[doc. web n. 10019934]

Parere su schemi di decreto recanti la disciplina dell'attività delle piattaforme tecnologiche di intermediazione tra domanda e offerta di autoservizi pubblici non di linea, del registro pubblico nazionale delle imprese titolari di licenza per il servizio taxi effettuato con autovettura, motocarrozzetta e natante, e delle imprese titolari di autorizzazione per il servizio di noleggio con conducente nonché del foglio di servizio elettronico - 23 maggio 2023

Registro dei provvedimenti
n. 328 del 23 maggio 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – di seguito, Regolamento);

VISTO il d.lgs. 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali” (di seguito, Codice);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

Con note inviate in data 30 aprile, 7 e 15 maggio 2024, il Ministero delle infrastrutture e dei trasporti (di seguito, il “Ministero”), ha trasmesso:

a) lo schema di decreto del Presidente del Consiglio dei ministri, da adottare, su proposta del Ministro delle infrastrutture e dei trasporti e del Ministro delle imprese e del made in Italy, ai sensi dell'articolo 17, comma 3, della legge n. 400/1988, che disciplina l’attività delle piattaforme tecnologiche di intermediazione tra domanda e offerta di autoservizi pubblici non di linea, di cui all’articolo 1, comma 2, della legge n. 21/1992 (di seguito, “DPCM Piattaforme”);

b) lo schema di decreto che disciplina l’attivazione del registro informatico pubblico nazionale , istituito presso il CED del Dipartimento per i trasporti e la navigazione del Ministero, ai sensi dell'articolo 10-bis, comma 3, del decreto legge  n. 135/2018, convertito, con modificazioni, dalla legge 11 febbraio 2019, n. 12, nonché le modalità di accesso e di registrazione al medesimo registro da parte dei titolari di licenza per il servizio taxi e dei titolari di autorizzazione per il servizio di noleggio con conducente (di seguito, “Decreto RENT”);

c) lo schema di decreto, da adottare di concerto con il Ministero dell'interno, che disciplina le modalità di compilazione e tenuta del foglio di servizio in formato elettronico ai fini dello svolgimento del servizio di noleggio con conducente e i relativi allegati che costituiscono parte integrante del decreto (di seguito, “Decreto FDSE”).

La legge 15 gennaio 1992, n. 21 recante "Legge quadro per il trasporto di persone mediante autoservizi pubblici non di linea" (di seguito, “legge quadro”) ed in particolare l’articolo 11, comma 4, demanda la disciplina delle modalità di compilazione e tenuta del foglio di servizio in formato elettronico da parte del conducente ad apposito decreto del Ministero, di concerto con il Ministero dell’interno.

Il decreto-legge 14 dicembre 2018, n. 135, convertito, con modificazioni, dalla legge 11 febbraio 2019, n. 12, in particolare, all’articolo 10-bis, comma 3, primo periodo, prevede l’istituzione, presso il Centro elaborazione dati (di seguito, il “CED”) del Ministero, di un registro informatico pubblico nazionale delle imprese titolari di licenza per il servizio taxi e delle imprese titolari di autorizzazione per il servizio di noleggio con conducente  mentre, al comma 8, demanda ad apposito decreto del Presidente del Consiglio dei ministri, su proposta del Ministro delle infrastrutture e dei trasporti e del Ministro delle imprese e del made in Italy, da adottare ai sensi dell'articolo 17, comma 3, della citata legge n. 400/1988, la disciplina dell'attività delle piattaforme tecnologiche di intermediazione che intermediano tra domanda e offerta di autoservizi pubblici non di linea.

RILEVATO

Lo schema di decreto avente ad oggetto la “disciplina dell’attività delle piattaforme tecnologiche di intermediazione tra domanda e offerta di autoservizi pubblici non di linea ai sensi dell’art. 10-bis, comma 8, del decreto-legge 14 dicembre 2018, n. 135, convertito con modificazioni dalla legge 11 febbraio 2019, n. 12” ha lo scopo di disciplinare  l’attività di intermediazione, ovvero l’attività volta a favorire l’incontro tra la domanda e l'offerta di autoservizi pubblici non di linea mediante  “piattaforme tecnologiche”, da parte dei soggetti che forniscono il servizio taxi e gli NCC (come meglio definiti all’art. 1 dello schema di decreto). In particolare, lo schema di decreto si occupa di distinguere – per i profili che rilevano in questa sede - il ruolo e le attività svolte da vettore, conducente, utente, soggetto gestore e titolare della piattaforma, nonché l’organizzazione e il funzionamento delle piattaforme tecnologiche.

È prevista, inoltre, l’istituzione, nell’ambito del CED del Ministero, di una specifica sezione per l’iscrizione dei soggetti gestori, le cui modalità tecniche di iscrizione saranno disciplinate in un apposito provvedimento (articolo 7).

Per quanto concerne il profilo della protezione dei dati personali, lo schema di decreto individua i soggetti gestori come titolari del trattamento dei dati personali svolto ai fini dello svolgimento di attività di intermediazione volta a favorire l’incontro tra la domanda e l’offerta di autoservizi pubblici non di linea attraverso una piattaforma tecnologica; gli stessi assicurano che il trattamento sia effettuato nel rispetto delle disposizioni vigenti in materia di protezione dei dati personali di cui al Regolamento e del Codice e che il trattamento medesimo sia effettuato ai soli fini dell’esecuzione delle attività previste dal decreto; gli operatori di infrastrutture digitali, i fornitori di servizi cloud e gli ulteriori soggetti coinvolti nei trattamenti di dati personali operano come responsabili del trattamento ai sensi dell’articolo 28 del Regolamento, prevedendo misure tecniche e organizzative per fornire ai titolari del trattamento idonei strumenti di controllo delle attività effettuate sotto la propria responsabilità (articolo 9).

Lo schema di Decreto RENT, invece, stabilisce le modalità di attivazione del RENT, ovvero il registro informatico pubblico nazionale delle imprese titolari di licenza per il servizio taxi effettuato con autovettura, motocarrozzetta e natante, e delle imprese titolari di autorizzazione per il servizio di noleggio con conducente effettuato con autovettura, motocarrozzetta e natante a motore, istituito ai sensi dell'articolo 10-bis, comma 3, primo periodo, del citato decreto legge  n. 135/2018, convertito, con modificazioni, dalla citata legge n. 12/2019, nonché le relative modalità di accesso e di registrazione, individuando i soggetti abilitati ad accedere al RENT (articolo 4), (tra cui gli agenti di cui all’articolo 12 del decreto legislativo 30 aprile 1992, n. 285 (di seguito, “Nuovo codice della strada”), le imprese registrate, gli Uffici di motorizzazione civile del Ministero, il CED, ai fini della manutenzione e dell’evoluzione del RENT, i Comuni; nonché gli adempimenti e le modalità di iscrizione al RENT (articolo 5).

Per quanto concerne il profilo della protezione dei dati personali, lo schema di decreto (articolo 6) individua il Ministero quale titolare del trattamento dei dati personali effettuato mediante il RENT, che è tenuto ad assicurare il rispetto della normativa vigente in materia di protezione dei dati personali, con particolare riferimento al rispetto dei principi di protezione dei dati di cui agli articoli 5, 24 e 25 del Regolamento e che il trattamento dei dati personali sia effettuato ai soli fini dell’esecuzione delle attività previste dal decreto. Il Ministero può affidare specifiche operazioni di trattamento a soggetti terzi, che agiscono in qualità di responsabili del trattamento, previo accordo con gli stessi sulla protezione dei dati, ai sensi dell’articolo 28 del Regolamento (commi 1 e 2).

