L’esperto | Articoli

La sicurezza urbana e la titolarità del trattamento dei dati

13 ottobre 2018 | Autore:


> L’esperto Pubblicato il 13 ottobre 2018



Pacchetto sicurezza e privacy delle città. Il trattamento dei dati tra Comune e Prefettura.

Con l’approvazione del pacchetto sicurezza il Governo ha avviato una inedita modalità di collaborazione tra Forze di Polizia dello Stato e Polizia Locale da realizzarsi attraverso un uso condiviso e regolato delle informazioni e delle tecnologie.

Solo mettendo in stretta relazione gli operatori e tutte le dotazioni preposte in qualche modo alla gestione della sicurezza delle città sarà infatti possibile aumentare il contrasto dell’illegalità e dell’insicurezza.

Come evidente, la realizzazione di questo nuovo concetto di sicurezza non è semplice: gli attori sono diversi e appartenenti ad amministrazioni che, sia sul piano giuridico che su quello pratico hanno differenti modalità e capacità di intervento.

Da una parte spetterà al Prefetto raccordare le diverse esigenze delle Forze di Polizia dello Stato con quelle dei sindaci e della Polizia Locale, che a loro volta dovranno fornire impianti tecnologici e professionalità adeguati agli scopi condivisi.

In questo senso si concretizza il significato del concetto di integrazione della sicurezza urbana: nella condivisione di azioni strategiche di contrasto all’illegalità, mediante circolazione di informazioni e partecipazione nella disponibilità delle tecnologie tra diverse amministrazioni e diversi uffici di polizia.

Strumenti come gli impianti di videosorveglianza comunale, le dotazioni radio per l’emergenza e tutte le tecnologie di cui possono disporre i comuni devono essere resi disponibili in maniera regolata a tutti i soggetti pubblici deputati al controllo del territorio e delle città. Con il decreto Minniti è stato quindi formulato il concetto di sicurezza urbana integrata, ovvero quello della necessaria condivisione strategica delle azioni di contrasto dei reati. In cuore di questo importante provvedimento è rappresentato dalla necessità di mettere in circolazione le informazioni e le tecnologie tra tutte le forze di polizia, nel rispetto delle diverse prerogative. Quindi anche se la polizia locale non è ancora abilitata ad occuparsi di criminalità a tutto tondo saranno le sue tecnologie all’avanguardia come per esempio i varchi lettura targhe cittadini di ultima generazione a fornire un utile supporto a carabinieri, guardia di finanza e polizia di stato per il contrasto delle rapine e dei reati contro le persone e il patrimonio. Specialmente se il sistema sarà attivamente collegato con il sistema SCNTT del Viminale dei veicoli rubati e interconnesso a livello provinciale

per garantire una conservazione allungata dei dati per finalità di polizia giudiziaria. Mentre infatti per la polizia locale la conservazione delle targhe per una settimana può essere considerata soddisfacente per le normali attività sanzionatorie stradali e di polizia amministrativa, le indagini per una rapina o un reato più grave possono richiedere mesi di verifiche.

