Il Grande Fratello, il business, la privacy e smart city: cosa sapere per non sbagliare

Il Grande Fratello, il business, la privacy e smart city: cosa sapere per non sbagliare

In una Smart City tutti i processi aziendali devono essere “a norma privacy” per evitare possibili pesanti sanzioni, danni reputazionali e perdite degli investimenti

Privacy First! Dovrebbe essere la parola d’ordine di ogni progetto di Smart City: usare tecnologie avanzate senza sviluppare processi aziendali evoluti allineati fin dalla progettazione ai principi di protezione dei dati personali può fermare il progetto e far perdere tutti i relativi investimenti. In qualsiasi momento. Vediamo allora come “partire con il piede giusto”.

 

Dati, norme, business e diritti dei cittadini. Sono i quattro elementi da tenere in equilibrio per progettare una smart city che risponda davvero agli scopi per cui questa idea di città è stata elaborata nella teoria più virtuosa. Ecco che cosa tenere presente per evitare che dalla perfezione della teoria si passi a falle e abusi nella pratica.

Gli “Urban Big Data” in una Smart City

Una Smart City sfrutta i Big Data prodotti dal funzionamento della città (i cosiddetti Urban Big Data) e utilizza tecnologie avanzate (Iot, AI eccetera) Per migliorare la qualità della vita dei cittadini, elevare la soglia di efficienza e di sostenibilità dei servizi offerti alla comunità e utilizzare al meglio le risorse.

La maggior parte degli Urban Big Data è costituito da dati personali anche di particolare natura – come informazioni sulla salute, sull’ubicazione e sugli interessi – che possono essere utilizzati per creare profili dettagliati degli individui, con conseguente impatto sulla sfera dei loro diritti fondamentali.

 

GDPR e LED per bilanciare business e diritti fondamentali

Si crea così, nelle Smart Cities, il paradosso secondo il quale per offrire servizi di altissima qualità ai cittadini si devono gestire elevati rischi per i loro diritti e le loro libertà fondamentali.

In questo scenario, per conciliare le esigenze dei vari modelli di business con i diritti inviolabili delle persone, la specifica normativa introdotta dal Regolamento UE 2016/679 noto con l’acronimo GDPR (General Data Protection Regulation) e dalla Direttiva 2016/680 (la cosiddetta LED: Law Enforcement Directive), recepita nel nostro Ordinamento dal D.Lgs. 51/2018, ha posto un quadro regolatorio che responsabilizza tutte le organizzazioni pubbliche e private che, per realizzare i loro obiettivi trattano dati personali, determinando le finalità e le modalità di utilizzo dei dati stessi.

La “privacy by design” presupposto di sostenibilità dei processi nelle Smart City

Quella imposta dal GDPR e dalla LED è una forma di responsabilizzazione molto stringente che comporta l’obbligo di fondare tutte le attività che prevedono l’utilizzo di dati personali sulla piena attuazione del fondamentale principio di “privacy by design”.

Secondo questo principio,[1] tutte le organizzazioni pubbliche e private che per realizzare i loro obiettivi utilizzano dati personali devono:

  • conformare, sin dalla progettazione (by design), ogni attività ad una serie di principi fissati dall’art. 5 del GDPR e dall’art. 3 del D.Lgs. 51/2018;
  • trattare per impostazione predefinita (by default) solo i dati personali necessari per ogni specifica finalità.

Il rispetto del principio di “privacy by design” non costituisce un mero adempimento formale ma un vero e proprio presupposto di sostenibilità dei processi che regolano il funzionamento di una Smart City.

Infatti l’avvio di qualsiasi trattamento di dati personali in modo non conforme ai principi ed ai requisiti del GDPR e della LED (o, meglio, del D.Lgs. 51/2018 che l’ha recepita), può determinare non solo pesanti sanzioni amministrative pecuniarie[2] (fino a 20 milioni di euro o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore) ma, soprattutto, anche la possibile irrogazione di una sanzione “correttiva” consistente nell’imposizione di una limitazione provvisoria o definitiva al trattamento, incluso il divieto del trattamento stesso, cioè del processo aziendale in cui girano i dati personali[3].

Ben venga quindi la giusta considerazione della normativa in materia di protezione dei dati personali come fattore di efficienza e di sostenibilità del business e dei servizi a valore aggiunto da offrire ai cittadini.

[1] Stabilito dall’art. 25 GDPR.

[2] Vds. art. 83, paragrafo 5 GDPR.

[3] Così l’art. 58, paragrafo 2, lettera f) GDPR.

Giuseppe Alverone