Gruppo di lavoro di Berlino

Smart Cities, la tutela dei diritti nelle città datificate

Home Sostenibilità e smart city
Indirizzo copiato

L’International Working Group on Data Protection in Technology (IWGDPT) ha diffuso un importante documento di lavoro sulle Smart Cities, alla cui stesura ha contribuito anche il nostro Garante Privacy. Obiettivi, case study, proposte e prospettive

Pubblicato il 11 ott 2023
Riccardo Berti

Avvocato e DPO in Verona

Franco Zumerle

Avvocato Coordinatore Commissione Informatica Ordine Avv. Verona

Smart,Technology,In,Modern,City,Communication,With,Graphic,Interface,Showing

La progressiva “smartification” del tessuto urbano è uno sviluppo denso di riflessi dal punto di vista delle tutele e della governance, con una costante necessità di bilanciamento fra benefici e costi anche in termini di diritti e tutele dei cittadini, proprio per questo da tempo ci si interroga sulla necessità di individuare una via etica per l’implementazione delle città connesse.

Trasformare le nostre città in “human smart city”: il ruolo cruciale degli enti locali

Necessità evidenziata anche dall’International Working Group on Data Protection in Technology (IWGDPT)[1] che lo scorso 8 settembre ha diffuso un importante documento di lavoro sulle “Smart Cities”, alla cui stesura ha contribuito anche il nostro Garante Privacy.

L’evoluzione delle smart cities

Il settore sta vivendo una crescita accelerata nell’ultimo periodo, basti pensare che ad esempio l’Unione Europea ha da poco creato un marketplace unico dedicato ai progetti per le Smart Cities, lo Smart Cities Marketplace, nato nel 2022 dalla fusione del “Marketplace of the European Innovation Partnership on Smart Cities and Communities” e dello “Smart Cities Information System (SCIS)”, la piattaforma ha raccolto numerose adesioni e conta più di 20 progetti all’attivo nel nostro paese.

La necessità di garantire una adeguata governance a queste innovazioni (specie alla luce delle derive di controllo cui si assiste nell’implementazione di tecnologie avanzate in paesi non democratici) è quindi più che mai attuale.

In questo senso il documento di lavoro è ricco di spunti e di proposte, non limitandosi a “calare dall’alto” idee e soluzioni, ma proponendo l’esame di casi concreti da cui trarre ed applicare insegnamenti.

L’obiettivo del documento dell’IWGDPT

L’obiettivo del documento è proprio quello di diventare uno strumento pratico di supporto alle amministrazioni ed alle autorità di regolamentazione chiamate a definire ed implementare soluzioni tecnologiche rispettose della privacy dei cittadini.

I case studies

Nell’analisi dei casi studio, partiamo da Londra.

Londra

Uno dei casi proposti è quello relativo all’analisi degli spostamenti dei passeggeri connessi al WiFi da parte dell’azienda trasporti di Londra (TfL).

Il progetto nasceva dall’esigenza di comprendere come si muovono attraverso le stazioni i passeggeri, individuando ad esempio affollamenti ricorrenti o segnaletiche non chiare, così da intervenire per migliorare la mobilità urbana. I dati raccolti venivano sottoposti ad immediato hash attraverso una funzione crittografica modificata ciclicamente (così da limitare i danni nel caso in cui l’algoritmo fosse stato compromesso e la chiave scoperta) e non venivano incrociati con altri dati, consentendo così un trattamento limitato al minimo indispensabile per ottenere le finalità che TfL si era proposta di perseguire.

L’autorità londinese ha inoltre informato i viaggiatori sull’attività di rilevazione in vari modi (online, a mezzo stampa, con 300 manifesti e formando i propri dipendenti affinché potessero rispondere alle domande dei viaggiatori sul tema).

Enschede

Nel 2017 la città olandese di Enschede ha deciso di iniziare un monitoraggio delle connessioni WiFi che avvenivano nel centro cittadino. L’obiettivo era quello di verificare l’utilizzo dei servizi pubblici e di indirizzare di conseguenza gli investimenti.

Al fine di anonimizzare i dati l’azienda fornitrice del servizio proponeva un troncamento di parte del MAC address dei dispositivi coinvolti, misura che però l’Autorità Garante olandese non ha ritenuto sufficiente al fine di escludere possibili re-identificazioni, considerando quindi quello effettuato dalla municipalità un trattamento di dati (pur pseudonimi) a tutti gli effetti.

Il gruppo di lavoro evidenzia la necessità di una adeguata programmazione delle iniziative tecnologiche di questo tipo, che deve trovare il suo momento centrale in una valutazione di impatto che qualifichi i rischi e proponga misure di mitigazione (che nel caso di Enschede erano alla portata dell’amministrazione, che non le ha implementate solamente perché non ha percepito la sussistenza del rischio).

