Per fleet manager e case auto la tutela dei dati è essenziale

di Giovanni Tortorici

Il regolamento GDPR (General Data Protection Regulation) è un testo che ha l’obiettivo di uniformare le leggi europee sul trattamento dati e il (nostro) diritto a essere in pieno controllo delle informazioni che ci riguardano. L’impatto è più ampio di quanto si possa pensare, perché la GDPR riguarda le aziende che gestiscono qualsiasi tipo di dato personale: dalle informazioni sui propri dipendenti alla profilatura dei clienti per conto terzi.

Il GDPR coinvolge tutte le aziende che trattano dati, il che può significare anche le informazioni in mano alle risorse umane sul proprio organico. Una serie di novità toccano da vicino anche i fleet manager. Va detto che il GDPR non ha portato una rivoluzione epocale se i contratti di noleggio erano già impostati con l’aderenza del codice della Privacy, ma ha evidenziato che molto spesso non era presente nei contratti con le società di noleggio alcun atto di nomina a trattamento dei dati, obbligo già previsto dal precedente ordinamento nazionale. 

 

 

L’adeguamento dei contratti

La prima cosa da sottolineare è che i contratti in essere devono essere adeguati al GDPR. In ambito Fleet Management i dati dei driver sono in qualche modo trasmessi all’esterno dell’organizzazione. Per questo serve stilare un documento chiamato “Atto di nomina a responsabile esterno al trattamento dei dati personali” (articolo 28 del Regolamento UE 679/2016). Questo documento (che andava stilato anche con il vecchio regolamento e che ora va solo adattato) firmato dai legali rappresentanti delle controparti, contiene le definizioni e le regole di gestione, trattamento e conservazione dei dati personali dei dipendenti ad una società terza, per dare esecuzione ad un contratto senza infrangere le regole relative al GDPR. Ogni dipendente all’atto dell’assunzione ha firmato una serie di documenti, uno dei quali è l’informativa e il relativo consenso al trattamento dei propri dati personali. Qualsiasi cosa inerente i dati personali e la privacy che non sia contenuta in quel documento, va successivamente integrata e nel caso di dipendenti di lunga data (con applicazioni web non fossero presenti all’epoca dell’assunzione) questa integrazione può esser attuata tramite un banner che compare al primo accesso delle applicazioni, in modo da ottenere l’esplicito consenso da parte del dipendente. 

 

I limiti della profilazione 

Se poi intervengono anche profilazione (ad esempio utenze su siti web) e geolocalizzazione (ad esempio black box), allora le cose si complicano ulteriormente. Facciamo chiarezza su questi ultimi due temi, molto importanti nell’ambito fleet. Per profilazione si intende l’insieme delle attività di raccolta ed elaborazione dei dati inerenti agli utenti di un servizio, al fine di suddividerli in gruppi a seconda del loro comportamento (segmentazione). In ambito commerciale, la profilazione dell’utente è il mezzo che consente la fornitura di servizi personalizzati oppure l’invio di pubblicità comportamentale. L’articolo 4 del nuovo Regolamento europeo chiarisce che la profilazione si ha in presenza di 3 elementi: un trattamento automatizzato, eseguito su dati personali, con lo scopo di valutare aspetti personali di una persona fisica. Ovviamente non deve trattarsi di mero “tracciamento” dell’interessato che naviga online, ma di analisi per prendere decisioni che riguardano il soggetto oppure per analizzarne o prevederne le preferenze o i comportamenti.

Un classico trattamento automatizzato è l’applicazione di sanzioni per eccesso di velocità, erogate sulla base delle immagini raccolte dagli autovelox. Poiché tale trattamento non comporta la valutazione di aspetti personali, non costituisce profilazione. La profilazione è ammessa quando: il trattamento è necessario per la conclusione o l’esecuzione di un contratto tra l’interessato e il titolare; il trattamento è autorizzato da una legge o regolamento, che prevede altresì misure idonee a tutelare i diritti dei soggetti interessati; vi è esplicito consenso al trattamento (ma il consenso alla profilazione deve essere distinto rispetto al consenso relativo ad altri trattamenti). Cosa accade se i dati personali dei driver vanno inseriti nei sistemi di gestione della società di noleggio che effettua anche report? L’atto di nomina si complica notevolmente, come anche l’informativa al driver. 