Ed in questo caso sarà necessario salvaguardare le diverse titolarità del trattamento dei dati in capo al comune e alla prefettura. Servirà dunque un accordo scritto per regolare i rapporti interforze. E risulterà strategico che il rappresentante governativo sappia declinare al meglio le opportunità di condivisione delle tecnologie presenti sul territorio in funzione delle reali esigenze delle diverse forze di polizia. In pratica al tavolo prefettizio dovranno essere prese sempre più decisioni strategiche su come fare sicurezza, con chi e con quali opportunità tecnologiche. Dopo un necessario esame dei fabbisogni strategici della zona, infatti, sarà opportuno interessare immediatamente il rappresentante governativo per agevolarne il coordinamento di ogni azione di interesse pubblico, con potenziali ricadute sull’attività di polizia. Prendiamo per esempio un comune di medie dimensioni già dotato di un discreto impianto di videosorveglianza urbana. Sicuramente, anche se le dotazioni tecnologiche non risulteranno obsolete, ci sarà la necessità di potenziare gli impianti, per esempio con varchi lettura targhe in grado di identificare i veicoli rubati, non assicurati e non revisionati. L’uso condiviso di questi strumenti, nel rispetto delle diverse prerogative degli organi di polizia significa permettere ai comuni di continuare ad utilizzare i sistemi per effettuare per esempio attività sanzionatoria stradale e sicurezza urbana. Ma significa anche permettere alle forze dell’ordine di conservare i dati sui transiti dei veicoli per un periodo superiore ai sette giorni previsti per Legge per i comuni, su un proprio server separato dove all’occorrenza potranno essere effettuate attività di indagine particolari in deroga ad alcuni dei limiti imposti dal codice privacy. E poi sarà opportuno anche collegare l’impianto cittadino con il sistema centrale nazionale targhe e transiti di Napoli per la ricerca dei veicoli rubati. Ovvero alimentare la banca dati del Viminale su tutti i transiti ottenendo però in cambio l’allarme locale in caso di passaggio di un veicolo rubato. Perlomeno per mettere in sicurezza anche gli agenti di polizia locale che essendo attualmente impossibilitati a consultare il CED del Ministero dell’interno sui criminali, rischiano quotidianamente di fermare soggetti pericolosi, magari armati, per contestargli una banale violazione stradale. Mettere in condizione di poter operare tutti gli operatori in divisa del territorio, nel rispetto delle diverse prerogative, significa quindi rispettare le diverse inclinazioni dei carabinieri, della polizia di Stato e della polizia Locale. Ma salvaguardare anche gli interessi politico-amministrativi degli enti locali interessati a dare risposte concrete ai cittadini. Siccome infatti gli impianti di videosorveglianza sono costantemente finanziati dai comuni, eventualmente con il contributo di qualche privato, è chiaro che l’amministrazione locale non ha alcun interesse a privarsi dell’uso parziale e verificato dei suoi strumenti. In alcune realtà, invece, per evitare la complessità derivanti dalla necessità di regolare compiutamente le attività delle diverse forze di polizia, alcuni sindaci hanno preferito trasferire completamente gli impianti in capo alle questure. In questo modo gli impianti sono ad uso esclusivo delle forze di polizia dello stato ma non possono essere utilizzate in alcun modo dalla polizia locale per esempio per effettuare attività di controllo stradale. È evidente che a fronte di apparenti benefici immediati in termini di trattamento dei dati personali e responsabilità connesse questa scelta non risulta particolarmente moderna ne appagante per le amministrazioni comunali. Perlomeno per quelle città che intendono partecipare attivamente al nuovo concetti di sicurezza urbana integrata. Ovvero ad una azione concentrica di scambio informativo e potenziamento dell’attività di contrasto dell’azione criminale mettendo in condizione tutti gli operatori in divisa di svolgere al meglio il proprio ruolo. Non lasciando la polizia locale per esempio all’oscuro dei pericoli in cui può incorrere fermando un veicolo rubato. Ma ammettendo tutti gli operatori di vigilanza ad una condivisione degli strumenti e delle finalità previste dal pacchetto sicurezza. E per questo serve necessariamente l’avvallo della prefettura che potrà aiutare le nuove dinamiche sostenendo protocolli, convenzioni e accordi particolari e progetti da definire volta per volta sul singolo territorio.

La titolarità del trattamento in capo al Comune

Le disposizioni normative attribuiscono ai Sindaci e ai Comuni specifiche competenze in materia di sicurezza urbana che sono state ulteriormente potenziate dal pacchetto sicurezza 2017.

Tuttavia, già con il D.L. 11/2009 [31] è stata riconosciuta la possibilità per i comuni di utilizzare sistemi di videosorveglianza in luoghi pubblici o aperti al pubblico, al fine di tutelare la sicurezza urbana.

In particolare gli enti locali dovranno utilizzare il sistema per le finalità di sicurezza urbana e stradale, con condivisione delle possibili segnalazioni sui transiti di veicoli rubati e da controllare, su un ambito territoriale allargato con conservazione dei dati consentita

per un periodo massimo di sette giorni sui server di proprietà comunale e con titolarità del trattamento dei dati personali in capo al comune.

