Smart city e data protection. Alcuni aspetti da chiarire

Ormai da diversi anni le più grandi città del globo hanno avviato una competizione che ha come obiettivo quello di applicare nella modalità più intensa possibile il paradigma della “smart city”. Questo paradigma ha come presupposto la raccolta quanto più ampia di informazioni, in alcuni casi anche di natura personale, provenienti da sensori e sonde di vario tipo (internet of things), oppure semplicemente da basi dati strutturate per finalità afferenti ai settori classici di attività dell’ente locale, informazioni le quali verranno poi tra loro interconnesse al fine di elaborare modelli a supporto dei processi decisionali basati sull’osservanza effettiva della realtà. 

La fase di rielaborazione di tali informazioni viene spesso accompagnata anche dall’impiego di algoritmi di intelligenza artificiale i cui risultati vengono poi utilizzati per la ri-progettazione, evoluzione e gestione di moltissime tipologie di servizi quali ad esempio: lo smaltimento dei rifiuti urbani, la domotica nelle abitazioni, la logistica, la gestione delle soste a pagamento, la gestione del traffico, bike sharing e car sharing, la distribuzione dell’energia.

I benefici di una applicazione sempre più ampia del paradigma della smart city possono essere facilmente intuibili, esattamente come i rischi intrinseci nel paradigma stesso; a fronte di ciò, quindi, è utile inquadrare tale attività nel contesto determinato dal Regolamento 679/2016/UE (GDPR) al fine di comprendere se esiste un contesto normativo chiaro e completo che possa guidare i percorsi tecnologici attualmente in corso.

A parere di colui che scrive pur essendovi chiarezza sui principi generali stabiliti dal GDPR applicabili alla tematica “smart city”, l’applicazione pratica degli stessi necessiterebbe indubbiamente di qualche intervento chiarificatore anche volto ad approfondire quegli aspetti di eventuale “interesse pubblico” che possano essere rintracciabili all’interno delle attività afferenti ai processi di smart city, soprattutto dove questi sono sviluppati direttamente dalla pubblica amministrazione, e più nello specifico dagli enti locali, al fine di orientare le politiche pubbliche e la realizzazione e gestione di nuovi servizi alla cittadinanza.

È innanzitutto opportuno evidenziare come le informazioni necessarie in ambito smart city possono essere suddivise tra quelle che “ab origine” non rilevano caratteristiche legate agli individui e quelle che, invece, traggono spunto da più comportamenti individuali i quali, sommati ed aggregati tra loro, delineano una tendenza; ovviamente in tale contesto il confronto con il GDPR andrà sviluppato solo per l’ultima ipotesi. 

Lo scenario tipico è quello nel quale l’ente locale ha a disposizione una serie di basi di dati realizzate per l’erogazione dei servizi istituzionali tipici dell’ente (es. servizi anagrafici, servizi di raccolta rifiuti, sportello unico per l’edilizia, sportello unico attività produttive, servizi sociali, gestione delle viabilità, etc.), le quali, pur essendo state interessate da nuove evoluzioni tecnologiche al fine di un miglioramento del servizio classico in sé, oggi consentirebbero un utilizzo delle informazioni in esse contenute anche per lo sviluppo di finalità ulteriori, soprattutto se coordinate con altre basi di dati create per l’erogazione di altri servizi. 

In tale contesto, quindi, l’interesse dell’ente sarà quello di poter interconnettere le basi di dati al fine di trarne valutazioni in merito alle tendenze emergenti, così da poter orientare le politiche pubbliche, il dato sarà quindi stato raccolto in modalità identificativa per la finalità originaria e dovrebbe essere poi utilizzato in forma aggregata per lo sviluppo di ulteriori finalità, che per comodità potremmo definire “finalità smart city”. 

Ora è sicuramente immaginabile, anzi assolutamente necessario, che l’ente sviluppi un processo di de-identificazione di queste informazioni al fine di poterle utilizzare per le finalità smart city, ciò che potrebbe essere meno chiaro è capire se il processo che si andrà a sviluppare potrà essere qualificato come anonimizzazione o pseudonimizzazione, o meglio quale debba essere il livello di certezza di non riconducibilità (e come debba essere tecnicamente conseguito) delle informazioni de-identificate alla persona fisica alla quale le stesse originariamente erano collegate. 

Sul tema il dibattito è aperto in moltissimi campi e non solo in ambito smart city, in quanto per poter definire se il processo di de-identificazione abbia prodotto una “definitiva” non riconducibilità dei dati all’interessato, partendo dal presupposto che in ambito tecnologico una garanzia assoluta non possa esistere, sarà necessario sviluppare una valutazione probabilistica la quale dovrà basarsi su alcuni criteri che potrebbero essere di natura economica (investimento troppo elevato per avere a disposizione strumenti che potrebbero sviluppare una re-identificazione), di natura temporale (necessità di tempi troppo lunghi per operare una re-identificazione), di natura organizzativa (avere a disposizione altri set di informazioni, magari di natura identificativa, che abbinati ai dati de-identificati ne consentano una re-identificazione, oppure essere a conoscenza delle procedure di produzione del dato). 

Ora è necessario affermare che un provvedimento ad hoc, di natura normativa, regolamentare o di altro tipo (es. codice di condotta), che stabilisca questi criteri per l’ambito della smart city non esiste e sicuramente sarebbe opportuno vi fosse per poter dare un quadro giuridico definito, che possa supportare degli investimenti in questo settore da parte degli enti locali. Potremmo forse affermare che tale provvedimento sarebbe utile in generale, anche al di fuori del contesto smart city, anche se si ritiene che l’attività tendenzialmente afferente alla pubblica amministrazione potrebbe giustificare alcune considerazioni di natura specifica.

Ovviamente immaginare un percorso che dia certezza all’azione di anonimizzazione dei dati avrebbe come conseguenza quella di ritenere non più applicabile il GDPR alle attività che venissero sviluppate in ambito smart city con l’utilizzo di queste informazioni. Qualora questa strada si ritenesse non percorribile, allora ci troveremmo di fronte esclusivamente a dati da considerarsi pseudonimizzati, quindi all’applicazione di una misura di sicurezza la quale, in quanto tale, presupporrebbe l’applicazione del GDPR alle finalità smart city anche laddove queste non avessero una ricaduta personalizzata sull’interessato. 

Se seguissimo questo percorso sarebbe necessario individuare la base giuridica legittimante il trattamento di dati per finalità ulteriori (rispetto a quelle per le quali gli stessi erano stati originariamente raccolti in forma identificativa), le finalità smart city appunto. La risposta più immediata potrebbe essere quella di individuare un consenso diretto dell’interessato, da rilasciarsi all’atto della raccolta dei dati, per consentire l’utilizzo degli stessi anche per le finalità smart city; ciò comporterebbe però la necessità di aver determinato a priori (all’atto della raccolta dei dati) i potenziali utilizzi ulteriori (rispetto all’erogazione del servizio istituzionale classico per il quale il dato sarebbe stato raccolto) di queste informazioni, cosa che in molti casi risulterebbe impossibile. Quindi il consenso potrebbe rimanere la base giuridica solo per quelle finalità smart city che comportino comunque una qualche ricaduta personalizzata sull’interessato, laddove queste fossero presenti (sebbene questa non sia la fattispecie più comune, potrebbe comunque verificarsi). 

Negli altri casi sarebbe possibile prendere come riferimento il “Considerando 50”, il quale afferma che laddove i dati vengano utilizzati per finalità diverse da quelle per le quali sono stati raccolti ma “compatibili” con queste, non sarebbe necessaria alcuna base giuridica separata oltre a quella che ha consentito la raccolta dei dati, considerando quindi le finalità smart city svolte dall’ente locale (o una quota parte di queste, che abbiano caratteristiche specificamente individuate in un apposito provvedimento) come compatibili con quelle che hanno determinato la raccolta dei dati e non richiedendo, quindi, ulteriori presupposti che legittimino il trattamento. 

L’impostazione appena descritta potrebbe essere ulteriormente rafforzata dalla qualificazione di un interesse pubblico rintracciabile in tali finalità smart city, il quale, a parere di colui che scrive, è indubitabilmente presente in alcune di queste finalità, anche se oggi la norma non lo identifica come tale.

La statuizione della “compatibilità” delle finalità smart city con quelle che hanno portato alla raccolta dei dati dovrebbe essere valutata sulla base di una serie di criteri che andrebbero sicuramente definiti in un provvedimento, il quale dovrebbe trarre spunto dalle considerazioni di cui all’articolo 6 paragrafo 4 del GDPR.

Probabilmente gli aspetti inerenti l’anonimizzazione, la pseudonimizzazione e la valutazione della compatibilità delle finalità (Considerando 50) citate nel presente articolo, potrebbero trovare la loro collocazione all’interno di un esplicito codice di condotta (ex art. 40 GDPR) in ambito smart city, l’eventuale statuizione di un interesse pubblico (pur non fondamentale per l’applicazione del quadro ivi suggerito) richiederebbe, invece, un esplicito intervento normativo. 

In ogni caso, al di là della valutazione inerente gli spunti sui quali si è cercato di argomentare, si ritiene assolutamente necessario che il quadro giuridico complessivo si evolva per poter effettivamente massimizzare i benefici sulle politiche pubbliche potenzialmente derivanti dal paradigma smart city e minimizzare i rischi inerenti la tutela della riservatezza dei cittadini.