Una questione che apparentemente sembra andare contro il senso comune è il pronunciamento della Corte di Cassazione, con la recente sentenza 3446/2024, secondo cui l’installazione (non autorizzata) di un apparecchio GPS nell’auto di un ex congiunto, per ascoltarne le conversazioni, non configura reato ai sensi dell’art. 615-bis del Codice penale.
La questione è incentrata sul fatto che il primo comma di tale articolo prevede la punibilità di chi, mediante l’uso di strumenti di ripresa visiva o sonora, si procura indebitamente notizie o immagini attinenti alla vita privata ma solo se nei luoghi indicati nell’articolo 614 del Codice penale: quest’ultimo è relativo alla violazione di domicilio e prevede la punibilità di chi si introduce senza permesso nell’abitazione altrui, o in un altro luogo di privata dimora, o nelle appartenenze di essi.
Indice degli argomenti
Il pronunciamento della Corte di Cassazione
Ora, la Corte di Cassazione non ha ritenuto configurabile come privata dimora l’autovettura “in quanto spazio destinato naturalmente al trasporto dell’uomo o al trasferimento di oggetti da un posto all’altro e non ad abitazione (…) salvo che (…) esso, sia sin dall’origine, sia strutturato (e venga di fatto utilizzato) come tale, oppure sia destinato, in difformità dalla sua naturale funzione, ad uso di privata abitazione”. Quindi, se si fosse trattato di un camper, forse la decisione sarebbe stata diversa.
Ma tale pronunciamento non vuol dire che potremmo essere tutti impunentemente spiati. Fra i diversi commenti, nel prendere atto della decisione, si è anche evidenziato come a fattispecie analoghe al caso in esame potrebbero essere applicate altre fattispecie penali, come il reato di molestia (art. 660 CP) o, se invasive, quello di stalking (art. 612 bis CP). Insomma, c’è spazio per eventuali ulteriori seguiti in tribunale (sono reati querela di parte).
Ma alla discussione necessita aggiungere la riflessione su due argini più generali.
Il primo attiene al fatto che comportamenti come quello in parola possono ledere addirittura di un diritto costituzionale: l’art. 15 della Costituzione prevede, infatti, che “La libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione sono inviolabili. La loro limitazione può avvenire soltanto per atto motivato dell’autorità giudiziaria con le garanzie stabilite dalla legge”.
A seguire, l’art. 616 CP configura come reato fra l’altro il prendere “cognizione del contenuto di una corrispondenza chiusa, a lui non diretta” specificando che per corrispondenza va intesa quella “epistolare, telegrafica, telefonica, informatica o telematica ovvero effettuata con ogni altra forma di comunicazione a distanza”.
Quindi, sempre a querela di parte, una fattispecie come quella in premessa può ben essere perseguita.
Le automobili, fra GPS e Regolamenti UE: la normativa privacy
Il secondo argine attiene alla normativa privacy. L’art. 2 del GDPR (aspetto che non sempre si ha ben presente) afferma che la normativa “si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi”.
Al riguardo, come il nostro Garante privacy ha evidenziato, a proposito di una fattispecie incentrata sull’uso esterno di sistemi di videosorveglianza, “il considerando n. 18 del Regolamento specifica che si considera “attività a carattere esclusivamente personale o domestico quella effettuata senza che si realizzi una connessione con un’attività commerciale o professionale”.
Pertanto, l’utilizzo di sistemi di videosorveglianza da parte di persone fisiche nelle aree di diretto interesse (quali quelle esterne inerenti al proprio domicilio e le sue pertinenze) sono , in linea di massima, al di fuori dei vincoli privacy ma “a condizione che l’ambito di comunicazione dei dati non ecceda la sfera familiare del titolare e le immagini non siano oggetto di comunicazioni a terzi o diffusione e il trattamento non si estenda oltre gli ambiti di stretta pertinenza del titolare”.
L’installazione di un GPS in auto e il diritto alla privacy
Ma l’installazione di un GPS nell’auto di una persona e a sua insaputa è chiaramente un luogo che va oltre l’ambito di stretta pertinenza del titolare (del GPS, nel nostro caso) pertanto la questione alla base del pronunciamento della Corte di Cassazione potrebbe trovare protezione anche da parte del GDPR, interessando il Garante privacy, a dimostrazione che la protezione dei dati personali costituisce un diritto che si dimostra oggi sempre più essenziale.
Un diritto che può rappresentare un argine anche verso il potenziale abuso che potrebbero derivare, da parte dei produttori e fornitori, dalle nuove applicazioni digitali che interessano sempre più il mondo dell’auto.
Basti citare due Regolamenti UE finalizzati alla sicurezza stradale e delle persone:
- Regolamento UE 2015/758 (RUEeCall) che prevede l’impianto del cd sistema eCall per chiamare in automatico, oppure manualmente, il 112, tramite centri di raccolta delle chiamate di emergenza gestiti da una autorità pubblica o da un soggetto privato autorizzato. Il Regolamento riconosce la possibilità di sistemi privati analoghi (TPS eCall, già esistenti) che sugli autoveicoli possono essere anche compresenti ma non alternativi a quello pubblico (obbligatorio per le vetture la cui omologazione è stata approvata dal 31 marzo 2018); i due sistemi non possono inoltre scambiarsi dati.
- Regolamento UE 2019/2144 (RUESicProt) relativo ad alcune tecnologie di cui devono essere provvisti i veicoli afferenti alla sicurezza e protezione degli occupanti dei veicoli e degli altri utenti della strada, con l’obiettivo di ridurre in modo significativo il numero di decessi e di lesioni gravi sulle strade. Il Regolamento impone una dotazione base di tecnologie di sicurezza per le auto, ad es. l’adattamento intelligente della velocità o dispositivi di tipo alcolock o, ancora, il registratore di dati di evento (RDE).
Le tecnologie previste dalle due norme hanno evidenti connotazioni anche privacy.
Serve sempre il consenso dell’interessato
Infatti, con riguardo al RUEeCall fra l’altro è previsto che il sistema debba essere configurato per permettere la conservazione delle ultime tre posizioni del veicolo per quanto strettamente necessario a indicare la posizione attuale e la direzione di marcia al momento dell’evento e che il costruttore debba fornire informazioni chiare e complete nel manuale di istruzioni sul trattamento dei dati e sulle modalità per esercitare i propri diritti.
Per quanto riguarda l’eventuale analogo sistema privato pure installato dalla casa costruttrice, va da sé che il suo utilizzo può andare oltre la safety ed essere sia fonte di informazioni tramite i centri raccolta privati sia mezzo per fornire servizi commerciali (come la prenotazione di un ristorante), ovviamente (dovrebbe avvenire così almeno) previo consenso dell’interessato.
Con riguardo RUESicProt il RDE, apparentemente analogo alla cd. black box già in uso da anni nel settore automobilistico, deve essere in grado di registrare e memorizzare, per il periodo immediatamente prima, durante e immediatamente dopo una collisione, almeno la velocità del veicolo, la frenata, la posizione e l’inclinazione del veicolo sulla strada, lo stato e la frequenza di attivazione di tutti i suoi sistemi di sicurezza, il sistema eCall, l’attivazione del freno e qualsiasi altro parametro di input pertinente dei sistemi di bordo di sicurezza attiva e di prevenzione degli incidenti, nel rispetto del Regolamento UE 2016/679 (GDPR).
Tali informazioni potranno essere messe a disposizione delle autorità nazionali (da considerare titolari del trattamento?), mediante un’interfaccia standardizzata, in base alla legislazione nazionale o dell’Unione, soltanto ai fini della ricerca e dell’analisi in relazione all’incidente (fra cui, è da presumere, a fini di indagine giudiziaria).
Di contro, gli interessati non potranno accedere ai propri dati, salvo eventualmente in occasione di vertenze giudiziarie e tramite il giudice.
Conclusioni
Insomma, qui e ora, in Europa e con il GDPR, osserviamo un quadro articolato fra privacy e IT applicata alle auto, in cui alcuni dispositivi possono essere in doppia dotazione, una per le finalità pubbliche e normata dalla legge e una contrattualizzata e con prevalente motivazione in aspetti di business.
Tanta tecnologia, di tipo anche IoT, rende le nostre auto dei concentrati di tecnologia anche aperti alla rete: è importante quindi che nella impostazione delle applicazioni la cyber security venga tenuta ben presente.
Si tratta di una sovrapposizione di strumenti, finalità, ruoli che possono certo coesistere ma per che la quale occorre evitare che, sotto il profilo privacy, l’interessato resti confuso sull’effettivo trattamento – obbligatorio e/o per consenso – dei propri dati.
Ed è una, fra le tante situazioni, in cui i Responsabili per la protezione dei dati (RPD/DPO) possono svolgere un importante ruolo per orientare al rispetto della privacy i business delle organizzazioni di appartenenza, dai produttori ai fornitori di servizi.
Quando poi l’auto sarà (eventualmente) a guida autonoma tale questione diverrà centrale per diversi aspetti del nostro futuro: dalla gestione dei flussi di traffico all’inquinamento, dalla sicurezza stradale alla mobilità sostenibile.
Le opinioni espresse sono a titolo esclusivamente personale e non coinvolgono l’Istituzione di appartenenza dell’autore.