Amsterdam

La città olandese ha introdotto l’Amsterdam Algorithm Register, ovvero un sito web dedicato ad illustrare tutti gli algoritmi utilizzati dall’amministrazione cittadina nell’erogazione dei propri servizi.

Toronto

Come Amsterdam anche Toronto aveva assunto una iniziativa (ora purtroppo non più in essere) per realizzare un registro delle attività di trattamento effettuate dall’amministrazione.

Nonostante questa battuta d’arresto, la città prosegue nel suo impegno verso la trasparenza e nel marzo 2022 ha pubblicato il Toronto’s Digital Infrastructure Strategic Framework, un documento che ha l’obiettivo di garantire (in futuro) ai cittadini maggiore autonomia digitale, ad esempio garantendo loro più controllo su come l’amministrazione gestisce e utilizza i loro dati.

Helsinki

La città di Helsinki invece ha già adottato uno strumento che consente ai cittadini di gestire in maniera centralizzata i loro consensi privacy per moltissimi servizi pubblici, il cosiddetto Helsinki Profile dashboard.

Smart Homes

Quella della smart home non è una problematica relativa solo alle dimore private ma nasconde insidie anche nel momento in cui la “smartification” coinvolge edifici pubblici (ovvero edilizia residenziale pubblica).

Il documento fa riferimento ai sensori di umidità nelle abitazioni gestite dalle autorità pubbliche, che oltre allo scopo di base di monitorare i livelli di umidità per indirizzare interventi di manutenzione, possono essere estesi ad esempio fornendo informazioni e strumenti di controllo via app agli inquilini, oppure rilevare criticità (ad esempio al fine di concedere sussidi a chi sistematicamente tiene il riscaldamento basso per risparmiare).

É chiaro che questa serie di finalità comporta uno studio approfondito sulle basi giuridiche (e in alcuni casi la necessità di raccogliere il consenso dell’interessato), ma anche ed al contempo la necessità di selezionare prodotti che escludano un funzionamento che potrebbe essere rivelatore di dati personali indesiderati (proprio per questo è necessario che i dispositivi siano pensati fin dalla progettazione tenendo a mente i profili privacy che, nell’uso, potrebbero presentarsi).

Dispositivi IoT

Quando si parla di dispositivi IoT il gruppo di lavoro evidenzia la necessità di porre un focus sulla sicurezza, programmaticamente messa alla prova dalla connessione al web dei dispositivi smart che popolano le nostre case, le nostre industrie (e le nostre città).

Viene citato ad esempio il Product Security and Telecommunications Bill del Regno Unito, che sebbene sia indirizzato ad incrementare la sicurezza dei produttori di dispositivi IoT soprattutto nel settore consumer, contiene comunque numerose indicazioni di rilievo, quali un divieto di utilizzare password di default sui prodotti, un obbligo di informativa circa la durata minima degli update di sicurezza garantiti e un obbligo di reporting in tema di vulnerabilità d bug fixing.

Le proposte del documento

Alla luce di questi esempi il documento fa una serie di proposte.

Accountability

Ancor prima di iniziare ogni processo che conduca alla “smartification” di un servizio cittadino, le amministrazioni dovrebbero effettuare accorte valutazioni in tema di governance, effettuando ove previsto una valutazione di impatto, così da un lato da individuare e documentare i rischi e gli strumenti di mitigazione adottati, e dall’altro da indirizzare la futura azione della PA, evitando o correggendo iniziative non rispettose dei diritti dei cittadini.

Il documento suggerisce altresì di coinvolgere, oltre al personale tecnico, anche i cittadini stessi, attraverso appositi meccanismi di consultazione.

Minimizzazione dei dati

Le amministrazioni cittadine dovrebbero stabilire chiaramente e fin da subito quali sono i dati di cui necessitano per realizzare le finalità che si sono prefissi, e limitare il trattamento unicamente a tali dati.

Una volta raccolto tale dato minimo, le autorità dovrebbero valutare se è possibile conservarlo in forma meno impattante (es. aggregata).

Limitazione delle finalità

Le città dovrebbero garantire che il trattamento dei dati avvenga solo per gli scopi che si sono prefisse.

In caso di utilizzo dei dati per nuove finalità è importante effettuare una accurata valutazione di compatibilità fra queste nuove esigenze e quelle per cui il dato è stato originariamente raccolto (e di cui i cittadini sono stati informati), valutando se sia necessario richiedere il consenso degli interessati per dar corso al trattamento.