Sul tema si era espresso il Garante per la protezione dei dati personali, con il Provvedimento 8 Aprile 2010: nello stesso dedica un apposito capitolo alla sicurezza urbana, sulla scorta dell’innovazione fornita dal “Decreto Sicurezza 2009”, disciplinando la possibilità per i Comuni di utilizzare sistemi di videosorveglianza per la tutela della sicurezza e i relativi termini di conservazione dei dati raccolti:

— per la tutela della sicurezza urbana, i comuni possono quindi installare e far uso di sistemi di videosorveglianza in luoghi pubblici o aperti al pubblico;

— la conservazione dei dati, delle informazioni e delle immagini raccolte mediante l’uso di sistemi di videosorveglianza è limitata ai sette giorni successivi alla rilevazione, fatte salve speciali esigenze di ulteriore conservazione;

— gli interessati dovranno essere sempre informati che stanno per accedere in una zona videosorvegliata;

Ciò anche nei casi di eventi e in occasione di spettacoli pubblici (es. concerti, manifestazioni sportive). A tal fine, il Garante ritiene che si possa utilizzare lo stesso modello semplificato di informativa “minima” di cui si è già trattato in precedenza.

Il modello è ovviamente adattabile a varie circostanze.

In presenza di più telecamere, in relazione alla vastità dell’area oggetto di rilevamento e alle modalità delle riprese, potranno essere installati più cartelli.

Nello specifico, il supporto con l’informativa:

— dovrà essere collocato prima del raggio di azione della telecamera, anche nelle sue immediate vicinanze e non necessariamente a contatto con gli impianti;

— dovrà avere un formato ed un posizionamento tale da essere chiaramente visibile in ogni condizione di illuminazione ambientale, anche quando il sistema di videosorveglianza sia eventualmente attivo in orario notturno;

— potrà inglobare un simbolo o una stilizzazione di esplicita e immediata comprensione, eventualmente diversificati al fine di informare se le immagini sono solo visionate o anche registrate.

Qualora i sistemi di videosorveglianza vengano impiegati, oltre che per finalità di sicurezza urbana, anche per la tutela dell’ordine e della sicurezza pubblica, occorre tenere conto che questi ultimi profili, ad esclusione della polizia amministrativa locale come sancito all’art.117, comma 2, lettera h), della Costituzione – sono riservati alla competenza esclusiva dello Stato, al fine di assicurare uniformità su tutto il territorio nazionale dei livelli essenziali di prestazioni concernenti i diritti civili e sociali fondamentali.

In materia è intervenuto anche il Capo della Polizia con la Direttiva del 6-8-2010 del Ministero dell’Interno – Dipartimento della Pubblica Sicurezza – che va ad integrare la precedente Direttiva emanata l’8-2-2005, che resta un indiscusso caposaldo del sistema, che si fonda su di “una stretta interrelazione fra l’impiego di tali apparati e le effettive necessità di prevenzione e repressione dei reati e degli altri illeciti rilevanti per l’ordine e la sicurezza pubblica”: qualora, nell’impiego di sistemi di videosorveglianza si profilino aspetti di tutela dell’ordine e della sicurezza pubblica, oltre a quelli di sicurezza urbana, la scelta delle aree dovrà essere particolarmente oculata, nell’ambito di un procedimento che veda interessato il Comitato Provinciale per l’Ordine e la Sicurezza Pubblica. Talune disposizioni del Codice, tra le quali quella riguardante l’obbligo di fornire una preventiva informativa agli interessati, non sono applicabili al trattamento di dati personali effettuato, anche sotto forma di suoni e immagini, dal “Centro elaborazione dati del Dipartimento di pubblica sicurezza o da forze di polizia sui dati destinati a confluirvi in base alla legge, ovvero da organi di pubblica sicurezza o altri soggetti pubblici per finalità di tutela dell’ordine e della sicurezza pubblica, prevenzione, accertamento o repressione dei reati, effettuati in base ad espressa disposizione di Legge che preveda specificamente il trattamento” (art. 53 del Codice).

Alla luce di tale previsione del Codice, i predetti titolari del trattamento di dati personali devono osservare i seguenti principi:

a) l’informativa può non essere resa quando i dati personali sono trattati per il perseguimento delle finalità di tutela dell’ordine e della sicurezza pubblica, prevenzione, accertamento o repressione dei reati;

b) il trattamento deve comunque essere effettuato in base ad espressa disposizione di legge che lo preveda specificamente.

