Multa salatissima ai danni del Comune di Roma e di Atac per la mancata tutela dei dati degli automobilisti nella gestione dei parcheggi pubblici in città. E, dall’altro, no al riconoscimento facciale – ma apertura all’uso delle body cam – da parte di polizia e carabinieri per esigenze di ordine pubblico. Il Garante per la protezione dei dati personali si conferma un “cane da guardia” severo e sempre più attento al rispetto della privacy dei cittadini, con due nuovi provvedimenti dalle importanti conseguenze.
Il caso parcheggi romani, in particolare, si è chiuso con una sanzione complessiva da oltre 1 milione di euro inflitta a Roma Capitale, la società di servizi Atac Spa e un subfornitore, per non aver tutelato i dati degli automobilisti che parcheggiano nel territorio del Comune. La decisione è stata assunta al termine di un’istruttoria avviata in seguito alla segnalazione di un utente che si lamentava dei nuovi parcometri installati nel territorio comunale nel 2018.
La società Atac spa, incaricata dal Comune anche per la gestione dei parcheggi, aveva avviato tempo fa un aggiornamento tecnologico dei parcometri per offrire nuovi servizi (ad esempio il pagamento di sanzione/tributi o l’acquisto/rinnovo dei titoli del trasporto pubblico) e per introdurre nuove modalità di pagamento, inserendo anche il numero di targa del veicolo. Parte della strumentazione era stata fornita da un’altra società, la Flowbird Italia srl (ex Parkeon srl). Tutte le informazioni relative alla sosta venivano poi gestite attraverso un sistema centralizzato al quale poteva accedere, tramite un’apposita app, anche il personale incaricato di controllare il pagamento dei parcheggi.
Irregolarità sul trattamento dei dati
Nel corso dell’ispezione, condotta in collaborazione con il Nucleo speciale Privacy della Guardia di finanza, sono emerse varie irregolarità. In primo luogo il Comune di Roma, in quanto titolare del trattamento, non aveva fornito alcuna informazione sul trattamento dei dati degli automobilisti, non aveva nominato la società Atac responsabile del trattamento, né fornito a quest’ultima le necessarie istruzioni su come trattare i dati raccolti. Neppure la società subfornitrice era stata incaricata formalmente o istruita su come procedere in merito al trattamento dei dati.
È poi emerso che le società non avevano predisposto il registro dei trattamenti dei dati e che il progetto era stato ideato senza rispettare i principi di protezione dei dati fin dalla progettazione, e per impostazione predefinita, come richiesto dal Regolamento europeo Gdpr. Non erano stati neppure definiti i tempi di conservazione dei dati raccolti né erano state adottate idonee misure di sicurezza. È stato ad esempio accertato che, all’epoca delle verifiche, alcuni flussi di dati da e verso il sistema implementato da Atac viaggiavano in canali non sicuri. Il personale addetto, inoltre, avrebbe potuto controllare in maniera massiva e ripetuta nel tempo qualunque targa, magari per conoscere le abitudini di una persona e i luoghi di sosta, senza lasciare alcuna traccia nel sistema informativo.
Multa da 800mila euro al Comune e 400mila ad Atac
Alla luce delle violazioni riscontrate e dell’illecito trattamento dei dati, il Garante per la privacy ha previsto una sanzione di 800.000 per Roma Capitale, di 400.000 per Atac spa e di 30.000 per Flowbird Italia srl. Si tratta di somme calcolate tenendo conto della grande quantità di dati personali trattati (da giugno 2018 a novembre 2019 il sistema di Atac Spa aveva già registrato i dati di 8.600.000 soste e ancora oggi interessa potenzialmente tutti i soggetti che usufruiscono del servizio di sosta a pagamento sul territorio comunale) e delle sanzioni già ricevute per la violazione della privacy, ma anche della positiva collaborazione offerta da Roma Capitale e dalle società per risolvere alcune violazioni riscontrate durante l’ispezione. Nonostante le modifiche apportate in corso d’opera al sistema di gestione dei parcheggi, il Garante ha comunque rilevato il permanere di criticità relative alle misure di sicurezza e ha quindi prescritto anche l’adozione di misure correttive e di idonee misure di sicurezza a protezione delle informazioni raccolte.
Via libera alle body cam in caso di eventi o manifestazioni
Riguarda invece il fronte dell’ordine pubblico l’altro provvedimento assunto dal Garante per la privacy: con due pareri distinti, l’Autorità ha infatti dato via libera al Dipartimento della pubblica sicurezza del Ministero dell’interno e al Comando generale dell’Arma dei Carabinieri all’uso delle body cam per documentare situazioni critiche di ordine pubblico in occasione di eventi o manifestazioni. Le due forze di polizia dovranno comunque recepire alcune indicazioni dell’Autorità relative all’implementazione delle misure di sicurezza e al tracciamento degli accessi ai dati per rendere i trattamenti pienamente conformi alla normativa sulla protezione dei dati personali trattati a fini di prevenzione e accertamento dei reati.
No al facial recognition
L’Autorità ha chiesto, in particolare, al Ministero di specificare che il sistema che intende utilizzare non consente l’identificazione univoca o il riconoscimento facciale della persona (facial recognition), come già precisato nella documentazione trasmessa dall’Arma. I due sistemi, sottoposti al Garante autonomamente, presentano notevoli analogie, non solo per quanto riguarda le finalità perseguite, ma anche dal punto di vista strutturale, ad eccezione delle differenze imputabili alle specifiche strutture organizzative delle due forze di polizia. Le videocamere indossabili in uso al personale dei reparti mobili incaricato potranno essere attivate solo in presenza di concrete e reali situazioni di pericolo di turbamento dell’ordine pubblico o di fatti di reato. Non è ammessa la registrazione continua delle immagini e tantomeno quella di episodi non critici.
I dati raccolti riguardano audio, video e foto delle persone riprese, data, ora della registrazione e coordinate gps, che una volta scaricati dalle videocamere sono disponibili, con diversi livelli di accessibilità e sicurezza, per le successive attività di accertamento.
Rischio di pregiudizi e discriminazioni
I due pareri resi dal Garante sulle due valutazioni di impatto presentate dal Ministero e dall’Arma tengono conto degli approfondimenti effettuati dagli uffici dell’Autorità.
A differenza di quanto sostenuto dal Ministero e dall’Arma, che pur avendo presentato la Dpia non ritenevano necessaria la consultazione preventiva dell’Autorità, il Garante ha affermato che in base al Decreto tale consultazione è dovuta, in quanto i rischi per le persone riprese possono essere anche molto elevati, spaziando dalla discriminazione alla sostituzione d’identità, al pregiudizio per la reputazione, all’ingiusta privazione di diritti e libertà. E l’utilizzo delle body cam nel corso di manifestazioni pubbliche rende estremamente probabile il trattamento di dati che rivelino le opinioni politiche, sindacali, religiose o l’orientamento sessuale dei partecipanti.
Il Garante ha ritenuto tra l’altro ragionevole il periodo di sei mesi di conservazione dei dati e rispettato il principio di privacy by default, essendo prevista la loro cancellazione automatica trascorso tale termine.