Particolare attenzione deve poi essere dedicata al data sharing fra amministrazioni, se del caso da regolarsi in apposito accordo.

Sicurezza dei dati

Le amministrazioni dovrebbero essere molto caute ed attente nel momento in cui adottano strumenti tecnologici, chiedendo ai loro fornitori di dimostrare la sicurezza informatica dei dispositivi che acquistano.

Nelle forniture tecnologiche le amministrazioni devono altresì essere lungimiranti e garantire aggiornamenti e l’emersione di vulnerabilità lungo tutto il ciclo di vita previsto dello strumento tecnologico.

Trasparenza

Altra precondizione all’implementazione di meccanismi di smartification è una chiara e completa informazione agli interessati, relativa anche all’estensione geografica del trattamento ed ai partner eventualmente coinvolti, precisando il loro ruolo ed il trattamento dati loro affidato.

Diritti degli interessati

Le città dovrebbero garantire la compatibilità fra gli strumenti tecnologici implementati e i diritti degli individui (ad esempio alla rettifica o cancellazione dei dati).

Anche in questo caso si tratta di un elemento che deve essere approcciato prima ancora di iniziare ad implementare il processo di adozione della tecnologia, nonché affrontato insieme ai fornitori, affinché vi sia una sinergia fra le parti finalizzata ad ottenere uno strumento in grado di rispettare i diritti dei cittadini.

Prospettive

L’ultimo dei documenti adottati dal Gruppo di Berlino tocca un tema dirompente e che sta diventando sempre più centrale negli ultimi anni, con l’avanzare delle tecnologie e la sempre più chiara centralità dell’hub cittadino come frontiera dell’implementazione di queste nuove tecnologie.

L’intelligenza artificiale ha poi iniziato a farsi largo in queste implementazioni di smart city, creando una serie di problemi, non ultimo il sovrapporsi di discipline sul tema, che affrontano i vari rischi che si intersecano nell’introduzione di uno strumento di IA in una città.

La fiducia dei cittadini è quindi centrale nell’implementazione di queste tecnologie, il successo o meno di queste iniziative non si basa infatti solo sui vantaggi percepiti dagli abitanti delle città, ma anche sulla capacità di garantire e comunicare che tali vantaggi non sono stati ottenuti sacrificando la riservatezza dei cittadini.

Come diceva Giovanni Buttarelli nel proporre una trasformazione ecologica del digitale, è essenziale che questi strumenti tecnologici non si trasformino in strumenti di controllo e repressione o, peggio ancora, in strumenti di disuguaglianza.

La giustificazione in nome della sicurezza e dell’efficienza non può infatti legittimare uno scavalcamento dei diritti dei cittadini e della loro riservatezza, le esigenze di bilanciamento, richiamate anche nel documento del Gruppo di Berlino, sono quindi centrali di fronte alla travolgente innovazione tecnologica.

Ancor più importante è che questi servizi non si trasformino in meccanismi di disuguaglianza digitale, con le categorie deboli che (ad esempio per accedere ad una sistemazione in un’abitazione gestita dal comune) accettano di sottoporsi ad un monitoraggio (magari giustificato da esigenze di sicurezza, manutenzione, controllo o addirittura di accesso a meccanismi di sostegno) che le altre persone non devono subire, portando così ad una mercificazione del dato personale con le classi più povere costrette a cedere più dati e a vivere rinunciando a parte della loro riservatezza solo per la loro condizione di povertà.

Conclusioni

Le sfide all’orizzonte sono quindi molte e complesse e, come evidenziano le conclusioni del documento del Gruppo di Berlino, se da un lato le amministrazioni cittadine hanno grandi responsabilità, dall’altro lato i cittadini stessi saranno chiamati ad un ruolo chiave nel mantenere i progetti di smartification effettivamente rispettosi dei diritti dei cittadini ed incentrati (come deve essere) sulle prerogative dei cittadini stessi e non sugli obiettivi dell’amministrazione.

[1]L’International Working Group on Data Protection in Technology (IWGDPT) è un forum internazionale nato nel 1983 su iniziativa dell’allora Autorità di protezione dati della città di Berlino, e che per questo viene chiamata “Gruppo di Berlino” e che riunisce rappresentanti delle Autorità europee ed extra-europee, di organismi internazionali ed esperti di tutto il mondo e che ha l’obiettivo di migliorare la tutela della privacy nel settore delle telecomunicazioni

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Social
Analisi
Video
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • Il velo di maya

    Il fiore digitale del partigiano: i volti virtuali di memoria e resistenza

    25 Apr 2024

    di Nicoletta Pisanu

    Condividi

Prossimo

Il fiore digitale del partigiano: i volti virtuali di memoria e resistenza

Articolo 1 di 2