Dalla Francia lo stop all’utilizzo dei sistemi GPS e sanzione di 125.000 euro per la società di noleggio di scooter elettrici CITYSCOOT

Dalla Francia lo stop all’utilizzo dei sistemi GPS e sanzione di 125.000 euro per la società di noleggio di scooter elettrici CITYSCOOT
Lo scorso 28 Marzo la Commission nationale de l'informatique et des libertés (“CNIL”), ha reso noto di aver emesso, con provvedimento del 16 Marzo, un ingente sanzione da 125.000 euro ai danni della società “CITYSCOOT”. Il provvedimento sottolinea come molteplici disposizioni GDPR violate hanno determinato un’eccessiva ingerenza nella privacy degli utenti attraverso sistemi di geolocalizzazione.

CITYSCOOT è una nota società che offre servizio di noleggio self-service di scooter elettrici tramite la propria applicazione mobile. Noleggiare uno scooter al bisogno, è infatti un’operazione semplice, basta creare un account personale sull’applicazione, e grazie al sistema di localizzazione conoscerne in tempo reale la posizione dello scooter più vicino. Il servizio è disponibile oltre che in Francia anche in Spagna e nelle maggiori città italiane.

Geolocalizzazione e privacy

Brevemente, i dati di localizzazione, o dati sulla posizione (anche conosciuti come “dati di mobilità”) sono le informazioni trattate da una rete di comunicazione elettronica o da un servizio di comunicazione elettronica che indicano la posizione geografica dell'apparecchiatura terminale (ad esempio, uno smartphone) di un utente del servizio di comunicazione elettronica. I dati trattati sono relativi a parametri quali latitudine, longitudine, altitudine, direzione di marcia; ora di registrazione della posizione.

Sebbene i sistemi di geolocalizzazione siano molto utili e sfruttati da molti degli applicativi che tutti noi abbiamo sui nostri device, scivolosa è la sua corretta applicazione con riferimento alla gestione degli aspetti di privacy e riservatezza degli utenti che le utilizzano. In effetti, tale tipologia di dati, pur non ritrovando una puntuale definizione nel GDPR, sono stati considerati dal GEDP (Comitato europeo per la protezione dei dati), già nelle linee guida del 2017, “dati altamente personali” nella misura in cui, la loro riconducibilità all’individuo impatta su un suo diritto fondamentale. In tale quadro si legge il provvedimento emesso.

Le violazioni

Già nel 2020, la CNIL, in qualità di autorità competente, aveva avviato proprie indagini sui sistemi di funzionamento dell’applicazione CITYSCOOT, essendo stata informata del fatto che gli scooter erano dotati di scatole elettroniche contenenti una carta SIM e un sistema di geolocalizzazione GPS. La società raccoglieva così, dati sulla posizione degli scooter ogni 30 secondi quando il CITYSCOOT era attivo e il suo cruscotto acceso (in movimento o pronto per la guida) e quindi già associato all’utente; mentre quando era inattivo (quindi spento e in quel momento non utilizzato) raccoglieva i dati sulla posizione del mezzo ogni 15 minuti. La società tratteneva anche una sorta di “registro dei viaggi”, tracciando i percorsi di ogni singolo mezzo. La CNIL, focalizzandosi su diverse aree tematiche prioritarie e connesse al sistema di geolocalizzazione tra cui raccolta dati, consenso ottenuto dagli utenti prima di trattare le informazioni tecniche sul loro telefono cellulare e/o computer, ha individuato una serie di violazioni tutte strettamente connesse, più nel dettaglio:

  • Violazione del principio di minimizzazione dei dati (art.5, par.1 lett. c):

a norma dell’articolo richiamato “i dati devono essere adeguati, pertinenti e non eccessivi rispetto alle finalità per cui vengono raccolti e utilizzati”.

La società in corso di istruttoria aveva reso noto, di raccogliere i dati di geolocalizzazione dei veicoli per vari motivi quali: l’elaborazione di infrazioni al codice della strada; elaborazione dei reclami dei clienti; l’assistenza agli utenti (per chiedere aiuto in caso di caduta); per gestire sinistri e furti.

Tuttavia, la CNIL dopo aver analizzato l'uso dei dati di geolocalizzazione per ciascuno degli scopi indicati da CITYSCOOT, aveva ritenuto che nessuno di questi giustificasse la raccolta in modo così dettagliato, come contrariamente fatto dalla società. Valutando anzi tale prassi come altamente invasiva nella vita privata degli utenti, in quanto in grado di rivelare i loro spostamenti, i loro luoghi di frequentazione o addirittura tutte le fermate effettuate durante un viaggio. Secondo la CNIL l'azienda avrebbe potuto infatti, offrire un servizio esattamente identico senza necessariamente geo localizzare i propri utenti in modo così costante.

  • Mancato rispetto dell'obbligo di fornire un quadro contrattuale completo per i trattamenti effettuati dal responsabile del trattamento dati (art. 28, par. 3)

La CNIL ha rilevato che tre dei contratti stipulati con i responsabili del trattamento dati di CITYSCOOT non contenevano tutte le informazioni richieste dal GDPR. Infatti, questi contratti devono includere una serie minima di clausole, ad esempio sui dati raccolti, sulle misure di sicurezza da implementare o sul destino dei dati in caso di risoluzione.

  • Mancata informazione all'utente e mancato ottenimento del suo consenso prima di scrivere e leggere informazioni sul suo dispositivo personale (articolo 82 della legge francese sulla protezione dei dati)

CITYSCOOT aveva utilizzato un meccanismo di reCAPTCHA, fornito da GOOGLE, per la creazione di un account sull'applicazione mobile, nonché per il login e per la procedura di password dimenticata sul sito web. Questo meccanismo raccoglieva informazioni hardware e software (come i dati del dispositivo e dell'applicazione) successivamente trasmessi a GOOGLE per l'analisi. Su siffatta attività la società non aveva fornito alcuna informazione agli utenti e ne aveva ottenuto il loro consenso preventivo, né per accedere alle informazioni memorizzate sul loro dispositivo né per scrivere informazioni su di esso.

In considerazione della gravità delle violazioni riscontrate, del numero di soggetti coinvolti (circa 250.000 nel 2022) ma anche delle misure adottate dalla società per porvi rimedio nel corso del procedimento l’Autorità ha ritenuto opportuno comminare la sanzione da 125.000 euro ai danni della società “CITYSCOOT”. La sanzione pubblicata dall’Autorità francese è stata assunta di concerto con quella italiana e spagnola in ragione della diffusione del servizio anche su questi territori.

Avv. Diletta Simonetti e Dott.ssa Rossella Taddei

Newsletter

Iscriviti per ricevere i nostri aggiornamenti

* campi obbligatori