Dr. Pietro Cusati (giurista-giornalista)
Il Garante per la privacy svolge il suo ruolo da quasi venticinque anni a fianco delle persone per difendere la riservatezza e la loro libertà. Il rispetto dei dati personali è importante proteggerli nella vita di tutti i giorni, soprattutto oggi nella dimensione digitale nella quale siamo immersi. Il Garante per la privacy richiama l’attenzione della tutela della persona che deve essere effettiva,infatti,la pubblicazione di immagini con dettagli non essenziali ledono la dignità della persona. L’ammonimento del Garante per la privacy giunge a conclusione dei procedimenti aperti nei confronti di alcune testate, anche on line, per aver pubblicato le immagini di alcune persone, fermate in relazione all’omicidio del giovane Luca Sacchi, riprese “in evidente stato di costrizione fisica”.L’Autorità per la Privacy ha inoltre ordinato ad un quotidiano nazionale il pagamento di una sanzione di ventimila euro, per non aver rispettato, a differenza degli altri media interessati, un primo provvedimento di temporanea limitazione del trattamento, adottato, in via d’urgenza, nell’immediatezza della pubblicazione delle immagini. Il provvedimento era stato deciso tenendo conto, oltre a quanto previsto dal Codice privacy e dalle Regole deontologiche per l’attività giornalistica, dall’art. 114 del Codice di procedura penale che vieta “la pubblicazione dell’immagine di persona privata della libertà personale ripresa mentre la stessa si trova sottoposta all’uso di manette ai polsi ovvero ad altro mezzo di coercizione fisica, salvo che la persona vi consenta”.Le testate raggiunte dai nuovi provvedimenti dovranno quindi adeguarsi integralmente alle disposizioni stabilite dal Garante. Le immagini pubblicate che ritraggono alcune persone in uno stato di costrizione, sono risultate infatti lesive della loro dignità e, non contenendo un’informazione essenziale, sono state pubblicate in violazione del Codice privacy e delle regole deontologiche del giornalismo, oltre che del Codice di procedura penale, non risultando evidente nel caso concreto la presenza di eccezioni al principio generale, quale ad esempio la sussistenza del consenso delle persone riprese. La sola pixelatura delle manette e dei polsi delle persone fermate, raffigurate in un contesto che rende palese la sussistenza di uno stato di costrizione fisica delle medesime, non è evidentemente sufficiente a garantire il rispetto dei divieti posti alla pubblicazione. Il Garante per la Privacy ha vietato ai media l’ulteriore trattamento delle immagini eccettuata la loro conservazione ai fini di un eventuale utilizzo in sede giudiziaria ed ha disposto l’invio dei provvedimenti adottati ai rispettivi Ordini dei giornalisti. Inoltre Il Comune di Roma e la società dei servizi per la mobilità sono stati sanzionati dal Garante per la Privacy per non aver adeguatamente protetto i dati dei cittadini ai quali era stato assegnato il permesso di accesso alle zone a traffico limitato. Le sanzioni, per complessivi 410mila euro, sono arrivate all’esito dell’istruttoria avviata in seguito a una segnalazione e ad alcuni articoli della stampa sui problemi relativi al controllo dei pass ZTL.Dai riscontri raccolti dall’Autorità Garante per la Privacy è emerso che i permessi di accesso esposti sulle vetture presentavano un codice a barre bidimensionale (QR code) che consentiva agli addetti di verificare in tempo reale la validità del contrassegno e a chi era stato assegnato. Tale codice, però, poteva essere letto con una semplice applicazione (app) installata nella maggior parte degli smartphone in commercio. Chiunque, quindi, poteva accedere al nominativo del titolare del permesso ,ad esempio il nome dell’azienda, dell’istituzione, della scuola specifica, o della persona fisica, al nominativo del suo utilizzatore e alla categoria del richiedente, nonché alla targa del veicolo.Durante le verifiche del Garante è stata riscontrata un’ulteriore criticità nella gestione dei dati: chiunque, dopo essersi collegato, tramite il QR code, alla pagina web con i dati del permesso esaminato, poteva accedere anche alle informazioni relative agli assegnatari di altri pass semplicemente modificando il numero identificativo del contrassegno (PID).Differenti le responsabilità del Comune e della società per l’illecita diffusione dei dati personali dei possessori dei pass.La società di servizi per la mobilità, designata responsabile del trattamento dei dati da Roma Capitale ,non aveva valutato correttamente i rischi e aveva progettato e realizzato un sistema informativo inadeguato, che non limitava l’accesso ai dati alle sole persone autorizzate. Anche il Comune di Roma , titolare del trattamento dei dati relativi ai pass,non aveva adottato misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi del trattamento. Roma Capitale, tra l’altro, non aveva fornito alla società di servizi per la mobilità istruzioni specifiche per trattare correttamente i dati personali degli utenti del servizio ,titolari dei permessi ZTL e utilizzatori, impedendo l’accesso da parte di terzi non autorizzati. Il Comune di Roma non aveva neppure proceduto a designare responsabile del trattamento un’ulteriore società che forniva il servizio di “hosting” dei sistemi informatici utilizzati per la gestione dei permessi.Il Garante per la protezione dei dati personali ha dunque adottato due distinti provvedimenti correttivi e sanzionatori. A Roma capitale ha applicato una sanzione di 350.000 euro, calcolata tenendo conto dell’elevato numero di persone interessate, dell’esteso lasso temporale della violazione, nonché delle precedenti violazioni in materia di privacy già commesse dall’ente locale. Alla società per la mobilità, in considerazione delle prime misure tecniche e organizzative già adottate per limitare il problema, è stata invece irrogata una sanzione di 60.000 euro. Ad entrambi sono state inoltre imposte misure correttive per limitare la consultazione dei dati personali relativi ai permessi ZTL.