Il servizio MOve IN prevede l'installazione a bordo dei veicoli contemplati dalla misura di un dispositivo (c.d. "black box") in grado di fornire a Regione Piemonte i dati di percorrenza chilometrica reale, in modo da consentire a Regione Piemonte nuove modalità di controllo delle emissioni inquinanti.

MOve IN mira a limitare le emissioni inquinanti introducendo modalità innovative per il controllo delle emissioni degli autoveicoli attraverso il monitoraggio delle percorrenze, tenendo conto dell'uso effettivo del veicolo e dello stile di guida adottato. Il progetto avvia un servizio certificato, con l'ausilio di un'infrastruttura tecnologica atta ad offrire eque condizioni di mobilità ai cittadini, applicando limitazioni alla circolazione dei veicoli più inquinanti.

I dispositivi telematici installati sui veicoli ed il servizio di trasmissione e raccolta dei dati prodotti sono forniti da operatori privati (c.d. "Telematic Service Provider" di cui all'articolo 2, comma 1, lettera a) nell'ambito della convenzione approvata con determinazione dirigenziale n. 12/A1602B del 15 gennaio 2021, alla quale possono aderire solo gli operatori ritenuti idonei a conclusione della procedura istruttoria. Tale convezione prevede misure di sicurezza a garanzia di un corretto e sicuro trattamento dei dati personali.

Per tutto quanto non previsto si fa riferimento alle definizioni di cui al regolamento (UE) 2016/679.

La Regione individua, a seguito della definizione di adeguati standard tecnici, gli operatori TSP dotati di avanzate tecnologie ed in grado di prestare le più ampie garanzie di affidabilità e sicurezza per l'erogazione del servizio.

I rapporti tra la Regione e gli operatori TSP per la prestazione dei servizi necessari all'esecuzione del servizio MOve IN sono disciplinati da apposita convenzione.

Gli operatori TSP trattano i dati personali nella veste di Responsabili del trattamento di raccolta, elaborazione dei dati e trasferimento degli stessi alla Regione, tramite l'impiego di black box dedicate al servizio e secondo le istruzioni previste nell'ambito della sottoscrizione della convenzione e dell'atto di nomina del responsabile ai sensi dell'articolo 28 del regolamento (UE) 2016/679.

I dati personali trattati dagli operatori TSP per conto della Regione sono conservati all'interno di database separati e distinti rispetto ad altri database utilizzati per conservare dati riferiti ad eventuali ulteriori servizi aggiuntivi offerti dai TSP.

Al raggiungimento della soglia chilometrica concessa deve essere interrotta la raccolta dei dati delle percorrenze del veicolo.

I dati al di fuori delle aree geografiche a circolazione veicolare limitata considerate dalla misura MOve IN non devono essere mai raccolti, se tecnicamente possibile, oppure devono essere eliminati dagli operatori TSP in un momento immediatamente successivo alla raccolta.

Al fine di scongiurare rischi di utilizzo improprio dei dati raccolti nell'ambito del servizio MOve IN, gli atti di nomina del Responsabile del trattamento stipulati ai sensi dell'articolo 28 del regolamento (UE) 2016/679 con gli operatori TSP, contengono specifiche clausole aventi ad oggetto limitazioni nell'uso dei dati per finalità diverse da quelle del servizio, compreso il divieto di cessione a titolo oneroso o gratuito dei dati a terzi.

Gli operatori TSP, qualora raccolgano i dati personali tramite l'impiego di black box installate per l'erogazione di ulteriori servizi da loro offerti e non esclusivamente dedicate al servizio MOve IN, assumono la veste di titolari autonomi del trattamento per le operazioni di raccolta, elaborazione e trasferimento dei dati relativi alle percorrenze e alle velocità tenute dal veicolo a Regione Piemonte nell'ambito del servizio MOve IN.

La base giuridica legittimante per l'esecuzione di tali operazioni sui dati personali è costituita dall' articolo 6, comma 5 quinquies della l.r. 43/2000 .

Eventuali trattamenti eseguiti per finalità ulteriori, in relazione ai quali gli operatori TSP assumono la veste di titolari autonomi del trattamento, sono disciplinati con modulistica separata e distinta da quella utilizzata nell'ambito del servizio MOve IN e recante i contrassegni distintivi di ciascun operatore TSP, in modo da fare emergere con chiarezza la separazione tra le attività di interesse pubblico perseguite con il servizio e gli eventuali servizi commerciali concordati con l'utente.

Nelle ipotesi disciplinate dal presente articolo, gli operatori TSP si impegnano ad assicurare un elevato livello di protezione dei dati personali degli interessati, garantendo l'implementazione di misure di sicurezza, almeno pari a quelle individuate all'articolo 13, idonee a minimizzare il rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, avuto riguardo alla natura, all'oggetto, al contesto pubblicistico e alla finalità del trattamento, pur tenendo conto dello stato dell'arte e dei costi di attuazione.

I trattamenti dei dati personali eseguiti all'interno del servizio MOve IN sono effettuati in esecuzione dell' articolo 6, comma 5 quinquies della l.r. 43/2000 e di un interesse pubblico affidato dalla legge a Regione Piemonte, in qualità di Titolare del trattamento, in conformità all'articolo 6, comma 1, lettere c) ed e) del regolamento (UE) 2016/679, rappresentato dall'introduzione di un moderno sistema di limitazione delle emissioni inquinanti, basato su dati di percorrenza reale dei veicoli all'interno di specifiche aree delimitate nel territorio piemontese per tutelare la qualità dell'aria.

I trattamenti necessari per rispondere alle finalità che si intendono perseguire unitamente all'identificazione delle corrispondenti tipologie di dati trattati, sono riportati all'Allegato 1 nonché, secondo le previsioni di cui all'articolo 30 del regolamento (UE) 2016/679, nel Registro Trattamenti.

I dati sono trattati in modalità sia cartacea, sia automatizzata.

Tutti i soggetti che, agendo sotto l'autorità della Regione Piemonte, in qualità di Titolare del trattamento, o di Responsabile di quest'ultima, hanno accesso ai dati personali, sono adeguatamente istruiti in ordine alle finalità del trattamento e alle corrette modalità attraverso le quali porre in essere le operazioni di trattamento dei dati, che sono effettuate con l'ausilio di strumenti che consentono un accesso sicuro ai dati, nell'osservanza delle misure di sicurezza di cui all'Allegato 2.

Il servizio MOve IN prevede il trattamento connesso all'analisi degli stili di guida degli aderenti.

Tale analisi è condotta tramite la raccolta, attraverso dispositivi elettronici installati sui veicoli (black box), capaci di registrare e trasmettere gli eventi accelerometrici che caratterizzano nel complesso la guida dell'interessato, nonché la velocità tenuta dallo stesso durante la marcia. Il trattamento è giustificato dall'obiettivo, di rilevanza pubblicistica, di stimolare negli automobilisti stili di guida virtuosi capaci di limitare l'impatto in termini di emissioni nocive nell'ambiente e quindi di risultare eco compatibili.

In caso di utilizzo di black box dedicate al servizio, nella rilevazione del parametro relativo alla velocità, gli operatori TSP, in qualità di Responsabili del trattamento ai sensi dell'articolo 28 del regolamento (UE) 2016/679, devono calcolare esclusivamente se il veicolo viaggia entro la fascia di velocità chilometrica considerata dalla misura. I dati relativi alla velocità puntuale del veicolo di proprietà degli aderenti al servizio non devono essere mai raccolti, se tecnicamente possibile, oppure devono essere eliminati dagli operatori TSP in un momento immediatamente successivo alla raccolta.

Con determinazione dirigenziale, allo scopo di promuovere l'adozione di uno stile di guida eco compatibile, è introdotto un sistema di incentivi basato sull'attribuzione agli automobilisti di un bonus chilometrico aggiuntivo rispetto ai chilometri percorribili annualmente.

La Regione Piemonte, in qualità di Titolare del trattamento, comunica in maniera facilmente comprensibile e completa, all'interno delle informazioni da fornire all'interessato al momento della raccolta dei dati di cui all'articolo 13 del regolamento (UE) 2016/679, la logica e i criteri sui quali si basa il meccanismo di attribuzione automatica del bonus connesso ad uno stile di guida eco compatibile di cui al comma 4.

La Regione rende edotto l'interessato delle conseguenze del trattamento, fornendo, ove necessario, esempi reali e concreti dei possibili effetti al fine di chiarirne il contenuto.

Nell'esecuzione del trattamento di cui al presente articolo sono applicate garanzie adeguate a tutela dei diritti, delle libertà e dei legittimi interessi degli interessati.

Le garanzie di cui al comma 7 comprendono il diritto dell'interessato di ottenere una spiegazione della decisione ed il diritto di contestarla, nonché la predisposizione di una modalità semplificata per l'esercizio di tali diritti.

La Regione Piemonte, attraverso il gestore del sistema, cura, altresì, modalità idonee a prevenire errori ed inesattezze che potrebbero condurre ad un'errata attribuzione o al mancato riconoscimento dei bonus di guida.

I dati personali sono comunicati ai Responsabili del trattamento, nonché ai soggetti preposti ai controlli su strada, ai sensi dell' articolo 12 del d. lgs. 285/1992 , che agiscono in qualità di Titolari autonomi del trattamento e che sono abilitati all'accesso. I dati oggetto di comunicazione costituiscono, per ogni trattamento, il set minimo e strettamente necessario alla finalità del trattamento.

Per il perseguimento della finalità di monitoraggio dell'andamento complessivo del sistema MOve IN, in ottica di affinamento del servizio e di valutazione della sua efficienza ed opportunità, i dati personali sono appositamente anonimizzati.

I dati personali non sono diffusi in alcun modo.

I dati sono messi a disposizione dei soggetti responsabili attraverso un canale di comunicazione sicuro, all'interno di un dominio di sicurezza chiuso, specificatamente preposto a tale operazione. Il flusso di dati viene monitorato, anche in modo automatico, al fine di individuare e segnalare la presenza di eventuali anomalie intercorse durante le operazioni di trasmissione dei dati. I dati sono messi a disposizione tramite una piattaforma che applica tecniche di cifratura e disgiunzione dei dati.

I Responsabili esterni nominati ai sensi dell'articolo 28 del regolamento (UE) 2016/679, nonché i Titolari autonomi del trattamento, per quanto di competenza, utilizzano server ed infrastrutture tecnologiche site all'interno del territorio dell'Unione europea.

Configura trasferimento dati anche il mero accesso da remoto da un Paese terzo ai dati contenuti in server ubicati nell'Unione europea. Conseguentemente, fatta salva l'adozione di misure che impediscano l'accesso alle informazioni personali conservate nei predetti server e l'adozione di una specifica decisione di adeguatezza della Commissione europea, sono adottate le misure previste dall'articolo 46 del regolamento (UE) 2016/679 e, ove necessario, le eventuali misure supplementari (cfr. "Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data" del Comitato europeo per la protezione dei dati, attualmente in consultazione).

In ossequio al principio generale di minimizzazione del trattamento e nel rispetto dei criteri specificamente individuati, dall'articolo 5, comma 1, lettera e) del regolamento (UE) 2016/679, il tempo massimo di conservazione dei dati è individuato in un anno.

Esaurito il tempo di conservazione dei dati, gli stessi sono sottoposti a processi informatici o analogici tali da renderli definitivamente inaccessibili e inintelligibili.

Ai sensi dell'articolo 32 del regolamento (UE) 2016/679, la Regione Piemonte, in qualità di Titolare del trattamento, tenendo conto della tipologia dei dati trattati, dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, contemplando, altresì, i rischi di varia probabilità e gravità per i diritti e le libertà delle persone, individua le misure di sicurezza ritenute idonee a minimizzare i rischi e garantire la sicurezza del trattamento.

Le misure tecniche ed organizzative per il trattamento dei dati personali sono previste all'Allegato 2.

Le misure di cui al comma 2 sono dettagliate negli Atti di nomina riferiti ai singoli Responsabili del Trattamento.

Sono tenuti all'osservanza delle misure di cui al comma 2 la Regione Piemonte, i Responsabili da essa individuati e i soggetti a vario titolo tenuti agli obblighi del regolamento (UE) 2016/679.

Ogni successiva ed ulteriore modifica alle misure, determinata da modificazioni tecnologiche o per qualsiasi altra causa, è attuata con determinazione dirigenziale.

I Titolari del trattamento predispongono apposite soluzioni e procedure allo scopo di ridurre i rischi, e limitare le conseguenze, connessi ad eventuali ipotesi di violazioni dei dati. Tali procedure prevedono tempestive risposte nelle ipotesi di riscontrate violazioni e includono la gestione dei processi di notificazione all'Autorità Garante e di comunicazione all'interessato. In particolare, sono oggetto di notificazione al Garante per la protezione dei dati personali, senza ingiustificato ritardo e, ove possibile, entro 72 ore dalla conoscenza del fatto, tutte le violazioni dei dati, con la sola eccezione di quelle che non presentano un rischio per i diritti e le libertà delle persone fisiche.

La notificazione è eseguita in conformità all'articolo 33 del regolamento (UE) 2016/679 e alla deliberazione della Giunta regionale 28 settembre 2018, n. 1-7574 (Adempimenti in attuazione al regolamento (UE) 2016/679. Designazione degli incaricati e istruzioni operative. Disposizioni procedurali in materia di incidenti di sicurezza e di violazione di dati personali (Data Breach), adozione del relativo registro e modello di informativa). Qualora non sia effettuata entro 72 ore, è previsto che sia corredata degli specifici motivi che hanno causato il ritardo. Qualora la violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, i Titolari del trattamento provvedono a comunicare la violazione, senza ingiustificato ritardo, e con un linguaggio semplice e chiaro, anche all'interessato, adoperandosi in conformità, ed entro i limiti previsti, all'articolo 34 del regolamento (UE) 2016/679.

I Responsabili del trattamento nominati sono tenuti ad assicurare il pieno rispetto delle norme a protezione dei dati personali, definendo tempistiche stringenti (all'interno del termine di 72 ore di cui all'articolo 33 del regolamento UE 2016/679) entro le quali comunicare al Titolare eventuali incidenti di sicurezza che possano comportare una perdita di integrità, confidenzialità e disponibilità dei dati trattati.

Nel caso in cui insorgano variazioni del rischio rappresentato dalle attività relative al trattamento, il Titolare del trattamento, qualora necessario, procede a un riesame per valutare se il trattamento dei dati personali sia effettuato conformemente alla valutazione d'impatto sulla protezione dei dati, sulla base delle previsioni di cui all'articolo 35 , comma 11 del regolamento (UE) 2016/679.

Il presente regolamento è dichiarato urgente ai sensi dell' articolo 27 dello Statuto ed entra in vigore il giorno della sua pubblicazione sul Bollettino Ufficiale della Regione.