Il Garante, al fine di rafforzare la tutela dei diritti e delle libertà fondamentali degli interessati, ritiene fortemente auspicabile che l’informativa, benché non obbligatoria, laddove l’attività di videosorveglianza sia espletata ai sensi dell’art. 53 del Codice, sia comunque resa in tutti i casi nei quali non ostano in concreto specifiche ragioni di tutela e sicurezza pubblica o di prevenzione, accertamento o repressione dei reati. Ciò naturalmente all’esito di un prudente apprezzamento volto a verificare che l’informativa non ostacoli, ma anzi rafforzi, in concreto l’espletamento delle specifiche funzioni perseguite, tenuto anche conto che rendere palese l’utilizzo dei sistemi di videosorveglianza può, in molti casi, svolgere una efficace funzione di deterrenza. In ogni caso resta fermo che, anche se i titolari si avvalgono della facoltà di fornire l’informativa, resta salva la non applicazione delle restanti disposizioni del Codice tassativamente indicate dall’art. 53, comma 1, lettere a) e b).

Va infine sottolineato che deve essere obbligatoriamente fornita un’idonea informativa in tutti i casi in cui i trattamenti di dati personali effettuati tramite l’utilizzo di sistemi di videosorveglianza dalle forze di polizia, dagli organi di pubblica sicurezza e da altri soggetti pubblici non siano riconducibili a quelli espressamente previsti dall’art. 53 del Codice (es. utilizzo di sistemi di rilevazioni delle immagini per la contestazione delle violazioni del Codice della Strada).

La necessità di garantire, in particolare, un livello elevato di tutela dei diritti e delle libertà fondamentali rispetto al trattamento dei dati personali consente la possibilità di utilizzare sistemi di videosorveglianza, purché ciò non determini un’ingerenza ingiustificata nei diritti e nelle libertà fondamentali degli interessati come ad es. alla eventuale registrazione di immagini che possano ricondurre all’individuazione di convinzioni religiose e filosofiche, alle origini razziali ed etniche, allo stato di salute e agli orientamenti sessuali delle persone eventualmente riprese con i sistemi di videosorveglianza.

Naturalmente l’installazione di sistemi di rilevazione delle immagini deve avvenire nel rispetto, oltre che della disciplina in materia di protezione dei dati personali, anche delle altre disposizioni dell’ordinamento applicabili, quali ad es. le vigenti norme dell’ordinamento civile e penale in materia di interferenze illecite nella vita privata, sul controllo a distanza dei lavoratori, in materia di sicurezza presso stadi e impianti sportivi, o con riferimento a musei, biblioteche statali e archivi di Stato, in relazione ad impianti di ripresa sulle navi da passeggeri adibite a viaggi nazionali e, ancora, nell’ambito dei porti, delle stazioni ferroviarie, delle stazioni delle ferrovie metropolitane e nell’ambito delle linee di trasporto urbano.

In tale quadro, pertanto, è necessario che:

Il trattamento dei dati attraverso sistemi di videosorveglianza sia fondato su un principio di finalità e liceità che il Codice prevede espressamente per i soggetti pubblici da un lato e, dall’altro, per soggetti privati ed enti pubblici economici. Si è invece constatato che taluni soggetti pubblici e privati si propongono abusivamente, quale scopo della videosorveglianza, finalità di sicurezza pubblica, prevenzione o accertamento dei reati che invece competono solo ad organi giudiziari o di polizia giudiziaria oppure a forze armate o di polizia.

Ciascun sistema informativo ed il relativo programma informatico vengano conformati già in origine in modo da non utilizzare dati relativi a persone identificabili quando le finalità del trattamento possono essere realizzate impiegando solo dati anonimi (es., configurando il programma informatico in modo da consentire, per monitorare il traffico, solo riprese generali che escludano la possibilità di ingrandire le immagini e rendere identificabili le persone). Lo impone il principio di necessità, il quale comporta un obbligo di attenta configurazione di sistemi informativi e di programmi informatici per ridurre al minimo l’utilizzazione di dati personali (art. 3 del Codice).

L’attività di videosorveglianza venga effettuata nel rispetto del cosiddetto principio di proporzionalità nella scelta delle modalità di ripresa e dislocazione (es. tramite telecamere fisse o brandeggiabili, dotate o meno di zoom), nonché nelle varie fasi del trattamento che deve comportare, comunque, un trattamento di dati pertinenti e non eccedenti rispetto alle finalità perseguite (art. 11, comma 1, lett. d) del Codice).

Devono essere sottoposti alla verifica preliminare del Garante per la protezione dei dati personali i sistemi di videosorveglianza dotati di software che permetta il riconoscimento della persona tramite collegamento o incrocio o confronto delle immagini rilevate (es. morfologia del volto) con altri specifici dati personali, in particolare con dati biometrici, o sulla base del confronto della relativa immagine con una campionatura di soggetti precostituita alla rilevazione medesima.

Un analogo obbligo sussiste con riferimento a sistemi cosiddetto intelligenti, che non si limitano a riprendere e registrare le immagini, ma sono in grado di rilevare automaticamente comportamenti o eventi anomali, segnalarli, ed eventualmente registrarli.

In linea di massima tali sistemi devono considerarsi eccedenti rispetto alla normale attività di videosorveglianza, in quanto possono determinare effetti particolarmente invasivi sulla sfera di autodeterminazione dell’interessato e, conseguentemente, sul suo comportamento. Il relativo utilizzo risulta comunque giustificato solo in casi particolari, tenendo conto delle finalità e del contesto in cui essi sono trattati, da verificare caso per caso sul piano della conformità ai principi di necessità, proporzionalità, finalità e correttezza (artt. 3 e 11 del Codice).

I sistemi di lettura targhe non rientrano tra gli esempi citati nel provvedimento del Garante dell’8 Aprile 2010 né per quanto riguarda l’obbligo di verifica preliminare, né per quanto concerne la sicura esclusione da tale obbligo. Tuttavia sulla base dei principi del provvedimento sopra citato, è possibile desumere come ci si deve comportare al riguardo. Laddove il rilevamento della targa è associato ad altri dati personali che possono concretamente dar luogo a un pregiudizio rilevante degli interessati, il trattamento deve sicuramente essere sottoposto a verifica preliminare.

Tuttavia se i sistemi di videosorveglianza si limitano a una lettura delle targhe, senza altre associazioni con altri dati tali da provocare pregiudizio per gli interessati, non deve essere adempiuto l’obbligo previsto dall’art.17 del Codice. Si consideri, a tal riguardo, che l’obbligo di verifica preliminare deve essere adempiuto quando l’associazione delle immagini avvenga con altri particolari dati (quali sono i dati biometrici o dati sensibili) e non con qualsiasi tipologia di dato personale.

La titolarità del trattamento in capo alla Prefettura

Per quanto riguarda i sistemi di videosorveglianza il cui uso venga condiviso con le forze di polizia dello Stato, è necessario utilizzare il sistema per le finalità di sicurezza e ordine pubblico con condivisione delle segnalazioni sui transiti di veicoli rubati e da controllare, su un ambito territoriale allargato, con titolarità del trattamento dei dati personali in capo alla prefettura.

L’art. 57 del codice privacy richiede l’adozione di un decreto recante l’individuazione delle modalità di trattamento dei dati personali per finalità di polizia che ai sensi dell’art. 53 del codice risultano affrancati da numerose formalità. Dunque attività di prevenzione e di ordine pubblico ma anche attività di indagine e di polizia giudiziaria. Dopo un primo parere del garante della privacy del 2 marzo 2017 lo schema di regolamento è stato approvato in sede preliminare dal Consiglio dei Ministri del 28 luglio 2017 e ora si avvia allo sprint finale. Ma con una serie di suggerimenti ed integrazioni proposte dai giudici di palazzo Spada il 25 settembre 2017. Il regolamento innanzitutto non riguarda i trattamenti effettuati per finalità amministrative. Ovvero per la maggior parte delle attività di polizia locale. L’art. 9 del regolamento disciplina la possibilità per gli organi di polizia di acquisire dati collegandosi alle banche dati pubbliche e private estranee alle forze dell’ordine. È il caso dei varchi lettura targhe in dotazione alla polizia locale ad ai comuni. Sui tempi per la conservazione dei dati per finalità di polizia il dispositivo risulta molto flessibile, in conformità alle diverse esigenze di polizia. Con ulteriori deroghe in caso di indagini particolarmente importanti in materia di terrorismo e criminalità organizzata.

L’art. 12 dedicato alla comunicazione dei dati tra le forze di polizia esclude a priori la polizia locale, nonostante le diverse indicazioni contenute nella L. 48/2017, di conversione del D.L. 14/2017.

L’art. 22 tratta specificamente della videosorveglianza.

L’utilizzo di questa tecnologia per finalità di polizia è scontato a condizione che non comporti una ingerenza ingiustificata nei diritti e nelle libertà fondamentali.

