Il 29 aprile 2021 la Autoriteit Persoonsgegevens – l’autorità olandese per la protezione dei dati – ha inflitto al comune di Enschede la pesante sanzione di 600.000 euro per utilizzo di un sistema di Wi-Fi tracking in violazione della privacy dei cittadini. Il Wi-Fi tracking ha permesso di tracciare le persone che vivono o lavorano oppure semplicemente fanno shopping nel centro della cittadina che conta poco più di 150.000 abitanti. Un’attività che è proseguita per qualche anno, probabilmente senza che l’amministrazione locale si rendesse conto che fosse del tutto illecita.
Nel 2017 la municipalità aveva deciso di misurare quanto fosse affollato il centro della città; veniva a tal fine ingaggiata una società specializzata nel conteggio delle persone che provvedeva a collocare nelle vie dello shopping diversi sensori in grado di rilevare i segnali Wi-Fi dagli smartphone dei passanti. Ogni telefono è stato registrato separatamente con assegnazione di codice univoco.
Il sistema così implementato rendeva possibile misurare quanto fosse affollata una determinata strada contando quanti telefoni fossero“agganciato” da un sensore in un particolare momento. Tuttavia, la presenza di più sensori permetteva di rilevare su un periodo di tempo più lungo quale telefono transitasse vicino a quale sensore in quale ordine temporale: circostanza che trasforma una semplice conteggio in un’attività di tracciamento degli spostamenti individuali del tutto non necessaria e, soprattutto, palesemente contraria alle regole del GDPR sulla protezione dei dati personali.
Una violazione di privacy che è proseguita fino al maggio 2020 fino allo stop imposto dal Garante olandese che ha ritenuto grave la condotta al punto da comminare oggi, dopo approfondita indagine, una sanzione da oltre mezzo milione di euro contro la quale il comune ha già annunciato ricorso professando la propria buona fede.
Il vice presidente della Autoriteit Persoonsgegevens, Monique Verdier, ha affermato: “Quando in giro, ognuno ha il diritto di farsi gli affari propri, liberamente e senza essere spiato. Senza che il governo o qualsiasi altra entità possa osservarti o tenere traccia di quello che stai facendo. Questo fa parte della nostra società libera e aperta“. Ha poi osservato che in una cittadina come Enschede “Quando è relativamente tranquillo, si può risalire esattamente a quale persona corrisponde a quale codice. Oppure puoi guardare i pattern del sistema: se una persona arriva nello stesso posto ogni giorno alle 08.00 e se ne va di nuovo alle 17.00, significa che lavora lì“.
E ancora: “Nessuno dovrebbe essere in grado di tracciare quali negozi, medici, chiese o moschee visitiamo. Sono fatti privati e dovrebbe rimanere tali in modo che le persone possano essere se stesse, senza sentirsi inibite da una possibile registrazione“. L’esponente della Data Protection Authory sentenzia: “I comuni dovrebbero mettere al primo posto questo diritto fondamentale dei loro cittadini“.
“L’uso del Wi-Fi tracking è soggetto a condizioni rigorose, e nella maggior parte dei casi è vietato. Poiché questa tecnologia può influenzare così profondamente la vita quotidiana delle persone, deve essere utilizzata solo in casi eccezionali“, ha detto la signora Verdier. “In alcune situazioni i comuni sono autorizzati a trattare i dati personali utilizzando il Wi-Fi tracking, per esempio se questo è necessario per svolgere i loro compiti istituzionali”. Ma evidentemente l’iniziativa del comune olandese non rientrava tra questi.
Il GDPR, oltre a vietare forme ingiustificatamente intrusive di tracciamento su base individuale, prescrive che ogni pubblica amministrazione debba dotarsi di un Data Protection Officer (DPO). Una figura cui fanno capo compiti (specificati all’art. 39 del Regolamento) come quelli di sorvegliare la corretta osservanza delle disposizioni della normativa di privacy, fornire consulenza al titolare e soprattutto disporre un Data Protection Impact Assessment quando “un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche” (art. 35 del Regolamento).
Un progetto che prevede l’utilizzo di tecnologie di Wi-Fi tracking su una ampia scala e avente ad oggetto gli spostamenti dei cittadini, non doveva sfuggire ad un rigoroso vaglio preventivo di data protection. Qualcosa non ha funzionato: o il DPO dormiva, o è stato tenuto all’oscuro o non è stato ascoltato. Comunque sia andata, il caso sanzionato dall’Autorità dei Paesi Bassi, dimostra che – specie considerando la crescente diffusione di soluzioni tecnologiche dal costo relativo e versatili nell’impiego – nessun ente pubblico può far a meno del supporto di un DPO che, bene ricordarlo, deve essere dotato di profonda esperienza e competenza in materia: perché sarà lui a dover “filtrare” le tentazioni di un amministrazione colta improvvisamente da slanci d’innovazione (quando non da pulsioni di sorveglianza intrusiva). Il rischio è non solo quello di violare la privacy dei cittadini ma anche di vedere – per un’iniziativa tanto estemporanea quanto evitabile – le casse dell’amministrazione svuotate di 600.000 euro che, come si suol dire, sono soldi dei cittadini stessi. Per la comunità locale, oltre al danno pure la beffa.
