Nella notte di domenica 15 dicembre un "ransomware" ha colpito il sistema informatico del Comune di Spoleto, città italiana della provincia di Perugia che conta circa 37mila abitanti.
Per le regioni italiane è ancora molto lontano il traguardo dell'adeguamento alla privacy europea. Dalla indagine della Global Privacy Enforcement Network (Gpen) per il 2018 risulta che il 48% delle Regioni non ha policy e procedure per la gestione di richieste e reclami da parte degli interessati; il 20% delle regioni non ha ancora adottato una procedura interna per la gestione dei dati; addirittura il 58% non ha processi documentati per la valutazione di impatto.
Campanello di allarme per imprese e P.a.: devono scegliere un bravo Dpo (responsabile della protezione dei dati) e devono metterlo in condizione di lavorare. Altrimenti rischiano di pagare salate sanzioni amministrative per violazione della privacy. Come è successo a una serie di imprese ed enti lussemburghesi, puniti dal garante nazionale della privacy (Cnpd) con una lenzuolata di deliberazioni. Le sanzioni irrogate sono comprese nella fascia da 10 mila a 20 mila euro e seguono alla violazione degli articoli 37, 38 e 39 del regolamento Ue sulla protezione dei dati n. 2016/679, noto come Gdpr.
L'Asl Rm3 della Regione Lazio di Nicola Zingaretti aveva avuto l'ultima delle ideone sul Covid: per questo week end era pronta a lanciare sul cielo di Ostia un drone in grado di misurare a distanza la temperatura dei bagnanti. Sarebbe planato sulla riva del mare e sulla testa di chi ignaro era lì per prendere l'ultimo scampolo di tintarella. Quindi un controllo a distanza della gente non chiesto né previsto dalle leggi vigenti, che riporta indietro agli albori della pandemia con quei droni che in un filmato implacabilmente inseguivano una contadina coreana intimandole di rientrare a casa e non uscire per i campi.
Con il provv. 12 maggio 2022 n. 174, l’Autorità garante per la protezione dei dati personali ha sanzionato per seimila euro un Comune all’esito di un’istruttoria con cui ha accertato l’illiceità di un trattamento di dati personali e, per la prima volta, la mancanza di una valida designazione di un responsabile della protezione dei dati.
Alla p.a. non si applica la portabilità dei dati e neppure il legittimo interesse. E la base giuridica per i trattamenti sanitari non è il consenso. È quanto ha affermato il Garante nelle motivazioni dell'ordinanza n. 8 del 13 gennaio 2022, con la quale l'autorità ha applicato a una azienda sanitaria una sanzione di 7.500 euro per avere sbagliato a scrivere un'informativa privacy.
Il comando di polizia locale che vuole adeguarsi alla riforma della privacy può confrontarsi tempestivamente con il responsabile della protezione dei dati per organizzare un cronoprogramma dei lavori. Lo hanno evidenziato implicitamente le linee guida per la sicurezza urbana approvate il 26 luglio 2018 dalla Conferenza stato-città e autonomie locali. Con il documento appena sottoscritto si è completato il quadro degli strumenti che servono ai sindaci per accordarsi con i prefetti in materia di patti per la sicurezza.
Se il sistema informativo della polizia locale viene violato il primo responsabile va ricercato nel fornitore esterno del servizio. In particolare se il comune si è avvalso di professionisti qualificati che sono stati adeguatamente inquadrati lato privacy e l'organizzazione municipale si è data regole precise in materia di protezione dei dati. Lo ha evidenziato il garante per la protezione dei dati personali con l'ordinanza n. 9767635 del 24 marzo 2022.
Dirigenti e amministratori pubblici alla cassa per pagare il conto delle sanzioni privacy irrogate all’ente di appartenenza. Se, a causa della loro negligenza, il Garante ha comminato una sanzione pecuniaria alla P.A., scatta la responsabilità erariale e, quindi, la condanna del responsabile da parte della Corte dei Conti a rimborsare l’ente pubblico.
Quasi tutti i comuni hanno impianti di videosorveglianza urbana sempre più potenti ed in grado di riconoscere persone e comportamenti. Ma la raccolta e la conservazione dei dati biometrici ed in particolare il riconoscimento facciale restano ancora un tabù salvo che il comune ottenga un parere favorevole del Garante privacy.
