g-docweb-display Portlet

Trattamento di dati sensibili nell’ambito di un’attività di ricerca volta a migliorare la qualità e la sicurezza di sistemi e dispositivi per veicoli automobilistici - 5 ottobre 2017 [7297741]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 7297741]

Trattamento di dati sensibili nell´ambito di un´attività di ricerca volta a migliorare la qualità e la sicurezza di sistemi e dispositivi per veicoli automobilistici - 5 ottobre 2017

Registro dei provvedimenti
n. 392 del 5 otttobre 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, con la partecipazione del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali – di seguito Codice), con particolare riferimento agli artt. 4, comma 1, lett. d), 26 e 41;

CONSIDERATO che, ai sensi dell´art. 26, comma 1, del Codice, i soggetti privati possono trattare i dati sensibili solo previa autorizzazione del Garante e con il consenso scritto degli interessati, nell´osservanza dei presupposti e dei limiti stabiliti dal Codice, nonché dalla legge e dai regolamenti;

VISTO l´art. 41 che disciplina le richieste di autorizzazione;

VISTA l´istanza, da considerarsi quale richiesta di autorizzazione presentata ai sensi del citato art. 41 del Codice, dal Centro Ricerche Fiat (C.R.F. S.c.p.A.), con sede legale in Orbassano (TO), pervenuta inizialmente l´11 ottobre 2016 e successivamente integrata dalla società richiedente, relativa al trattamento dei dati sensibili che la società intende effettuare nell´ambito di un´attività di ricerca volta a migliorare la qualità e la sicurezza dei sistemi e dispositivi per i veicoli, attraverso la predisposizione di alcuni test e prove da sottoporre ad un gruppo di volontari che utilizzeranno sia i veicoli sia i simulatori di guida.

RILEVATO che C.R.F. S.c.p.A. (d´ora in avanti C.R.F.), società del Gruppo Fiat Chrysler Automobiles (brevemente gruppo FCA), promuove e realizza, in partenariato con diversi portatori di interesse pubblici e privati, numerosi progetti di ricerca e innovazione nel campo della mobilità sostenibile, collaborando di frequente con organizzazioni nazionali e comunitarie;

VISTO che anche il progetto di ricerca oggetto della presente istanza viene promosso nell´ottica di favorire "l´applicazione industriale dei risultati della ricerca", avendo sempre particolare attenzione al perseguimento concomitante di una "sostenibilità ambientale e sociale" insieme ad una "competitività economicamente sostenibile";

CONSIDERATO che, nello specifico, C.R.F. sarebbe interessato ad acquisire informazioni connesse alle condizioni fisiche ed alle reazioni comportamentali dei soggetti coinvolti nelle sperimentazioni, anche attraverso la raccolta di informazioni sensibili quali quelle relative alla frequenza cardiaca, all´attività muscolare, all´attività elettrica dell´encefalo, nonché alla conduttanza cutanea.

RILEVATO che il trattamento dei dati suddetti, eseguito unicamente per finalità di ricerca sperimentale, riguarderà soggetti che, su base volontaristica, e perciò previo consenso scritto, si renderanno disponibili ad eseguire le prove sperimentali;

CONSIDERATO che i soggetti a cui i dati si riferiscono potranno essere sia dei dipendenti che dei soggetti esterni all´azienda e che, specificatamente per i primi, l´attività condotta sarà estranea ed indipendente dal rapporto di lavoro in essere con C.R.F. o con il gruppo FCA;

RILEVATO che la Società ha predisposto un´informativa ex art. 13 del Codice da consegnare preliminarmente ai soggetti interessati con l´indicazione delle finalità e modalità di trattamento dei dati;

RILEVATO che ai sensi dell´art. 23 del Codice, C.R.F. ha approntato un modulo di richiesta di consenso scritto da sottoporre ai partecipanti alla ricerca, che sarà allegato alla predetta informativa. Tale manifestazione di consenso dovrà avvenire in modo esplicito, libero, informato e inequivocabile, avendo cura a tal fine di inserire all´interno dell´informativa una più specifica indicazione delle modalità di trattamento previste, da cui risultino, in particolare, chiare le procedure utilizzate ai fini della pseudonimizzazione dei dati di natura sensibile ed evidenziando i tempi di conservazione dei dati raccolti;

VISTO che C.R.F., titolare del trattamento dei dati, ha già provveduto a designare quali "incaricati" del trattamento i ricercatori ed i dipendenti, che eseguiranno la raccolta ed il trattamento dei dati personali, ai quali saranno fornite specifiche istruzioni in ordine all´utilizzo dei dispositivi di acquisizione e memorizzazione dei dati, nonché in relazione alle misure minime di sicurezza che dovranno essere attivate per la conservazione degli stessi dati;

VISTO che i sistemi informativi e i programmi informatici che verranno utilizzati sono stati già configurati in modo da minimizzare l´utilizzo di dati personali anche attraverso la pseudonimizzazione degli stessi;

VISTA la successiva comunicazione pervenuta da parte della società il 4 maggio 2017, in riscontro alla richiesta di chiarimenti formulata dall´Autorità con la nota del 17 febbraio 2017;

CONSIDERATO che, secondo quanto dichiarato da C.R.F., la durata dell´attività di ricerca è stimata in un periodo massimo di 36 mesi, e che la stessa sarà caratterizzata da specifiche prove sperimentali, svolte sia in ambiente virtuale di laboratorio che "su veicolo di sperimentazione";

RILEVATO che dette prove, indipendenti l´una dall´altra, saranno comunque contraddistinte da una fase di acquisizione dati e da successive elaborazioni e dovranno concludersi comunque ognuna entro sei mesi dalla raccolta;

RILEVATO che allo scadere di tale periodo i dati sensibili raccolti, per altro già soggetti a procedimento di pseudonimizzazione, "verranno cancellati in modalità sicura" (cfr. nota del 4 maggio 2014);

CONSIDERATO che C.R.F. non ritiene che i dati acquisiti nel corso delle prove sperimentali debbano essere comunicati a terzi, ma ove dovesse necessitare la predetta comunicazione avverrebbe solamente in forma aggregata e comunque "anoniminizzata";

RILEVATO che le misure di sicurezza adottate a tutela del trattamento dei dati personali e sensibili sono caratterizzate da una procedura specifica di separazione tra i dati sensibili memorizzati nel corso della prova e l´identità del soggetto da cui i dati stessi provengono;

CONSIDERATO che tale separazione sarà effettuata prima che il soggetto interessato si sottoponga ai test, attraverso un procedimento che prevede la sostituzione delle generalità del soggetto medesimo con un numero casuale, determinato da uno specifico algoritmo in grado di generare una sequenza di numeri non associati ai nominativi dei partecipanti;

VISTO che i soggetti coinvolti in ciascuna prova sperimentale dovranno conservare fino al termine del test il numero assegnato e che in caso di smarrimento di tale numero, non essendo possibile risalire all´associazione nominativo-dati raccolti (non esistendo file contenenti tali relazioni), saranno esclusi dalle successive fasi dell´attività di ricerca, con la conseguente cancellazione di tutti i loro dati, ancorché non più associati;

VISTO che per ogni singolo test, la raccolta dei diversi dati (frequenza cardiaca, attività muscolare, attività dell´encefalo, conduttanza cutanea), appartenenti ad un medesimo soggetto, sarà contraddistinta esclusivamente dal numero casuale che rappresenta l´unico riferimento di aggregazione dei dati raccolti nella singola prova;

RITENUTO che le finalità del trattamento appaiono lecite e che le modalità di effettuazione dello stesso appaiono rispettose del principio di necessità e proporzionalità (artt. 3 e 11, comma 1, del Codice), tenendo anche conto delle misure di pseudonimizzazione adottate;

CONSIDERATO che la presente autorizzazione si applica esclusivamente alla tipologia di trattamenti oggetto dell´istanza, così come rappresentati dalla Società;

VISTI gli articoli 31 e seguenti del Codice e il disciplinare tecnico di cui all´Allegato B) al medesimo Codice recanti norme e regole sulle misure di sicurezza;

VISTI gli atti d´ufficio;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Augusta Iannini;

TUTTO CIÒ PREMESSO, IL GARANTE

1. ai sensi dell´art. 41 del Codice, autorizza il Centro Ricerche Fiat (C.R.F. S.c.p.A.) a trattare i dati personali sensibili relativi allo stato di salute dei soggetti partecipanti alla ricerca di cui in premessa, nella misura in cui gli stessi risultino indispensabili per l´elaborazione dei risultati dei test di "usabilità", di simulazione di guida e di conduzione di veicolo.

2. ai sensi dell´art. 154, comma 1, lett. c) del Codice, prescrive a C.R.F., di integrare l´informativa di cui all´art. 13 del Codice , nei termini di cui in premessa.

Roma, 5 ottobre 2017

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia