Smart Cities e protezione dati: i suggerimenti del Gruppo di Berlino

Il Gruppo di lavoro internazionale sulla protezione dei dati nella tecnologia (nel seguito: Gruppo di Berlino), che riunisce rappresentanti delle Autorità europee ed extra-europee, di organismi internazionali ed esperti di tutto il mondo, ha elaborato un documento di lavoro sulle “Smart Cities”[1] che affronta molte delle difficoltà e dei rischi legati all’introduzione di nuove tecnologie, a partire dall’inevitabile incremento vorticoso delle interconnessioni e la connessa esigenza di nuovi trattamenti anche di dati preesistenti. Dal complesso quadro che si viene a delineare, ricco di esempi pratici e suggerimenti, che travalicano i confini europei, emerge evidente e prioritario il bisogno di una forte governance al fine, soprattutto, di evitare rischi per i diritti e le libertà delle persone

L’obiettivo

Il documento di lavoro esplora il tema della digitalizzazione delle città come un processo (inevitabile) articolato nelle tre fasi di raccolta dati, analisi dei dati e decisione e, attraverso analisi dei rischi, case studies e raccomandazioni, si pone l’obiettivo di fornire un pratico strumento di supporto rivolto ad amministrazioni locali, fornitori di servizi ed autorità di regolazione per definire soluzioni rispettose della protezione dei dati personali.

Molti i casi e i processi esplorati: ciascuno implica una qualche forma di esigenza di protezione dei dati trattati o comunque solleva questioni rilevanti per i diritti dei soggetti interessati ai trattamenti. Tutti sicuramente richiedono un’esigenza di trasparenza sul trattamento e sulle modalità di esercizio dei diritti da parte dei soggetti più deboli. Tutti evidenziano sicuramente che occorre che tali temi siano affrontati quanto prima, a partire dalla fase di progettazione degli interventi, nel rispetto del principio della privacy by design e by default.

Il documento, dopo aver analizzato i rischi che impattano sui principi fondamentali in materia di protezione dei dati personali (dalla limitazione delle finalità, alla minimizzazione, di integrità e riservatezza, relativamente agli standard di sicurezza degli strumenti IoT-Internet of Things), termina con una serie di raccomandazioni per le amministrazioni comunali, i regolatori e il settore privato coinvolti nei diversi progetti di smart city o di smart home.

Il percorso

Accoutability e Governance

Per raggiungere e dimostrare la conformità ai principi di protezione dei dati e di tutela dei diritti individuali, prima dell’inizio di qualsiasi trattamento, le città e i loro partner devono assicurare una corretta governance con una rigorosa individuazione di ruoli responsabilità, a partire da una valutazione di impatto sulla protezione dei dati, laddove pertinente, nella fase di ideazione dei processi, che affronti anche il tema dell’identificabilità degli individui. L’analisi deve essere condotta attraverso un lavoro di squadra e coinvolgere, già nella fase iniziale, in un team tutti i soggetti competenti a partire dal responsabile della protezione dei dati, dal responsabile dei sistemi informativi, dall’unità interessata e dall’ufficio legale, anche per definirne la portata e l’ambito delle misure, adeguate ed efficaci; quanto prima devono anche essere coinvolti eventuali responsabili del trattamento e altri partner che, di volta in volta, intervengono nel progetto.

Non meno rilevanti le riflessioni sul tema della qualità dei dati che, inevitabilmente, rileva sulle decisioni che, proprio sulla base dei quei dati e sulla loro rappresentatività, si andranno ad assumere.

Minimizzazione dei dati

Il principio della minimizzazione dei dati mira a garantire che i titolari del trattamento raccolgano solo dati pertinenti, adeguati e necessari per quel determinato scopo, specifico e legittimo. In un contesto di città intelligente – dove l’obiettivo è spesso quello di comprendere le abitudini, i comportamenti, le tendenze – la valutazione dei dati avviene in forma aggregata: l’aggregazione e l’eliminazione degli identificatori deve avvenire al più presto, già nella fase di raccolta per ridurre l’identificabilità per la fase di analisi anche per evitare una raccolta eccessiva di dati personali e di creare inutili intrusioni nella privacy dei cittadini.

Anche in questo caso occorre definire, prima dell’inizio dell’elaborazione, chiaramente quali siano i dati necessari per raggiungere lo scopo specifico del trattamento. Dovrebbero inoltre essere introdotte politiche chiare per una cancellazione automatizzata dei dati raccolti quando non più necessari; si contribuisce così ad una riduzione del rischio di perdita dei dati.

