Serve il semaforo verde del Garante della privacy
di Antonio Ciccia Messina
Sì al drone per le forze di polizia, ma ci vuole l’ok del Garante.
Il trattamento di dati personali raccolti tramite aeromobili a pilotaggio remoto presenta rischi specifici, che richiede (con riferimento generale al tipo di trattamento) una verifica preliminare dell’autorità sulla privacy. Inoltre, per le singole operazioni ci vuole l’autorizzazione del capo ufficio o del comandante di reparto.
Sono alcune delle precauzioni previste dal dpr n. 15/2018 (pubblicato sulla Gazzetta Ufficiale del 14 marzo 2018, in vigore dal 29 marzo 2018, si veda ItaliaOggi di ieri), che si occupa della privacy nei trattamenti dei dati effettuati, per le finalità di polizia, da organi, uffici e comandi di polizia.
È un vero e proprio codice speciale della privacy per le forze di polizia, che non si occupa solo di droni, ma che ritaglia sulle forze di polizia gli istituti regolamentati del decreto legislativo 196/2003.
Il tema è delicato e mette alla prova il concetto di riservatezza degli individui. Quanta privacy può essere invocata dal cittadino nei confronti delle forze di polizie, che operano per la sicurezza collettiva?
Tendenzialmente molto poca, visto che le autorità compiono attività di prevenzione e accertamento di reati.
Il problema, però, non va posto in questi termini. Le garanzie rispetto a come sono raccolte le informazioni, a quali informazioni sono raccolte e a come vengono utilizzate, queste garanzie stanno certo dentro la disciplina delle indagini preliminari e dei processi: si trovano, quindi, nel codice di procedura.
Il decreto in commento si occupa di altro e cioè della gestione del dato personale in quanto tale e risponde ad altre domande.
Ad esempio ci si chiede: quale è il limite massimo della conservazione dei dati di archivio relative alle pratiche trattate? Oppure ci si chiede quali siano le caratteristiche tecnologiche di hardware e software in dotazione? Ed ancora, se e con che modalità gli accessi agli archivi informatici siano tracciati con la conservazione dei cosiddetti log? Senza dimenticare le questioni relativa alle procedure da seguire per ottenere il rispetto delle specifiche regole previste dal dpr in commento.
Letto così si comprende il senso del codice della privacy per le forze di polizie ed è possibile integrarlo nell’ordinamento generale.
Proviamo a rispondere ai quesiti elencati sopra.
Sui termini di conservazione delle informazioni, il decreto in esame disegna una scaletta di questo tipo. C’è un periodo di conservazione base, che, però, può essere allungato in caso di decisione motivata del soggetto competente.
Per quanto dilatabile sia, vi sarà un termine finale, oltre il quale il dato, raccolto nell’ambito dell’attività tipica delle forze di polizia, cadrà nell’oblio.
Facciamo un esempio: i dati relativi ad attività di indagine o polizia giudiziaria che non hanno dato luogo a procedimento penale. Il termine base è di 15 anni dall’ultimo trattamento. Però il termine base è aumentato di dieci anni per reati molto gravi (ad esempio reati di mafia). Il termine base è soggetto a un prolungamento di due terzi (dieci anni) per specifiche ragioni di servizio e con una speciale procedura abilitante. Però già dopo i primi sette anni e mezzo si passa a un regime di accesso limitato: possono consultarli solo operatori abilitati e designati, e in relazione a specifiche attività informative, di sicurezza o di indagine di polizia giudiziaria.
Si dirà che i termini sono lunghi già nella quantità di base e comunque dilatabili e di molto: non a caso il Garante della privacy, nella fase di scrittura del decreto, ha puntato il dito sulla lunghezza dei periodi.
Peraltro, a voler vedere il bicchiere mezzo pieno, va detto che adesso uno sbarramento, seppure mobile, c’è, mentre prima non c’era. E soprattutto ci sono delle regole procedurali da seguire relative alle speciali abilitazione a vedere i dati, trascorso un certo lasso di tempo e anche per differire la data della caduta della mannaia dell’oblio.
Insomma, c’è un impatto organizzativo, che contribuisce a una differente modalità di trattamento dei dati.
Ciò è ancora più evidente per la parte tecnologica del decreto.
Abbiamo una regola che si può definire di privacy by design: ad esempio nuovi sistemi informativi e programmi informatici dovranno progettati in modo che i dati personali siano cancellati o resi anonimi, con modalità automatizzate, allo scadere dei termini di conservazione; gli stessi sistemi, inoltre, dovranno progettati in modo da consentire la registrazione in appositi registri degli accessi e delle operazioni, di seguito «file di log», effettuati dagli operatori abilitati.
Il senso del provvedimento è usare la tecnologia per rispettare gli adempimenti e la sicurezza degli accessi agli archivi. Anche qui si tratta di valutare realisticamente le novità. Per avere nuovi sistemi informativi ci vogliono stanziamenti di soldi pubblici. I tempi non sono immediati e il dpr fissa la scadenza del 2026 per adeguarsi (salvo future proroghe). Anche qui, però, abbiamo una presa di posizione che segna la ratio del provvedimento.
Altro tassello è quello della disciplina delle modalità di esercizio dei diritti propriamente di privacy previsti dal decreto. Ad esempio non c’è stato il rispetto del termine massimo di conservazione oppure i dati sono stati consultati da non autorizzato: non si va dal Garante, ma in tribunale.
© Riproduzione riservata
Fonte: