Di fronte all’esigenza operativa di tutela e trasparenza, si erge ancora una volta il muro della compliance. Il Garante Privacy boccia la Valutazione di Impatto del Comune di Pescara: il nodo cruciale è il trasferimento dei dati negli USA e le carenze nella DPIA.
Di Carmine Soldano
Ex abrupto, sul sito dell’Autorità Garante è comparsa in queste ore una notizia che suona come una doccia gelata per l’innovazione tecnologica dei nostri Comandi: un sonoro e categorico stop all’utilizzo delle body cam per la Polizia Locale del Comune di Pescara.
Stupore? Sì, ma da addetti ai lavori non possiamo non sollevare anche qualche doverosa perplessità. L’Autorità, con parole nette, non ha messo nel mirino l’idea delle body cam in sé (strumento ormai vitale come Dispositivo di Protezione Individuale) quanto l’architettura di trattamento e le scelte contrattuali che la sorreggono.
Da osservatori e operatori del diritto, la reazione non può essere soltanto emotiva. È doveroso interrogarsi: come è possibile che, in un progetto che tocca compiti di pubblica sicurezza, si arrivi a proporre soluzioni senza aver blindato gli accessi e senza aver fornito risposte convincenti alle richieste tecniche dell’Autorità?
- L’ELEFANTE NELLA STANZA: IL FORNITORE OLTREOCEANO E LA DIRETTIVA 680
Partiamo dal nodo centrale sollevato dal Garante, ovvero il sistema informatico per la gestione dei dati elaborati dalle body cam è fornito da un’azienda statunitense. Fin qui, direte voi, niente di scandaloso: il mercato offre questo! Il problema, e qui casca l’asino della Privacy by Design, è che l’Ente non ha saputo spiegare perché abbia scelto proprio quella soluzione e se abbia valutato alternative presenti sul mercato europeo.
Non stiamo parlando dei dati di un’applicazione per il fitness. Parliamo di immagini e audio raccolti nell’ambito di attività ausiliarie di pubblica sicurezza e di polizia giudiziaria. Roba seria. Materia che la Direttiva UE 2016/680 presidia con norme rigorosissime. Un eventuale accesso “in chiaro” ai server da parte del provider USA configura un trasferimento transfrontaliero illegittimo, con rischi inaccettabili per i diritti degli interessati.
- LA SIM “MISTERIOSA” E LA LEGGEREZZA INFORMATICA
Un punto che lascia un sapore amaro, e che strappa un sorriso a denti stretti ai tecnici del settore, è quello apparentemente “banale” della presenza di una SIM all’interno del dispositivo. Per il Garante, l’assenza di chiarimenti su questo componente è tutto fuorché trascurabile.
Una SIM abilita trasmissioni in tempo reale, live streaming o tracciamento GPS. Apre un varco tecnico-operativo che, se non sviscerato nella DPIA e cifrato in modo inattaccabile, genera esfiltrazioni fuori controllo. Niente di esotico: è cybersecurity di base che, però, nelle procedure di gara degli Enti Locali, viene ancora trattata, troppo spesso, con pericolosa leggerezza.
- CHE FARE, DUNQUE? LE REGOLE D’INGAGGIO PER I COMANDI
La critica tecnica deve trasformarsi in riflessione operativa. Le body cam funzionano solo se inserite in un ecosistema inattaccabile. Ad abundantiam, ogni scelta tecnologica va valutata ex ante, non solo per il costo, ma per il rischio reputazionale e legale che grava sul Comando.
Di seguito alcune linee minime di sopravvivenza procedurale.
- RIVEDERE I CAPITOLATI DI GARA: privilegiare soluzioni con hosting e data center all’interno dell’UE, imponendo garanzie contrattuali davvero vincolanti (evitando lo spettro della sentenza Schrems II);
- ESIGERE LA CRITTOGRAFIA: inserire clausole tecniche ferree che impediscano materialmente l’accesso “in chiaro” ai dati da parte del fornitore dei servizi cloud;
- REDIGERE UN REGOLAMENTO OPERATIVO BLINDATO: le policy di utilizzo, i tempi minimi di conservazione, le cancellazioni automatiche e i log di accesso inviolabili devono essere scritti e condivisi prima di accendere la prima telecamera;
- CURARE LA DPIA: la Valutazione di Impatto non è un modulo burocratico da spuntare, ma il cuore del progetto. Deve essere estesa, reale e in grado di reggere l’urto di un’ispezione;
- CONCLUSIONI
Nulla impedisce che la Polizia Locale si doti di strumenti moderni ed efficaci. Ma l’adozione deve essere congrua e conforme. In caso contrario, rischiamo che un investimento per la sicurezza si trasformi in un boomerang giuridico.
Nihil sub sole novum, se poi un progetto ambizioso naufraga per negligenza regolamentare. Ergo, facciamo le scelte giuste nei nostri Comandi, prima che l’Autorità ce le imponga dall’alto spegnendo i nostri dispositivi.
