Installazione a bordo del parco veicoli di un dispositivo satellitare multifunzione annoverabile tra i c.d. 'event data recorder'. Verifica preliminare richiesta da Europcar Italia S.p.A.

Installazione a bordo del parcoveicoli di un dispositivo satellitare multifunzione annoverabile tra ic.d. 'event data recorder'. Verifica preliminare richiesta da Europcar ItaliaS.p.A.

PROVVEDIMENTO DEL 7 NOVEMBRE 2013

Registro dei provvedimenti  n. 499 del 7 novembre 2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti, e del dott. GiuseppeBusia, segretario generale;

VISTOil d.lgs. 30 giugno 2003, n. 196, recante il Codice in materia di protezionedei dati personali (di seguito "Codice");

VISTAla richiesta di verifica preliminare presentata da Europcar Italia S.p.A. aisensi dell'art. 17 del Codice;

ESAMINATAla documentazione in atti;

VISTEle osservazioni formulate dal segretario generale ai sensi dell'art. 15 delregolamento del Garante n. 1/2000;

RELATOREil dott. Antonello Soro;

PREMESSO

1. Larichiesta formulata dalla società.

1.1.Europcar Italia S.p.A. –società operante nel settore del noleggio a brevee medio termine di auto e veicoli commerciali leggeri– ha manifestatol'intenzione, in vista dell'implementazione delle proprie strategiecommerciali, di voler procedere all'installazione, a bordo del proprio parcoveicoli (pari a circa 30000 unità), di un dispositivo satellitare multifunzione(denominato "Clear Box") annoverabile tra i c.d. "event datarecorder" (cfr. nota del 28 maggio 2012, successivamente regolarizzata concomunicazione del 30 novembre 2012). Tale dispositivo, unitamente ai relativiconnessi servizi (meglio descritti al successivo punto 1.2), verrebbero fornitida Octo Telematics Italia s.r.l. al fine, tra l'altro, di "accrescere lasicurezza sia dei beni dell'azienda (proprietà delle autovetture) sia dellaclientela e dei drivers", oltre che per "ottimizzare la gestionedella flotta" (v. anche, più diffusamente, il successivo punto 1.3).Tenuto conto che l'utilizzo dello strumento, in ragione delle sue molteplicifunzionalità, comporterebbe una pluralità di trattamenti di dati personalipotenzialmente forieri di rischi specifici per gli interessati, la società haritenuto di dover formulare all'Autorità una specifica richiesta di verificapreliminare ai sensi dell'art. 17 del Codice.

1.2.Secondo quanto prospettato (invero in termini non sempre univoci e, talora,contraddittori) con le note del 28 maggio 2012, cit., del 30 novembre 2012,cit. e del 22 aprile 2013, il dispositivo prescelto –dotato ditecnologia GPS e GSM/GPRS, di un accelerometro triassale e di una memoriainterna– sarebbe in grado di rilevare numerose informazioni concernentiil veicolo (e, indirettamente, il conducente) e di trasmetterle a un centroservizi (gestito dalla stessa Octo Telematics Italia s.r.l., di seguito"fornitore") per la relativa elaborazione. Tali informazioni,trasmesse a mezzo di protocolli di comunicazione ritenuti sicuri, verrebberoutilizzate per garantire i seguenti servizi:

a) crashmanagement;

b) furtodel veicolo;

c)assistenza stradale;

d)raccolta ed elaborazione dati (profiling);

e) fleetmanagement basic;

f)monitoraggio chilometri;

g)diagnostica.

a) crashmanagement.

Ilservizio risulta preordinato a supportare l'attività di gestione e liquidazionedi eventuali sinistri (consentendo la ricostruzione della relativa dinamica),riducendo il rischio di potenziali frodi e ottimizzando, in pari tempo,l'intero processo di claim management. Il dispositivo, infatti, è in grado dirilevare le informazioni relative all'ubicazione del veicolo e alle sueaccelerazioni (longitudinali, trasversali e verticali) e di trasmetterle alfornitore, in forma parzialmente grezza, nel caso in cui le stesse superinovalori predeterminati (tali da far ipotizzare il verificarsi di un sinistro).Più precisamente, per ogni "evento di crash", il sistema rileva"latitudine, longitudine, velocità e direzione di guida" del mezzo,"cristallizzando" le informazioni relative alle "accelerazionifrontali e laterali" nei 4 secondi immediatamente precedenti e nei duesecondi immediatamente successivi l'evento; tali informazioni,"convalidate" nei 15 secondi successivi al "sinistro" unitamentea quelle relative alla velocità e direzione di guida del mezzo, vengonotrasmesse al centro servizi per la relativa elaborazione e successivamentetradotte in appositi "report" e "dossier" resi disponibilialla società. Questi ultimi, contenenti "la validazione dell'evento, lavalidazione della dinamica e la valutazione approssimativa del danno",permetterebbero di disporre di elementi utili soprattutto a "ridurre lefrodi legati ai sinistri" –e, per l'effetto, i costi legati alrelativo contenzioso–, consentendo altresì, anche in prospettivaassicurativa, di agevolare e snellire le procedure di liquidazione dei danni.

Lepredette informazioni, temporaneamente registrate sul dispositivo attraverso unbuffer di memoria circolare, non verrebbero invece trasmesse –venendo, alcontrario, immediatamente sovrascritte– nel caso in cui non desseroorigine ad allarmi "crash" (perché non riconosciute dal sistema comesuperiori alla soglia predefinita e –quindi– come sintomatiche dipotenziali sinistri).

Secondoquanto riferito, le informazioni rilevate dal dispositivo in caso di incidentesarebbero solo quelle "necessarie [ä] per l'analisi del sinistro"; atal fine, la società ha prodotto documentazione relativa a un "tipico casodi urto con tamponamento a catena in fase di frenata", che riporta leseguenti informazioni: "ID incidente"; "Data"; "Tipocrash"; "Stato crash"; "Luogo di accadimento";"Stato del quadro" del veicolo; "Ultima velocità rilevata";"Accelerazione massima rilevata"; "Info" gps. La successivadocumentazione inviata all'Autorità (cfr. allegato alla nota del 22aprile 2013, cit.) ha evidenziato, peraltro, la presenza di un ulteriore campo(invero non compilato) relativo all'"intestatario contratto"; inproposito, la società ha precisato, da un punto di vista generale, che"Octo Telematics –per ciascun servizio e nel complesso– nonvisualizza i dati identificativi della singola persona fisica/driver delveicolo e cliente di Europcar", non essendo prevista, a tal fine, alcunaveicolazione di detti dati al fornitore.

Infine,le informazioni relative ai sinistri (invero comprensive anche dei "datidel cliente": cfr. nota del 28 maggio 2012) confluirebbero in un"archivio storico" reso accessibile alla società anche oltre la datadi scadenza del contratto; ciò, al fine di permettere la gestione di eventualisinistri, sia pure nel rispetto dei termini prescrizionali legislativamenteprevisti, anche a distanza di tempo dalla loro verificazione.

b) furtodel veicolo.

Taleservizio, in caso di furto del veicolo, consente di attivare un'appositaprocedura basata sulla localizzazione satellitare del mezzo in vista del suosuccessivo recupero da parte delle forze dell'ordine, preallertate a tal finedalla "Sala Operativa di Sicurezza" (S.O.S.) del fornitore. Taleprocedura, avviata in automatico dal sistema o attivata dal "clienteEuropcar" tramite contatto telefonico con la S.O.S., permette di ricercaree individuare il veicolo attraverso un applicativo informatico "con basecartografica europea"; successivamente alla localizzazione del mezzo, laS.O.S. provvede a richiedere l'intervento delle preposte autorità per ilconcreto recupero dello stesso e per la sua restituzione alla società (connotifica al cliente dell'esito dell'operazione). Ove risultasse necessario ilcoinvolgimento di una S.O.S. di altro paese (perché il veicolo ha varcato iconfini nazionali), sarà quest'ultima, previa ricezione delle sole informazionitecniche riferite alla vettura (targa; marca; modello; colore; dati di localizzazione),a provvedere al recupero del mezzo e ad avvisare la S.O.S. "del paese diorigine" dell'intervento effettuato. In tale evenienza, diversamente daquanto originariamente dichiarato (cfr. nota del 28 maggio 2012, cit.), nonsarebbe previsto, a vantaggio delle "sale operative estere", alcunaccesso diretto ai sistemi informativi per la visualizzazione dei dati deiclienti della società o dei percorsi eseguiti dai veicoli (in tal senso, v.nota del 22 aprile 2013, cit.). In ogni caso, l'eventuale flusso di datipersonali sarebbe diretto verso paesi prevalentemente appartenenti all'Unioneeuropea (cfr. nota del 30 novembre 2012, cit., e relativo all. 1).

Inoltre,i contatti con la S.O.S. per la denuncia del furto e il recupero del veicolosarebbero attivati, anziché dall'interessato (come inizialmente sostenuto),"esclusivamente da personale Europcar".

Ogniintervento effettuato (dal contatto con il denunciante al recupero del veicolo)verrebbe registrato in uno specifico dossier reso fruibile alla società per leconnesse attività di natura amministrativa o assicurativa e a fini digiustizia. A titolo esemplificativo, la società ha prodotto due distintidossier "incidente" che riportano, in un caso, oltre alleinformazioni relative al veicolo e alla tipologia di contratto, i datipersonali relativi al cliente/denunciante (segnatamente: nominativo"cliente"; nominativo e recapito telefonico del "contatto")e, nell'altro, alcuni campi (non compilati) relativi a: "nominativo","telefono" e "indirizzo" del denunciante;"utilizzatore" del veicolo e "intestatario contratto".

c)assistenza stradale.

Taleservizio, accessorio a quello descritto sub lett. a), consente, in caso di"allarme crash", di inviare automaticamente e in tempo reale aisoggetti preposti e al conducente –ove concordato con la società in sededi stipula del contratto di autonoleggio– un messaggio per l'eventualeassistenza medica o meccanica. In tale evenienza, il preposto Centro Operativoper l'Assistenza di Octo Telematics (C.O.A.), ovvero le sale operativeprescelte dalla società (cfr. all. 1 alla nota del 30 novembre 2012), fruirannoin tempo reale del "dossier incidente" onde poter organizzare untempestivo intervento di assistenza stradale a vantaggio degli interessati,secondo standard operativi in parte analoghi a quelli già descritti sub lett.b) del presente provvedimento (con particolare riferimento al flusso dieventuali dati concernente i sinistri occorsi in territorio extranazionale).

L'assistenza,tuttavia, potrà essere richiesta dall'utente anche a prescindere dalverificarsi di un sinistro, attraverso le previste modalità telefoniche.

d)raccolta ed elaborazione dati (profiling).

Ilservizio risulta approntato per rendere fruibile, in forma statistica eaggregata, i dati rilevati dal dispositivo installato a bordo dei veicoli.Attraverso un'area web specificamente progettata e implementata sul portale delfornitore, infatti, è possibile accedere, sulla base dei servizi sopradescritti, alle informazioni elaborate dal sistema secondo criteri diaggregazione riferiti a gruppi di veicoli o alla flotta complessivamenteconsiderata. Il servizio, sulla base della documentazione trasmessa,risponderebbe all'esigenza di rendere disponibile un patrimonio informativo dinatura strettamente statistica, attraverso modalità operative dichiaratamenteidonee ad evitare operazioni di trattamento su dati personali riconducibili apersone fisiche identificate o identificabili (v. il successivo punto 1.3).

e) fleetmanagement basic.

Ilservizio consentirebbe la consultazione dello "storico" dei datiregistrati per uno o più veicoli, evidenziando puntualmente:

–i percorsi effettuati, con dettaglio degli indirizzi e delle velocità;

–l'analisi dei dati relativi ad eventuali incidenti con altri veicoli;

–i tempi di marcia e di fermata;

–i km percorsi e il tempo impiegato.

Anchein tal caso, il servizio sarebbe approntato e configurato in modalità tale danon comportare trattamenti di dati personali relativi a persone fisicheidentificate o identificabili (v. il successivo punto 1.3).

f)monitoraggio chilometri.

Taleservizio permette di monitorare il chilometraggio del veicolo d'interesse alfine di poter programmare, se del caso, un'adeguata attività manutentiva dellostesso. Le informazioni, rese disponibili all'interno dell'apposita area webpersonalizzata del portale del fornitore, risulterebbero visualizzabili secondocriteri di ricerca predefiniti (targa e/o marca del veicolo; data diattivazione del servizio; ecc.).

g)diagnostica.

Ilservizio consente di controllare costantemente le caratteristiche e la qualitàdei dati raccolti dai dispositivi mobili rispetto a valori predeterminati. Ogniqualvolta dovesse essere rilevato un comportamento che si discosta dalla sogliaprestabilita in relazione al comportamento medio previsto in capo al singolodispositivo (irregolarità nel ricevitore gps; anomalie nei "sensori dicrash"; ecc.), il sistema genera un messaggio di avviso che vieneanalizzato in vista delle successive azioni da intraprendere per il ripristinodella sua corretta funzionalità. Il servizio, sulla base delledichiarazioni rese (cfr. nota del 22 aprile 2013), riguarderebbe solo edesclusivamente il funzionamento del dispositivo, "senza alcun trattamentodi dati del driver".

1.3.I servizi relativi alle funzionalità "furto del veicolo", "crashmanagement" e "assistenza stradale" consentirebbero, ancorchéindirettamente –attraverso l'associazione delle informazioni rilevate daldispositivo con quelle disponibili presso la società–, di trattare datipersonali relativi a soggetti identificati o identificabili (anzitutto iconducenti, di norma riconducibili ai locatari del mezzo). Riguardo aglialtri servizi, invece, il fornitore risulterebbe contrattualmente"vincolato [ä] a trattare [ä] dati anonimi, anonimizzati o in aggregatosenza la possibilità neanche indiretta di risalire alla singola persona fisicainteressata (cioè il conducente) identificata o identificabile". Inparticolare, per quanto concerne il servizio sub lett. d), la società haprecisato (cfr. nota del 30 novembre 2012, cit.) che le operazioni avranno adoggetto informazioni relative alla flotta complessivamente considerata o agruppi di veicoli identificati unicamente per categoria o marca (con esclusionedell'indicazione della targa), mentre, con riferimento al servizio di cui allalett. e), è stato chiarito che le informazioni rilevate (percorsi;velocità; chilometri; tempi di marcia e di fermata; ecc.) verranno acquisiteutilizzando criteri di aggregazione (ad es., percorrenze/indirizzi plurimi persingolo veicolo) e cadenze temporali (ad es., intervalli di tempo non inferioria 30 giorni) ritenuti idonei ad escludere "la riconoscibilità oricostruzione di singoli eventi" (parametri analoghi o similari, sullabase della documentazione acquisita, verrebbero utilizzati anche in relazioneai servizi "Raccolta ed elaborazione dati (profiling)" e"monitoraggio chilometri"). L'esclusione di operazioni di trattamentodi dati personali nell'ambito dei predetti servizi, a fronte di una specificarichiesta formulata dall'Ufficio, è stata confermata dalla società anche con lanota del 22 aprile 2013, cit. Per quanto concerne, infine, il servizio didiagnostica, la società ha dapprima prospettato la possibilità di contattarel'interessato in vista dei controlli tecnici da effettuarsi sul dispositivo afronte di eventuali anomalie rilevate (cfr. nota del 28 maggio 2012, cit.),salvo poi rettificare che il servizio non prevede il trattamento di datipersonali relativi al conducente (cfr. nota del 22 aprile 2013).  L'accessoai dati rilevati dalla "Clear Box" avverrebbe attraverso due distintemodalità: "machine-to-machine" (trasmissione, con cadenze temporalipredefinite in funzione della tipologia di dati da trasferire dal database delfornitore al database della società); "interfaccia web via internet"(visualizzazione attraverso un portale ad accesso riservato).

Leinformazioni e i dati personali complessivamente acquisiti nell'ambito deiservizi sopra richiamati verrebbero utilizzati dalla società per finalitàconnesse, in particolare, a:

–la tutela del patrimonio aziendale (in buona parte costituito dal parcoveicoli);

–la sicurezza dei conducenti (anche nell'ottica di fornire, attraversointerventi tempestivi e adeguati, un servizio qualitativamente elevato) e, inprospettiva, dei lavoratori;

–la riduzione dei costi, legati anche alle frodi e al furto dei veicoli;

–il miglioramento delle proprie strategie commerciali.

Ireport generati in occasione di eventuali furti o incidenti "non sarannoutilizzati per alcuna forma di profilazione della clientela o per possibilisuccessivi rifiuti alla stipula di nuovi contratti di noleggio" (cfr. notadel 30 novembre 2012), né verranno utilizzati per la creazione di eventualibanche di dati, peraltro –attualmente– nemmeno previste.

Titolaredel trattamento sarebbe la sola Europcar Italia S.p.A., che opererà sui datielaborati e resi disponibili dal fornitore nella formale veste di responsabiledel trattamento. Gli specifici trattamenti relativi ai servizi sopraevidenziati saranno effettuati, in conformità ai rispettivi profili diautorizzazione, da incaricati ritualmente designati ai sensi dell'art. 30 delCodice e adeguatamente istruiti in merito alle operazioni di trattamento.

Lasocietà ha manifestato l'intenzione di voler integrare la prevista informativa(sia quella già presente sulla modulistica cartacea che quella disponibile sulproprio sito web), fornendo compiuti ragguagli –tenuto anche conto dellediverse finalità perseguite– in merito alla natura dei dati trattati,alle caratteristiche del progetto, dei connessi servizi e dei sistemiimpiegati, nonché all'ambito di comunicazione dei dati medesimi.

Rispettoai tempi di conservazione, la società, ribadito che il sistema (per comecontrattualmente concepito e disciplinato) rileverebbe dati personaliriconducibili a soggetti identificabili "nei soli casi di furto o sinistroche interessino il veicolo" (nonché nel caso di assistenza connessa alsinistro), ha precisato che gli stessi saranno conservati per il periodonecessario "ai fini degli accertamenti di legge e assicurativi",anche in vista dell'eventuale tutela di un diritto in sede giudiziaria.

Ancora,per quanto riguarda le misure di sicurezza adottate, la società ha dichiaratodi aver "messo in esercizio", per il tramite del fornitore, "lemisure minime e idonee in ottemperanza all'allegato B al Codice". Inparticolare, tenuto anche conto del grado di "sensibilità" delleinformazioni trattate, sarebbero state adottate misure adeguate relativamentea:

–la protezione delle aree e dei locali ove si svolge il trattamento;

– i criteri e le procedure per assicurare l'integrità e la correttezza dei dati,nonché la sicurezza delle trasmissioni;

– i piani di formazione degli incaricati e quelli di backup e di disasterrecovery. Infine, la società ha dichiarato che provvederà a modificare lanotifica già effettuata, conformemente a quanto previsto dagli artt. 37 e ss.del Codice, provvedendo altresì all'acquisizione del consenso degli interessatianche ai sensi del relativo art. 126 del Codice.

1.4.La "Clear Box", secondo quanto dichiarato, verrebbe inizialmenteinstallata a bordo delle vetture destinate al noleggio, con successivapossibile "estensione", previo esperimento delle procedure di cuiall'art. 4 della legge n. 300/1970, anche a quelle concesse in dotazione ailavoratori. In tale evenienza, peraltro, i servizi attivati riguarderebberounicamente le funzionalità "furto del veicolo" e "crashmanagement", con esclusione di tutti gli altri (ritenuti, quanto altrattamento che ne deriverebbe, eccedenti e non proporzionati).

2. Event data recorder e disciplina di protezionedei dati personali.

Idispositivi annoverabili tra i c.d. "event data recorder", cuiappartiene anche la "Clear Box" che la società intende utilizzare amolteplici fini, trovano espresso riconoscimento, oltre che sul piano nazionale(cfr. art. 49, l. n. 120/2010; art. 32, commi 1-bis e 1-ter, d.l. n. 1/2012,convertito con modifiche con l. n. 27/2012), anche a livello comunitario (cfr.Risoluzione del Parlamento europeo del 27 settembre 2011 sulla sicurezzastradale in Europa 2011-2020; Comunicazione della Commissione al Parlamentoeuropeo, al Consiglio, al Comitato economico e sociale europeo e al Comitatodelle regioni "Verso uno spazio europeo della sicurezza stradale:orientamenti 2011-2020 per la sicurezza stradale" del 20 luglio 2010;International Working Group on Data Protection in Telecommunications, Working Paper,Event Data Recorder (EDR) on Vehicles Privacy and data protection issues forgovernments and manufacturers del 4 aprile 2011, doc. web n. 1895966).

Ciòpremesso, l'impiego del dispositivo in esame, per le molteplici funzionalità dicui risulta dotato, comporta una pluralità di trattamenti di dati personalisuscettibili di distinta valutazione nell'ambito dei singoli serviziconsiderati (v. infra). Al riguardo, peraltro, appare imprescindibile ribadireche la disciplina di protezione dei dati personali può trovare applicazione neisoli confronti delle operazioni di trattamento relative a "datipersonali" (nell'accezione accolta dall'art. 4, comma 1, lett. b) delCodice), con esclusione, pertanto, delle informazioni non riconducibili(nemmeno indirettamente) a persone identificate o identificabili.Conseguentemente, con l'eccezione dei servizi di cui alle precedenti lett. d),e), f) e g) –rispetto ai quali la società ha dichiarato, assumendosi ogniresponsabilità al riguardo (anche ai sensi dell'art. 168 del Codice), di nontrattare dati personali, avendo contrattualmente vincolato Octo Telematicss.r.l ad adottare accorgimenti atti ad escludere, anche indirettamente,l'identificabilità degli interessati– i princìpi del Codice troverannoapplicazione con riferimento alle sole operazioni di trattamento (oggetto delpresente provvedimento) derivanti dall'attivazione delle funzionalità"furto del veicolo", "crash management" e "assistenzastradale"; tanto, muovendo dall'ulteriore assunto –nascente dallalegge e reiteratamente riconosciuto anche dall'Autorità (cfr. Provv. 29novembre 2012; Provv. 1∞ agosto 2012; Provv. 4 ottobre 2011; Provv. 7 luglio 2011; Provv. 5 giugno 2008; v. altresì il Parere n. 5/2005 sull'uso di datirelativi all'ubicazione al fine di fornire servizi a valore aggiunto, WP 115, eil Parere n. 4/2007 sul concetto di dati personali, WP 136, del Gruppo dilavoro ex art. 29, direttiva n. 95/46/Ce)–, che le informazioniacquisite, benché in prima battuta inerenti al veicolo, sono comunquericonducibili, in virtù dell'associazione (anche a posteriori) con altreinformazioni nella disponibilità della società, a soggetti identificati oidentificabili.

3. Rapporto tra la società e il fornitore.

Fermorestando quanto evidenziato al successivo punto 5, merita in questa sederilevare che l'esternalizzazione delle attività finalizzate all'esecuzione deiservizi richiesti, formalizzata attraverso un apposito contratto di appalto,asseconda legittime esigenze organizzative proprie della società istante, chesi avvale a tal fine del fornitore chiamato appropriatamente a rivestire, sullabase dell'assetto contrattuale prescelto, il ruolo di responsabile deltrattamento (art. 29 del Codice) (in tal senso v. già Parere 19 dicembre 1998e Parere 8 giugno 1999; v. anche Provv. 7 luglio 2011 e Provv. 5 giugno 2008,cit.). Quest'ultimo, infatti, salva l'autonomia necessaria dal punto di vistatecnico-organizzativo per la fornitura dei servizi richiesti, non gode, inconcreto (cfr. contratto di appalto per la fornitura di servizi del 25 maggio2012), di un autonomo potere decisionale in merito alle finalità e alle modalitàdel trattamento –tale, cioè, da poter essere considerato, con ragionevolecertezza, quale autonomo titolare o contitolare dei medesimi trattamenti–,potere viceversa riscontrabile solo in capo alla società, correttamentequalificatasi, a tal proposito, quale unico titolare alla stregua degli artt.4, comma 1, lett. f), e 28 del Codice (v. anche, più in generale, il Parere 1/2010sui concetti di responsabile e incaricato del trattamento, adottato dal Gruppodi lavoro ex art. 29, WP 169).

Ilfornitore, pertanto, dovrà operare in stretta aderenza alle direttive stabilitedalla società anche in merito ai profili di protezione dei dati personali,attenendosi rigorosamente alle istruzioni da questa impartite, che devono tenerconto, a loro volta, delle indicazioni fornite con il presente provvedimento.

4. Servizi della "Clear Box" e protezionedei dati personali.

4.1.Crash management.

Intermini generali, la finalità che la società intende perseguire attraverso ilservizio di "crash management" risulta lecita. Il dispositivo inesame, infatti, consente di rilevare –e, limitatamente ad eventi ritenutisignificativi, memorizzare– informazioni utili all'accertamento delladinamica di eventuali sinistri e delle condotte connesse alla circolazione deiveicoli locati, permettendo alla società di ricostruire l'andamento del"crash" (soprattutto dal punto di vista cinematico) in vista del successivoutilizzo, per finalità di tutela dei diritti, dei dati rilevati come possibilielementi di prova (nello stesso senso, Provv. 29 novembre 2012, cit.). E ciò,invero, non solo in vista dell'accertamento di eventuali condotte fraudolente,ma anche –e più in generale– per la corretta attribuzione delleresponsabilità in occasione dei sinistri, anche ai fini dell'applicazione dellepertinenti disposizioni contrattuali (che prevedono, al riguardo, ipotesi diesonero, limitazione delle responsabilità e manleva del locatore: cfr.condizioni generali di contratto). Appare dunque ragionevole ritenere che iltrattamento in esame, ove effettuato per finalità di tutela dei diritti o inesecuzione di specifici obblighi contrattuali –profili rispetto ai quali,in base alle previsioni di legge, il consenso degli interessati non risultanemmeno necessario (art. 24, comma 1, lett. b) e f), del Codice)–, possaessere considerato conforme alla disciplina vigente, avuto particolare riguardoai princìpi di liceità e finalità (art. 11, comma 1, lett. a) e b), delCodice).

Sottoaltro profilo, il medesimo trattamento, ove effettuato in aderenza alle modalitàindicate, non appare in contrasto con i princìpi di necessità e proporzionalitàstabiliti dagli artt. 3 e 11, comma 1, lett. d), del Codice, atteso che i datirelativi al "crash" che la società intende trattare –peraltroassociabili solo a posteriori a soggetti identificati– non risultanoessere, sulla base della documentazione in atti, sovrabbondanti o ultroneirispetto alla corretta ricostruzione delle dinamiche dei sinistri. Tali dati,fatta salva la tutela di eventuali diritti in sede giudiziaria, potranno essereconservati, nell'ambito della finalità connessa alla fruizione del servizio,per il tempo strettamente necessario alla ricostruzione del sinistro eall'accertamento delle relative responsabilità (art. 11, comma 1, lett. e), delCodice), tenendo a tal fine presente anche quanto previsto dall'art. 2947 cod.civ. (nello stesso senso, Provv. 29 novembre 2012, cit.) e da altre specifichenormative eventualmente applicabili.

4.2.Furto del veicolo.

Considerazioniin parte analoghe possono essere effettuate in relazione al distintotrattamento che la società intende svolgere attraverso il servizio "furtodel veicolo". Secondo quanto prospettato, infatti, tale servizio risultapreordinato ad assecondare legittime esigenze di tutela del patrimonioaziendale (costituito, in parte, dal parco veicoli della società adibiti inlocazione) avverso atti illeciti, fornendo in pari tempo informazioni utilianche a fini assicurativi e per la tutela di eventuali diritti. Nei limiti ditali finalità, la società potrà trattare i dati personali relativi alnecessario funzionamento del servizio, che dovranno essere pertinenti e noneccedenti rispetto agli scopi dichiarati (in tal senso, peraltro, ladocumentazione allegata non ha evidenziato significativi profili problematici,tenuto conto che i dati trattati atterrebbero alle sole informazioni necessariealla localizzazione e al recupero del veicolo e alla gestione dei contatti conil "denunciante" e/o con l'"intestatario" del contratto diautonoleggio).

Inoltre,considerato che il trattamento che la società intende svolgere verrebbeeffettuato per finalità di tutela di diritti e/o in adempimento di specifichedisposizioni contrattuali (che prevedono, anche in tal caso, specifichelimitazioni di responsabilità), il consenso può ritenersi non necessario aisensi del già citato art. 24, comma 1, lett. b) e f), del Codice.

Anchein relazione all'eventuale trasferimento all'estero dei dati personali degliinteressati non è dato ravvisare, allo stato degli atti, particolari criticità,posto che –sulla base delle dichiarazioni rese e della documentazioneprodotta (cfr. nota del 30 novembre 2013, cit., e relativo all. 1, nonché notadel 22 aprile 2013, cit.)–, detto trasferimento avverrebbe,prevalentemente, all'interno di paesi appartenenti all'Unione europea (art. 42del Codice). Nel caso in cui il trasferimento sia diretto verso paesi nonappartenenti all'Unione, la società dovrà acquisire il consenso espresso degliinteressati, ovvero operare sulla base degli altri presupposti di liceitàlegislativamente previsti (artt. 43 e 44 del Codice).

Lasocietà potrà conservare i dati personali acquisiti nell'ambito del servizio inesame per il solo periodo di tempo strettamente necessario all'individuazione eal recupero del veicolo; l'eventuale ulteriore conservazione dei dati medesimipotrà ritenersi consentita solo in presenza di specifiche disposizioninormative o per la tutela di un diritto in sede giudiziaria.

4.3.Assistenza stradale.

Parimentilecita è la finalità di assistenza stradale che la società intende perseguireattraverso l'omonimo servizio. Non vi è dubbio, infatti, che il servizio in esamepossa contribuire ad assicurare, in caso di sinistro, notevoli benefici agliinteressati (soprattutto in termini di maggiore efficacia e celerità nelleoperazioni di assistenza), consentendo in pari tempo alla società di offrirealla clientela servizi maggiormente appetibili e qualitativamente più elevati(cfr. anche, a livello sovranazionale, le molteplici iniziative succedutesi nelcampo dell'eSafety, con particolare riguardo all'eCall: Memorandum ofunderstanding for realisation of interoperable in-vehicle eCall del 28 maggio2004; "Relazione sulla sicurezza stradale: mettere eCall a disposizionedei cittadini" del Parlamento europeo del 27 marzo 2006; "Documentodi lavoro sulle implicazioni in materia di protezione dei dati e rispetto dellevita privata dell'iniziativa eCall", adottato il 26 settembre 2006 dalGruppo di lavoro "articolo 29", WP 125; v., altresì, la direttiva2010/40/Ue del Parlamento e del Consiglio del 7 luglio 2010 sul quadro generaleper la diffusione dei sistemi di trasporto intelligenti nel settore deltrasporto stradale e nelle interfacce con altri modi di trasporto); ciò, acondizione che il correlato trattamento resti comunque soggetto alla doverosa escrupolosa osservanza della disciplina legale in materia di protezione dei datipersonali.

Intale quadro, appare conforme a legge (oltre che coerente con il menzionatodocumento del Gruppo art. 29) la scelta operata dalla società di rimettere allalibera autodeterminazione dell'interessato ("laddove concordato conEuropcar in sede di stipula del contratto di noleggio") la possibilità ditrattare i suoi dati personali per finalità di tutela della propria incolumitàfisica. Nei limiti di tale finalità, e solo in caso di sinistro, la societàpotrà mettere a disposizione degli organismi preposti il "dossierincidente" (contenente unicamente le informazioni relative all'evento di"crash" e necessarie per gestire l'intervento di assistenza), acondizione che l'interessato abbia effettivamente prestato il proprio liberoconsenso (art. 23 del Codice) e sia stato previamente informato in ordine allecaratteristiche del trattamento svolto (art. 13 del Codice). Resta ovviamentesalva, ricorrendone i presupposti, l'applicabilità dell'art. 24, comma 1, lett.e) del Codice.

5. Ulteriori adempimenti.

Nelprendere atto dei trattamenti che la società intende svolgere a mezzo deldispositivo in esame, si richiamano di seguito le misure e gli accorgimenti cheil Garante ritiene di dover prescrivere a Europcar Italia S.p.A. ai sensi degliartt. 17 e 154 del Codice.

Invia preliminare, e sul piano generale, merita anzitutto evidenziare che, sullabase dell'equivoca e contraddittoria documentazione in atti, non risulta chiarose, e in che termini, Octo Telematics Italia s.r.l. abbia o meno accesso,nell'esecuzione dei distinti servizi che comportano operazioni di trattamento,ai dati personali dei conducenti o dei locatari dei veicoli. Al riguardo, nonpuò sottacersi che la qualifica di responsabile viene riconosciuta dalla leggesolo in capo al soggetto preposto dal titolare al trattamento di "datipersonali" (artt. 4, comma 1, lett. b) e g), e 29 del Codice):pertanto, anche in ragione dei connessi riflessi che tale designazioneriverbera sotto il profilo della corretta applicazione della disciplina inesame (si pensi, a titolo esemplificativo, all'idonea informativa che deveessere resa agli interessati, nonché alle modalità di esercizio dei, e diriscontro ai, diritti di cui all'art. 7 del Codice: artt. 8, comma 1, 9, comma1, 10, comma 2 e 13, comma 1, lett. d) e f), dello stesso Codice), si ritieneopportuno prescrivere alla società, in assenza di elementi certi, di provvederea una rinnovata ricognizione delle informazioni acquisite, elaborate e reseaccessibili dal fornitore, confermando la sua designazione a responsabile nelsolo caso in cui quest'ultimo tratti, effettivamente, dati personali(nell'accezione sopra richiamata).

Ciòpremesso, e al fine di dare piena attuazione al principio di correttezza (art.11, comma 1, lett. a), del Codice), si ritiene che un'adeguata informativapreventiva debba essere resa dalla società anche nei confronti della generalitàdei soggetti (diversi dal contraente) che – sia pure indirettamente e invia remota – potrebbe essere interessata dai trattamenti in esame(conducenti diversi dall'intestatario del contratto di autonoleggio; terzitrasportati; ecc.). A tal fine, il Garante ritiene che la società possautilizzare a bordo dei propri veicoli anche un modello semplificato diinformativa, che illustri sinteticamente – anche a mezzo pittogramma oimmagini stilizzate, di esplicita e immediata comprensione – lecomplessive caratteristiche dei trattamenti svolti attraverso il dispositivo inesame (art. 13, comma 3, del Codice). In ogni caso, tale informativa dovràessere opportunamente integrata attraverso la pubblicazione sul sito web dellasocietà di una dettagliata descrizione dei dispositivi utilizzati e deitrattamenti svolti, con modalità tali da risultare di chiara e immediatacomprensione per l'intera collettività dei potenziali interessati.

Sottoaltro profilo, si ritiene che debbano essere integrate le misure di sicurezzaindividuate dalla società a protezione dei dati personali oggetto ditrattamento. In aggiunta alle misure già indicate (cfr. punto 1.3) e a quelleminime obbligatoriamente previste dagli artt. 33 e ss. del Codice, la società,anche in ragione di quanto previsto dall'art. 11, comma 1, lett. c), dellostesso Codice, dovrà garantire la "genuinità" dei dati acquisiti etrasmessi dai dispositivi elettronici (che, in tale ottica, dovranno offrire,anche sulla base di eventuali certificazioni od omologazioni, rigorose garanziedi affidabilità in termini di autenticità, accuratezza e integrità delleinformazioni rilevate) e a prevenirne eventuali manomissioni (art. 31 delCodice). Inoltre, dovrà essere garantito l'accesso ai dati ai soli incaricatieffettivamente legittimati sulla base dei compiti loro assegnati; in taleprospettiva, andrà tracciato ogni accesso ai dati personali degli interessati,adottando al riguardo gli opportuni accorgimenti tecnico-organizzativi (perun'applicazione dei medesimi principi, sia pure in un contesto diverso, v.Provv. 12 maggio 2011). Infine, dovrà essere assicurata all'interessato chene faccia richiesta ai sensi dell'art. 7 del Codice la possibilità di accedereai propri dati personali firmati digitalmente.

Daultimo, con riferimento ai tempi di conservazione, la società, scaduti itermini previsti in rapporto agli scopi perseguiti nell'ambito dei distintiservizi, dovrà provvedere alla distruzione dei dati personali (anche attraversoil ricorso a meccanismi di cancellazione automatica e integrale delleinformazioni) o alla loro trasformazione in dati anonimi. Resta salva,ovviamente, la possibilità di una loro ulteriore conservazione a fini digiustizia o in adempimento a specifiche disposizioni normative.

* * *

Pertutte le finalità indicate nel presente provvedimento, il trattamento dovràavvenire con modalità sempre rispettose, in concreto, dei diritti e dellelibertà fondamentali, nonché della dignità degli interessati (art. 2, comma 1,del Codice) e dovrà essere svolto, in ogni caso, in conformità all'art. 11,comma 1, lett. a) del medesimo Codice, nel rispetto di altre discipline dilegge eventualmente applicabili.

Restainteso, come dichiarato, che i dati personali rilevati dalla "ClearBox" e relativi a eventuali furti o incidenti non potranno essere trattatidalla società per "profilare" gli interessati (ad esempio per lamemorizzazione delle abitudini e dello stile di guida), ovvero per negare lastipula di nuovi contratti di noleggio, né potranno essere utilizzati inoperazioni di trattamento incompatibili con le finalità originarie dellaraccolta (art. 11, comma 1, lett. b), del Codice). Parimenti, resta inteso chele informazioni desunte in relazione ai servizi di cui alle lett. d), e), f) eg) del presente provvedimento potranno essere liberamente rilevate e utilizzatesolo nella misura in cui le stesse informazioni non siano effettivamentericonducibili, neanche indirettamente, a persone identificate o identificabili.

Lasocietà, ove intenda "estendere" al proprio personale dipendente iltrattamento dei dati relativi alla localizzazione, non dovrà presentare unaspecifica richiesta di verifica preliminare laddove ricorrano, in concreto, ipresupposti indicati nel Provv. 4 ottobre 2011, cit.

Infine,la società dovrà tenere in debita considerazione ogni altra indicazione e/oprescrizione che dovesse risultare eventualmente applicabile a seguitodell'adozione del regolamento attuativo di cui all'art. 32, commi 1-bis e1-ter, del d.l. n. 1/2012, convertito con modifiche con l. n. 27/2012, comepure di ogni altro intervento che dovesse rendersi necessario in relazione aspecifiche disposizioni normative.

TUTTO CIO' PREMESSO, IL GARANTE,

aconclusione della verifica preliminare richiesta da Europcar Italia S.p.A.relativamente all'utilizzo di un dispositivo multifunzione annoverabile tra ic.d. "event data recorder", prende atto dei trattamenti oggettodell'istanza presentata –da effettuarsi in stretta aderenza ai termini dicui in narrativa e nel rigoroso rispetto di quanto dichiarato ai sensidell'art. 168 del Codice–, fermo restando, ai sensi degli artt. 17 e 154del Codice, che la società dovrà:

1.provvedere a una rinnovata ricognizione delle informazioni acquisite, elaboratee rese accessibili dal fornitore, confermando la sua designazione aresponsabile nel solo caso in cui quest'ultimo tratti, effettivamente, datipersonali;

2.fornire alla generalità dei soggetti (diversi dal contraente) che possa essereinteressata dai trattamenti in esame l'informativa (anche semplificata) di cuiin motivazione (punto 5), pubblicando altresì sul proprio sito web, entro ladata di messa in esercizio del sistema, informazioni dettagliate e facilmenteindividuabili in merito ai dispositivi installati sui veicoli e ai connessitrattamenti di dati personali;

3.garantire, anche in ragione di quanto previsto dall'art. 11, comma 1, lett. c)del Codice, la "genuinità" dei dati acquisiti e trasmessi daidispositivi elettronici (preservandone l'autenticità, l'accuratezza el'integrità), adottando altresì accorgimenti atti a prevenirne eventualimanomissioni (art. 31 del Codice). Inoltre, dovranno essere adottati adeguatiaccorgimenti tecnico-organizzativi idonei a tracciare le operazioni di accessoai dati personali degli interessati, operazioni che comunque potranno essereeffettuate dai soli incaricati del trattamento effettivamente legittimati;

4.garantire all'interessato che ne faccia richiesta ai sensi dell'art. 7 delCodice la possibilità di accedere ai propri dati personali firmatidigitalmente;

5. fattasalva l'applicabilità di specifiche normative o la tutela di eventuali dirittiin sede giudiziaria, conservare i dati personali degli interessati per unperiodo di tempo non superiore a quello necessario agli scopi perseguitinell'ambito dei distinti servizi che comportano trattamenti di dati personali(art. 11, comma 1, lett. e), del Codice), tenendo a tal fine presente, conriferimento al servizio di cui al punto 1.2, lett. a), del presenteprovvedimento, anche quanto previsto dall'art. 2947 cod. civ. Resta inteso che,allo scadere del termine previsto per la conservazione dei dati, questi ultimidovranno essere distrutti (anche attraverso il ricorso a meccanismi dicancellazione automatica e integrale delle informazioni) o trasformati in datianonimi;

6.provvedere ad acquisire, in caso di eventuale trasferimento di dati personalidiretto verso paesi non appartenenti all'Unione europea, il consenso espressodegli interessati, ovvero ad operare sulla base degli altri presupposti diliceità legislativamente previsti (artt. 43 e 44 del Codice);

7.trattare i dati personali rilevati dal dispositivo per i soli scopi dichiaratio in termini comunque compatibili con i medesimi scopi (art. 11, comma 1, lett.b), del Codice), con esclusione, pertanto, di forme di utilizzo dei dati perfinalità di profilazione della clientela (anche in vista dell'eventuale diniegoalla stipula di nuovi contratti di noleggio) o per la creazione di banche didati non giustificate;

8.trattare i dati personali, per tutte le finalità perseguite, con modalitàsempre rispettose, in concreto, dei diritti e delle libertà fondamentali, nonchédella dignità degli interessati (art. 2, comma 1, del Codice) e in conformitàall'art. 11, comma 1, lett. a) del medesimo Codice;

9.utilizzare le informazioni desumibili in relazione ai servizi di cui al punto1.2, lett. d), e), f) e g) del presente provvedimento solo nella misura in cuile stesse non siano effettivamente riconducibili, neanche indirettamente, apersone identificate o identificabili;

10.tenere in debita considerazione ogni altra indicazione o prescrizione chedovesse risultare eventualmente applicabile a seguito dell'adozione delregolamento attuativo sulle "Modalità di raccolta, gestione e utilizzo deidati raccolti dai dispositivi elettronici che registrano l'attività delveicolo" di cui all'art. 32, commi 1-bis e 1-ter, del d.l. n. 1/2012,convertito con modifiche con l. n. 27/2012, come pure ogni altro intervento chedovesse rendersi necessario in relazione a specifiche disposizioni normative.

Ai sensidegli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presenteprovvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 7 novembre 2013

Il presidente
Soro

Il relatore
Soro

Il segretario generale
Busia