Nell’allegato B, che costituisce parte integrante dello schema di decreto, sono indicate le misure di sicurezza tecniche e organizzative.

Da ultimo, il Decreto FDSE disciplina le modalità di tenuta e compilazione del foglio di servizio elettronico messo a disposizione mediante una applicazione informatica messa a disposizione dei vettori NCC dal Ministero delle infrastrutture e dei trasporti - ai fini dello svolgimento del servizio di noleggio con conducente effettuato esclusivamente mediante autovettura o motocarrozzetta, ad esclusione dei servizi  di cui all’articolo 11, comma 5, della legge quadro, limitatamente al territorio del comune che ha rilasciato il titolo abilitativo, nonché dei comuni della Provincia di riferimento per i quali sussistono le condizioni di cui al medesimo articolo 11, comma 5, nonché allo svolgimento del servizio di noleggio effettuato mediante natanti e ai veicoli a trazione animale.

Relativamente alla tematica della protezione dei dati personali, lo schema di decreto (articolo 9) individua il Ministero quale titolare del trattamento dei dati personali effettuato mediante l’applicazione informatica, dovendo essere assicurato il rispetto della normativa vigente in materia di protezione dei dati personali, con particolare riferimento ai principi di protezione dei dati di cui agli articoli 5, 24 e 25 del Regolamento; il trattamento dei dati personali dovrà essere effettuato ai soli fini dell’esecuzione delle attività previste dal decreto. Il titolare del trattamento dei dati può affidare specifiche operazioni di trattamento a soggetti terzi, che agiscono in qualità di responsabili del trattamento, previo accordo con gli stessi sulla protezione dei dati, ai sensi dell’articolo 28 del Regolamento.

Nell’allegato 5, che costituisce parte integrante dello schema di decreto, sono indicate le misure di sicurezza tecniche e organizzative.

RITENUTO

Preliminarmente, si rappresenta che i predetti schemi di decreto sono oggetto di esame unitario poiché riguardano profili strettamente correlati tra loro, concernenti l’attuazione di un ampio quadro di riforma degli autoservizi pubblici non di linea.

Al riguardo, occorre precisare che la legge quadro di riferimento ha subito, negli anni, diverse modifiche, in particolare, l’art. 11, come modificato dall’art. 10-bis, comma 1, lett. e) del decreto legge n. 135/2018 (convertito, con modificazioni, dalla legge n. 12/2019), prevede per gli esercenti il servizio di NCC “l'obbligo di compilazione e tenuta da parte del conducente di un foglio di servizio in formato elettronico” che deve riportare, fra l’altro, “luogo e chilometri di partenza e arrivo; orario di inizio servizio, destinazione e orario di fine servizio; dati del fruitore del servizio”. In merito a tale riforma era stato già segnalato da questa Autorità, in data 16 maggio 2019, al Presidente del Consiglio dei Ministri e al Ministro delle infrastrutture e dei trasporti (in www.gpdp.it, doc. web n. 9114825 e 9114991), alcune criticità in ordine alla raccolta di dati personali relativi al soggetto che usufruisce dei servizi di noleggio (che, in sintesi, consentono l’identificazione dell’interessato e la tracciabilità del percorso effettuato).

Considerato, pertanto, che il trattamento di informazioni così delicate, quali l’ubicazione o gli spostamenti, possono essere suscettibili di disvelare anche dettagli sensibili della vita degli interessati, era stata suggerita, in sede di segnalazione, l’adozione di misure adeguate ed efficaci al fine di escludere o ridurre i rischi sia sotto il profilo della sicurezza informatica, sia riguardo alle modalità di conservazione dei dati riportati nel foglio di servizio e ai soggetti legittimati ad accedere alle informazioni o a coloro ai quali gli stessi possono essere comunicati.

