NORME PRIVACY

Liceità e titolarità del trattamento in ambito pubblico: linee guida per la raccolta dati con nuove tecnologie

La raccolta dati effettuata mediante l’uso di nuove tecnologie installate, ad esempio, sulle autovetture circolanti sul territorio comunale richiede alcune attente riflessioni sulla liceità e sulla e titolarità del trattamento dei dati in ambito pubblico. Ecco alcune utili linee guida

15 Lug 2019
J
Gianluca Jesu

Privacy Officer di Regione Lombardia e Data Protection Officer di Arexpo


La liceità del trattamento in ambito pubblico trova fondamento in una norma di legge, in una finalità di rilevante interesse pubblico o per l’adempimento di un obbligo contrattuale o precontrattuale ai fini di rendere lecito uno specifico trattamento.

Partendo da questo presupposto, l’esistenza di una norma di legge non è di per sé sufficiente per legittimare quel trattamento in quanto in presenza di dati particolari l’art 2 sexties del D.lgs. 101/2018 prevede la pubblicazione di un atto di natura regolamentare.

Liceità e titolarità del trattamento: uso di nuove tecnologie

L’utilizzo di strumenti telematici nelle automobili circolanti sul territorio comunale al fine di contrastare e ridurre l’inquinamento atmosferico e controllare in tal modo la circolazione degli stessi veicoli evidenzia la necessità di riflessioni approfondite sulla titolarità del trattamento e la raccolta dei dati personali da parte delle società che installano su base volontaria le cosiddette “black box” sugli stessi veicoli circolanti.

Nella fattispecie in oggetto, il soggetto pubblico rende certamente lecito il trattamento con l’approvazione della norma di legge che prevede la finalità del trattamento, ma pone dei dubbi sulla titolarità e raccolta dei dati dei cittadini proprietari dei veicoli che acconsentono all’installazione della cosiddetta scatola nera.

Considerando pertanto evidente la titolarità del trattamento del soggetto pubblico che ha approvato la legge e dettato le regole dell’iniziativa, appare opportuno verificare la titolarità del trattamento rispetto alla raccolta dei dati (nome, cognome, numero targa veicolo e una serie di ulteriori dati anagrafici).

Se da un punto di vista interpretativo le società installatrici accreditate dal soggetto pubblico possono essere considerate titolari un quanto forniscono un’informativa e acquisiscono il consenso da parte dei cittadini, al tempo stesso può essere considerata rilevante in via esclusiva la titolarità del soggetto pubblico anche relativamente alla finalità di raccolta dei dati.

La stessa Autorità Garante sta rivedendo le linee guida del WP29 (il Working Party articolo 29, ora European Data Protection Board) sul ruolo del titolare e del responsabile soprattutto alla luce delle diverse e complesse situazioni che vedono coinvolti diversi attori che a vario titolo trattano dati anche a seguito dell’entrata in vigore della nuova normativa.

Nella fattispecie in oggetto, potrebbe essere ravvisabile la titolarità autonoma delle società installatrici della “black box” per la raccolta dei dati dei proprietari dei veicoli in luogo della designazione a responsabile del trattamento da parte del soggetto pubblico titolare dell’iniziativa, in quanto pare sussistere un margine di titolarità della suddetta società nella raccolta dei dati.

Entrambe le soluzioni potrebbero essere percorribili, soprattutto in ragione del fatto che l’utilizzo di tali strumenti innovativi comporta delle misure tecniche e di sicurezza che solo il soggetto installatore è in grado di presidiare e garantire in modo compiuto.

Le riflessioni su questo tema sono molto dinamiche, fluttuanti e spesso soggette a interpretazioni non semplici ma che, se certificate e rese accountability da parte del titolare, possono essere anche condivise con l’Autorità a fronte di possibili controlli.

Forse il nuovo provvedimento del Garante potrà fornire maggiore chiarezza e spunti applicativi rispetto a questa tematica.

Liceità e titolarità del trattamento: un caso specifico

FORUM PA 6 - 11 LUGLIO
Costruire la fiducia digitale: cybersecurity e privacy
Network Security
Privacy

Ulteriore approfondimento merita il caso di un’app per la raccolta dati realizzata dal titolare del trattamento e utilizzata dalla società informatica designata responsabile dal titolare che ha creato un’apposita piattaforma di gestione dei dati che prevede l’utilizzo e l’accesso da parte degli agenti di polizia locale tenuti, per finalità istituzionale, ai controlli sul territorio per eventuali infrazioni e violazioni del codice della strada.

In questo complesso contesto si innesca un’ulteriore problematica legata alla potestà sanzionatoria da parte del titolare per le reiterate violazioni e passaggi in zone vietate. In questo caso, appare di competenza esclusiva della polizia municipale il potere di applicare le sanzioni.

Il soggetto pubblico visualizza i dati relativi alla targa del veicolo unicamente in formato aggregato relativamente alle zone di passaggio in termini numerici al fine di applicare eventuali sanzioni.

Come si evince da questa iniziativa, i temi della titolarità e responsabilità aprono una serie di aspetti ancor più difficili da dipanare.

Sicuramente un’attenta DPIA correlata ad un’analisi dei rischi non possono essere sufficienti a sciogliere tutti i dubbi, ma sono sicuramente un primo importante elemento di valutazione sul trattamento effettuato dal titolare.

Altro elemento considerevole risulta la gestione tecnica e di manutenzione della piattaforma da parte della società designata dal soggetto pubblico.

Il flusso dei dati da parte delle società installatrici avviene in chiaro relativamente alla targa ma in formato aggregato per la parte relativa alle zone di percorrenza.

Le regole e le misure di accesso e visualizzazione sono dettate da parte del soggetto pubblico che ha stabilito regole e le modalità sia per gli operatori della società sia per gli operatori della polizia comunale.

A ciò si aggiunge la creazione dell’app per monitorare i transiti dei veicoli e la localizzazione degli stessi.

Al momento alcuni passaggi devono ancora essere formalizzati da parte del soggetto pubblico quali:

  1. sottoscrizione di protocolli con le forze dell’ordine per l’accesso alla piattaforma estendendo tale accesso a tutte le forze dell’ordine (carabinieri, polizia, polizia municipale ed altri eventuali soggetti);
  2. regole di accesso e profilazione alla piattaforma con l’individuazione della figura dell’amministratore di sistema, i ruoli e i compiti dei soggetti visualizzatori oltre alle misure tecniche di accesso alla piattaforma.

L’omologazione della “black box” deve necessariamente essere valutata da parte del titolare del trattamento. In tale contesto non appare così chiara e percorribile l’ipotesi di omologazione del dispositivo per la finalità indicata e per la finalità ulteriore di irrogazione delle sanzioni.

Il progetto presenta molte componenti di complessa lettura che vanno bel oltre la valutazione della titolarità del trattamento e comportano valutazioni relative alle competenze dei singoli attori spesso non così evidenti o piuttosto frammentate.

In questa fase di prima applicazione del GDPR di fronte a progetti così complessi e densi di contenuti tecnologici innovativi la possibile consultazione dell’Autorità può essere una soluzione percorribile anche se appare necessario e auspicabile un nuovo provvedimento o linee guida del Garante che focalizzino meglio queste tematiche.

Le soluzioni da sottoporre e condividere anche tramite una consultazione preventiva dell’Autorità possono essere riconducibili a questi passaggi necessari:

  1. testo normativo che indica la finalità del trattamento;
  2. approvazione da parte del titolare soggetto pubblico di un atto amministrativo (delibera) che preveda e indichi le modalità organizzative, tecniche, tempo di conservazione e diritti degli interessati;
  3. predisposizione degli atti di nomina a responsabili delle società installatrici e della società informatica;
  4. verifica delle modalità di gestione della piattaforma e dell’impostazione dell’analisi dei rischi sia per quanto riguarda il trattamento tramite app che tramite modalità elettronica;
  5. verifica della finalità ulteriore al fine dell’irrogazione delle sanzioni anche rispetto alla competenza attribuibile si comandi degli enti locali.

Alla luce di queste riflessioni e valutazioni che dovranno per motivi di opportunità essere condivise con l’Autorità Garante, si innescano valutazioni di altro genere aventi impatto comunicativo e mediatico nei confronti dei cittadini.

In questo contesto una corretta e trasparente comunicazione potrà essere il punto focale del progetto presentando in modo chiaro e trasparente le regole dell’iniziativa sia tramite modelli condivisi anche di informative ma anche di strumenti tecnologici (app) con contenuti e modalità di utilizzo semplici.

Conclusioni

L’utilizzo di tecnologie innovative quali la black box o di app non devono risultare un blocco alla realizzazione di progetti così importanti e innovativi ma devono necessariamente contemperare le esigenze di tutela della protezione dei dati che però in alcuni casi sono correlate ad aspetti di responsabilità e competenze non definite in modo così chiaro dalle normative di riferimento.

L’ auspicio di un nuovo orientamento o provvedimento del Garante sulla titolarità e responsabilità potrebbe risultare utile per comprendere in modo più chiaro i ruoli degli attori spesso non del tutto definiti.

La testimonianza di queste iniziative credo sia importante e la densità dei contenuti tecnologici ormai sempre più presenti in progetti e iniziative pubbliche e private devono conseguentemente determinare delle posizioni e orientamenti più precisi a livello nazionale ed europeo.

WHITEPAPER
Sicurezza: perchè puntare su un approccio zero trust?
Sicurezza
Sicurezza dei dati

Ritengo da ultimo essenziali la condivisione e la massima trasparenza a questo progetto per costruire un necessario processo di adeguamento della nuova normativa alle pressanti e continue esigenze tecnologiche.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4