Quando il Comune adotta nuove tecnologie per migliorare la sicurezza dei cittadini, è fondamentale che non vengano trascurate le norme sulla tutela della privacy, soprattutto se si tratta di sistemi di videosorveglianza.
Questo principio è stato ribadito dal Garante per la protezione dei dati con il provvedimento n. 10028498 del 20 giugno 2024, relativo ad un applicazione utilizzata da un comune dell’Emilia-Romagna.
L’applicazione, permetteva ai cittadini di inviare segnalazioni alla Polizia locale riguardanti situazioni di degrado o di allarme sociale, non abbastanza gravi da richiedere una chiamata al 112. Una volta ricevuta una segnalazione, la Polizia locale poteva monitorare l’area interessata utilizzando le telecamere di videosorveglianza del Comune e inviare, se necessario, una pattuglia per verifiche.
Durante questo processo, venivano temporaneamente acquisiti la posizione GPS e il numero di telefono del segnalante. Inoltre, la Polizia locale aveva anche la possibilità di utilizzare droni per effettuare controlli nelle aree segnalate.
In merito al trattamento dei dati personali, il Comune era indicato come titolare del trattamento, mentre la società che aveva creato l’applicativo era il responsabile del trattamento. Tuttavia, il Garante ha riscontrato diverse violazioni delle normative sulla privacy.
Videosorveglianza, il Comune deve sempre valorizzare la tutela della privacy
Il Garante ha riscontrato due principali violazioni nei trattamenti di dati personali: una relativa ai dispositivi di videosorveglianza e una riguardante il sistema di segnalazione.
Videosorveglianza
Il Comune ha violato diversi articoli del Regolamento Europeo sulla protezione dei dati (GDPR). Queste violazioni sono state causate da un’unica condotta, che ha portato a una sanzione massima potenziale di 20 milioni di euro. Tuttavia, tenendo conto delle specifiche circostanze del caso, il Garante ha deciso di imporre una sanzione pecuniaria di 10.000 euro.
Le violazioni riscontrate riguardavano principalmente la mancata considerazione, da parte del Comune, dei principi di protezione dei dati durante la progettazione e l’implementazione del sistema di videosorveglianza. Nonostante le telecamere fossero state installate per finalità di sicurezza urbana, il trattamento dei dati personali dei cittadini non era stato adeguatamente regolamentato, né erano state messe in atto misure sufficienti per garantire il rispetto delle normative vigenti.
Sistema di segnalazione
Per quanto riguarda l’applicazione utilizzata per le segnalazioni, le violazioni hanno coinvolto vari articoli del GDPR. Anche in questo caso, la sanzione massima poteva arrivare fino a 20 milioni di euro, ma il Garante ha stabilito una multa di 5.000 euro, tenendo conto delle attenuanti e della cooperazione del Comune durante l’istruttoria.
Le violazioni relative al sistema di segnalazione includevano la mancanza di trasparenza verso gli utenti, l’assenza di misure adeguate per garantire la sicurezza dei dati trattati e la mancata valutazione dei rischi associati all’utilizzo dell’applicazione. Inoltre, il Comune non aveva stipulato un accordo di protezione dei dati con la società sviluppatrice, sebbene fosse stata definita una generica disciplina contrattuale riguardante la durata e la finalità del trattamento dei dati.
Le considerazioni finali dell’Autorità
Il caso in esame mette in luce una questione cruciale: la necessità di bilanciare l’adozione di nuove tecnologie con il rigoroso rispetto delle normative sulla privacy. Questo equilibrio è fondamentale per garantire che i benefici derivanti dall’innovazione non compromettano i diritti e le libertà fondamentali dei cittadini.
Importanza della privacy
Nell’era digitale, la raccolta e l’elaborazione dei dati sono diventate attività pervasive. Le amministrazioni pubbliche, così come le aziende private, utilizzano strumenti avanzati per migliorare l’efficienza dei servizi e la sicurezza delle comunità. Tuttavia, ogni innovazione tecnologica comporta anche rischi significativi per la privacy. La protezione dei dati personali non è solo una questione di conformità legale, ma rappresenta anche un aspetto critico della fiducia che i cittadini ripongono nelle istituzioni.
Principi fondamentali del GDPR
Il Regolamento Generale sulla Protezione dei Dati (GDPR) stabilisce principi fondamentali per il trattamento dei dati personali, tra cui:
- Liceità, correttezza e trasparenza: Il trattamento dei dati deve essere svolto in modo legale, equo e trasparente nei confronti degli interessati.
- Limitazione della finalità: I dati devono essere raccolti per scopi specifici, espliciti e legittimi, e non trattati ulteriormente in modo incompatibile con tali scopi.
- Minimizzazione dei dati: Devono essere trattati solo i dati adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per cui sono trattati.
- Accuratezza: I dati devono essere esatti e, se necessario, aggiornati.
- Limitazione della conservazione: I dati devono essere conservati in una forma che consenta l’identificazione degli interessati per un periodo di tempo non superiore a quello necessario per le finalità del trattamento.
- Integrità e riservatezza: I dati devono essere trattati in modo da garantire un’adeguata sicurezza, inclusa la protezione contro il trattamento non autorizzato o illecito e contro la perdita, la distruzione o il danno accidentali.
Impatti pratici e normativi
Il mancato rispetto di questi principi può portare a sanzioni significative e danneggiare la reputazione delle istituzioni coinvolte. Nel caso specifico, l’adozione di sistemi di videosorveglianza e l’utilizzo di un’applicazione per le segnalazioni ha evidenziato come l’innovazione possa entrare in conflitto con la normativa sulla privacy se non adeguatamente gestita.
La sanzione comminata dal Garante, sebbene inferiore alla massima prevista, sottolinea l’importanza di valutare attentamente i rischi per la privacy fin dalla fase di progettazione (privacy by design) e di garantire misure di sicurezza adeguate per proteggere i dati personali. La trasparenza nei confronti dei cittadini e la cooperazione con le autorità di controllo sono elementi chiave per mitigare i rischi e assicurare un trattamento dei dati conforme alle normative.
Il provvedimento del Garante
Fonte: articolo di redazione lentepubblica.it
