Assicurativo.it
| Scatola nera | 2016-09-26 - Pdf - Stampa |
Scatola nera: a che punto con la privacy ? |
|
Si parla di pericolo privacy per gli elettrodomestici smart, rfid, ma si dimentica il tema scatola nera nelle auto, fermo al luglio 2015. Si passa da un tema all'altro, ma sono praticamente identici. Photo courtesy of Spataro 2016 Fonte: Privacy
|
Indice generato dai software di IusOnDemand
su studi di legal design e analisi testuali e statistiche
Segnalazione in materia di utilizzo del dispositivo c.d. "scatola nera" installato sui veicoli automobilistici - 1 luglio 2015
On. Guglielmo Epifani
Presidente della Commissione attività produttive, commercio e turismo
Camera dei deputati
Roma, 1 luglio 2105
Segnalazione in materia di utilizzo del dispositivo c.d. "scatola nera" installato sui veicoli automobilistici - 1 luglio 2015
Caro Presidente,
corrispondo alla cortese richiesta della Commissione attività produttive, commercio e turismo della Camera dei deputati, da Lei autorevolmente presieduta, di acquisire la valutazione di questa Autorità sulle disposizioni del disegno di legge in materia di concorrenza (AC 3012) e in particolare sulle possibili implicazioni in materia di protezione dei dati personali dell'installazione sui veicoli della c.d. "scatola nera" (art. 8).
L'Autorità ha già avuto modo di affrontare tale problematica corrispondendo ad analoga richiesta pervenuta dalla Commissione nel gennaio del 2014 (doc. web n. 3825619), in relazione al modello organizzativo della "portabilità" degli apparati previsto dall'articolo 8 del decreto-legge n. 145 del 2013 (c.d. "Destinazione Italia").
La predetta disposizione, poi soppressa nel corso dell'esame parlamentare, stabiliva che l'"interoperabilità" dei meccanismi elettronici che registrano l'attività del veicolo fosse garantita dal Ministero delle infrastrutture e dei trasporti attraverso un "servizio unico di raccolta dei dati", anche affidato in concessione, da costituirsi presso le strutture tecniche del centro di coordinamento delle informazioni sul traffico e sulla sicurezza stradale del predetto dicastero (CCISS).
Nell'occasione, il Garante, pur condividendo la finalità sottesa alla disposizione normativa, di favorire una logica di competitività delle aziende produttrici in tale materia, allo scopo di contenere i costi dell'assicurazione RCA, nondimeno rilevava forti criticità sotto il profilo della protezione dei dati personali, sia in ragione della delicatezza dei dati acquisibili dai dispositivi elettronici di bordo (c.d. "geolocalizzazione"), sia in quanto il modello proposto avrebbe comportato la raccolta centralizzata di una notevole quantità di informazioni destinate a confluire in una banca dati di enormi proporzioni.
Da questo punto di vista, peraltro, il Garante auspicava che la problematica dell'interoperabilità venisse affrontata anche sotto il profilo della standardizzazione dei formati dei dati generati dalle blackbox e di altri parametri del loro funzionamento, come possibile alternativa alla raccolta centralizzata delle informazioni e fonte di maggiori risparmi.
Ciò premesso, il Garante prende atto favorevolmente che l'articolo 8 del disegno di legge in esame non riproduce il modello di raccolta centralizzata dei dati di cui alla precedente iniziativa normativa ed, anzi, si muove nella direzione indicata dall'Autorità. Si prevede, infatti, che l'interoperabilità e la portabilità dei meccanismi elettronici sia assicurata dagli operatori del settore (denominati "providers di telematica assicurativa") i quali devono gestire i dati sull'attività del veicolo in sicurezza e sulla base dello standard tecnologico comune da definire con il decreto del Ministero dello sviluppo economico previsto dall'articolo 32, comma 1-ter, del decreto legge 24 gennaio 2012 n.1, sul cui schema il Garante dovrà esprimere il parere di competenza ai sensi dell'articolo 154, comma 4, del Codice in materia di protezione dei dati personali (d. lg. n. 196 del 2003).
Inoltre, si apprezza il nuovo dettato normativo anche in relazione alle previste garanzie per il trattamento dei dati personali effettuato dalle imprese di assicurazione, in particolare nella parte in cui fa divieto di utilizzare i dispositivi per raccogliere dati ulteriori rispetto a quelli necessari al perseguimento della finalità prevista e di rilevare la posizione del veicolo in maniera continuativa o sproporzionata.
Nondimeno, data la delicatezza dei dati trattati, resta l'esigenza di definire ulteriori presidi per il diritto alla protezione dei dati degli utenti, individuando le tipologie di dati personali trattati rispetto alla finalità perseguita e disciplinando le modalità e i tempi di conservazione delle informazioni e i profili della sicurezza. Il Garante potrà fornire indicazioni su tali aspetti anche in occasione del predetto parere sullo schema di decreto e del concerto sul previsto regolamento dell'IVASS (art. 32, comma 1-bis, d. lg. n. 1/2012, richiamato dalla disposizione in esame), cui è demandato di definire anche le modalità di raccolta, gestione e utilizzo dei dati elaborati dalle scatole nere, e in relazione al quale, peraltro, l'Autorità ha già fornito un primo contributo.
Grato, anche a nome del Collegio del Garante, per l'attenzione che vorrà riservare alle suesposte considerazioni, Le confermo sin d'ora la disponibilità dell'Autorità ad ogni ulteriore collaborazione che dovesse essere ritenuta utile.
Antonello Soro
Garante Privacy
e ancora:
Privacy: "Internet delle cose", utenti poco tutelati
I risultati dell'analisi internazionale svolta dalle Autorità garanti della privacy di 26 Paesi per il "Privacy Sweep 2016"
Su oltre trecento dispositivi elettronici connessi a Internet - come orologi e braccialetti intelligenti, contatori elettronici e termostati di ultima generazione - più del 60% non ha superato l'esame dei Garanti della privacy di 26 Paesi.
E' quanto emerge dall'indagine a tappeto ("sweep"), a carattere internazionale, avviata lo scorso maggio dalle Autorità per la protezione dei dati personali appartenenti al Global Privacy Enforcement Network (GPEN), di cui fa parte anche il Garante italiano, per verificare il rispetto della privacy nell'Internet delle cose (IoT).
I riscontri raccolti dagli esperti delle Autorità, su più di trecento apparecchi delle principali società del settore, hanno fatto emergere, a livello globale, gravi carenze nella tutela della privacy degli utenti:
• il 59% degli apparecchi non offre informazioni adeguate su come i dati personali degli interessati sono raccolti, utilizzati e comunicati a terzi;
• il 68% non fornisce appropriate informazioni sulle modalità di conservazione dei dati;
• il 72% non spiega agli utenti come cancellare i dati dal dispositivo;
• il 38% non garantisce semplici modalità di contatto ai clienti che desiderano chiarimenti in merito al rispetto della propria privacy.
Alcuni dispositivi analizzati hanno presentato anche problemi sulla sicurezza dei dati, ad esempio trasmettendo "in chiaro" (quindi in modalità non criptata) al medico curante informazioni relative alla salute degli utenti.
Leggermente migliori, ma comunque preoccupanti, i risultati delle analisi condotte dal Garante italiano sul rispetto della privacy da parte di alcune delle principali società nazionali che offrono prodotti nel settore della domotica: solo il 10% infatti non fornisce agli utenti alcuna informazione su come i loro dati personali sono raccolti, utilizzati e comunicati a terzi.
E tuttavia:
• il 20% non fornisce appropriate informazioni sulle modalità di conservazione dei dati;
• il 30% non garantisce semplici modalità di contatto ai clienti che desiderano chiarimenti in merito al rispetto della propria privacy;
• il 90% non spiega agli utenti come cancellare i propri dati dal dispositivo.
"L' indagine sulla cosiddetta Internet delle Cose (IoT) - commenta Antonello Soro, Presidente del Garante per la protezione dei dati personali - ha rivelato che le società del settore non hanno ancora posto sufficiente attenzione alla protezione dei dati personali, con il rischio, peraltro, di generare sfiducia nei consumatori. Alcune aziende, ad esempio, non si rendono conto che non solo il nome e il cognome, ma anche i dettagli sul consumo elettrico di una persona o i suoi stessi parametri vitali, sono dati personali da proteggere. Così come non è ancora sufficientemente garantita neppure la possibilità per i consumatori di cancellare i dati raccolti da questi dispositivi. Il Garante italiano insieme alle altre Autorità del Global Privacy Enforcement Network, monitorerà - sottolinea Soro - con attenzione questi prodotti e servizi, al fine di verificare che la realizzazione di strumenti innovativi come elettrodomestici intelligenti, braccialetti per il controllo dei cicli del sonno o dell'indice glicemico, oppure le stesse automobili connesse a Internet, non avvenga a danno della riservatezza dei dati personali, spesso anche sensibili, degli utenti."
Che cos'è il Global Privacy Enforcement Network (GPEN)
Il GPEN (Rete globale per l'applicazione delle norme in materia di privacy) comprende, ad oggi, 57 Autorità in 43 Paesi. E' stato costituito nel 2010 facendo seguito ad una raccomandazione dell'OCSE. L'obiettivo è quello di promuovere la cooperazione internazionale fra le Autorità di controllo in materia di privacy alla luce della crescente globalizzazione dei mercati e dell'esigenza di imprese e consumatori di disporre di un flusso di informazioni personali senza soluzioni di continuità, indipendentemente dai confini nazionali. I membri del GPEN si impegnano a collaborare per rafforzare la tutela della privacy in tale contesto globale.
Quest'ultimo "Sweep" dedicato all' "Internet delle cose (IoT)" segue quello riguardante la privacy dei bambini on line e quello sulle app mediche.
Roma, 22 settembre 2016
