riferimenti normativi: art 17 del Codice per la protezione dei dati personali; direttive 1992/62/CE e 2004/52/CE
Fatto
Diverse Società concessionarie di tratte autostradali unitamente alla società di gestione autostradale hanno rivolto al Garante per la protezione dei dati personali una richiesta di verifica preliminare circa la legittimità del trattamento dei dati personali effettuato dalle stesse mediante un sistema di monitoraggio dei veicoli e finalizzato a commisurare il pedaggio al percorso realmente effettuato dagli utenti delle autostrade.
Il monitoraggio avveniva attraverso l’utilizzo di telecamere collocate sia nei caselli che in diversi punti delle tratte autostradali, che raccoglievano informazioni circa il percorso effettuato dalle autovetture. In particolare nella fase iniziale del viaggio le telecamere poste nei caselli raccoglievano i dati relativi la data e l’ora di ingresso, il codice identificativo della stazione e della pista di accesso, il numero di biglietto o codice del telepedaggio, nonché le immagini fotografiche, sia anteriore che posteriore, della targa. Tali dati venivano, poi, trasmessi ad un sistema centralizzato di elaborazioni dati che creava un codice relativo all’evento di entrata e che era poi associabile a tutti gli altri eventi relativi a quel determinato veicolo. La medesima raccolta dei dati veniva effettuata anche dalle telecamere collocate lungo il tragitto, e da quelle collocate in uscita dal casello. Con l’acquisizione dei dati in uscita il sistema di elaborazione dati, attraverso una struttura dati pre-calcolata, provvedeva al computo del pedaggio sulla base delle informazioni trasmesse, individuando per ogni possibile combinazione di entrata ed uscita e tra più tratte alternativamente trasitabili quella concretamente percorsa dall’utente.
Attraverso la documentazione fornita al Garante le Società aveva dato dettagli sui tempi di conservazione delle immagini rilevate nei vari accessi e tragitti nonché sui titolari del trattamento di questi dati. In particolare le Società avevano specificato che le immagini riprese su percorsi che non avevano alternative transitabili o percorsi determinati direttamente tramite i dati veicolati dagli strumenti di telepedaggio, e per tale ragione non utili alla definizione dei tragitti, sarebbero state cancellate entro 48 ore dall’uscita della vettura dal casello autostradale. Diversamente avveniva per le immagini ritenute utili per la determinazione dei percorsi, queste, secondo quanto dichiarato dalle Società sarebbero state conservate per un arco temporale pari a sei mesi, al fine di garantire la massima trasparenza circa il calcolo del percorso e la rispettiva tariffa.
Con riguardo alla titolarità dei dati, le Società avevano dichiarato che queste sarebbero state trasmesse alle Società concessionarie a seconda della competenza esclusiva sulle varie tratte, dunque ciascuna Società aveva l’accessibilità ai dati relative ai tragitti di loro competenza senza possibilità di scambio o condivisione tra loro dei dati.
Di fronte a queste precisazioni fornite, il Garante si era espresso negativamente sulla legittimità del trattamento dei dati effettuato dalle Società. Secondo il Garante, infatti, il trattamento effettuato, tenuto conto delle concrete esigenze tecniche e operative che rendevano necessario ricorrere ad un monitoraggio così esteso del traffico sulla rete autostradale, appariva eccessivamente massivo.
A fronte di un tale esito negativo, le Società decidevano di integrare la documentazione fornita, rivelando ulteriori dettagli.
In particolare dopo aver spiegato che la necessità di calcolare il pedaggio corrispondente all’esatto ed effettivo itinerario effettuato dall’utente, e non secondo il criterio del percorso più breve, nasceva da un monito rivolto all’Italia dall’Unione Europea di ottemperare alle due direttive UE, le Società avevano rassicurato il Garante sulle modalità di informazione agli interessati del trattamento, specificando che tale informazione sarebbe avvenuta tramite apposita informativa di facile ed immediata reperibilità, volta a pubblicizzare il nuovo sistema di telepedaggio.
La decisione del Garante
Il Garante riesaminata la richiesta pervenuta dalle Società alla luce delle nuove informazioni ottenute, ritenendo che il sistema di monitoraggio descritto rispondeva ad un legittimo interesse delle Società, si è espresso favorevolmente dichiarando che il trattamento eseguito, e relativo ad un numero circoscritto di dati personali degli utenti, non era lesivo dei diritti e delle libertà fondamentali e della dignità degli interessati, ed era pertanto lecito, pur ponendo delle prescrizioni.
In particolare il Garante ha disposto che l’informativa agli interessati dovesse essere data con modalità atte a garantire agli interessati un’immediata visibilità anche notturna dando, altresì opportuno risalto alle finalità perseguite. L’informativa doveva, poi, essere pubblicata sul sito web delle Società concessionarie anche con un apposito link ad hoc e resa, eventualmente, anche attraverso soggetti terzi.
Volume consigliato
La tutela della privacy in ambito sanitario
L’opera mira a fornire agli operatori del settore sanitario, pubblico e privato, gli strumenti per comprendere in modo chiaro e semplice la copiosa normativa relativa al trattamento dei dati sanitari, in modo che gli stessi possano adempiere con tranquillità agli obblighi su di loro gravanti, volti alla cura e alla protezione dei dati personali dei loro assistiti. In particolare, l’Autore, dopo aver illustrato le caratteristiche principali dei dati sanitari, necessarie per poter individuare quali informazioni rientrano in detta categoria, si dedica all’esame di tutte le disposizioni che incidono sul loro trattamento: dal codice privacy fino al GDPR, passando per le linee guida adottate dal Garante nel corso degli anni in tema di dossier sanitario, siti web dedicati alla salute, referti on-line, indagini di customer satisfaction nonché per la normativa in tema di fascicolo sanitario elettronico. Il trattamento dei dati in ambito sanitario, in considerazione della delicatezza delle informazioni che riguardano lo stato di salute degli interessati, è sempre stato estremamente pericoloso. L’opera si rende ancor più utile oggi, in un mondo in cui anche nell’ambito sanitario i dati personali assumono un’importanza fondamentale e vengono trattati attraverso diversi strumenti tecnologici ed elettronici, rientrando la protezione di tali dati tra i principali adempimenti che i professionisti e le strutture sanitarie debbono curare per poter fornire le proprie prestazioni senza preoccupazioni di incorrere in responsabilità.Pier Paolo Muià Si è laureato in Giurisprudenza presso l’Università degli Studi di Firenze. Esercita la professione di avvocato tra Firenze, Prato e Pistoia, occupandosi in particolare di responsabilità medica, diritto di internet, privacy e IP. È autore di numerose pubblicazioni sulle principali riviste giuridiche nazionali e collabora stabilmente con il portale giuridico Diritto.it. È stato relatore in diversi convegni, anche per ordini professionali medici.
Pier Paolo Muià | 2018
Scrivi un commento
Accedi per poter inserire un commento