La decisione arriva al termine di più interlocuzioni tra l’Autorità e l’ente locale. Nonostante le modifiche apportate dal Comune nell’ultima versione della DPIA, il Garante ha ritenuto che le criticità già evidenziate non siano state adeguatamente superate, in particolare sotto il profilo della sicurezza del sistema tecnologico adottato.

 

Il trattamento dei dati attraverso body cam, trattandosi di attività connesse a funzioni di law enforcement, rientra nell’ambito della Direttiva UE 2016/680, recepita nell’ordinamento italiano, che disciplina il trattamento dei dati personali da parte delle autorità competenti per finalità di prevenzione, indagine, accertamento e perseguimento dei reati. Si tratta di un ambito caratterizzato da un livello di rischio elevato per i diritti e le libertà degli interessati, che impone cautele rafforzate.

 

Sistema informatico Usa e rischio trasferimento verso Paesi terzi

 

Uno dei nodi principali riguarda il sistema informatico di gestione dei dati raccolti dalle body cam, fornito da una società statunitense. Il Garante ha rilevato che il Comune non ha chiarito se, nella scelta del fornitore, siano state valutate soluzioni alternative presenti sul mercato, né ha fornito adeguati approfondimenti sugli aspetti di protezione dei dati connessi a un trattamento definito ad “elevato rischio”.

 

Particolarmente rilevante è il rilievo relativo all’assenza di misure tecniche idonee a escludere che il fornitore possa accedere ai dati “in chiaro”. Un eventuale accesso da parte della società statunitense configurerebbe infatti un trasferimento di dati verso un Paese terzo, con conseguente applicazione delle regole stringenti previste dalla Direttiva UE 2016/680.

 

Il trasferimento di dati personali per finalità di law enforcement è soggetto a condizioni specifiche, che includono la presenza di adeguate garanzie, accordi vincolanti e un livello di protezione sostanzialmente equivalente a quello assicurato nell’Unione europea. Nel caso esaminato, il Garante ha ritenuto che tali garanzie non siano state dimostrate.

 

Le ulteriori criticità: sicurezza e connettività

 

Tra le ulteriori criticità segnalate dall’Autorità figura anche la presenza di una SIM all’interno delle body cam, in merito alla quale non sono stati forniti chiarimenti adeguati.

 

La questione della connettività è tutt’altro che marginale: la trasmissione dei dati in tempo reale o il caricamento su server esterni comportano ulteriori profili di rischio, che devono essere valutati nella DPIA con particolare attenzione, soprattutto quando il trattamento riguarda immagini e audio raccolti durante interventi di polizia.

 

Il parere negativo del Garante non rappresenta un giudizio di merito sull’opportunità dell’utilizzo delle body cam in sé, ma richiama con forza l’esigenza che le amministrazioni pubbliche, prima di introdurre tecnologie invasive, effettuino una valutazione di impatto completa, documentata e coerente con il quadro normativo europeo.