La valutazione dell’impatto della privacy in un progetto di sicurezza urbana integrata

Tra le innovazioni del Regolamento UE vi è la valutazione di impatto sulla protezione dei dati [1] prevista dall’art. 35.

La Valutazione è una procedura tesa ad analizzare preventivamente l’intero processo di trattamento, al fine di considerare la rispondenza ai principi di necessità e proporzionalità, oltre ad esaminare i rischi effettivi e potenziali in termini di violazione dei diritti e delle libertà degli interessati.

La Valutazione è prescritta nei casi indicati dal comma 3 del citato art. 35. Si tratta perlopiù di ipotesi di trattamento sistematico, su larga scala ed automatizzato di dati personali.

Il Gruppo art. 29 [2] ha quindi individuato specifiche modalità di trattamento in cui si rende necessaria la preventiva valutazione: tra queste vi sono le operazioni di raccolta ed elaborazione di dati raccolti mediante sistemi di videosorveglianza. A maggior ragione tale analisi è indispensabile nel caso di impianti complessi, dotati di tecnologie capaci non solo di raccogliere informazioni in un luogo pubblico e afferenti un numero indeterminato di interessati (tra cui soggetti maggiormente vulnerabili), ma anche di effettuare in modo automatizzato interrogazioni telematiche a sistemi informativi in modo tale da raffrontare dati di diversa natura (telecamere con lettura targhe O.C.R., dispositivi di riconoscimento facciale,…).

L’obbligo di procedere alla Valutazione è posto in capo al titolare del trattamento. Ciò non implica che sia egli stesso l’effettivo esecutore materiale dell’analisi preventiva, ma può ben incaricare un soggetto terzo, ancorché esterno all’amministrazione, purché le operazioni avvengano sotto la diretta supervisione del titolare che, al riguardo si rapporta direttamente con il Responsabile per la Protezione dei Dati al quale spettano compiti di consulenza ed espressione di pareri in merito.

Non si esclude inoltre l’intervento, a titolo consultivo, di altri soggetti incaricati di responsabilità particolari all’interno dell’organizzazione. In particolare, nel caso di trattamenti automatizzati o comunque eseguiti mediante tecnologie elettroniche ed informatiche, si ritiene necessario l’intervento dei relativi referenti.

Il contenuto minimo della Valutazione è disciplinato dal comma 7 dell’art. 35 del Regolamento. In particolare l’esame deve riguardare il complesso delle procedure di raccolta e trattamento dei dati, nonché le finalità e l’eventuale interesse legittimo perseguiti dal titolare. Proprio in funzione degli scopi del trattamento dovranno essere valutati i presupposti di necessità e proporzionalità, oltre ai correlati rischi di violazione dei diritti e delle libertà dei soggetti cui i dati si riferiscono.

Trattandosi sì di valutazione preventiva, ma finalizzata ad un corretto e trasparente svolgimento dell’attività di trattamento dei dati, la Valutazione dovrà quindi considerare le misure da adottare a garanzia di ciò. In tal senso, oltre a verificare la rispondenza delle procedure alla vigente normative europea e nazionale, dovrà essere valutata la previsione di misure di sicurezza e procedimenti atti a tutelare la protezione dei dati ed il rispetto dei diritti degli interessati.

La Valutazione deve essere preventiva, ossia svolta prima dell’attuazione del trattamento. In tal senso, per i trattamenti già in essere, rientranti nelle tipologie per cui è necessaria, è importante che l’analisi avvenga in tempi brevi, con l’intervento del Responsabile per la Protezione dei Dadi (quando designato) e contenga soluzioni correttive in relazione a criticità non già valutate in passato.

È comunque fortemente raccomandato [3] la periodica reiterazione della valutazione, anche in funzione di mutate esigenze legate al trattamento, nonché all’innovazione delle modalità e delle tecnologie impiegate.

La procedura di Valutazione, nell’ottica dell’attitudine del pacchetto privacy a consapevolizzare i soggetti che eseguono il trattamento, fornisce un importante strumento di responsabilizzazione: di fatto, oltre a guidare le scelte ed i procedimenti di raccolta e gestione dei dati, permette al titolare di valutare la legittimità e la conformità del trattamento alla vigente normativa, imponendo a se stesso le misure e le strategie da adottare a garanzia della tutela dei dati e degli interessati.

Proprio in ragione di questa funzione di responsabilizzazione e per l’utilità in termini di progettazione del sistema di raccolta ed elaborazione dei dati, il Gruppo 29 suggerisce l’adozione della Valutazione per tutte le tipologie di trattamento, ancorché non obbligatoria.

Come evidente, per la tipologia di informazioni trattate e per le modalità con cui si concretizza, la raccolta e gestione di informazioni nell’ambito di un progetto di sicurezza urbana, quest’ultimo non può prescindere da una preventiva e precisa valutazione.

La nuova figura del responsabile della protezione dei dati

L’art. 37 del Regolamento UE introduce una nuova figura nell’ambito del trattamento dei dati personali: il Responsabile della Protezione dei Dati, spesso indicato con l’acronimo RPD oppure in lingua inglese Data Protection Officer (DPO).

Questo soggetto si inserisce perfettamente nel quadro di responsabilizzazione del titolare e del responsabile del trattamento, che il pacchetto UE in materia di protezione dei dati si prefigge di conseguire. In quest’ottica il citato art. 37 prevede alcune ipotesi di trattamento in cui tale figura del Responsabile della Protezione dei Dati deve essere designato dal titolare

e dal responsabile. Tra queste, quella che più interessa ai fini della presente opera, è quella prevista dalla lettera a).

La disposizione in questione infatti prevede la necessità di nominare un Responsabile della Protezione dei Dati, ogni qual volta il trattamento sia effettuato da un’autorità pubblica o da un organismo pubblico [4], lasciando ai singoli ordinamenti nazionali il compito di individuare quali siano i soggetti effettivamente tenuti a tale ulteriore designazione.

Sul punto è intervenuta l’Autorità Garante della Privacy [5], che indica quali soggetti destinatari della norma tutti gli enti pubblici che rientrano nell’ambito di applicazione della Parte I, Titolo II , Capo II del Codice [6], ossia fa eccezione solo per gli enti pubblici

economici. Il Garante tuttavia, raccomanda l’adozione della nomina del Responsabile della Protezione dei Dati anche ai soggetti privati che svolgono funzioni pubbliche; tale indicazione non può essere sottovalutata nei casi di affidamento del servizio della gestione di impianti di videosorveglianza ad istituti di vigilanza privati.

Come appare evidente, in ogni caso, non sono esenti dalla designazione della nuova figura di Responsabile della Protezione dei Dati le amministrazioni dello Stato, quindi le prefetture, e le amministrazioni locali, quindi i comuni, nell’ambito del trattamento dei dati personali, ancorché eseguito mediante sistemi di videosorveglianza e con finalità di tutela della sicurezza [7].

Il Responsabile della Protezione dei Dati è una figura centrale nell’architettura del trattamento dei dati di un’organizzazione.

Infatti, come emerge dall’art. 39 del Regolamento svolge compiti sia di natura interna all’ente, sia aventi rilevanza esterna.

L’attività interna [8] è ampia e di particolare pregio in quanto si concretizza in azioni dirette sia verso l’apice del trattamento (quindi al titolare e al responsabile), sia verso i dipendenti incaricati del trattamento.

In questo senso il Responsabile della Protezione dei Dati ha compiti informativi e di consulenza in ordine agli obblighi e alle disposizioni previste dalla normativa europea e nazionale in materia di protezione dei dati, sorvegliarne l’applicazione e sovrintendere

alla formazione e alla sensibilizzazione del personale impiegato nelle varie mansioni attinenti il trattamento dei dati.

Per quanto riguarda invece l’attività esterna [9], il Responsabile della Protezione dei Dati svolge principalmente una funzione di raccordo tra l’autorità di controllo e le altre figure coinvolte nel trattamento.

In ordine alla designazione, il Regolamento non fornisce particolari indicazioni, tuttavia, proprio sul la base dei compiti ad esso affidati emergono due caratteristiche non trascurabili nell’individuazione del soggetto interno alla Pubblica Amministrazione: competenza professionale e autonomia in ordine al ruolo di Responsabile della Protezione dei Dati.

Le incombenze che, come si è visto, hanno sia valenza interna all’ente sia esterna, non possono non essere attribuite ad un soggetto privo di ingerenze (politiche e tecniche) che possano ridurre o vanificare la portata della figura in questione. Allo stesso tempo è necessario che il soggetto individuato abbia una formazione tale da svolgere il compito nel pieno rispetto della normativa vigente.

