso ulteriore dei dati personali dovrà a sua volta fondarsi sul consenso (informato) dell’utente e non sarà possibile – per il titolare – procedere al trattamento ulteriore basandosi esclusivamente sul test di compatibilità previsto dall’articolo 6.4 GDPR. Ricordiamo infatti che, in base all’articolo 6.4 GDPR, un test di compatibilità, che verifichi il nesso tra le varie finalità, il contesto in cui i dati sono stati originariamente raccolti, la natura dei dati personali, le possibili conseguenze dell’ulteriore trattamento per l’interessato e l’esistenza di garanzie adeguate, dovrebbe essere condotto ogni qualvolta si vuole procedere con un ulteriore uso di dati personali per finalità diverse da quelle della originaria raccolta. Solo nel caso in cui il test fosse positivo, si potrebbe procedere senza necessità di una nuova base giuridica (e su questo principio non c‘è unità di vedute tra i vari commentatori).

In tale ipotesi, tuttavia, l’EDPB esclude che sia possibile procedere in questo modo. Occorrerà, dunque, raccogliere un nuovo consenso dagli interessati a meno che non si proceda ad una completa anonimizzazione dai dati raccolti attraverso l’auto connessa. In questo caso, potrebbe essere sufficiente svolgere il test di compatibilità sopra richiamato. Questo, tuttavia, varrebbe esclusivamente nel caso in cui il dato raccolto sia reso completamente anonimo, nel rispetto degli standard (molto esigenti) previsti dall’Article 29 Working Party/EDPB^[5]. Qualora si procedesse ad una pseudonimizzazione dei dati (che rimarrebbero dunque identificativi), sarebbe necessario invece individuare una nuova base legale, che potrebbe identificarsi con il legittimo interesse, sempre secondo l’interpretazione dell’Article 29 Working Party/EDPB^[6].

Non solo auto, ma dispositivi IoT

La rivoluzione dell’industria dell’auto, da mera produttrice di veicoli e servizi ancillari “tradizionali” a fornitrice di servizi di mobilità, sta cambiando il volto e l’operatività dei principali operatori. I veicoli moderni sono, difatti, dispositivi IoT. I dati dei veicoli possono essere utilizzati per diversi tipi di servizi ancillari o meno, dalla navigazione manutenzione e diagnostica, fino all’offerta di servizi infotainment ed assicurativi customizzati, che utilizzano la tecnologia “C-V2X” (Cellular Vehicle to Everything) la quale consente servizi di connettività dei veicoli a tutto tondo.

La vendita di veicoli si associa non solo all’offerta di tradizionali servizi “ancillari” come attività di finanziamento e di pacchetti di assistenza post-vendita ma a nuovi servizi di mobilità “all-inclusive”. In tale contesto, nuovi operatori si stanno affacciando sul mercato offrendo servizi digitali e contendendo così l’offerta da parte degli OEM. Le piattaforme stanno diventando il luogo in cui i fornitori di prodotti e servizi incontrano utenti e clienti e identificano le loro preferenze. Gli sviluppi derivanti dall’utilizzo della tecnologia 5G applicata a tale settore consentono nuove forme di cosiddetta hybrid connection come illustrato nel recente studio commissionato dal Comitato Trasporti del Parlamento Europeo e pubblicato nel dicembre 2020^[7], che individua altresì una molteplicità di applicazioni afferenti al mondo della mobilità, tra le quali le applicazioni CCAM (Connected Cooperative Automated Mobility) destinate ad integrare diversi servizi di assistenza alla guida, le applicazioni MaaS (Mobility as a Service), nelle quali una molteplicità di servizi di trasporto sono integrati in un unico servizio di mobilità attraverso delle app disponibili on demand, e le applicazioni C-ITS (Cooperative Intelligent Transport System) per offrire servizi afferenti alla sicurezza, al traffico e alla sostenibilità dei veicoli^[8].

In questo contesto, i dati degli utilizzatori rivestono un ruolo fondamentale.

Dati e concorrenza

Se queste sono le soluzioni proposte sotto il profilo data protection, occorre però considerare che i dati sono destinati ad assumere un ruolo centrale anche in ambito concorrenziale. Ciò, non solo dal lato della domanda, orientando anche in modo determinante la scelta dei clienti verso i produttori di veicoli in grado di offrire i migliori servizi digitali e non al prezzo più competitivo, ma anche dal lato dell’offerta, poiché il possesso o l’accesso a tali dati potrebbe portare a un significativo potere di mercato e allo sviluppo di nuovi modelli di business e piattaforme digitali. L’accesso al dato che il veicolo è in grado di generare (o comunque correlato allo stesso) diventa un fattore “strategico” per gli operatori, a tutti i livelli ed in molteplici mercati ancillari o meno. Sotto il profilo concorrenziale, come già accaduto in altri settori, i dati rappresenteranno un vantaggio competitivo per chi li possiede o una barriera all’ingresso per quanti ne siano esclusi.

