Enti locali e Privacy, connubio analizzato dal Garante

Enti locali e Privacy, connubio analizzato dal Garante

Tempo di bilanci e anche l’attività del Garante Privacy si presenta al grande pubblico: tra sanzioni, prevenzione e AI, anche gli Enti locali hanno il loro focus dedicato.

Privacy, uno sguardo sull’anno trascorso

Location istituzionale di primo livello: la Sala della Regina, a Palazzo Montecitorio, sede della Camera dei Deputati, è il momento della relazione dell’Autorità Garante per la protezione dei dati personali; il Garante della privacy, come maggiormente nota.

Il Presidente del Collegio, Pasquale Stanzione, rileva quelli che sono gli aspetti salienti nella relazione tra AI e diritti fondamentali dell’individuo.

Considerando l’eco dell’affare kiss cam e concerto dei coldplay, la privacy rientra sicuramente tra questi: tra i diritti fondamentali della “nuova società”, anche se spesso è tirata eccessivamente per la giacchetta, appunto come avvenuto con affaire kiss cam e improponibili paralleli con il GDPR Europeo (condividendo opinione prof. Monti, ndr.).

Ovviamente, nella relazione del Garante, viene posta anche la necessaria attenzione su tecnologie emergenti, AI addestrata con web scraping, agli attacchi cyber, incrementati rispetto al 2023, e alla conseguente protezione dei dati personali trattati digitalmente.

Intensa, quindi, l’attività della particolare Autorità indipendente:

  • 2.204 notifiche di data breach;
  • 4.030 reclami;
  • 94.948 segnalazioni;
  • 130 attività ispettive sul posto;
  • 835 provvedimenti assunti;
  • 468 misure correttive, con oltre 24.000 euro di sanzioni elevate.

Il punto sulla PA locale

Particolarmente interessante è lo spaccato che può offrire un panorama così variegato com’è la Pubblica Amministrazione locale, considerando: servizi al cittadino, polizia e sicurezza urbana, concentrazione di società partecipate (acqua ed energia, trasporti, raccolta rifiuti) e innovazione tecnologica, c’è sempre da imparare.

La relazione del Garante Privacy rappresenta quindi una sorta di abeccedario delle lesson learned durante l’anno, il problema? Si impara sempre poco!

Capita ancora (il GDPR è in vigore dal 2018) che Enti locali non abbiano designato il responsabile per la protezione dei dati personali, ovvero, laddove intervenuta la nomina, con notevole ritardo, la stessa fosse attribuita a professionista già impegnato in analogo incarico.

Ancora, vari sono i provvedimenti assunti a carico di Province e Comuni in assenza di notifica al Garante dei dati di contatto dei propri DPO.

Anche l’argomento sicurezza urbana e uffici di polizia locale sono stati affrontati sotto la lente della privacy.

Intanto, quando si parla di sicurezza urbana si tende sempre più a creare ideali cross over con l’evoluzione tecnologica e quindi a possibili scenari predittivi, ma i punti da sviluppare sono altri.

Il Garante al termine di una istruttoria avviata da note stampa, è intervenuto contro un Comune che aveva adottato un app in uso alla Polizia Locale.

In particolare, app che permetteva la segnalazione di reati, senza riportare autore, con dati aggregati, al servizio di Polizia, utile per la predisposizione di servizi mirati di controllo del territorio.

Attività sicuramente meritoria, ma priva di idonea base normativa,  considerando lo status della polizia locale, priva di competenza generale in materia di sicurezza pubblica.

A quanto precede si aggiunge una cattiva regolamentazione nei rapporti tra l’ente e la società che ha sviluppato il software.

Nel caso di specie si fa riferimento alla designazione dei rispettivi ruoli di responsabile e titolare del trattamento.

…Dalla sicurezza urbana alla polizia mortuaria

Anche l’attività sanzionatoria, nell’ambito delle attività di controllo alla circolazione stradale, assieme alla raccolta dei rifiuti e alla polizia mortuaria (“cimitero dei feti” a Brescia), rappresentano elementi oggetto di intervento del Garante.

Se la gestione dei rifiuti ha ancora continuato a riferirsi a casi specifici, figli di una cattiva gestione pandemica,  sia in termini di illecita diffusione dati, che erronea designazione ruoli privacy,  la circolazione stradale impatta sulla mancata fruizione di una informativa estesa, non facilmente fruibile sul sito web istituzionale, carente – anche – dei necessari avvisi all’utenza, circa modalità esercizio diritti e reclamo (artt. 13-22 GDPR).

Silvestro Marascio