Tali peculiarità implicano che il ruolo di Responsabile della Protezione dei Dati andrà individuato nel personale con qualifica di funzionario o dirigenziale:

tale inquadramento, oltre a garantire adeguata competenza, presuppone una certa indipendenza funzionale rispetto agli altri organi e servizi dell’amministrazione, ma allo stesso tempo contatto diretto con le figure apicali dell’amministrazione per lo svolgimento dell’attività informativa interna.

Nell’individuazione del Responsabile della Protezione dei Dati dovrà tenersi inoltre conto dell’organizzazione dell’ente. Di fatto il già più volte citato art. 37 del Regolamento prescrive che la designazione sia effettuata dal titolare e dal responsabile del trattamento:

la congiunzione “e” conduce a ritenere che la nomina debba essere congiunta.

Presupponendo quindi che il titolare sia la pubblica amministrazione (ad esempio il comune) e il responsabile del trattamento il funzionario o dirigente dello specifico settore (il Comandante del Corpo o Responsabile del Servizio), la figura di Responsabile della Protezione dei Dati dovrà essere ricercata tra altri funzionari dello stesso settore, ovvero di altro (ad esempio dell’ufficio informatica o omologo dell’ente).

Come si è detto la designazione dovrà essere congiunta, ma nella complessa organizzazione della pubblica amministrazione ciò non sempre è possibile.

Se è vero che titolare del trattamento è l’amministrazione stessa, per esempio il comune, è pur vero che l’individuazione del responsabile del trattamento avverrà o già direttamente nel regolamento per la disciplina della videosorveglianza, o mediante rimando da questo ad altro adempimento (delibera di giunta, provvedimento del sindaco,…). Ciò implica che la conseguente designazione del Responsabile della Protezione dei Dati debba essere effettuata d’intesa tra il titolare (nella persona del rappresentante dell’ente, ossia il Sindaco nell’esempio trattato) e il responsabile del trattamento (dirigente/funzionario individuato), mediante provvedimento amministrativo, secondo le modalità che dovranno essere preventivamente stabilite proprio dallo stesso regolamento comunale.

Riguardo alla nomina del Responsabile della Protezione dei Dati, l’Autorità Garante della Privacy [10] sconsiglia la designazione di più figure con lo stesso ruolo, al fine di garantire maggiore uniformità nell’attività interna ed esterna. Tuttavia non è esclusa una pluralità di nomine nel caso di amministrazioni particolarmente complesse, sia in termini di articolazione territoriale che settoriale, ovvero l’individuazione di “referenti” di raccordo tra il settore periferico e il Responsabile della Protezione dei Dati.

Proprio per le peculiarità del ruolo qui trattato, sarà opportuno valutare ed evitare ogni ipotesi di conflitto di interessi, con altre mansioni interne all’ente o incarichi esterni.

note

[1] Da ora semplicemente Valutazione.

[2] Gruppo di Lavoro istituito dall’art. 29 della Direttiva UE 95/46.

Svolge funzioni consultive.

[3] Dall’Autorità Garante e dal Gruppo art. 29.

[4] Fatta eccezione per le autorità giurisdizionali, nell’ambito delle relative funzioni.

[5] Con le linee guida adottate dal “Gruppo art. 29” e le successive FAQ reperibili sul sito istituzionale www.garanteprivacy.it .

[6] A titolo esemplificativo cita: le amministrazioni dello Stato, anche con ordinamento autonomo, gli enti pubblici non economici nazionali, regionali e locali, le Regioni e gli enti locali, le università, le Camere di commercio, industria, artigianato e agricoltura, le aziende del Servizio sanitario nazionale, le autorità indipendenti ecc.

[7] In senso ampio, quindi anche con riferimento all’attività di prevenzione, accertamento e repressione di illeciti.

[8] Art. 39 comma 1, lettere a), b) e c) del Regolamento UE 2016/679.

[9] Art. 39 comma 1, lettere d) e e) del Regolamento UE 2016/679.

[10] Con le linee guida adottate dal “Gruppo art. 29” e le successive FAQ reperibili sul sito istituzionale www.garanteprivacy.it .


Per avere il pdf inserisci qui la tua email. Se non sei già iscritto, riceverai la nostra newsletter:

Informativa sulla privacy
DOWNLOAD

Lascia un commento

Usa il form per discutere sul tema. Per richiedere una consulenza vai all’apposito modulo.

 



NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI