Quando la PA si arroga il diritto di non rispettare le regole sulla privacy: una deriva pericolosa che i DPO non sempre riescono ad arginare
Il Garante Privacy sanziona un’amministrazione comunale per l’installazione di telecamere. La storia dell’ennesimo ente locale che monitora i cittadini senza rispettare le regole. A nulla rileva la nobiltà del fine.
Un’amministrazione comunale (l’ennesima) installa per la città ben 121 telecamere di ultima generazione dotate di funzionalità di “controllo e ricerca degli eventi”, nonché “6 telecamere di lettura targhe agli ingressi cittadini che verificano costantemente lo stato di revisione assicurativo dei veicoli e dei motocicli” e consentono di “analizzare sia il flusso di provenienza dei veicoli, suddividendoli per nazione per quanto riguarda il traffico straniero e in province per il traffico nazionale, che il flusso dei veicoli più inquinanti attraverso l’analisi dell’omologazione Euro di veicoli e motocicli”, oltre a “fare ricerche sul colore, la dimensione e la marca dei veicoli: vale a dire le caratteristiche che immediatamente emergono dalle prime testimonianze di chi ha assistito al transito di auto in fuga da incidenti o da rapine e furti”.
Il fine è certamente lodevole, e di questo tutta la giunta comunale è fiera. Tanto orgogliosa da dare ampio risalto e propaganda all’iniziativa, e comunicando che in un breve lasso di tempo sono stati monitorati oltre mezzo milioni di veicoli. Il paese è festa, la banda suona, gli amministratori locali sfilano per le strade cittadine.
La “sagra del dato personale” è compiuta. Fiumi di tarallucci e vino scorrono per la città, insieme a nomi, cognomi, luoghi e date di nascita, indirizzi di residenza, codici fiscali.
Sì, perché la targa di un veicolo è un dato personale, “dettaglio” che gli amministratori hanno sottovalutato, così come hanno dimenticato di invitare alla festa il Garante Privacy. Questi – appresa la notizia da un articolo di stampa – ha avviato un’attività istruttoria e chiesto spiegazioni.
All’esito del controllo è emerso che il comune in questione – riportato in chiaro nel provvedimento, ma che volontariamente in questa sede non viene citato perché la considerazione è di carattere generale – ha conservato i dati per “180 giorni per quanto attiene ai sistemi di tracciamento targhe e transiti, fatte salve speciali esigenze di ulteriore conservazione”; non ha fornito agli interessati un’idonea informativa di primo livello; ha completamente omesso di fornire agli stessi un’informativa di secondo livello; prima di iniziare il trattamento non ha redatto una valutazione d’impatto. Conseguentemente il Garante ha sanzionato l’amministrazione in questione la quale, nel mentre, in via cautelativa e di propria iniziativa, ha cercato di recuperare agli errori innanzitutto sospendendo il funzionamento dell’intero sistema di videoriprese (cfr. Provvedimento Garante Privacy n. 10107263).
La riflessione che ne segue è la seguente: per quale ragione la P.A. pretende di porsi al di sopra della legge, controllandoci e trattando i nostri dati personali senza rispettare la norma? Con quale coraggio – in nome della privacy – rifiutano poi di fornirci la più banale delle informazioni? Il Responsabile della Protezione dei Dati (Data Protection Officer) è una figura tanto importante quanto complessa.
Ardua da svolgere nel privato, figuriamoci nel pubblico. Ma questo non può essere un alibi. Chi decide di assolvere a questa funzione deve farlo con il sentimento, e non solo per avere una medaglia da appuntarsi sul petto, tanto per fare curriculum. Il DPO ha una missione da assolvere. Con il suo lavoro non rende soltanto conforme il titolare del trattamento, bensì tutela anche la riservatezza degli interessati. Continuiamo a confidare nella loro capacità di incidere sulle pubbliche amministrazioni.