 

 

Geolocalizzazione e uso del mezzo 

La geolocalizzazione è l’identificazione della posizione geografica nel mondo reale di un dato oggetto, come ad esempio un telefono cellulare o un computer secondo diverse tecniche. Il Garante per la privacy il 29 maggio 2018 ha segnalato un nuovo provvedimento in materia di utilizzo dei sistemi di geolocalizzazione GPS che consentono il controllo a distanza dei lavoratori. Nel caso specifico si trattava del personale di una società di vigilanza privata e trasporto valori, alla quale in Garante accorda la possibilità di utilizzo di una specifica applicazione negli smartphone e tablet, ma prescrive precise modalità di salvaguardia della privacy dei lavoratori e richiede, comunque, l’accordo sindacale o l’autorizzazione ministeriale. L’Autorità ha ritenuto tale trattamento dei dati lecito, necessario e proporzionato, anche in considerazione della specifica disciplina per il controllo del trasporto di contanti. Ha richiesto però, a maggiore tutela dei lavoratori: di posizionare sul dispositivo del dipendente un’icona che indichi che la localizzazione è attiva; di configurare il sistema in modo tale da oscurare la posizione geografica dei dipendenti decorso un dato periodo di inattività dell’operatore della centrale operativa.

Questo esempio serve a comprendere cosa accade quando inseriamo un dispositivo con geolocalizzazione GPS nelle vetture. Se sono utilizzate come puramente strumentali, si ricade nel caso precedente; ma immaginiamo un’auto a uso promiscuo guidata da un familiare del dipendente che non sa di essere “geolocalizzato” e che non ha dato alcun assenso e non ha letto alcuna informativa. Il trattamento dei dati di geolocalizzazione dei veicoli aziendali è legittimo per la tutela della sicurezza dei veicoli e dei lavoratori, o anche per la pianificazione in tempo reale dell’attività lavorativa. Illecita è la geolocalizzazione nel caso in cui i veicoli aziendali possano essere usati anche per finalità private. Il dipendente deve poter disabilitare il monitoraggio nel momento in cui svolge un’attività di natura personale con l’auto aziendale (questo nell’ambito di un servizio di comodato previsto da molti contratti di lavoro). Quindi è utile applicare un’informativa all’interno del veicolo, ben leggibile, che ricordi al dipendente l’esistenza del dispositivo di monitoraggio e le modalità di blocco temporaneo. 

 

 

La rete di manutenzione 

Le società di noleggio utilizzano spesso reti di officine di manutenzione non del costruttore per cercare di minimizzare i costi. Queste officine vengono a conoscenza del nome del driver, ma non sono formate da dipendenti della società di noleggio bensì da terze parti. La società di noleggio acquista il veicolo a volte dal concessionario, a volte dal costruttore e nel tempo le Case sono progressivamente entrate nella distribuzione. Prima in modo sporadico e con volumi ridotti, ma da alcuni anni in modo più penetrante. Al punto che la Casa è diventata a tutti gli effetti un concorrente del concessionario. A breve, secondo gli scenari più accreditati, il dealer sparirà, nella sua versione tradizionale, trasformandosi in mero centro consegna e/o di assistenza. Promozione e realizzazione della transazione contrattuale di vendita verranno internalizzate dai costruttori sia perché l’auto non verrà più venduta, ma messa a disposizione dei clienti, sia perché queste operazioni saranno gestite in prima persona dalle Case, sui loro siti. In punto di diritto, sorge un chiaro tema contrattuale: è evidente che si incide sull’equilibrio del rapporto tra Casa e rete vendita. L’avviamento del concessionario è infatti strettamente connesso alla valorizzazione di quel patrimonio informativo che è la conseguenza di tutti gli investimenti realizzati dalle reti distributive.

Così la rivoluzione tecnologica, che passa già oggi per una connettività piena e in un futuro prossimo per la guida autonoma, introduce un elemento nuovo: la titolarità e gestione del patrimonio informativo sui clienti finali. Quando acquista un’auto, il consumatore presta un consenso, spesso non del tutto consapevole, a che una serie di dati personali siano trasferiti alla Casa e a tutte le società del gruppo: ma se il proprietario è un’azienda di noleggio, questa operazione la compie il driver all’atto del ritiro. Ma il driver non è il contraente del contratto, in quanto è una persona fisica che guida l’auto assegnata con apposita lettera di “accettazione” dal contraente del contratto che è l’azienda dove lavora. A questo proposito la prima operazione da fare è predisporre un’informativa privacy che avvisi il driver circa la relazione tra l’azienda e la società di noleggio, spiegando la motivazione per il passaggio di questi dati, nel pieno rispetto della legge. La società di noleggio dovrà inoltre predisporre un documento nel quale il driver viene informato della necessità di essere inserito nella sua anagrafica per lo svolgimento dei programmi di manutenzione, perché è probabile che sarà il driver stesso a dover portare il veicolo assegnato in officina; ma il driver non ha alcun rapporto con la società di noleggio e quindi teoricamente il manutentore non dovrebbe avere direttamente il suo nominativo. Se invece fosse direttamente la società di noleggio a recuperare il veicolo e riconsegnarlo a manutenzione effettuata, non ci sarebbero problemi, perché con l’atto di nomina a responsabile del trattamento controfirmato dai legali rappresentati, se non ci sono altri passaggi di dati, si è ottemperato alle norme. 

 

Il GDPR e le “mire dei costruttori”

La casa auto, direttamente o indirettamente, gratis o a pagamento, è così in grado di offrire al driver una vasta gamma di servizi aggiuntivi legati alla sicurezza, come in caso di incidente o riparazione e traino del veicolo. Esiste un problema legato alla tutela dei dati personali? Evidentemente si, perché il costruttore è in grado di conoscere non solo l’identità del titolare del veicolo (nel nostro caso la società di noleggio), ma anche ogni informazione sull’utilizzo che questi ne fa: stile di guida, tempi e modalità di utilizzo (giornaliero, saltuario, weekend), frequenza ed entità della manutenzione, ecc. In breve, matura una conoscenza perfetta dell’utilizzatore e della sua “storia”. Il consumatore cessa di essere il cliente della concessionaria e lo diviene della Casa. Così solo essa e non più il concessionario può sapere cosa voglia il consumatore e formulargli offerte mirate ed efficaci per la sua mobilità.

Se questo è il quadro, non sorprende che le Case strutturino campagne di marketing in modo che il concessionario sia fortemente spinto (talora costretto, per sopravvivere) a garantire loro una mole sempre più consistente di informazioni, quindi di consensi da parte della clientela. Le reti di vendita, sotto la pressione di una marginalità ridotta al lumicino, per sopravvivere si rendono partecipi di questa ricerca. Si entra in una spirale tale per cui le case completano la gamma dei fattori dell’integrazione verticale: hanno il prodotto; tramite internet dispongono di una chiave di accesso al mercato che supera la barriera che prima era la presenza fisica dello spazio di vendita e che costituiva il “territorio” del concessionario; infine, grazie al possesso dei dati sulla clientela, sono in grado di replicare, anzi migliorare, il patrimonio conoscitivo della rete e quindi avere accesso al consumatore. 

 

 

Quando i dati sono in cloud 

Non sempre le aziende valutano attentamente come governare i rischi relativi alla protezione dei dati in caso di dati trasferiti fuori dalla Ue utilizzando servizi cloud. Il concetto di “trasferimento”, sebbene non definito dal GDPR, viene trattato in vari punti, a cominciare dal Capo V (articolo 44 e seguenti GDPR) che contiene le regole cardine per il trasferimento di dati personali extra UE, per poi essere richiamato in relazione a specifici adempimenti come il registro dei trattamenti (articolo 30 GDPR) i contenuti dell’informativa (articolo 13 GDPR) e la valutazione di impatto (articolo 35 GDPR). In un’ottica di “compliance” con la regolamentazione sul trasferimento di dati extra Ue, le organizzazioni devono quindi dotarsi di adeguate procedure organizzative che consentano di valutare preventivamente le casistiche di trasferimento ed essere in grado di dimostrare il rispetto dei requisiti normativi disciplinati dal GDPR (accountability).

Il primo caso si ha quando, sulla base di una valutazione fatta dalla Commissione Europea, lo stato verso cui i dati verranno trasferiti, è stato giudicato adeguato (articolo 45 GDPR). Per valutare l’adeguatezza la Commissione utilizza svariati parametri, dal rispetto dei diritti umani alla possibilità di un ricorso effettivo in sede amministrativa e giudiziaria per gli interessati (articolo 45, comma 2, lettera b). Ma la regolamentazione non si ferma qui e prende in considerazione la presenza di una o più autorità di controllo nonché di impegni internazionali assunti dal Paese terzo (lettere c) e d). Tutto questo forma il set d i requisiti necessari per considerare uno stato od una organizzazione internazionale come “adeguati”. 

Il trasferimento dei dati verso Paesi extra UE 

Le “BCR”, Binding Corporate Rules (articolo 47 GDPR) sono invece uno strumento volto a consentire il trasferimento di dati personali dal territorio di uno stato membro verso Paesi terzi (extra-UE) tra società facenti parti dello stesso gruppo. Queste si concretizzano in un documento contenente una serie di clausole (rules) che fissano i principi vincolanti (binding) al cui rispetto sono tenute tutte le società appartenenti ad uno stesso gruppo (corporate). Di fatto, il trasferimento dati extra UE è un’attività complessa che richiede competenze specifiche.

Il punto di partenza di un’organizzazione a tal riguardo deve essere improntato all’adozione di contromisure volte a mantenere lo stesso livello di protezione che il dato personale avrebbe se rimanesse in UE. Tale approccio deve essere improntato alla multidisciplinarietà e comprendere organizzazione, strumenti legali e meccanismi di sicurezza IT più aggiornati possibili. Per questa ragione è estremamente consigliato “non permettere” contrattualmente che la società di noleggio possa utilizzare data center e servizi informatici al di fuori della UE, perché problematiche così complesse e facilità di infrazione delle norme europee sono in questo caso dietro l’angolo.