L'App per la sicurezza urbana deve essere privacy by design

Comunicare ai media le performance della tecnologia di videocontrollo può diventare un boomerang per l'amministrazione comunale che non ha valutato anticipatamente tutti gli aspetti data protection.

Prima di avventurarsi nella promozione concreta di innovazioni tecnologiche che possono aumentare la sicurezza dei cittadini , il Comune deve necessariamente effettuare un'approfondita analisi dei rischi connessi in materia di protezione dei dati regolando bene anche i rapporti con i fornitori. E quando si tratta di sistemi particolarmente invasivi di videosorveglianza sarà sempre necessario redigere anche una valutazione di impatto. Lo ha chiarito il Garante per la protezione dei dati personali con il provvedimento numero 374 del 20 giugno 2024. Un capoluogo di provincia ha lanciato un'interessante applicazione in grado di comunicare ai cittadini registrati quando gli stessi siano entrati in una zona videosorvegliata fornendo ulteriori opzioni di dialogo proattivo. Il progetto, specificamente finanziato e approvato dalle forze di polizia dello Stato, è stato attivato senza una specifica e approfondita valutazione privacy e per questo motivo il DPO ha immediatamente suggerito al Comune di aprire un tavolo di confronto e approfondimento. Ma ormai era troppo tardi. Il contestuale comunicato stampa del municipio ha infatti attirato l'interesse dell'Autorità che nel mese di luglio 2022 ha avviato un'istruttoria. Molto utili si sono rivelati complessivamente i successi tentativi di correzione postuma dell'iniziativa suggeriti sia dal DPO che dal consulente appositamente incaricato. Infatti, come ripetutamente specificato dal collegio, anche se tardivamente il comune ha avviato una revisione della sua attività ponendo in essere una serie di azioni correttive a partire dalla sospensione dell'applicazione, fino alla regolazione privacy dei sistemi di videosorveglianza e dei rapporti con il proprio fornitore . L'attività istruttoria che si è conclusa con l'applicazione di una sanzione amministrativa solo a carico del titolare del trattamento ha quindi evidenziato che «l'applicazione informatica denominata … consentiva agli utenti di verificare la loro presenza in un'area sottoposta a videosorveglianza da parte del comune, nonché di inviare segnalazioni relative a possibili situazioni di degrado o di generico potenziale rischio - non tali da rendere necessaria una chiamata di emergenza - mettendo in evidenza per gli operatori della polizia locale, preposti alla visione delle immagini di videosorveglianza, gli specifici filmati trasmessi dalla telecamera presente sul luogo oggetto di segnalazione». Questa applicazione e l'intero sistema di videosorveglianza a parere del Garante sono stati attivati in violazione del regolamento europeo sulla protezione dei dati . Dalla ricostruzione dei fatti occorsi, prosegue il collegio, «emerge, pertanto, che il comune, a partire dal mese di dicembre 2021, ha messo a disposizione degli utenti l'applicazione informatica … nonostante la stessa non fosse stata ancora testata e, successivamente - nonostante le criticità di protezione dei dati in più occasioni evidenziate dal RPD e da un consulente esterno già a partire dal dicembre 2021 e poi in maniera più puntuale nel mese di aprile 2022 - ha continuato ad impiegare la predetta applicazione, fino all'11 luglio 2022, pur essendo pienamente consapevole di tali criticità». Ma non basta. «Le medesime considerazioni valgono anche con riguardo ai trattamenti di dati personali effettuati dal comune mediante il sistema di videosorveglianza comunale, rispetto al quale sia il RPD sia il consulente esterno avevano reso edotto il comune delle medesime criticità con riguardo ai profili di protezione dei dati personali. Il comune ha ciononostante continuato a tenere attivo il proprio impianto di videosorveglianza, pur essendo del tutto consapevole delle predette criticità. Soltanto nei mesi di giugno e luglio 2022 l'ente ha approvato il proprio regolamento sulla videosorveglianza e il progetto di c.d. sicurezza urbana integrata. Inoltre, come emerge da una nota del RPD del 6 luglio 2022, in atti, il comune non aveva stipulato un patto per l'attuazione della sicurezza urbana, mediante sistemi di videosorveglianza, con la prefettura territorialmente competente, del d.l. 20 febbraio 2017, numero 14 , non aveva proceduto a stipulare un accordo sulla protezione dei dati con il responsabile del trattamento e non aveva individuato gli autorizzati al trattamento . Alla luce delle considerazioni che precedono, deve concludersi che il comune ha agito in maniera non conforme ai principi di responsabilizzazione e protezione dei dati fin dalla progettazione e per impostazione predefinita, in violazione degli articolo 5, par. 2 e 25 del regolamento». Oltre alla carenza di una informativa adeguata il provvedimento si è infine concentrato sull' omessa regolazione tempestiva dei ruoli privacy del fornitore . E sulla mancanza di una preventiva valutazione di impatto privacy e di misure di sicurezza adeguate.

Garante Privacy, Provvedimento del 20 giugno 2024, numero 374