Privacy, tempo di resoconti

Agli inizi di Luglio è stata presentata, al Parlamento, la Relazione annuale sulle attività condotte dal Garante della Privacy nel 2023. Anno particolare, quello appena trascorso, come sottolineato dallo stesso collegio, caratterizzato da: digitalizzazione della P.A. e dall’accelerazione dell’IA generativa, anche con importanti innovazioni normative a corollario.

La Privacy, tema trasversale a più settori

Indubbiamente l’argomento si presta a interessare tutti i campi dell’agire umano. Non può non impattare sulla digitalizzazione dei servizi della PA, ma anche del tempo libero dell’utente, quindi dello sviluppo dell’e-commerce e, più in generale, di una qualsiasi attività produttiva.

Il Garante, nel suo intervento, ripercorre i momenti principali che lo hanno visto protagonista. Si spazia da:

1. la corsa all’IA generativa – dal blocco a ChatGPT al più recente intervento sullo scraping dei dati – in attesa della tre giorni a tema, in ambito G7, del prossimo ottobre, a Roma;
2. la digitalizzazione della PA, oramai “spinta” grazie al PNRR, con profusione di pareri in campo sanitario, giustizia e interoperabilità dei servizi;
3. la tutela dell’utente e dei minori in particolari;
4. la realizzazione di un decalogo sulle password, unitamente all’Agenzia per la cybersicurezza, perché di fatto, la tutela dei dati è un’aspetto di quella sicurezza nella totalità della dimensione cibernetica.

Uno sguardo sulla PA: tra incidenti e incomprensione delle logiche GDPR negli Enti locali

Il mondo “digital” applicato alla PA ha subito nell’ultimo lustro un’accelerazione considerevole. Sicuramente tale balzo in avanti è stato “aiutato” – fattivamente – dalla pandemia e dal conseguente piano di sviluppo finanziario.

Interessante il fiorire di figure ibridate, congiungenti universi altrimenti lontani, come quello tecnico-informatico e “il mondo del legalese“.

Dal DPO/RPD, desunto dal GDPR (Reg. UE sulla privacy), si arriva al Responsabile per la transizione digitale, all’istituzione di una nuova figura: il referente per la cybersecurity.

Quest’ultima, a seguito della promulgazione della legge 90/2024, sui reati informatici e rafforzamento della cybersicurezza nazionale. Questa norma ridisegna anche la materia degli appalti per il particolare ambito.

Interessante considerare come sovente tali figure non rientrano in un circuito esattamente virtuoso e di piena collaborazione.

Le stesse rischiano di essere eccessivamente influenzate dalle esigenze e dalle progettualità dell’Ente dove collaborano.

Un esempio di quest’ultimo caso potrebbe essere l‘affaire Trento e l’applicazione dell’IA alla videosorveglianza, dove, non era stata, almeno inizialmente, disposta neanche una DPIA.

Più recentemente,  invece, a Forlì, si è avuta l’adozione di app – per motivazioni sicuramente nobili, sia chiaro (ndr.) – direttamente collegata al sistema di videosorveglianza urbana, risultante “poco” compliance rispetto alla pluralità di interessi da tutelare e dati carpiti (anche potenzialmente).

In entrambi i casi, il Garante ha evidenziato come l’Amministrazione comunale che investe in videosorveglianza, per la tutela del benessere comune, è tenuta a valutare – preliminarmente – i rischi connessi alla privacy, prima di introdurre una nuova tecnologia.

Ancora, in alcuni casi è lo stesso Garante a segnalare, per taluni enti locali, l’erronea nomina del Responsabile per la Protezione dei Dati, a causa di incompatibilità nel ruolo, perché in condizione di conflitto d’interesse.

In altri, invece, interviene nel sanzionare il mancato aggiornamento dei dati di contatto del DPO.

A seguito di segnalazione, il Garante Privacy ha accertato che un Comune ha posto in essere due distinte violazioni. Una prima, interessava la mancata nomina del DPO nei termini, a seguire, l’utilizzo della videosorveglianza per verificare il conferimento dei rifiuti.

Quest’ultima attività risultava essere non conforme per svariate mancanze:

• idonea cartellonistica;
• informative inesatte;
• mancata determinazione dei luoghi d’interesse operativo;
• erronea indicazione delle finalità (pubblica sicurezza vs l’effettiva tutela ambientale).

“Il Garante ha, inoltre, sanzionato due comuni per l’uso illecito delle registrazioni audio-video di una conversazione intercorsa presso un Comando di polizia locale. […]
L’Autorità è intervenuta a seguito del reclamo di un dipendente di un comune, all’epoca vice commissario di polizia locale, che si era recato presso gli uffici del Comando di polizia locale di un altro comune e lì aveva avuto una conversazione con un agente su questioni lavorative e condizioni di lavoro. […]

Le registrazioni erano state usate per infliggere una sanzione al vice commissario, che si era poi dimesso.”

Il Garante, nella sua ordinanza, ha fatto presente:

• che il datore di lavoro può trattare i dati personali dei dipendenti solo se ciò è necessario per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti derivanti dalla disciplina di settore;
• l’utilizzo delle videoregistrazione per infliggere una sanzione disciplinare è priva di base giuridica, stante la possibilità di ascoltare argomentazioni terze rispetto alla tematica d’interesse.

…qualche considerazione

Si evidenzia, scorrendo le pagine della relazione in argomento, che sovente le sanzioni attribuite potrebbe essere evitate grazie all’adozione di soluzioni concrete, usufruendo però di supporto qualificato.

Circa quest’ultimo aspetto, sarebbe interessante l’adozione di un albo dei Responsabili per la Protezione dei Dati, sulla falsa riga di quello dei Segretari Comunali, magari con l’adozione di correttivi volti a garantirne ancor più un’indipendenza dall’autorità politica locale, una volta individuati dalla stessa, avendo anche una maggiore contezza circa la rotazione di tali figure.

Silvestro Marascio