Si stima che il mercato delle connected cars genererà un volume d’affari di 131,9 miliardi di dollari entro il 2019 con un tasso di crescita del 34,7% dal 2013 al 2019. Ma tale crescita dovrà affrontare delle problematiche legali non solo in materia di privacy e trattamento dei dati personali, ma anche con riferimento alla responsabilità da prodotto, gli obblighi in materia di normativa sulle telecomunicazioni, sicurezza e rischi di perdita di dati.
Le connected car sono una sottocategoria dell’Internet of Things relativa a tipologia di tecnologie che, ad esempio, impediscono il verificarsi di incidenti stradali identificando il posizionamento degli altri veicoli intorno all’auto o monitorando le condizioni corporee del guidatore al fine di evitare incidenti dovuti al suo stato di sonnolenza. Allo stesso modo, comprende auto cosiddette self-parking dotate di tecnologie tali da consentirgli di parcheggiarsi da sole e self-driving come nel caso della Google car. Inoltre, le connected car possono interagire non solo con il sistema di gestione del traffico di alcune città al fine di determinare il migliore percorso per arrivare alla propria abitazione o il più vicino parcheggio disponibile, ma anche con le tecnologie c.d. smart home accendendo ad esempio il proprio termostato quando l’auto è a 20 minuti di distanza dalla abitazione del guidatore.
Questo è un mercato di dimensioni enormi non solo per i produttori di auto e i original equipment manufacturers (OEM), ma anche per esempio per imprese assicurative che monitorano le auto al fine di determinare le responsabilità in caso di incidenti e ridurre la propria esposizione a possibili responsabilità. Tuttavia quali sono le problematiche legali per le connected car?
Obblighi in materia di privacy
Data la stretta interazione tra le connected car e i propri guidatori, le problematiche in materia di trattamento dei dati personali per le connected car sono simili a quelle già affrontate in precedenza con riferimento all’Internet of Things.
I dati generati tramite l’utilizzo delle connected car sono intesi quali “dati personali” se possono indentificare direttamente o indirettamente un individuo. E la questione è anche più complessa con riferimento alle connected car. Infatti, auto più che altri dispositivi possono essere utilizzate da più utenti. E a causa di tale peculiarità, è necessario richiedere un consenso al trattamento dei dati personali ogni volta che l’auto viene accesa? E se il consenso è necessario per utilizzare alcune funzionalità dell’auto, si dovrà intendere rientrante tra le eccezioni alla necessità del previo consenso o un consenso libero dovrà essere in ogni caso garantito? E di conseguenza tale consenso non può essere obbligatorio per utilizzare delle funzionalità di base dell’auto?
Inoltre come è possibile utilizzare i dati generati dalle connected car? Chi è il proprietario dei dati? Ci sono infatti molti soggetti coinvolti quali il proprietario dell’auto, i guidatori, i rivenditori, gli OEM e i produttori d’auto. Chi dovrà avere il controllo dei dati generati tramite le connected car? Chi è il titolare del trattamento?
Infine, in caso di auto di produttori extracomunitari ci potrebbe essere il problema ulteriore del trasferimento dei dati. Nel caso in cui i produttori desiderino che i dati raccolti tramite le connected car siano trasferiti al di fuori dello Spazio economico europeo, devono chiedere il consenso degli utenti o fare affidamento sugli strumenti legali come le c.d. standard contractual clauses?
La risposta al quesito sopra esposto dipende dalle particolarità delle specifiche circostanze del caso anche tenendo conto che le autorità privacy non hanno ancora preso alcuna posizione ufficiale sull’argomento fatta salva la recente opinione del c.d. Article 29 Working Party sull’Internet of Things.
Obblighi in materia di normativa delle telecomunicazioni
Ho discusso in precedenza degli obblighi in materia di telecomunicazioni dell’Internet of Things e con riferimento alle connected car il problema è se i produttori di auto e/o gli OEM siano soggetti alla normativa sulle telecomunicazioni.
Infatti qualora fossero considerati come fornitori di servizi di comunicazione elettronica ai fini della normativa sulle telecomunicazioni, il problema è se siano tenuti a detenere una licenza/autorizzazione generale da parte delle autorità competenti. E ciò comporterebbe l’applicabilità degli obblighi dettati dalla normativa sulle telecomunicazioni che è molto onerosa per un soggetto che non è un operatore di telecomunicazioni. E tali obblighi possono sembrare sproporzionati vista la tipologia di dati trattati.
Inoltre, visto che la maggior parte dei produttori di auto vendono i propri veicoli a livello globale, dovranno conformarsi alla normativa sulle telecomunicazioni di tutti i luoghi in cui le loro auto sono vendute? La frammentazione della normativa in materia può diventare una notevole barriera alla crescita di tali tecnologie.
Queste sono alcune delle problematiche che l’AgCom e l’autorità inglese OFCOM stanno analizzando quale parte delle proprie consultazioni sull’Internet of Things e – sulla base delle discussioni avute con loro – cercheranno di adottare le misure volte a superare tali ostacoli.
Rischi da cybercrime
Visto il volume di dati trattati dalle connected car, il problema riguarda anche come tali dati possano essere protetti contro i rischi di cyber attacchi. Inoltre questi dati saranno conservati nei veicolo o saranno trasferiti in una banca dati in cloud? Quali misure di sicurezza dovranno essere adottate per proteggere le connected car dagli hackers?
Come già discusso con riferimento all’Internet of Things, le risposte a tali domande non possono essere trovate nella normativa di settore. Il Garante è stato spesso molto dettagliato circa le misure di sicurezza da adottare per proteggere i dati dagli accessi non autorizzati. Tuttavia il livello delle misure di sicurezza da adottare aumenteranno con l’aumento della sensibilità dei dati trattati tramite le connected car.
Inoltre, il nuovo regolamento europeo in materia di privacy estenderà a qualsiasi tipologia di trattamento dei dati personali l’obbligo di notificare i c.d. data breach introducendo un obbligo ulteriore per i produttori di auto.
Responsabilità per incidenti
L’attuale normativa prevede che i proprietari dei veicoli sono in genere responsabili per gli incidenti causati dai propri veicoli e sono obbligati ad adottare una copertura assicurativa. Tuttavia, nel caso delle self-driving car ci sarà una responsabilità dei produttori dei veicoli? Si dovrà disciplinare la questione dal punto di vista contrattuale tra i produttori e gli acquirenti? Questi incidenti ricadranno nell’ambito della normativa sulla responsabilità da prodotto che vieta limitazioni di responsabilità?
Inoltre sarà interessante vedere che tipologia di controlli e approvazioni saranno richieste dalle autorità competenti prima di consentire la vendita di tale tipologia di veicoli. E questo potrebbe essere uno dei principali problemi che rallenteranno il lancio di veicoli come la Google driverless car.
Quanto indicato in precedenza rappresenta solo parte delle problematiche legali relative alle connected car che tratterò durante la mia presentazione sull’argomento alla conferenza Connected Automobiles 2014 che si terrà a Torino il 12 e 13 novembre e spero di avere l’opportunità di discuterne con voi in questa occasione.
Facebook Comments