Sicurezza urbana: privacy e integrazione al centro

della Redazione

La Prassi di Riferimento UNI/PdR 48:2018 “Sicurezza urbana - Quadro normativo, terminologia e modelli applicativi per pianificare, progettare, realizzare e gestire soluzioni di sicurezza urbana”, frutto della collaborazione tra UNI e FOIM – Fondazione Ordine Ingegneri Provincia di Milano, definisce un linguaggio comune per i soggetti attivi a vario titolo nella sicurezza urbana, offre una panoramica delle prescrizioni relative alla sicurezza urbana e propone modelli di riferimento per pianificare, progettare, realizzare e gestire soluzioni di sicurezza urbana. La prassi, rivolta agli operatori del settore pubblici e privati, tiene conto della compresenza di tecnologia e servizi, finalizzati alla prevenzione di atti criminosi e della vulnerabilità dei siti, illustrando esempi di buone pratiche nelle Appendici A, B, C e D. 

In fiera SICUREZZA si è parlato della prassi di riferimento UNI/PdR 48:2018, con particolare focus sul ruolo degli ingegneri nei processi di sicurezza urbana, che deriva evidentemente dai progetti di sviluppo urbano, propedeutici a qualunque forma di progettazione di sicurezza. 

Il ruolo degli interlocutori di parte amministrativa lascia invece molto a desiderare: la distanza tra teoria e pratica, ha avvertito Stefano Manzelli (Coordinamento Sicurezza Urbana in fase di progettazione), è infatti abissale perché va calata in un quadro normativo sovraccarico e complesso, che vede la privacy come primo impatto da valutare. E se è vero che oggi meno dell’1% dei progetti di videosorveglianza urbana risulta essere compliant, sarà bene drizzare le orecchie. Del resto, per avere un reale dialogo interforze occorrono un progetto e un’architettura integrata by design che permettano di trasformare i dati grezzi in informazioni fruibili, ha replicato Giulio Iucci, Presidente di ANIE Sicurezza. Occorre quindi rivoluzionare il proprio business e i modelli di formazione in corso. In parte c’è riuscito il C.E.N. (Centro Elettronico Nazionale della Polizia di Stato) allocato a Napoli, che consente il collegamento di molti Comuni e anche di privati per il rilevamento targhe dei veicoli rubati, ha ricordato Domenico d’Aniello. La stessa vigilanza privata, ha detto il Presidente di ASSIV Maria Cristina Urbano, è dotata di sale di controllo e monitoraggio molto evolute, certificate ad alti livelli e pronte a contribuire ad un modello di sicurezza partecipata che superi l’antica diffidenza rispetto a chi offre servizi di sicurezza privata. In tutto ciò, la figura chiave dev’essere però il Security Manager, ha concluso Maurizio Tondi, Vice Presidente ASIS Italy. Si tratta di una figura in divenire che deve possedere competenze trasversali a più settori e fare da raccordo e collante nella definizione e nello sviluppo dei processi.

Privacy by design e by default nella progettazione  dei sistemi di videosorveglianza urbana

Marco Soffientini, Avvocato Esperto di Privacy e Diritto delleNuove Tecnologie e docente Ethos Academy

Un sistema di videosorveglianza per finalità di sicurezza urbana deve essere progettato tenendo conto, sotto il profilo della protezione dei dati, dei principi della c.d. privacy by design e by default.

Con l’espressione data protection by design, disciplinata dal paragrafo 1 dell’articolo 25  del RGPD 679/2016, si intende l’obbligo in capo al Titolare, tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura e delle finalità del trattamento, di mettere in atto misure tecniche e organizzative adeguate per integrare nel trattamento le necessarie garanzie volte a tutelare i diritti degli interessati. La Polizia Locale di un Comune (titolare del trattamento) che intende utilizzare un sistema di videosorveglianza urbana, per soddisfare una qualsiasi delle finalità di sicurezza urbana, così come definita dal pacchetto sicurezza (noto come pacchetto “Minniti”), dovrà approntare adeguate misure  organizzative all’interno di un regolamento sulla videosorveglianza definendo l’accesso alle immagini, la modalità di conservazione, di trasmissione, di cancellazione, ecc.  e le misure logiche di sicurezza sotto il profilo della riservatezza, disponibilità e integrità dei dati (immagini). In altri termini, la data protection by design significa il rispetto dei principi di data protection attraverso la loro protezione fin dalla fase di progettazione di un trattamento di dati personali. L’applicazione di automatismi idonei a rispettare i principi della data protection ci aiuta a comprendere il concetto della data protection by default, che è definito dal paragrafo 2 dell’articolo 25 del RGPD 679/2016 . Si tratta di un concetto molto importante quando si ha a che fare con trattamenti automatizzati, come avviene, ad esempio, con i sistemi di videosorveglianza, perché sta a significare che la protezione di un trattamento di dati personali è garantita da impostazioni predefinite (di “default”). Si pensi al riguardo alla configurazione dei tempi di conservazione delle immagini dei sistemi di registrazione (DVR, NVR). La configurazione, a titolo esemplificativo, di un apparato per la durata di sette giorni per finalità di sicurezza urbana, salvo richieste specifiche da parte delle forze di polizia a competenza generale, consentirà alla polizia locale di rispettare by default quanto previsto dal paragrafo 3.4.3 del provv. Generale in tema di videsorveglianza del 08.04.2010, secondo il quale, per “i Comuni, e nelle sole ipotesi in cui l’attività di videosorveglianza sia finalizzata alla tutela della sicurezza urbana, il termine massimo di durata della conservazione dei dati sia limitato ai sette giorni successivi alla rilevazione delle informazioni e delle immagini raccolte mediante l’uso di sistemi di videosorveglianza, fatte salve speciali esigenze di ulteriore conservazione”. In conclusione, la finalità della data protection by design è quella di rendere i trattamenti compliant alla disciplina sulla protezione dei dati personali, mentre la finalità della data protection by default attiene alla protezione del trattamento automatizzato da accessi non consentiti e per finalità diverse, attraverso la configurazione di impostazioni che di “default” consentono il rispetto della disciplina sulla protezione dei dati personali. Entrambi questi concetti sono destinati a giocare un ruolo fondamentale in termini di responsabilità giuridica per il Titolare, in quanto nel Regolamento (art. 24) il Titolare  è tenuto ad assumere tutte le misure, tecniche e organizzative, necessarie per consentire di “dimostrare” che i trattamenti da lui posti in essere sono conformi alla normativa.