Un gruppo di esperti di Data protection, denominato il Gruppo di Berlino, un Gruppo di lavoro internazionale sulla protezione dei dati nella tecnologia (IWGDP), che riunisce rappresentanti delle Autorità europee ed extra-europee, di organismi internazionali ed esperti di tutto il mondo, ha realizzato una sorta di vademecum per la protezione dei dati personali dei cittadini in ottica di smart city ad uso degli amministratori locali.
Scarica il documento del Gruppo di Berlino in PDF
Questo perché è altamente probabile che la portata del trattamento dei dati personali da parte e all’interno delle città aumenti sempre di più nel prossimo futuro, fra applicazioni IoT, controllo del traffico, guida autonoma e presenza sempre più massiva di sensori sul manto stradale e nei sistemi di illuminazione pubblica.
Nuove tecnologie di raccolta e opportunità di uso innovativo dei dati per rispondere meglio alle sfide delle città moderne, dal traffico alla raccolta rifiuti. Di qui la necessità di stabilire politiche e sistemi per la tutela dei dati personali durante tutto il ciclo raccolta – analisi – decisione.
Le raccomandazioni proposte riflettono le importanti responsabilità del una maggiore elaborazione e le opportunità che le città hanno per migliorare la fiducia dei cittadini nei confronti di quella elaborazione.
E’ quindi necessario identificare chiaramente ruoli e responsabilità degli attori coinvolti in questi progetti, ridurre al minimo la raccolta dei dati ai livelli necessari, e progettare sistemi che stabiliscano restrizioni significative sull’uso dei dati.
Riepilogo delle raccomandazioni
- Le città dovrebbero condurre valutazioni d’impatto prima di iniziare l’elaborazione di dati.
- Identificare e mitigare i rischi e considerare l’impatto su altri diritti e libertà durante la valutazione.
- Le amministrazioni dovrebbero garantire che i dati utilizzati nelle decisioni siano adeguati allo scopo, quindi non eccedere l’obiettivo prefissato di lavorazione e rappresentativo delle caratteristiche della popolazione.
- Le valutazioni d’impatto dovrebbero rimanere sottoposte a revisione periodica e dovrebbero essere completamente rivisitate dall’amministrazione quando viene introdotta la nuova tecnologia in maniera limitata all’area monitorata o al servizio cittadino pertinente.
- Le città dovrebbero coinvolgere i propri team di governance dei dati in una fase iniziale e consultarsi con loro durante tutto il processo.
- Le amministrazioni dovrebbero condurre un’adeguata consultazione del pubblico e di altri soggetti stakeholder rilevanti come parte del processo di responsabilità e governance.
- Le amministrazioni cittadine dovrebbero definire chiaramente i dati necessari per raggiungere lo scopo e sviluppare sistemi che riflettano tale scopo.
- Le città dovrebbero garantire che i sistemi riducano sempre al minimo i dati incorporandoli a misure tecniche e organizzative il più presto possibile nella raccolta di dati personali.
- Le città dovrebbero garantire che le misure per la minimizzazione dei dati persistano in tutto il mondo.
- L’intero ciclo di vita, inclusa l’implementazione di periodi di conservazione adeguati e stabilire processi di cancellazione sicuri.
- Le città dovrebbero garantire di trattare i dati soltanto per gli scopi specificati, adottando misure tecniche ed organizzative. Le città dovrebbero documentare questi obiettivi e renderlo disponibile ai singoli individui.
- Le città dovrebbero condurre valutazioni di compatibilità, quando utilizzano i dati per uno scopo diverso da quello originariamente raccolto.
- Le città dovrebbero adottare misure di governance adeguate in seguito alla compatibilità della valutazione, inclusa, se pertinente, la richiesta del consenso dell’individuo per il nuovo scopo e la conclusione di accordi di condivisione dei dati tra attori.
- Le città dovrebbero stabilire standard di valutazione per gli appalti di nuovi sistemi per determinare l’attuazione delle considerazioni sulla privacy.
- Le città dovrebbero richiedere la dimostrazione degli standard di sicurezza prima dell’approvvigionamento di sistemi di elaborazione.
- Le città dovrebbero stabilire pratiche di audit che verifichino regolarmente tutte le parti dei dati del sistema di elaborazione, attraverso l’intero ciclo di vita dei dati, per garantirne l’integrità e mantenere i livelli di integrità e riservatezza richiesti.
- Le città dovrebbero stabilire metodi per fornire informazioni significative ai soggetti al momento della raccolta dei dati personali.
- Le città dovrebbero stabilire una precondizione per la raccolta dei dati personali e metodi per fornire informazioni significative agli individui prima della raccolta.
- Le città dovrebbero fornire informazioni pubblicamente disponibili che ne spieghino la portata di elaborazione in tutta la città, comprese le terze parti coinvolte nell’elaborazione e i loro ruoli.
- Le città devono istituire sistemi conformi ai diritti individuali, garantendo acquisto prodotti idonei.