
L'Auto che Ti Conosce
Puntata 4 — Geopolitica su quattro ruote: come l'auto connessa è diventata terreno di scontro tra Stati Uniti, Cina ed Europa.
Questa puntata segue lo scontro geopolitico attorno ai dati automobilistici, con gli sviluppi legislativi delle ultime settimane — tra Stati Uniti, Cina ed Europa nessuno ha le mani pulite.
- Gli Stati Uniti hanno finalizzato a gennaio 2025 il bando a hardware e software cinese nei sistemi di connettività delle auto; nella primavera 2026 il Congresso ha introdotto due proposte di legge distinte per trasformare quel bando in legge permanente, più una terza proposta specifica per chiudere il "vuoto" delle auto cinesi che entrano dal confine con Canada e Messico.
- L'Unione Europea ha un approccio diverso, centrato sui diritti individuali: l'EU Data Act, in vigore dal settembre 2025, introduce per la prima volta un diritto esplicito degli utenti ad accedere ai dati dei propri veicoli.
- Il nodo dei trasferimenti dati UE-USA, già instabile, ha ricevuto una scossa fortissima proprio nelle ultime settimane: una sentenza della Corte Suprema USA di fine giugno 2026 mette in discussione l'intero impianto del Data Privacy Framework su cui si basano questi trasferimenti — compresi quelli generati dalle auto connesse.
- Un'incoerenza di fondo attraversa il dibattito americano: si teme che le auto cinesi raccolgano dati sui cittadini USA, ma le stesse identiche pratiche, condotte da costruttori americani sugli stessi cittadini, restano prive di una legge federale che le vincoli.
01 / L'America scopre che le auto sono infrastruttura critica
Nel febbraio 2024 la Casa Bianca ordina un'indagine governativa sui rischi per la sicurezza nazionale posti dai veicoli connessi di fabbricazione cinese. Il ragionamento: un'auto connessa è un dispositivo di raccolta dati e connettività in movimento. Se quel dispositivo usa hardware o software collegato a un governo straniero considerato avversario, diventa un potenziale vettore di spionaggio o sabotaggio.
02 / La minaccia che preoccupa Washington
Durante un'audizione al Congresso del dicembre 2025, il deputato John Moolenaar ha descritto uno scenario da libro di sicurezza nazionale: in caso di invasione di Taiwan da parte della Cina, funzionari americani in corsa verso il Pentagono potrebbero trovare strade bloccate se le auto di fabbricazione cinese frenassero o si arrestassero per un comando remoto. Non è fantascienza pura: gli stessi sistemi di aggiornamento over-the-air che permettono ai costruttori di migliorare il software a distanza potrebbero, in linea teorica, essere sfruttati per comandi non autorizzati — anche se nessuna fonte pubblica documenta, al momento di questa pubblicazione, un caso reale in cui ciò sia avvenuto.
03 / L'Europa: GDPR, Data Act e la partita aperta
L'Unione Europea ha un approccio strutturalmente diverso dagli USA: non parte dal paradigma della sicurezza nazionale ma dalla protezione dei diritti individuali. Il GDPR del 2018 si applica pienamente alle auto connesse, ma per anni l'applicazione nel settore automotive è stata lacunosa.
EU Data Act (Regolamento 2023/2854) — in vigore dal settembre 2025
Il Data Act introduce per la prima volta un diritto esplicito e vincolante degli utenti ad accedere ai dati generati dai propri veicoli e a condividerli con terze parti di loro scelta — non solo quelle selezionate dal costruttore. I produttori sono obbligati a fornire questi dati gratuitamente, in formato leggibile da macchina, senza ritardi ingiustificati. Inverte, almeno sulla carta, la logica attuale: i dati del veicolo appartengono anche all'utente, non solo al costruttore.
CNIL: linee guida sui veicoli connessi
L'autorità garante francese ha condotto una consultazione pubblica per definire linee guida GDPR specifiche per i veicoli connessi usati da privati, classificando i dati di localizzazione come dati altamente personali, capaci di rivelare luoghi frequentati, abitudini e aree di interesse — e quindi di consentire inferenze su affiliazioni religiose, orientamento sessuale e salute.
04 / Il nodo irrisolto: i trasferimenti UE-USA
Anche con GDPR e Data Act pienamente applicabili, il problema di fondo rimane: quasi tutti i principali costruttori (compresi quelli europei) conservano dati su server americani o li condividono comunque con entità statunitensi. Questi trasferimenti sono regolati dal Data Privacy Framework UE-USA, approvato dalla Commissione Europea nel luglio 2023 — successore del Privacy Shield, invalidato dalla sentenza Schrems II della Corte di Giustizia UE nel 2020, a sua volta successore del Safe Harbor, invalidato nel 2015.
05 / Il doppio standard americano
Un'incoerenza attraversa il dibattito statunitense sui veicoli connessi. Washington esprime allarme per la possibilità che auto cinesi raccolgano dati su conducenti e infrastrutture americane — una preoccupazione legittima, come visto sopra. Ma le stesse preoccupazioni non si applicano, con lo stesso rigore normativo, ai costruttori americani che fanno esattamente la stessa cosa con i propri utenti — come documentato nelle Puntate 2 e 3 — in assenza di una legge federale generale che li vincoli.
| Tutela | 🇺🇸 USA | 🇪🇺 Unione Europea |
|---|---|---|
| Legge federale/generale sulla privacy | Assente | GDPR, pienamente applicabile |
| Diritto di accesso ai dati del veicolo | Solo California (CCPA) | Sì, rafforzato dal Data Act (2025) |
| Diritto alla cancellazione | Non universale | Sì (art. 17 GDPR) |
| Limite obbligatorio alla conservazione | Assente | Sì, in linea di principio |
| Enforcement recente e verificabile | Sì — FTC e California, 2026 (Puntata 3) | Applicazione disomogenea tra Stati membri |
06 / L'Italia: il vuoto applicativo
Il Garante per la Protezione dei Dati Personali italiano non ha ancora condotto indagini sistematiche sui veicoli connessi paragonabili a quelle della CNIL francese. Il quadro normativo applicabile è il GDPR, ma nella pratica i conducenti italiani che volessero esercitare i propri diritti si trovano a interagire con strutture legali di costruttori stranieri, spesso domiciliati in Irlanda o Germania ai fini del GDPR.
L'Italia vende circa 1,5-1,6 milioni di auto nuove all'anno, la quasi totalità con sistemi connessi integrati. I costruttori con maggiore quota di mercato in Italia (Stellantis/Fiat, Volkswagen Group, Toyota) hanno tutti ricevuto la valutazione "Privacy Not Included" da Mozilla (Puntata 1).