Dunque, l’introduzione di interpretazioni restrittive sotto il profilo della possibilità di riutilizzare i dati personali potrebbe avere conseguenze importanti sotto il profilo concorrenziale, come già si inizia a vedere in altri settori, come quello dell’adtech e della pubblicità online, dove alcuni comportamenti in linea con la normativa a protezione dei dati personali, attuati da parte di importanti player, hanno conseguenze potenzialmente anticoncorrenziali^[9].

L’in-vehicle data access

Nello specifico, l’in-vehicle data access – nelle diverse declinazioni a seconda della tipologia del servizio cui si associa (dall’offerta di servizi di manutenzione e riparazione agli aspetti di sicurezza stradale e gestione del traffico, gestione della flotta e della qualità e sviluppo dei prodotti così come i servizi ancillari quali noleggio, assicurazione, car sharing) – rappresenta un aspetto estremamente dibattuto. Difatti, i modelli e gli standard proposti dall’industria automobilistica basati sul concetto di cosiddetto extended vehicle, volto a tutelare le esigenze di cybersecurity e data protection, come evidenziato dal Position Paper ACEA del 2016^[10], sono basati su flussi d’informazioni che consentano un “off-board access” ai soggetti terzi attraverso server esterni, cosiddetti “neutrali”, che si interfacceranno con quelli dei produttori di veicoli al fine di evitare eventuali accessi diretti ai veicoli o ai server degli OEM che potrebbero mettere al rischio la sicurezza del veicolo e dei passeggeri.

Nondimeno, è ben evidente il rischio che una serie d’informazioni possano così non essere oggetto immediato di condivisione da parte dei produttori di veicoli con i terzi eventualmente interessati alla fornitura di servizi concorrenti. Nella stessa consultazione, avente ad oggetto la riforma del Regolamento di esenzione per categoria n. 461/2010/UE in di applicazione dell’art. 101.3 TFUE materia autoveicoli, uno dei punti sui quali gli stakeholders interessati hanno chiesto modifiche e sollevato perplessità, ha difatti riguardato non solo l’accesso alle informazioni tecniche (tema sul quale già con l’attuale Regolamento sono stati forniti una serie di chiarimenti) ma proprio il tema dell’in-vehicle data access per consentire ai fornitori di essere in grado di competere con tutti gli operatori di mobilità, alcuni dei quali potrebbero essere tentati di agire come “gatekeepers” attraverso metodi di accesso proprietari ai dati a bordo del veicolo. Se non adeguatamente regolato, l’extended vehicle, consentirebbe difatti ai produttori dei veicoli di decidere arbitrariamente come, quando e a chi verrà concesso l’accesso. Inoltre, i dati disponibili potrebbero essere limitati e pre-elaborati, impedendo così lo sviluppo di servizi nuovi tecnicamente avanzati e competitivi da parte di service providers indipendenti. Questo controllo, che avverrebbe principalmente mediante progettazione tecnica, potrebbe pertanto privare i consumatori della possibilità di scegliere autonomamente i migliori servizi limitando altresì la capacità di innovazione degli operatori del mercato. In questo caso sarebbe pertanto fondamentale individuare degli standards che garantiscano un accesso FRAND (fair, reasonable and non discriminatory) a tali dati per evitare le asimmetrie che potrebbero diversamente crearsi tra gli operatori^[11]. D’altro canto, l’accesso obbligatorio ai dati rappresenta un tema molto delicato anche per la nuova proposta di Digital Markets Act^[12] destinata appunto a regolare, sotto il profilo concorrenziale, le condotte dei gatekeepers per prevenire eventuali violazioni in una logica ex ante, evidenziando come sia necessario trattarlo con molta cautela per evitare che abbia un impatto negativo sull’innovazione.

A tale riguardo una soluzione alternativa potrebbe essere quella di elaborare modelli alternativi di accesso ai dati, che è quanto è stato recentemente proposto dalle principali associazioni europee della filiera legata all’industria distributiva e di servizi automotive, i quali hanno pubblicato lo scorso marzo 2021 un modello alternativo di condivisione, il Secure On-board Telematics Platform (Secure OTP) ^[13]. Ciò con l’obiettivo di definire nettamente i diversi ruoli dei costruttori di veicoli, che fungerebbero sia da produttori che da fornitori di servizi, ruolo, quest’ultimo, nel quale sarebbero quindi in concorrenza diretta con tutti gli altri service providers. L’implementazione di Secure OTP avrebbe quindi il fine di consentire, ai fornitori di servizi di avere ciascuno il proprio accesso ai dati dei veicoli attraverso diversi livelli di autorizzazioni a seconda dei servizi da fornire^[14].

Conclusioni

In quest’ottica si comprende, pertanto, come le stesse linee guida EDPB potrebbero assumere una connotazione totalmente diversa, più o meno incisiva, a seconda del modello adottato. In tale logica, l’obiettivo dovrebbe essere, però, di prevenire le distorsioni già sperimentate in altri mercati nei quali gli argomenti data protection sono stati usati dai gatekeepers, proprio per negare l’accesso ai dati sulla base del mancato consenso degli interessati^[15]. Ciò che è certo è che la rivoluzione digitale dell’industria automobilistica procede speditamente e sarà necessario rispondere alle nuove sfide del mercato in una logica d’insieme che tenga conto dei molteplici profili, regolatori, antitrust, IP e data protection e della necessaria interazione tra gli stessi per evitare di ripetere gli errori del passato.

Note

1. Guidelines 1/2020 on processing personal data in the context of connected vehicles and mobility related applications, Version 1/2020. [1]
2. Regolamento UE 2016/679. [2]
3. Direttiva 2002/58/CE del Parlamento europeo e del Consiglio. [3]
4. Guidelines 1/2020, para. 1.5.3. “Further processing of personal data”. [4]
5. Opinion 05/2014 on Anonymisation Techniques. [5]
6. Ibid. [6]
7. The impact of emerging technologies on the transport system, PE 652.226 – November 2020. [7]
8. Queste ultime strettamente connesse all’implementazione del Regolamento Delegato adottato dalla Commissione nel marzo 2019 in attuazione della Direttiva 2010/40/UE sul quadro generale per la diffusione dei sistemi di trasporto intelligenti nel settore del trasporto stradale e nelle interfacce con altri modi di trasporto ma respinto dal Consiglio nel luglio 2019 ed attualmente in fase di revisione. [8]
9. Si veda a tale riguardo il recente articolo pubblicato su “Competition Policy International”, Data Privacy and Competition Protection in Europe: Convergence or Conflict?, consultabile al sito https://www.competitionpolicyinternational.com/data-privacy-and-competition-protection-in-europe-convergence-or-conflict/. [9]
10. ACEA Position Paper, 2016, Access to vehicle data for third party services. [10]
11. Si ricorda a tale proposito il rinvio pregiudiziale promosso dalla Corte di Dusseldorf, pendente di fronte alla Corte di Giustizia, nel caso Nokia Technologies/Daimler attualmente in attesa di giudizio. [11]
12. Proposal for a Regulation of the European Parliament and of the Council on contestable and fair markets in the digital sector (Digital Markets Act), December 15, 2020. [12]
13. Secure On-board Telematics Platform Approach, Cecra, FIA, ADPA, etc., 30 marzo 2021, consultabile al sito https://35e4493c-8f48-47f6-86fd-c7f7ae0ab150.usrfiles.com/ugd/35e449_34d53f5358a04910b6125f8096942e1f.pdf. [13]
14. Distinguendo tra standard SDK (software development kit) ed extended SDK. In particolare, l’SDK standard conterrebbe tutte le funzioni standardizzate disponibili che non saranno correlate a prestazioni / funzioni ambientali, di sicurezza e protezione e nessun accesso a funzioni che potrebbero interferire con i requisiti di type approval del veicolo. In tale modo il produttore del veicolo rimarrebbe responsabile per l’omologazione dello stesso. L’extended SDK conterrebbe invece altresì l’accesso alle funzioni relative alle performance ambientali, alla sicurezza o alla protezione del veicolo. In tale caso, poiché il produttore rimarrebbe titolare dell’omologazione del veicolo, le app create con Extended-SDK dovranno essere convalidate dal produttore o da una terza parte autorizzata dallo stesso per l’utilizzo. [14]
15. Come recentemente avvenuto nell’istruttoria aperta dall’AGCM nel caso Google display advertising, Case A542 dell’ottobre 2020. [15]