Limitazione delle finalità

Le città svolgono molteplici ruoli nella vita dei propri cittadini, dalla gestione del traffico alla sicurezza pubblica, passando per l’istruzione e il controllo delle emissioni. I sistemi tecnici dovrebbero riflettere le diverse tipologie di dati e le diverse finalità attraverso una separazione delle attività di trattamento. Dovrebbero essere adottate misure organizzative per garantire che non si possa utilizzare i dati raccolti per un determinato scopo, per un’altra finalità, senza un’adeguata valutazione, documentazione e individuazione della corretta base giuridica.

Chiare devono essere le modalità di comunicazione delle finalità del trattamento, del punto di raccolta e le misure di governance adottate.

La mancata definizione di un’adeguata limitazione delle finalità all’interno dei sistemi di trattamento rischia di consentire la condivisione dei dati oltre lo scopo originale. Ciò potrebbe essere fonte di danni alle persone con la perdita di controllo dei dati, rischio che sicuramente aumenta nel caso, anche legittimo, di uso per uno scopo diverso (set di dati provenienti da più fonti, combinati, confrontati o abbinati allo scopo di identificare gli individui aventi diritto alle prestazioni sociali). Il trattamento dovrebbe attivato solo se l’ulteriore finalità è compatibile con quella originaria, o se l’interessato acconsente validamente, o se il titolare del trattamento identifica chiaramente un obbligo legale definito[2].

Integrità e riservatezza

L’incremento delle attività di elaborazione da parte delle città porta con sé un aumento dei punti di raccolta, del volume dei dati raccolti e, in alcuni casi, un’espansione dell’archiviazione di questi dati. Ciò crea nuove sfide per il mantenimento dell’integrità e della riservatezza dei dati personali raccolti, preoccupazione che pervade l’intero ciclo del processo e richiede necessario avere risorse adeguate per attività di audit periodici sull’integrità dei sistemi per garantire il permanere dei requisiti e la capacità di reazione ai rischi nuovi ed emergenti.

La rilevanza del tema è testimoniata dalle iniziative assunti da molti paesi (Regno Unito, Olanda, Belgio) in particolare per garantire la sicurezza dei dispositivi IoT[3] ma anche prestare cautela nella loro implementazione nell’offerta di servizi fissando preventivamente standard di valutazione, pratiche di audit che testino i sistemi durante l’intero ciclo di vita dei dati, per garantire che mantenga i livelli di integrità e riservatezza necessari.

Diritto ad essere informati

La trasparenza del trattamento rappresenta una sfida essenziale per le città intelligenti.
La fase di raccolta dei dati è spesso passiva ma non può avvenire senza mai avvisare l’individuo.
Occorre adottare misure per informare meglio i cittadini sul tipo di trattamento che si sta verificando. I cittadini hanno diritto ad avere informazioni chiare sul se e come i loro dati sono trattati, sulle successive analisi e sulle fasi decisionali, che influiscono sullo scopo della raccolta, sulla sua pertinenza all’obiettivo dichiarato; devono conoscere l’ambito del trattamento e il ruolo delle terze parti coinvolte. La tecnologia deve fornire strumenti per alzare i livelli di trasparenza.

Diritti individuali

Il diritto degli individui di controllare i propri dati personali è una responsabilità delle città e dei loro partner in quanto titolari del trattamento dei dati personali. Ciò includere l’accesso ai dati, l’opposizione al trattamento, la rettifica di errori materiali o la cancellazione dei dati. A causa delle molteplici operazioni di trattamento potenzialmente presenti in una città intelligente, è di vitale importanza che le città stabiliscano procedure chiare e accessibili per soddisfare i diritti degli individui.

Coloro che detengono il controllo delle finalità e dei mezzi del trattamento hanno la responsabilità di informare le persone sul trattamento e sui diritti riguardanti tali dati.

Conclusioni

È inevitabile che l’introduzione di nuove tecnologie di raccolta e le opportunità di utilizzo innovativo dei dati per affrontare meglio le sfide delle città moderne comportino l’incremento dei trattamenti dei dati personali da parte e all’interno delle nostre città. Da tale consapevolezza deve scaturire la necessità di fissare politiche e identificare sistemi che assicurino la protezione dei dati personali durante tutto il ciclo di vita dei trattamenti fin dalla fase di progettazione: occorre quindi che sia assicurato un costante monitoraggio. È in gioco non solo il successo di ogni progetto che vuole migliorare la vita nelle nostre città, ma anche la fiducia di cittadini e visitatori nelle nostre istituzioni.

Le Raccomandazioni[4]

Città

• Le valutazioni d’impatto devono essere realizzate prima di iniziare i trattamenti al fine di identificare e mitigare i rischi e valutare l’impatto su altri diritti e libertà; devono essere sottoposte a revisione periodica e rivalutate per intero quando viene introdotta una nuova tecnologia o si modifica il contesto o si introducono nuovi destinatari;
• I dati utilizzati devono essere adeguati alle finalità e rappresentativi delle caratteristiche della popolazione; i sistemi devono ridurre sempre al minimo i dati incorporando misure tecniche e organizzative il prima possibile nella raccolta dei dati personali (di default);
• Le misure per la minimizzazione dei dati devono permanere durante l’intero ciclo di vita e occorre assicurare l’implementazione di periodi di conservazione adeguati e definire di processi di cancellazione sicuri;
• Occorre attivare team di governance dei dati nella fase iniziale del processo e per tutto il suo ciclo di vita;
• Parte integrante del processo di accountability e governance sono le procedure di consultazione con i cittadini e le altre parti interessate;
• I dati raccolti devono essere trattati solo per gli scopi specificati anche attraverso l’adozione di misure tecniche e organizzative adeguate. Gli scopi devono essere documentati e resi disponibili ai singoli individui;
• Devono essere condotte nuove valutazioni d’impatto, nel caso di utilizzo dei dati per uno scopo diverso da quello che ha dato origine alla raccolta e valutare adeguatamente esigenze di richiedere il consenso del soggetto interessato per il nuovo scopo e procedere alla stipula di accordi di condivisione dei dati tra i diversi soggetti coinvolti;
• Servono clausole contrattuali e standard di valutazione per le gare di appalto di nuovi sistemi che includano criteri di compliance al Regolamento (UE) 2016/679 (GDPR);
• Gli standard di sicurezza devono essere richiesti nella fase di acquisto dei sistemi di elaborazione;
• Occorre prevedere periodiche procedure di audit che testino regolarmente tutte le parti di un sistema di elaborazione dei dati, durante l’intero ciclo di vita dei dati, per garantire che siano assicurati e mantenuti i livelli di integrità e riservatezza richiesti;
• Occorre definire modalità e procedure per fornire informazioni significative agli individui al momento della raccolta dei dati personali e, più in generale, mettere a disposizione dei cittadini strumenti che spieghino le finalità e l’impatto del trattamento, le terze parti coinvolte e i rispettivi ruoli;
• I sistemi devono essere rispettosi dei diritti individuali, garantendo che i prodotti acquistati possano soddisfare queste esigenze;
• La governance dei progetti dovrebbe essere definita in collaborazione con tutti i soggetti coinvolti, prima di iniziare l’attività.

Industria

• I sistemi devono avere la flessibilità necessaria per implementare e aggiornare misure tecniche e organizzative adeguate alle finalità dei trattamenti e alla limitazione degli scopi;
• I prodotti devono riflettere le migliori caratteristiche di mercato, compresa la capacità di recepire aggiornamenti di sicurezza, applicare una politica di divulgazione delle vulnerabilità e non avere password predefinite universali;
• La governance dei progetti dovrebbe essere definita in collaborazione con tutti i soggetti coinvolti, prima di iniziare l’attività.

Autorità di regolazione

• Servono linee guida, raccomandazioni o chiarimenti su:
  • ruoli e responsabilità nelle strutture di governance, in particolare nei casi di una pluralità di soggetti, servizi e tecnologie coinvolti;
  • percorsi per la minimizzazione dei dati trattati e la loro aggregazione;
  • diritti dei cittadini relativamente al trattamento dei dati personali nei progetti di smart city.

[1] Working Paper on “Smart Cities”

[2] Non sempre facile da identificare o “unico”: illuminante al par. 4.1 del Documento l’esempio delle case intelligenti.

[3] cfr. punto 5 del Documento: Progetto di legge PSTI Product Security and Telecommunications: schede informative – GOV.UK Dichiarazione congiunta di sostegno sulla sicurezza dei dispositivi IoT di consumo | Accordo tecnologico sulla sicurezza informatica (cybertechaccord.org); considerazioni sulla privacy per le tecnologie IEEE 802; progetto Data Protection on the Ground di imec-SMIT-VUB che ha organizzato passeggiate sui dati (https://smit.vub.ac.be/policy-brief-57-walkshops). Un altro esempio è l’infrastruttura per la privacy dell’IoT che mappa i sensori IoT nello spazio pubblico, comprese città come Amsterdam e Bruxelles.

[4] Cfr. Gruppo di Berlino, documento di lavoro sulle “Smart Cities” pag. 20-22.