Diritti interna

Doveri interna

ricerca avanzata

Verifica preliminare. Costituzione di una banca di dati per arginare, attraverso la condivisione di informazioni fornite dalle società di autonoleggio, il fenomeno dei furti d’auto, di appropriazioni indebite dei veicoli e di frodi - 30 novembre 2017 [7355034]

VEDI ANCHE Newsletter del 21 dicembre 2017

 

[doc. web n. 7355034]

Verifica preliminare. Costituzione di una banca di dati per arginare, attraverso la condivisione di informazioni fornite dalle società di autonoleggio, il  fenomeno dei furti d´auto, di appropriazioni indebite dei veicoli e di frodi - 30 novembre 2017

Registro dei provvedimenti
n. 502 del 30 nvevembre 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il d.lgs. 30 giugno 2003, n. 196, recante il "Codice in materia di protezione dei dati personali" (di seguito "Codice");

VISTE le richieste presentate in data 12 giugno 2015 dall´Associazione Nazionale Industria dell´Autonoleggio e Servizi Automobilistici (di seguito, ANIASA) ai sensi degli artt. 17 e 24, comma 1, lett. g), del Codice;

VISTO il provvedimento successivamente adottato dal Garante in data 1° giugno 2016 [doc. web n. 5306512];

VISTA l´ulteriore istanza presentata da ANIASA in data 23 novembre 2016, come modificata e integrata dalla comunicazione del 25 settembre 2017;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Augusta Iannini;

PREMESSO

1. Il provvedimento del 1° giugno 2016.

In data 12 giugno 2015, ANIASA, in qualità di organizzazione rappresentativa del 95% circa delle imprese operanti nel settore dell´autonoleggio a breve e lungo termine, ha chiesto l´intervento di questa Autorità in ordine alla prospettata costituzione, a vantaggio delle proprie associate, di una banca di dati volta ad arginare, attraverso la condivisione di informazioni fornite dalle stesse società di autonoleggio, il grave fenomeno dei furti d´auto, di appropriazioni indebite dei veicoli e di frodi che caratterizzerebbe l´intero settore; ciò, attraverso la formulazione di una richiesta di verifica preliminare e di una contestuale istanza di bilanciamento di interessi ai sensi, rispettivamente, degli artt. 17 e 24, comma 1, lett. g), del Codice.

Muovendo dalle informazioni allora fornite, il Garante, con provvedimento del 1° giugno 2016 (alle cui motivazioni qui si rinvia), ha ritenuto che non sussistessero i presupposti per poter accogliere le istanze presentate, anche alla luce della genericità di alcune affermazioni ivi contenute, del potenziale, pervasivo impatto sugli interessati (alla luce del sistema allora descritto) e dell´incertezza in merito a taluni profili di trattamento dei dati destinati a confluire nella suddetta banca di dati.

ANIASA, nel prendere atto dei rilievi formulati dall´Autorità, ha presentato, in data 23 novembre 2016, una nuova richiesta di verifica preliminare, proponendo, anche a seguito della nota del 25 settembre 2017, rilevanti modifiche alla banca di dati in questione e fornendo elementi di valutazione e motivazioni non addotti nel corso della precedente istruttoria.

2. La "nuova" banca di dati proposta da ANIASA.

2.1. Immutate, ma meglio specificate, le finalità del trattamento (tutela del patrimonio aziendale; pianificazione di strategie operative e di mercato; finalità statistiche), la "nuova" banca di dati si caratterizzerebbe, anzitutto, per una significativa rimodulazione dei presupposti per l´iscrizione degli interessati nel database.

Posto che i dati destinati a confluire nell´archivio –a maggiore puntualizzazione di quanto in precedenza indicato− sarebbero unicamente quelli contrattuali (dati anagrafici dell´intestatario e di eventuali seconde guide; tipologia di contratto; data e luogo di stipula; ecc.), nonché i dati relativi all´evento (ad es.: furto), alle vetture coinvolte (marca; modello; ecc.) e alla denuncia eventualmente presentata (data e luogo dell´accadimento; autorità verbalizzanti; ritrovamento o meno del veicolo; ecc.), ANIASA ha rappresentato che l´iscrizione nel database avverrebbe esclusivamente al verificarsi contestuale di alcuni presupposti (irreperibilità del cliente o impossibilità di contattarlo; verifiche preventive e ricerca del veicolo; decorrenza minima di 30 giorni dalla mancata restituzione del mezzo; stipula di altri contratti di autonoleggio nei sei mesi precedenti; ecc.) che limiterebbero notevolmente, di fatto, la possibilità di censimento.

Le informazioni immesse nella banca di dati −tra le quali non figurerebbero dati sensibili e giudiziari (questi ultimi non più previsti, contrariamente a quanto originariamente rappresentato), né dati identificativi di persone vittime di furti di identità− verrebbero scrupolosamente verificate e filtrate, prima del loro inserimento a sistema, attraverso rigorose procedure che le società di autonoleggio sarebbero tenute a rispettare; nessun utente, inoltre, verrebbe censito per il solo fatto oggettivo di non aver provveduto alla restituzione del veicolo, né la banca di dati verrebbe utilizzata quale strumento di profilazione della clientela o con finalità discriminatorie.

Al fine, poi, di comprovare l´effettiva ricorrenza di tutti i presupposti e le garanzie previste per l´iscrizione nella banca di dati, ciascuna società di autonoleggio provvederebbe a conservare, in relazione a ciascun interessato, idonea documentazione a supporto delle scelte effettuate.

2.2. La "nuova" banca di dati, secondo gli ulteriori chiarimenti forniti da ANIASA, sarebbe logicamente e fisicamente separata dalle altre banche di dati gestite dall´associazione; sarebbe stata categoricamente esclusa, inoltre, la possibilità per i partecipanti di interrogare massivamente il database, come pure di procedere alla memorizzazione o duplicazione delle informazioni ivi censite.

L´accesso al sistema, garantito da apposite credenziali di autenticazione basate su procedure di strong authentication (log-in con pin e token RSA-one time password), avverrebbe attraverso canali criptati e su connessioni sicure ("https"). La presenza di un firewall (su server dedicato) in grado di disabilitare "tutte le porte di accesso non consentite" contribuirebbe poi a contrastare attacchi del tipo "man-in-the-middle", garantendo la riservatezza delle comunicazioni; verrebbero implementate, inoltre, misure di "logging" e "auditing" a più livelli, onde assicurare una tracciabilità costante degli accessi ai dati e al sistema. Il back-up dei dati verrebbe conservato, in formato compresso e criptato, in aree specifiche del server, inaccessibili con le "ordinarie" credenziali di autenticazione.

La partecipazione al sistema sarebbe subordinato alla preventiva adesione, da parte delle società di autonoleggio, alle apposite linee guida stilate da ANIASA e volte ad assicurare (tra l´altro) l´effettivo adempimento dei partecipanti agli obblighi di legge in materia di protezione dei dati personali (informativa agli interessati; adozione delle misure di sicurezza; ecc.). La loro violazione, a prescindere dalle sanzioni già previste dalla normativa vigente, comporterebbe poi l´applicazione, da parte dell´associazione, di misure ulteriori nei confronti dei soggetti inadempienti, ivi compresa la sospensione o la revoca dell´autorizzazione all´accesso al database.

2.3. La suddetta banca di dati, in ragione della più circoscritta tipologia di dati trattati, degli stringenti presupposti previsti per il loro censimento e per il conseguente numero di soggetti (in ipotesi contenuto) potenzialmente iscrivibili, non sarebbe lesiva della dignità degli interessati, essendo stato escluso, peraltro, qualsiasi automatismo tra l´avvenuto censimento nell´archivio e le decisioni che le singole società prenderebbero in funzione delle risultanze acquisite. Inoltre, verrebbero immediatamente espunti, pur in presenza di eventi reiterati, i soggetti di cui sia risultata successivamente comprovata l´effettiva buona fede in relazione ai fatti segnalati.

Le risultanze della consultazione non verrebbero utilizzate dalle imprese associate per finalità diverse da quelle indicate, men che meno per stabilire condizioni più onerose o restrittive dal punto di vista tariffario o contrattuale; l´accesso alle informazioni, inoltre, verrebbe assicurato per il tramite di incaricati del trattamento (in numero massimo di due per singola società) designati per iscritto e adeguatamente istruiti in ordine alla riservatezza delle informazioni raccolte.

ANIASA, quale gestore e responsabile del database, provvederebbe a verificare periodicamente la congruità dei dati inseriti a sistema, imponendo alle società partecipanti di cancellare e/o rettificare quelli inesatti, non aggiornati o non più necessari. La stessa ANIASA, inoltre, provvederebbe all´effettuazione di rigorosi controlli in merito all´effettivo rispetto, da parte delle singole associate, delle norme e dei princìpi che presidiano il trattamento dei dati personali degli interessati, sia antecedentemente al trattamento che durante lo stesso.

2.4. Le imprese associate provvederebbero a integrare le informative già rese ai rispettivi clienti nella parte concernente i trattamenti in esame, fornendo compiuti ragguagli, tra l´altro, in merito alla natura dei dati trattati e alle caratteristiche del sistema illustrato; ciò, anche attraverso modulistiche riportanti le suddette informazioni in riquadri autonomi e distinti da quelli previsti per altre tipologie di trattamenti svolti dai partecipanti. Questi ultimi, inoltre, provvederebbero a rendere un´informativa (sintetica) anche sul trattamento dei dati personali effettuato da ANIASA, il cui testo completo verrebbe pubblicato sul sito web dell´associazione.

I dati contenuti nel database non verrebbero comunicati all´esterno, fatta salva la loro eventuale messa a disposizione ai soggetti preposti ad averne cognizione in base alla legge. Gli stessi, inoltre, verrebbero conservati fino alla definizione di eventuali procedimenti in sede giudiziaria e non verrebbero utilizzati in termini incompatibili con gli scopi stabiliti.

Titolare del trattamento sarebbe ANIASA, limitatamente alle operazioni di coordinamento e gestione del sistema; le imprese di autonoleggio, per parte loro, agirebbero come autonomi titolari per le operazioni connesse all´alimentazione e consultazione del database. Interlogica s.r.l, fornitrice della soluzione software e hardware utilizzata per l´implementazione del sistema, verrebbe designata, invece, quale responsabile del trattamento ex art. 29 del Codice.

Il trattamento descritto, effettuato dai partecipanti al sistema nel rigoroso rispetto di quanto sopra illustrato, non verrebbe iniziato prima della relativa notifica ai sensi dell´art. 37 del Codice.

2.5. La costituzione della suddetta banca di dati, alla luce degli ulteriori elementi forniti, si renderebbe necessaria, oltre che in ragione del crescente numero di comportamenti illeciti perpetrati a danno del comparto (10719 vetture rubate nel biennio 2013/2014, con un "trend" in asserito costante aumento), per assicurare l´ordinario svolgimento delle attività del settore −anche attraverso mirate verifiche in ordine alla clientela, ad oggi non previste− e la sostenibilità stessa del mercato, gravemente esposto al rischio di ingenti perdite economiche (46,6 milioni di euro solo nel 2014 nel settore del noleggio a lungo termine) e occupazionali. In tale prospettiva, la banca di dati permetterebbe di assicurare maggiore stabilità alle imprese (attualmente condizionate, nelle proprie strategie organizzative e di mercato, dal grave inasprimento del fenomeno), scongiurando al contempo il rischio di possibili pregiudizi in danno degli utenti legati a una altrimenti inevitabile contrazione della disponibilità e/o riduzione della qualità dei servizi offerti (ritiro dei principali operatori dalle aree di mercato maggiormente esposte; riduzione del parco veicoli noleggiabile dalla clientela; ecc.).

Nei limiti di tali obiettivi, l´associazione ritiene che il sistema descritto, in ragione dei più puntuali chiarimenti forniti, dei nuovi presupposti addotti e delle rilevanti modifiche apportate possa essere considerato, nella sua più recente "versione", conforme alla disciplina del Codice.

3. Le considerazioni dell´Autorità.

3.1. La nuova richiesta di verifica preliminare presentata da ANIASA, avendo ad oggetto trattamenti connessi a una banca di dati sostanzialmente rivisitata rispetto a quella originariamente rappresentata, necessita, anche alla luce delle considerazioni (solo) da ultimo formulate dall´associazione, di un´ulteriore pronuncia da parte di questa Autorità nei termini a seguire.

Il Garante ha già avuto modo di ribadire l´opportunità di evitare una proliferazione indiscriminata di archivi settoriali nei più disparati ambiti economici, suscettibile di provocare diffusi e potenzialmente pericolosi trattamenti di dati personali degli interessati (Provv. 8 ottobre 2015 [doc. web n. 4349760]). Pur dovendosi ribadire, in linea di principio, tale impostazione, l´Autorità ritiene che, con esclusivo riferimento al settore dell´autonoleggio, possa eccezionalmente prevedersi la costituzione di una siffatta banca di dati, a condizione che siano rispettate tutte le indicazioni e le prescrizioni ex art. 17 del Codice di cui in appresso (v. infra). Ciò, muovendo dalle specificità del settore e dalla peculiarità dei servizi offerti, dai numerosi e onerosi rischi gravanti sulle società di autonoleggio –comprovati da abbondante documentazione e tali da compromettere, secondo quanto riferito, l´ordinario svolgimento delle attività del settore, condizionando fortemente le strategie di mercato e le politiche occupazionali dei singoli operatori economici−, nonché dai rigidi controlli che la stessa ANIASA, in qualità di rappresentante delle proprie associate e di gestore dell´archivio, si è impegnata a effettuare. Ciò, tenendo anche conto che, medio tempore, è stata rivolta una particolare attenzione al settore dell´autonoleggio da parte delle Autorità di Pubblica Sicurezza a seguito delle modalità operative che, in tutta Europa, hanno caratterizzato le più recenti azioni terroristiche; in questo quadro, la "nuova" banca di dati si può inserire nella prospettiva di quella collaborazione tra soggetti privati e autorità pubbliche cui fa ampio riferimento, sia pure in altro contesto, il recente d.l. 20 febbraio 2017, n. 14 (convertito nella l. 18 aprile 2017, n. 48).

3.2. La banca di dati sopra richiamata potrà essere utilizzata esclusivamente per verificare l´eventuale censimento di soggetti che, nel tempo e a vario titolo, non abbiano provveduto alla restituzione dei veicoli noleggiati. L´iscrizione dei nominativi e degli altri dati potrà avvenire solo sulla base dei presupposti e alle condizioni indicate a tal fine dall´associazione, da rispettarsi rigorosamente a cura delle singole società di autonoleggio. Come rappresentato, non potranno essere censiti nel database, in alcun modo, dati personali relativi a soggetti vittime di furti di identità, né dati sensibili e giudiziari eventualmente disponibili presso le singole imprese partecipanti (dati per i quali, peraltro, lo strumento della verifica preliminare non è attivabile, al pari dell´istituto del bilanciamento di interessi) o altre informazioni comunque desumibili in rapporto a specifiche vicende giudiziarie (art. 11, comma 1, lett. d), del Codice). A tal proposito dovrà essere necessariamente espunto l´ultimo capoverso della Linea Guida n. 6.

L´accesso alla banca di dati potrà essere consentito esclusivamente in caso di formale richiesta di stipula di un contratto di autonoleggio; il trattamento dei dati, da effettuarsi nel rispetto della dignità degli interessati (art. 2 del Codice), dovrà avvenire, altresì, in osservanza dei princìpi di necessità, liceità e correttezza (artt. 3 e 11 del Codice). Particolare attenzione, inoltre, dovrà essere prestata alla qualità dei dati trattati (art. 11, comma 1, lett. c), del Codice), con particolare riferimento ad eventuali casi di omonimia.

Eventuali richieste formulate ai sensi dell´art. 7 del Codice, rivolte al gestore o alle società partecipanti al sistema, dovranno essere riscontrate nei termini previsti dall´art. 146, commi 2 e 3, del Codice.

I dati dei soggetti di cui sia risultata comprovata la buona fede, infine, dovranno essere tempestivamente cancellati.

3.3. Titolare della banca di dati, come da ultimo precisato, sarà ANIASA, che provvederà a fornire idonea informativa agli interessati, anzitutto, per il tramite delle stesse società di autonoleggio; queste ultime, tassativamente individuate, potranno partecipare al sistema in qualità di autonomi titolari dei dati personali raccolti in fase di stipula dei contratti di autonoleggio. I dati censiti potranno essere utilizzati dalle società partecipanti esclusivamente nei limiti delle finalità sopra indicate e con le modalità stabilite nelle apposite linee-guida veicolate dall´associazione. Nessun´altra operazione di trattamento in termini incompatibili con quelli rappresentati potrà essere ritenuta lecita in base all´art. 11, comma 1, lett. b), del Codice.

I dati contenuti nel database, opportunamente cifrati mediante algoritmi di cifratura adeguati (a titolo esemplificativo, AES – Advanced Encryption Standard con chiave a 128bit), potranno essere conservati esclusivamente per il tempo strettamente necessario alla singola impresa di autonoleggio per chiarire la posizione degli interessati. Al termine di tale periodo, ogni singola società dovrà comunicare immediatamente tale circostanza ad ANIASA, che provvederà alla loro tempestiva cancellazione dal database, con possibilità di una loro ulteriore conservazione, previa trasposizione su diverso supporto e in forma opportunamente anonimizzata, per le sole finalità statistiche proprie dell´associazione.

ANIASA, sia prima dell´inizio del trattamento che successivamente, provvederà a verificare rigorosamente l´effettivo rispetto delle norme e dei princìpi in materia di protezione dei dati personali da parte delle società partecipanti al sistema, nonché delle linee guida che disciplinano il suo utilizzo.
Il trattamento, infine, potrà essere iniziato solo dopo che si sia provveduto, con le modalità espressamente indicate dalla normativa vigente, alla relativa notifica (artt. 37 e 38 del Codice).

3.4. Nei limiti delle suddette finalità, il trattamento dei dati personali oggetto della presente istanza potrà avvenire, in difetto del consenso degli interessati, per effetto del presente provvedimento, con cui il Garante intende dare attuazione all´istituto del bilanciamento di interessi previsto dall´art. 24, comma 1, lett. g), del Codice. A tale proposito, si è tenuto conto, tra l´altro, dei numerosi e gravosi danni subiti e subendi dal comparto dell´autonoleggio in ragione degli eventi segnalati e delle rivisitate caratteristiche della banca di dati (non lesive, allo stato, della dignità degli interessati), tali da far ritenere come prevalente l´interesse delle imprese qui considerate −ma anche degli altri utenti che provvedono alla regolare restituzione dei veicoli− al mantenimento e/o ripristino dell´ordinario svolgimento delle attività del settore, altrimenti fortemente penalizzate ed esposte al rischio di significativo ridimensionamento.

Alla luce di quanto sopra, si ritiene che le criticità evidenziate nel provvedimento del 1° giugno 2016, in ragione delle diverse caratteristiche della banca di dati prospettata, dei nuovi presupposti addotti a sostegno dell´istanza e degli ulteriori elementi di valutazione forniti o meglio puntualizzati da ANIASA, possano ritenersi superate, fermo restando il rigoroso rispetto degli obblighi indicati e/o prescritti e l´adeguamento delle linee guida predisposte dall´associazione a quanto stabilito con il presente provvedimento.

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi dell´art. 17 del Codice, ammette il trattamento oggetto dell´istanza presentata da ANIASA anche in rappresentanza delle società aderenti, a condizione che vengano rispettate tutte le indicazioni e prescrizioni contenute in motivazione (punti 3.2, 3.3 e 3.4);

ai sensi dell´art. 24, comma 1, lett. g), del Codice, individua nel trattamento in esame un´ipotesi in cui non è richiesto il consenso degli interessati.

Ai sensi degli articoli 152 del Codice e 10 del decreto legislativo n. 150 del 2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 30 novembre 2017

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia