Mese: Marzo 2018

Qualche giorno fa è scaduto il termine per la partecipazione ad una gara pubblica indetta da AMA Roma S.p.A., la società di raccolta e smaltimento dei rifiuti di Roma Capitale.

AMA cercava un fornitore di un sistema di monitoraggio dei conferimenti e tracciamento dei veicoli. La volontà, espressa dal Consiglio di Amministrazione, è la seguente “scopo della fornitura è la rilevazione degli svuotamenti dei contenitori, attraverso la lettura del Tag presente sugli stessi, mediante tecnologia RFID UHF e il monitoraggio della flotta aziendale tramite apparati di localizzazione in regola con la normativa nazionale sulla privacy e nel rispetto degli accordi sindacali, utilizzando adeguati sistemi installati sui mezzi adibiti alla raccolta”. Quindi, tracciare i sacchetti depositati dai cittadini e monitorare gli spostamenti dei mezzi aziendali.

Entrambi scopi legittimi. Per il primo esiste una specifica disposizione del Garante per la Protezione dei Dati Personali, datata 14 luglio 2005, che indica le prescrizioni da osservare per non danneggiare la privacy dei cittadini. Per il secondo scopo, invece, il riferimento è il documento del Gruppo dei Garanti Europei n. 2/2017. Il documento, al paragrafo 5.7, indica quali misure osservare per non incidere sui dati personali dei lavoratori che utilizzano un determinato mezzo aziendale dotato si sistema di geolocalizzazione.

Le misure previste non sono legate agli strumenti ma, come al solito, al trattamento che viene messo in atto per i dati forniti dagli apparati. Quindi, a poco vale la dicitura “apparati in regola con la normativa nazionale sulla privacy” perché non è sufficiente che siano in regola gli apparati ma è necessario che il concreto trattamento dei dati sia effettuato secondo corrette basi di liceità ed applicando gli adeguati meccanismi di tutela.

Non si può rifiutare la raccolta: né dei sacchetti di spazzatura né dei dati personali. Ma tutto deve avvenire secondo le regole stabilite ed AMA lo sa, essendo uno dei pochi soggetti pubblici ad aver nominato un Data Protection Officer.

Siamo noi italiani i veri eredi degli antichi romani? Forse si, se si considera il forte radicamento territoriale dei latini nelle nostre zone. Forse no, se si guarda a come altri popoli applicano l’antica massima “simplex sigillum veri”: la semplicità è il sigillo della verità.

Un esempio pratico ci arriva dall’ultima iniziativa del Garante per la Protezione dei Dati Personali inglese (ICO) che ha proposto al pubblico, prima di renderli ufficiali, una guida alla valutazione d’impatto sui dati personali ed i relativi modelli di riferimento. In tutto, 51 pagine, scritte chiare e larghe e che sembrano fatte apposta per essere lette ed applicate seriamente ed agilmente. Viceversa, molte altre metodologie proposte da organismi italiani (ma anche di altri paesi) sembrano fatte apposta per non essere lette o essere applicate con fatica e fastidio.

Ricordiamo che due dei principi fondamentali introdotti dal GDPR sono la privacy by design e la privacy by default. Questo vuol dire che ogni organizzazione deve naturalmente porsi il problema della tutela dei dati personali in ogni momento della propria vita. Ma se i processi per rispettare questi principi sono troppo articolati e faticosi, tutto diventa un mero adempimento senza tutela concreta per gli interessati.

Immaginiamo di essere obbligati a fare la doccia tutte le mattine. Se, ogni volta

1) dobbiamo aprire il portasapone chiuso con quattro viti

2) dobbiamo accendere la caldaia in soffitta

3) dobbiamo stendere nel bagno quattro tappeti idrorepellenti

la procedura ci sembrerà troppo complicata e faremo di tutto per evitare la doccia e simulare il nostro adempimento.

Quindi, meglio la semplicità come espressione di comportamenti veri che la complessità posticcia.