La creatività dei sindaci alla prova della protezione dei dati e delle reali attitudini comunali.
Prima di attivare un ambizioso progetto tecnologico sulla sicurezza urbana sarebbe preferibile effettuare una valutazione di impatto privacy con eventuale consultazione preventiva all'Autorità. Specialmente se si tratta di mettere in campo applicazioni che inducono il cittadino a confidare sul pronto intervento delle forze di polizia anche con l'impiego di droni. Sono queste le considerazioni pratiche più importanti che emergono dalla lettura del provvedimento 4 luglio 2024, numero 405 adottato dal Garante per la protezione dei dati personali. L'Autorità ha appreso da alcuni organi di stampa che, il comune di Treviso impiegava droni e un'applicazione informativa in grado di permettere ai cittadini di segnalare alla polizia locale anomalie e reati. In riscontro ad una specifica richiesta di informazioni, il Comune ha fornito tutti i dettagli del progetto. L'istruttoria dell'Autorità però, ha riscontrato una serie di irregolarità che hanno indotto il Garante ad applicare una sanzione a carico del Comune. Preliminarmente occorre rilevare, specifica il Collegio, «che diversamente da quanto ritenuto dal Comune, l'impiego di droni dotati di telecamere termiche, al fine di generare c.d. mappe di calore, sulla base delle quali possono essere disposti controlli de visu da parte delle pattuglie della polizia locale in servizio sul territorio, può comportare un trattamento di dati personali, anche relativi a reati. Com'è, infatti, emerso nel corso dell'istruttoria, sebbene non sia possibile riconoscere il volto dei soggetti ripresi, le immagini permettono comunque di visualizzare, con un discreto livello di definizione, le sagome e i movimenti degli stessi. Si tratta, pertanto, comunque di informazioni che, a seguito dell'eventuale identificazione dei presunti autori dei reati da parte degli agenti della polizia locale o delle forze dell'ordine intervenuti sul luogo, possono essere associate a persone fisiche identificate ed essere utilizzate come elementi di prova di fattispecie di reato. Deve poi evidenziarsi che, in attuazione dell'articolo 5, comma 3-sexies, del d.l. 18 febbraio 2015, numero 7, l'articolo 3 del decreto del Ministero dell'interno del 13 giugno 2022 prevede che le forze di polizia impiegano gli uas, sistemi di aeromobile senza equipaggio, ai fini del controllo del territorio per finalità di ordine e sicurezza pubblica, con particolare riferimento al contrasto del terrorismo e alla prevenzione dei reati di criminalità organizzata e ambientale. Il quadro normativo di settore non consente, pertanto, in via generale alle polizie locali dei comuni di impiegare droni, dotati di dispositivi video, per finalità connesse alla tutela della pubblica sicurezza, fatti salvi i casi in cui funzioni ausiliari di pubblica sicurezza siano delegate alla polizia locale dalle autorità competenti per specifiche operazioni». In buona sostanza i droni a disposizione della polizia locale non possono essere utilizzati per finalità diverse da quelle tipiche degli operatori municipali, ovvero la sicurezza urbana e il controllo del territorio. Per quanto riguarda l'applicazione messa a disposizione dei cittadini per segnalare problematiche e reati, a parere del Collegio «non avendo la polizia locale del Comune una competenza generale in materia deve ritenersi che il trattamento dei dati personali in questione sia stato effettuato in maniera non conforme ai principi di liceità, correttezza e trasparenza e in assenza di una base giuridica». E con errori importanti anche nell'informativa e nella qualificazione dei ruoli privacy. Nel corso dell'istruttoria, prosegue il provvedimento, «il Comune ha assunto il ruolo di responsabile del trattamento nel rapporto con la società, fornitrice dell'applicazione “TrevisoSicura”, qualificatasi come titolare del trattamento dei dati personali degli utenti di tale applicazione. Come riconosciuto dal Comune, l'ente avrebbe, invece, dovuto qualificarsi come titolare del trattamento, in quanto soggetto a cui sono riconducibili le finalità e i mezzi del trattamento e che ha determinato gli stessi. Per converso, il fornitore dell'applicazione avrebbe dovuto essere qualificato come responsabile del trattamento, avendo lo stesso trattato i predetti dati personali non già per proprie finalità, bensì per conto e nell'interesse del comune. Ciò premesso, deve rilevarsi che il Comune, in quanto titolare del trattamento, ha omesso di stipulare un accordo sulla protezione dei dati personali con il predetto fornitore, quale responsabile del trattamento».
Garante Privacy, provvedimento del 4 luglio 2024, numero 405