(av Federica De Stefani, advokat och chef för Aidr Lombardy Region) Den 9 mars 2021, efter det offentliga samrådet, antogs EDPB: s riktlinjer för anslutna fordon, mycket intressanta när det gäller de principer som anges.
I ett system där anslutna bilar nu befolker våra gator och autonom körning representerar den närmaste framtiden är att identifiera principerna för behandling av personuppgifter som dessa bilar bearbetar utgångspunkten för alla studier och utveckling inom bilsektorn.
Riktlinjerna definierar i själva verket tydligt deras tillämpningsområde och ger uttrycklig uteslutning av professionell användning av anslutna fordon, dvs. kollektivtrafik.
Med andra ord handlar riktlinjerna endast om privat transport av människor.
Vilket samband kan det finnas mellan att köra ett anslutet fordon och personuppgifterna för dem som använder detta fordon? Vilka data kan ett anslutet fordon bearbeta?
De typer av data som beaktas i riktlinjerna är av tre olika kategorier, nämligen den data som behandlas inuti fordonet, data som utbyts mellan enheterna, därför av smartphones, förare och passagerare och av fordonet och slutligen data som samlats in i fordonet och exporterats till utsidan, eftersom de till exempel kommunicerade till infrastrukturen.
Redan denna första identifiering får oss att förstå hur data är heterogena mellan dem och åtminstone potentiellt hänvisade till olika ämnen.
Med utgångspunkt från definitionen av personuppgifter som tillhandahålls av art. 4 i GDPR, som föreskriver att all information som direkt eller indirekt tillåter identifiering av ämnet måste betraktas som personuppgifter, verkar det inte finnas några större problem när det gäller direkt identifiering. I själva verket är det alla dessa personuppgifter, namn, efternamn, hemvist, födelsedatum som ämnet meddelar när han undertecknar bilens köp- eller hyresavtal. Mer komplex verkar vara identifieringen av data som kan identifiera ämnet indirekt.
Inom ramen för användningen av ett anslutet fordon bearbetas data som, till exempel genom lokalisering, kan leda till avdrag för personuppgifter som till och med faller inom de specifika datakategorierna enligt art. 9 i GDPR, såsom uppgifter om hälsotillståndet, för vilka användning endast är tillåten i undantagsfall som anges i standarden.
Men hur är det möjligt att ett anslutet fordon kan avslöja känsliga uppgifter, enligt ordalydelsen i den gamla sekretesslagen?
Tänk på geolokalisering. Genom analysen av de resor och vägar som ämnet tar, efter att ha upptäckt en viss frekvens för att gå till ett centrum som är specialiserat på behandling av en viss patologi, kan man dra slutsatsen att ämnet i fråga påverkas av denna patologi.
Detsamma gäller andra kategorier av känsliga uppgifter, såsom politisk läggning, religiös tro eller sexuell läggning.
De risker som EDPB identifierar med hänvisning till behandlingen av personuppgifter är indelade i tre breda kategorier som specifikt rör lokalisering, vilket som förväntat medför allvarliga problem när det gäller identifieringen av ämnet, den information som måste lämnas till berörda parter och vilket åtminstone potentiellt kan skapa problem med avseende på likabehandling av ämnen som använder det anslutna fordonet och slutligen insamlingen av data.
EDPB är noga med att tydligt understryka hur lokaliseringsprocessen inte garanterar personens integritet, utan tvärtom sätter den i allvarlig fara, eftersom den kontinuerligt och ständigt geografiskt placeras å ena sidan komprimerar rätten till integritet, å andra sidan , ligger till grund för en allmän fara som kan leda till så kallad massövervakning.
När det gäller den information som ska lämnas till de berörda parterna framhäver riktlinjerna risken att det finns en asymmetri av information som ges till de olika ämnena som kan använda den självkörande bilen. I själva verket identifieras tre olika typer av ämnen, nämligen ägaren, föraren och passageraren som, även om de teoretiskt kan sammanfalla och därför kan identifieras med samma ämne, i praktiken kan representeras av tre olika och distinkta ämnen.
Det element från vilket EDPB startar är behovet av att i alla fall skilja mellan den information som ska lämnas till den berörda parten från köp- eller hyresavtalet, som anges för fordonet. Detta innebär att dokumenten måste hållas åtskilda, eftersom informationen inte kan införas som en tilläggsklausul till avtalet, som i sig i sig redan kommer att vara ganska komplex, med risk för att bli förvirrad mellan de olika avtalsbestämmelserna.
Riktlinjerna understryker också behovet av att tillhandahålla tydlig och lättförståelig information, även genom användning av synliga skyltar på skärmen.
Exemplet på lokalisering ges, vilket kan indikeras som ett aktivt alternativ också genom en blinkande pil som visas på bilens display, på ett sådant sätt att föraren får tillstånd att informeras om funktionens närvaro och möjlighet att välja om denna inställning ska behållas eller om den ska ändras.
Om det inte finns några speciella kritiska frågor som rör föraren, som i början av resan kommer att kunna uttrycka sina preferenser och sedan ändra inställningarna enligt egna bedömningar, måste ett annat tal hållas för passageraren. Den senare kunde faktiskt börja resan vid ett senare tillfälle och kunde därför finna sig i viss utsträckning genom de val som har gjorts av föraren. Ingen särskild information ges i detta avseende, så det är önskvärt att biltillverkarna utvärderar lösningar som kan lösa dessa kritiska frågor.
Slutligen betonar riktlinjerna behovet av att ägna särskild uppmärksamhet åt datainsamlingen.
Standardaktiveringen av samlingen kan faktiskt påverka användarens medvetenhet, som i detta fall inte kunde vara medveten om den behandling som hans data utsätts för. Det bör också läggas till att om standardinställningen inte kunde ändras, skulle den berörda personen vara i tillståndet att behöva genomgå en process aktiverad och inställd av andra.
Vi kan därför se hur behandlingen av personuppgifter nu är ansluten till vilket system som helst, inklusive guider, som använder teknik i ständig utveckling.
Uppgifterna får, som känt, inte blockeras utan måste cirkuleras i full överensstämmelse med skyddsprinciperna i GDPR.
En ständig utmaning, som ingen av oss nu kan komma undan.