Ciò premesso, vista la sentenza della Corte Costituzionale n. 56 del 26 marzo 2020, si rileva che il Ministero ha tenuto conto, anche in un’ottica di rispetto del principio di minimizzazione e di contenimento del rischio (artt. 5, par. 1, lett. c) ed f), e 32, del Regolamento), dei suggerimenti formulati nel corso di interlocuzioni informali con l’Ufficio volti ad attenuare eventuali rischi per i diritti e le libertà degli interessati, introducendo, nell’allegato 5 del decreto FDSE:

1) misure volte a mitigare l’impatto negativo sui diritti e sulle libertà degli interessati derivante dalla previsione contenuta nell’art. 11 della citata legge quadro, prevedendo, con riferimento al periodo di erogazione del servizio, che i dati identificativi degli utenti forniti al momento della prenotazione siano accessibili limitatamente al ciclo di vita del foglio di servizio generato ed esclusivamente da parte dei soggetti di cui all’articolo 12 del codice della strada di cui al d.lgs. n. 285/1992 e che, al momento della chiusura del foglio di servizio, i dati relativi all’utente siano pseudonimizzati senza ritardo, pur senza dettagliare esplicitamente le modalità tecniche di attuazione della predetta funzione di pseudonimizzazione;

2) misure volte a mitigare l’impatto negativo sui diritti e sulle libertà degli interessati derivante dalla previsione contenuta nell’art. 11 della citata legge quadro, prevedendo, con riferimento alle modalità di conservazione, che al termine del singolo servizio, i dati relativi agli utenti, al pari degli ulteriori dati, siano sottoposti ad una procedura di pseudonimizzazione,-pur senza dettagliarne esplicitamente le modalità tecniche di attuazione, - ferma restando la possibilità di accesso ai predetti dati,  in chiaro, solo ed esclusivamente per finalità di natura giurisdizionale; in tal caso ai fini dell’accesso è presentata istanza debitamente motivata da parte del soggetto legittimato a richiedere l’accesso in funzione delle predette esigenze di natura giurisdizionale e la direzione generale competente provvede ad autorizzare l’estrazione del dato esclusivamente per le finalità indicate;

3) misure volte a consentire, ai soggetti coinvolti nel trattamento (Comuni, gli organi di controllo, il personale autorizzato dal CED), l’accesso selettivo alle sole informazioni contenute nel foglio di servizio elettronico indispensabili per il perseguimento delle diverse finalità perseguite, nel rispetto del principio di minimizzazione di cui all’art. 5, par. 1, lett. c) del Regolamento, assicurando che le autorizzazioni e i permessi siano configurati secondo il principio del “minimo privilegio” e che gli utenti abbiano accesso solo alle sezioni e alle operazioni strettamente necessarie per le loro funzioni.

Inoltre, nella versione degli schemi di decreto e dei relativi allegati, il Ministero ha tenuto conto di alcune osservazioni formulate dall’Ufficio riguardanti i seguenti aspetti:

1) la puntualizzazione dei ruoli ricoperti dai soggetti coinvolti nel trattamento dei dati personali;

2) la necessità di garantire il rispetto dei principi in materia di protezione dei dati personali, di cui agli articoli 5, 24 e 25 del Regolamento

3) la definizione dei tempi di conservazione dei dati personali, nel rispetto del principio di “limitazione della conservazione” di cui all’articolo 5, par. 1, lett. e), del Regolamento, in particolare per quanto concerne la documentazione di ogni contratto concluso con gli utenti per servizi taxi o servizi NCC;

4) la necessità di adottare misure tecniche e organizzative al fine di assicurare un adeguato livello di sicurezza dei trattamenti, nel rispetto dei principi di “integrità e riservatezza” (articoli 5, parr. 1, lett. f) e 2 e 32 del Regolamento) integrando, in particolare le misure previste nei relativi allegati tecnici del decreto RENT e decreto FDSE;

5) la precisazione, anche al fine di indirizzare la prassi già esistente sul mercato, della necessità di garantire, da parte dei gestori delle piattaforme tecnologiche di intermediazione tra la domanda e l’offerta di autoservizi pubblici non di linea, il rispetto delle previsioni in materia di protezione dei dati personali anche in caso di attivazione, da parte del gestore della piattaforma, della funzione di geolocalizzazione del vettore taxi e del vettore NCC;

6) l’individuazione puntuale, nel Decreto RENT, delle informazioni oggetto di registrazione nel RENT, concernenti i contratti di durata di cui all’art. 3, comma 2, nel rispetto del principio di “minimizzazione” (art. 5, par. 1, lett. c) del Regolamento), e prevedendo altresì, nell’allegato 1) lett. c) del Decreto FDSE che, con riferimento ai contratti di durata stipulati dal vettore NCC, le informazioni che il predetto vettore è tenuto a fornire ai fini della registrazione sull’applicazione informatica riguardano i “dati” (seppur non dettagliati ma che, per coerenza, devono essere considerati coincidenti con le medesime informazioni oggetto di registrazione nel RENT), anziché la copia integrale dei contratti stessi;

7) il rafforzamento, anche prevedendo un periodo transitorio, delle procedure di autenticazione informatica per garantire il medesimo livello di robustezza delle modalità di accesso previste per i diversi utenti;

8) in ossequio al principio di minimizzazione, la previsione che il contenuto della PEC recante la “comunicazione di avvenuto invio della richiesta di iscrizione” non duplicasse i dati forniti in fase di iscrizione limitandosi a informare l’utente dell’avvenuto invio rimandando all’apposita funzionalità del RENT per visualizzare e scaricare le medesime informazioni;

9) la specificazione delle operazioni di trattamento disponibili per i diversi utenti del RENT;

10) l’indicazione dei tempi di conservazione dei dati del RENT, comprensiva di motivazione;

11) la riformulazione più puntuale delle misure tecniche e organizzative adottate dal titolare ai sensi dell’art. 32 del Regolamento, anche mediante il responsabile del trattamento del RENT;

12) la previsione di una procedura di autenticazione informatica a più fattori per gli accessi per attività di manutenzione da remoto tramite VPN;

13) la descrizione di dettaglio del rapporto tra le credenziali di accesso del vettore NCC e quelle dei suoi eventuali collaboratori, conducenti ovvero dipendenti e delle relative modalità di autenticazione per il decreto FDSE;

14) l’integrazione delle misure tecniche e organizzative di cui all’art. 32 del Regolamento nell’allegato 5 del decreto FSDE.

Con riferimento al decreto FDSE, per quanto concerne i tempi di conservazione, l’art. 7 del predetto decreto prevede che l’applicazione informatica conservi sia i fogli di servizio dotati di codice identificativo che i relativi dati per tre anni e che, per il medesimo periodo, i dati relativi al committente o utente di un foglio di servizio, siano accessibili ai fini dei controlli di cui alla lettera e) solo mediante codice identificativo (lett. l) ed m).

Sul punto, tuttavia, si osserva che l’art. 3, come modificato dall’art. 1, comma 153, della legge 24 dicembre 2007, n. 244, del decreto-legge 30 settembre 2005, n. 203 (convertito, con modificazioni, dalla legge 2 dicembre 2005, n. 248) prevede che “A decorrere dal 1° gennaio 2008 gli agenti della riscossione non possono svolgere attività finalizzate al recupero di somme, di spettanza comunale, iscritte in ruoli relativi a sanzioni amministrative per violazioni del codice della strada di cui al decreto legislativo 30 aprile 1992, n. 285, per i quali, alla data dell'acquisizione di cui al comma 7, la cartella di pagamento non era stata notificata entro due anni dalla consegna del ruolo”.

Pertanto, valuti il Ministero l’opportunità di rendere conformi i tempi di conservazione dei dati previsti dall’art. 7, lett. l) ed m) al termine di due anni stabilito dall’art. 3, come modificato dall’art. 1, comma 153, della legge n. 244/2007, del decreto-legge n. 203/2005 (convertito, con modificazioni, dalla legge n. 248/2005), nel rispetto del principio di limitazione della conservazione di cui all’art. 5, par. 1, lett. e), del Regolamento.

Si rileva, inoltre, che le modalità tecniche di attuazione della funzione di pseudonimizzazione dei dati dell’utente, da effettuarsi al momento della chiusura del foglio di servizio, non sono state esplicitamente dettagliate. Il testo del decreto FDSE (v. allegato 5 – art. 7) dovrebbe, dunque, essere arricchito sotto il profilo delle corrette modalità esecutive della pseudonimizzazione, così da assicurare alla previsione del trattamento la necessaria determinatezza. Pertanto, tenuto conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il Ministero dovrebbe individuare, ai sensi dell’art. 32 del Regolamento, misure tecniche adeguate per l’attuazione della funzione di pseudonimizzazione dei dati personali contenuti nel foglio di servizio, nel rispetto dei principi di integrità e riservatezza nonché di responsabilizzazione, di cui agli artt.  5, par. 1, lett. f), e 2, e 24 del Regolamento.

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 36, par. 4, e 58, par. 3, lett. b), del Regolamento, esprime parere favorevole:

a) sullo schema di decreto del Presidente del Consiglio dei ministri, su proposta del Ministro delle infrastrutture e dei trasporti e del Ministro delle imprese e del made in Italy, recante la “disciplina dell'attività delle piattaforme tecnologiche di intermediazione che intermediano tra domanda e offerta di autoservizi pubblici non di linea”;

b) sullo schema di decreto del Ministero delle Infrastrutture e dei trasporti, recante “le modalità di attivazione del registro informatico pubblico nazionale istituito presso il Centro Elaborazione Dati del Dipartimento per i trasporti e la navigazione del Ministero delle infrastrutture e dei trasporti, ai sensi dell'articolo 10-bis, comma 3, del decreto-legge 14 dicembre 2018, n. 135, convertito, con modificazioni, dalla legge 11 febbraio 2019, n. 12, le specifiche tecniche nonché le relative modalità di accesso e di registrazione al medesimo registro da parte dei titolari di licenza per il servizio taxi effettuato con autovettura, motocarrozzetta e natante e dei titolari di autorizzazione per il servizio di noleggio con conducente effettuato con autovettura, motocarrozzetta e natante a motore”;

c) e, sullo schema di decreto del Ministero delle infrastrutture e dei trasporti di concerto con il Ministero dell’interno, recante “le modalità di tenuta e compilazione del foglio di servizio elettronico ai fini dello svolgimento del servizio di noleggio con conducente effettuato esclusivamente mediante autovettura o motocarrozzetta e le relative specifiche tecniche con:

i) l’osservazione esposta nel “Considerato” volta sottolineare l’opportunità di  conformare i tempi di conservazione dei dati previsti dall’art. 7, lett. l) ed m) al termine di due anni stabilito dall’art. 3, come modificato dall’art. 1, comma 153, della legge 24 dicembre 2007, n. 244, del decreto-legge 30 settembre, n. 203 (convertito, con modificazioni, dalla legge 2 dicembre 2005, n. 248), nel rispetto del principio di limitazione della conservazione di cui all’art. 5, par. 1, lett. e), del Regolamento;

ii) la condizione esposta nel “Considerato” relativa all’esigenza di individuare misure tecniche adeguate per l’attuazione della funzione di pseudonimizzazione dei dati personali contenuti nel foglio di servizio, nel rispetto dei principi di integrità e riservatezza, nonché di responsabilizzazione, di cui agli artt. 5, par. 1, lett. f), e 2, e 24 del Regolamento, tenuto conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche ai sensi dell’art. 32 del Regolamento.

Roma, 23 maggio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei