Introduzione

Il Regolamento generale sulla protezione dei dati (GDPR) influisce notevolmente sull'utilizzo dei dati personali all'interno di MoveYou. Tuttavia, la normativa sulla privacy presenta ancora molti aspetti non chiariti. Quando si parla di un rischio «elevato»? Quando MoveYou «nutre dubbi» sull'identità di un cliente e quali sono le «misure adeguate»? Queste sono solo alcune delle domande che possono sorgere quotidianamente. La presente informativa sulla privacy chiarisce questi termini attraverso quadri e criteri giuridici, con l’obiettivo di garantire una linea di condotta unitaria all’interno di MoveYou. MoveYou trae l’autorità per redigere politiche in materia dall’articolo 24, paragrafo 2, del GDPR.

MoveYou è consapevole che i propri servizi invadono in una certa misura la privacy dei propri utenti, dato che, dopotutto, viene tracciato il percorso degli utenti. Va sottolineato che gli utenti utilizzano i servizi di MoveYou volontariamente tramite registrazione, dopo aver ricevuto informazioni esaurienti prima di procedere. Il presente documento illustra come MoveYou tutela la privacy dei propri utenti e dipendenti, come intende gestire i dati personali e in che modo vengono applicate alcune norme generali del GDPR. In breve: il presente documento non contiene una ripetizione della legislazione già nota, ma un'interpretazione degli standard aperti e le risposte alla domanda su come MoveYou intende trattare i dati personali.

Per chiarire: la presente informativa non ha lo scopo di informare i clienti o i dipendenti in merito al trattamento dei loro dati personali. L'informativa sulla privacy destinata ai clienti è disponibile sul sito web, mentre quella destinata ai dipendenti è riportata nella guida per il personale.

Principi

Per MoveYou tutto ruota attorno ai dati. Quando si tratta di dati, MoveYou si attiene a una serie di valori fondamentali, che sono anche integrati nella politica etica. I valori fondamentali sono semplici:

• Trasparenza
• Attenzione
• Nessuna discriminazione
• Utilizzare l'intelligenza artificiale esclusivamente per la previsione dei comportamenti di viaggio e la verifica della solvibilità

Dipendenti

La sicurezza dei dati personali inizia dai dipendenti. In che modo MoveYou garantisce che i dipendenti trattino i dati personali con la dovuta cura?

• Una politica di assunzione adeguata (con l'eventuale richiesta di un certificato di buona condotta). I dipendenti sono a conoscenza di un rigoroso accordo di riservatezza che sottoscrivono al momento dell'assunzione. Inoltre, dichiarano di aver letto il manuale del personale, che include la presente politica e le 10 regole d'oro.

• Una politica interna sulla privacy che illustra le modalità di trattamento dei dati personali dei nostri dipendenti. MoveYou è convinta che prendersi cura dei propri dipendenti si rifletta positivamente anche sul trattamento dei dati personali dei nostri clienti.

• Le 10 regole d'oro per i dipendenti, riportate nella nostra guida per il personale:

1. Ricordati chestai trattando i dati personali di altre persone e comportati di conseguenza. Tratta i dati esattamente come vorresti che i tuoi dati fossero trattati da altri.
2. Assicurati dileggereattentamente la politica e le normedi MoveYouin materia di dati personali.
3. Tieni presente che i clienti hanno ildiritto diprendere visione dei propri dati personali, compreso il tuo indirizzo e-mail, se è presente. Se scrivi qualcosa sui clienti, fallo in modo tale che quell’indirizzo e-mail possa apparire anche sulla prima pagina del Telegraph domani.
4. L'integrità èfondamentale; non condividere i dati con altri a cuor leggero. Questo vale non solo all'interno di MoveYou, ma anche al di fuori dell'organizzazione.
5. Assicurati di avere unapassword sicura. Una passphrase è ancora meglio. Sostituisci le lettere con numeri e simboli. Qualcosa del tipo “M0bilityi$futur€22”, ma ovviamente diversa!
6. Se noti che i dati personali dei clienti non vengono trattati con la dovuta attenzione, parlane coni tuoi colleghi. Al contrario, sii aperto ai feedback e al cambiamento.
7. Hai dei dubbi sulla correttezza del tuo trattamento dei dati personali?Rivolgiti alladirezione o al responsabile della protezione dei dati all'indirizzo fg@moveyou.com.
8. Sospetti unaviolazione dei dati? Consulta il protocollo in materia (disponibile nella guida per il personale) e segnalala il prima possibile!
9. Finalmente! Nonlasciare documenti in giro sulla scrivania e chiudi a chiave il computer quando esci dall'ufficio.
10. Ultimo, ma non certo meno importante:dite la vostra! Avete idee su come gestire ancora meglio i dati insieme? Vi mancano delle informazioni? Condividetele!

Misure

Per garantire la sicurezza dei dati personali dei nostri clienti e dipendenti, vengono adottate le seguenti misure:

• Sicurezza fisica degli accessi all'interno e all'esterno dei locali tramite:
  • Fotocamere
  • Accesso tramite riconoscimento facciale
  • Accesso ad alcune aree chiave tramite impronte digitali
• Backup giornalieri sui server di Amazon
• Tabella delle autorizzazioni relativa al software e ai dischi del computer
• Controllo degli accessi autorizzati ai locali e al software
• Sensibilizzazione alla privacy e formazione sulla sicurezza.
• Linee guida sull'uso degli strumenti ICT
• Accordi di riservatezza per i dipendenti
• Accordi sul livello di servizio
• Verifica dei precedenti del personale (referenze e certificato penale, se necessario)
• Definizione dei ruoli, delle responsabilità e degli accordi con soggetti esterni in materia, ad esempio, di responsabilità civile
• Esecuzione delle valutazioni d'impatto ambientale (EPIA) e revisione annuale
• Obbligatorio per il comitato etico annuale e durante lo sviluppo di nuovi servizi e prodotti
• Politica sulle password
• Crittografia dei dati
• Autenticazione multifattoriale
• Hacking e test di penetrazione periodici
• Procedura in caso di violazione dei dati

MoveYou punta a ottenere la certificazione ISO nel corso del tempo. Inoltre, MoveYou intende implementare l'autenticazione a più fattori per la parte dell'app destinata agli utenti finali.

Trasparenza

Ai sensi degli articoli 13 e 14 del GDPR, MoveYou è tenuta a informare gli interessati su una serie di aspetti relativi al trattamento dei dati personali. MoveYou ha pubblicato un'informativa sulla privacy sul proprio sito web. Gli utenti vengono informati dell'esistenza dell'informativa al momento della registrazione e si impegnano a leggerla prima di utilizzare i servizi. Tuttavia, MoveYou non può garantire la piena trasparenza a causa di interessi concorrenziali. Infatti, se MoveYou rivelasse quali fonti (pubbliche) vengono utilizzate per tracciare i clienti, rivelerebbe così il proprio segreto commerciale. Poiché ciò non è del tutto in linea con l'obbligo di trasparenza previsto dal GDPR, MoveYou si impegna a essere il più trasparente possibile e l'elenco non è esaustivo, ma fornisce alcuni esempi. Tutto ciò al fine di garantire il rispetto dell'articolo 14, paragrafo 5, lettera B del GDPR. Qualora un cliente insistesse nel ricevere un elenco completo, MoveYou incontrerà il richiedente per discutere insieme le possibilità. MoveYou intende, oltre all'informativa sulla privacy scritta, illustrare tali informazioni anche tramite materiale visivo, ad esempio un video sul sito web.

Clienti e passeggeri

Vengono stipulati accordi di condivisione dei dati con ciascun Cliente e Co-rider. I Clienti e i Co-rider non devono essere considerati responsabili del trattamento (poiché agiscono sotto la propria autorità e a proprio nome¹), ma titolari del trattamento ai sensi del GDPR. Anche MoveYou si qualifica come titolare del trattamento e non come responsabile del trattamento per conto dell'altra parte per le stesse ragioni sopra menzionate. Inoltre, MoveYou stessa determina le finalità e i mezzi e ha inoltre una notevole influenza effettiva sul trattamento dei dati. Infine, nelle app viene sempre indicato che il servizio è fornito da MoveYou, il che significa che sia il Cliente, il Co-rider che MoveYou sono considerati titolari del trattamento (indipendenti) ai sensi del GDPR. Per questo motivo, un accordo di trattamento dei dati di cui all'art. 28 del GDPR non è obbligatorio. Poiché la legislazione e la giurisprudenza in materia di accordi di condivisione dei dati in situazioni diverse dal trattamento non sono ancora consolidate e in alcuni casi può sussistere una responsabilità congiunta di cui all'art. 26 del GDPR, gli accordi di condivisione dei dati vengono stipulati con ciascun cliente. A tal fine, MoveYou dispone di clausole standard che fanno parte del contratto principale, le quali sono state esaminate dall'ufficio legale. Se vengono stipulati accordi che si discostano da queste clausole standard o se il servizio si discosta da quello regolare, l'accordo viene sottoposto all'ufficio legale.

1 In contrasto con quanto previsto dall'articolo 28, paragrafo 1, del GDPR.

Valutazione dell'impatto etico e sulla privacy

Il GDPR impone ai titolari del trattamento di effettuare una valutazione d’impatto sulla protezione dei dati relativa al trattamento, in particolare quando questo comporta l’uso di nuove tecnologie. Inoltre, è richiesta una valutazione d’impatto sulla protezione dei dati (di seguito: DPIA) nel caso in cui si effettui una valutazione sistematica e completa degli aspetti personali delle persone fisiche basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che producono effetti giuridici per la persona fisica o che incidono in modo sostanziale sulla persona fisica in modo analogo.

Considerato l'uso dell'intelligenza artificiale, del tracciamento degli utenti e delle verifiche della solvibilità, MoveYou effettua questa valutazione d'impatto sulla protezione dei dati (DPIA). Non è possibile effettuare tale valutazione in modo comprensibile per la piattaforma nel suo complesso. Pertanto, l'analisi dei rischi viene effettuata separatamente sui seguenti servizi:

• Rifornimento
• Caricamento in corso
• Parcheggio
• Trasporto pubblico
• Pagamento posticipato (privati e aziende) o Dati sulla mobilità

MoveYou ha scelto non solo di mappare gli elementi richiesti dalla legge, ma anche di affrontare le questioni etiche. Dopotutto, i servizi non solo riguardano la privacy degli utenti, ma sollevano anche numerose questioni sociali ed etiche. Per questo motivo, MoveYou utilizza la denominazione «Ethical & Privacy Impact Assessment» (EPIA) per indicare la DPIA. Le EPIA sono un punto obbligatorio all’ordine del giorno del comitato etico e vengono riesaminate con cadenza semestrale.

Comitato etico

Data la delicatezza della questione e l'opinione pubblica sul tracciamento degli utenti e sull'intelligenza artificiale, MoveYou non intende implementare tali tecnologie in modo indiscriminato, sebbene la registrazione sia del tutto volontaria. Per questo motivo, MoveYou ha istituito un comitato etico che esamina annualmente i prodotti e i servizi di MoveYou e valuta se siano ancora eticamente accettabili in quel momento. Il comitato svolge tale attività avvalendosi dell'EPIA. Oltre alla revisione annuale, il comitato si riunisce anche quando vengono sviluppati nuovi servizi e prodotti, che vengono sottoposti a consultazione nelle prime fasi del processo nell'ambito dell'obbligo di "privacy by design"2. Il comitato etico è composto da 5 membri a rotazione, che non sono dipendenti di MoveYou, i quali vengono informati dalla direzione di MoveYou in merito al servizio e al prodotto in questione. Attraverso una votazione, viene formulato un parere autorevole che la direzione può ignorare solo con una giustificazione.

Responsabile della protezione dei dati

Il GDPR impone ai titolari del trattamento di nominare un responsabile della protezione dei dati (DPO) qualora siano principalmente incaricati di operazioni di trattamento che comportano il monitoraggio regolare e sistematico degli interessati (3). Considerata l'attività principale di MoveYou, è stata nominata a tale scopo la DPO, l'avvocato aziendale Elles Caroline Boer.

Protocollo in caso di violazione dei dati

MoveYou tratta quotidianamente dati personali. Nonostante la cura e le misure di sicurezza adottate, a volte possono verificarsi degli incidenti. In questo protocollo scoprirai cos’è esattamente una violazione dei dati, come prevenirla e come agire se ritieni di averne individuata una.

Che cos'è una violazione dei dati?

Si parla di violazione dei dati quando questi vengono cancellati, persi o modificati involontariamente. Ma anche quando vi è stato un accesso da parte di terzi o i dati sono finiti nelle mani di persone a cui non erano destinati. Lo sapevate che basta poco perché un evento venga considerato una violazione dei dati? Un destinatario sbagliato di un’e-mail o di una lettera, una stampa lasciata sulla stampante o allegati nascosti, filtri e schede in un file Excel inviato. Può succedere a tutti noi.

Cosa dovresti fare?

Segnalate al più presto alla direzione ogni sospetta violazione dei dati e rispondete alle domande riportate di seguito. Alcune violazioni dei dati devono essere segnalate all’autorità di controllo, ovvero l’Autorità olandese per la protezione dei dati (di seguito: DPA). Ciò deve avvenire rapidamente, ovvero entro 72 ore. È quindi importante segnalare ogni violazione dei dati il prima possibile. Il DPO (il responsabile interno, nel nostro caso Elles Caroline Boer) valuta innanzitutto se si tratta effettivamente di una violazione dei dati e, successivamente, se essa comporta un rischio significativo per le persone interessate e se queste ultime debbano essere informate. Vuoi sapere come il DPO valuta una violazione dei dati? Puoi leggere ulteriori informazioni al riguardo qui di seguito.

Questo non è l’unico motivo per cui è necessario inviare notifiche. MoveYou è tenuta per legge a registrare tutte le violazioni dei dati (4). In questo modo, l’AP può ritenerci responsabili qualora non avessimo segnalato una violazione dei dati quando avremmo dovuto farlo.

(3) Art. 37, paragrafo 5, del Regolamento generale sulla protezione dei dati (RGPD). 

(4) Art. 33, paragrafo 5, del GDPR.

Questionario da compilare per segnalare una (presunta) violazione dei dati al responsabile della protezione dei dati:

1. Quando e a che ora si è verificata la (presunta) violazione?
2. Quali tipi di dati personali sono stati divulgati? Ad esempio, nome, codice fiscale, dati finanziari, (copie) di documenti di identità, foto.
3. I dati trapelati erano crittografati e, in caso affermativo, in che modo?
4. Quanto è grande (circa) il gruppo di persone i cui dati sono stati divulgati?
5. In che modo si è verificata la perdita? Fornisci una descrizione dell'accaduto il più dettagliata possibile: cosa è successo?
6. La fuga di informazioni ha interessato terzi o singoli individui? In tal caso, si tratta di un fornitore o di un partner di MoveYou?
7. Dopo l'incidente, cosa avete fatto per porre rimedio o mitigare la violazione dei dati o l'incidente?
8. Quali potrebbero essere le possibili conseguenze per i dati? Ad esempio, un accesso non autorizzato, la mancata fornitura (temporanea) di un servizio, l'inesattezza dei dati o il loro utilizzo in modo improprio o illegale.
9. È possibile cancellare da remoto o rendere inaccessibili i dati personali trapelati? In tal caso, è già stato fatto?
10. Quali sono i potenziali danni per gli interessati? (Si pensi, ad esempio, alla discriminazione, al danno alla reputazione, al furto d’identità, alle frodi o alle perdite finanziarie).
11. La questione è stata risolta?
12. È possibile adottare ulteriori misure tecniche e/o organizzative per prevenire un incidente simile? Se sì, quali misure tecniche e/o organizzative?
13. Se aveste bisogno di ulteriori informazioni, come vi chiamate e a quale numero di telefono dell'ufficio potete essere contattati?

Come si può prevenire?

È una cosa ovvia, ma è importante ricontrollare sempre i destinatari della tua lettera o e-mail. Inoltre, è bene dare un'occhiata in più al contenuto e agli eventuali allegati. Basta essere consapevoli del fatto che si sta lavorando con dati personali e agire di conseguenza.

Violazione dei dati presso i partner

Potrebbe verificarsi una fuga di dati verso un soggetto con cui collaboriamo o a cui abbiamo affidato attività in outsourcing. Nei contratti stipulati con tali partner abbiamo definito le procedure da seguire in caso di violazione dei dati. Nella maggior parte dei casi, è stato concordato che venga contattato il responsabile della protezione dei dati (DPO) di MoveYou.

Valutazione della violazione dei dati

Il GDPR stabilisce quanto segue in merito alla segnalazione di una violazione dei dati: «Qualora si verifichi una violazione dei dati personali, il responsabile del trattamento deve segnalarla al titolare del trattamento senza indebito ritardo e, se possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che la violazione dei dati personali non sia tale da non comportare un rischio per i diritti e le libertà delle persone fisiche».

Che cos'è un rischio?

Si configura un rischio qualora la violazione dei dati possa causare un danno fisico, materiale o immateriale alle persone i cui dati sono oggetto della fuga. Esempi di tali danni includono la discriminazione, il furto d’identità o la frode, la perdita finanziaria e il danno alla reputazione. Qualora la fuga di dati riguardi dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, oppure dati personali che includono dati genetici o relativi alla salute o alla vita sessuale, o condanne penali e reati o relative misure di sicurezza, tale danno dovrebbe essere considerato probabile.

L'Autorità per la protezione dei dati (DPA) ha pubblicato delle linee guida su come valutare tale rischio. Se i dati personali sono stati inviati a un destinatario errato ma affidabile, ciò potrebbe significare che la violazione dei dati non costituisce più un rischio. Per «affidabile», secondo la DPA, si intende che si possa affermare con ragionevole certezza che il destinatario errato non intende arrecare alcun danno. Ad esempio, che il destinatario non faccia alcun uso dei dati ricevuti inavvertitamente e si attenga alle eventuali istruzioni, quali la distruzione o la restituzione degli stessi. La DPA indica sul proprio sito web che, ad esempio, una parte con cui esiste un rapporto commerciale, come un fornitore o un partner abituale, potrebbe essere considerata affidabile. Nel valutare un rischio dovuto a una violazione dei dati, si seguono le indicazioni della DPA.

Sulla base dei criteri sopra indicati, il responsabile della protezione dei dati (DPO) decide se un incidente possa essere considerato una violazione dei dati e se debba quindi essere segnalato all'autorità di controllo (DPA).

Notifica di una violazione dei dati all'interessato

Non tutte le violazioni dei dati segnalate all'autorità di controllo devono essere comunicate anche agli interessati; solo se la violazione è suscettibile di comportare un rischio elevato per i diritti e le libertà degli interessati, essa deve essere comunicata agli stessi.

Non è necessario comunicare una violazione dei dati all'interessato se:

• Sono state adottate senza indugio, e comunque entro 24 ore, misure tecniche e organizzative adeguate volte a mitigare i rischi;
• Sono state adottate senza indugio, e comunque entro 24 ore, misure volte a ridurre al minimo l'elevato rischio per i diritti e le libertà degli interessati;
• Effettuare tale comunicazione richiederebbe uno sforzo sproporzionato. Sarà invece sufficiente un annuncio pubblico o una misura analoga per informare gli interessati.

Diritti degli interessati

Ai sensi del Regolamento generale sulla protezione dei dati, gli interessati godono di diversi diritti in relazione ai propri dati personali. Di seguito vengono illustrati tali diritti, le eventuali limitazioni agli stessi e i motivi di rifiuto.

Gli interessati possono presentare a MoveYou le seguenti richieste o opposizioni:

• Diritto all'informazione (artt. 13 e 14 del GDPR)
• Diritto di accesso (art. 15 del GDPR)
• Diritto di rettifica e/o integrazione (art. 16 del GDPR) o Diritto all’oblio (art. 17 del GDPR)
• Diritto alla limitazione del trattamento (art. GDPR) o Diritto di opposizione (art. 21 GDPR)
• Diritto alla portabilità dei dati (art. 20 del GDPR)

Questi diritti fondamentali sono molto importanti, ma non sono assoluti. Ciò significa che a volte un altro diritto (fondamentale) ha la precedenza o che esistono motivi (legali) per limitare o negare tali diritti.

Restrizioni

Finalità del diritto di accesso

Il diritto di accesso dell'interessato non implica che MoveYou sia tenuta a fornire una copia dei documenti contenenti i dati personali. MoveYou può farlo, ma può anche optare per un'altra forma, purché tale modalità di fornitura consenta di soddisfare la finalità dell'accesso. Lo scopo dell'articolo 15 del GDPR è consentire all'interessato di informarsi sul trattamento e verificarne la liceità. Ovviamente MoveYou intende venire incontro ai clienti che desiderano semplicemente ricevere una copia di determinati documenti (e non intendono verificarne la liceità), ma si tratta di una forma di servizio al cliente che non è soggetta a termini di gestione e altre formalità legali.

Diritti e libertà altrui

Quando si dà seguito a una richiesta, i nomi dei terzi (come dipendenti o altri utenti) vengono resi anonimi o non vengono comunicati, al fine di tutelare i loro diritti e le loro libertà.

Onere della prova

Se l'interessato ritiene che la documentazione fornita sia incompleta e MoveYou abbia dichiarato che, a seguito di un'indagine, è emerso che un determinato documento non è (o non è più) disponibile e tale affermazione non appare inverosimile, spetta al richiedente dimostrare che è vero il contrario.

Altri motivi di rifiuto

Una richiesta può essere (parzialmente) respinta per motivi di sicurezza nazionale, ordine pubblico, prevenzione, individuazione e perseguimento di reati, nonché per la tutela dell'interessato o dei diritti e delle libertà altrui, o in base ad altre limitazioni di cui all'articolo 23 del GDPR.

MoveYou può rifiutare una richiesta qualora risulti manifestamente eccessiva oppure applicare una tariffa in tal caso. Data la mole di dati di cui MoveYou dispone e i tempi di elaborazione necessari, si considerano eccessive più di due richieste per anno solare. Una richiesta può inoltre essere respinta qualora non siano soddisfatti i requisiti preliminari, quali l’identificazione (di cui si parlerà più avanti).

Infine, una richiesta può essere respinta qualora si sospetti un abuso di diritto. Si ha abuso di diritto quando tale potere viene esercitato per uno scopo diverso da quello per cui è stato concesso; pertanto, lo scopo della richiesta può essere rilevante ai fini della valutazione dell’eventuale abuso di diritto. In caso di dubbio, verrà richiesta una spiegazione dello scopo. Esempi di abuso di diritto sono le richieste il cui scopo è contestare il licenziamento di un dipendente, dimostrare l’innocenza o avviare un contenzioso.

Politica di identificazione

Quando un interessato presenta una richiesta ai sensi del GDPR, viene verificata la sua identità per assicurarsi che la richiesta riguardi la persona corretta. MoveYou non richiede espressamente una copia di un documento di identità per prevenire il trattamento illecito. Nella maggior parte dei casi MoveYou dispone già di una grande quantità di dati personali del richiedente. In tal caso, vengono poste una serie di domande di verifica, preferibilmente per telefono, quali indirizzo, numero di targa, data di nascita, per stabilire che il profilo corretto corrisponda alla persona corretta. Se il dipendente di MoveYou nutre dubbi sull'identità del richiedente, ad esempio perché la voce non corrisponde all'età o al sesso o quando le risposte alle domande di verifica sono ambigue, il dipendente di MoveYou invita il richiedente a esibire un documento di identità valido presso l'ufficio di Franeker o Amsterdam. Se le circostanze non lo consentono, si cercherà di far esibire al richiedente un documento di identità tramite videochiamata.

Piano di monitoraggio

Al fine di garantire la privacy degli utenti e dei dipendenti, viene applicato il seguente piano di monitoraggio. Tale piano viene comunicato direttamente alla direzione e, se necessario, con cadenza annuale.