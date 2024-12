È intervenuto con ritardo rispetto a quelle modifiche approvate addirittura nel 2008. Infatti, l’Autorità Garante per la Protezione dei Dati Personali si è iniziata a muovere solamente undici anni dopo, quando l’allora governo guidato da Giuseppe Conte (nella coalizione tra MoVimento 5 Stelle e Lega) aveva dato vita a quei cambiamenti che oggi – sotto l’esecutivo Meloni – si sono trasformati in realtà attraverso l’introduzione dell’obbligo – come previsto dal decreto interministeriale firmato da Matteo Salvini (Ministero dei Trasporti) e Matteo Piantedosi (Ministero dell’Interno) – del Foglio di Servizio Elettronico per gli NCC.

Un intervento tardivo rispetto all’origine dei problemi – come sottolineato dal DPO Christian Bernieri sul suo blog -, ma che è arrivato con ben due pareri spontanei datati maggio 2019, segnalando le criticità del sistema del Foglio di Servizio Elettronico per NCC sia all’allora Presidente del Consiglio dei Ministri – Giuseppe Conte -, sia all’allora titolare del Ministero delle Infrastrutture e dei Trasporti – Danilo Toninelli. In entrambi i casi, si fa riferimento alla sproporzione (non giustificata) relativa al trattamento dei dati di chi utilizza (il “committente”) un servizio NCC. Non solo i dati anagrafici (compreso il codice fiscale), ma anche tutti i dettagli relativi al “viaggio”.

Foglio di Servizio Elettronico per NCC, il parere del Garante Privacy

In entrambi questi (analoghi) pareri, sono contenute delle segnalazioni su tutte le criticità relative alla raccolta dati degli utenti, soprattutto alla luce di quanto indicato nel GDPR, il Regolamento Generale per la Protezione dei Dati Personali in vigore in Europa:

«Il trattamento di informazioni così delicate, quali l’ubicazione o gli spostamenti degli interessati, che possono essere suscettibili di disvelare anche dettagli sensibili della vita degli stessi, non risulta conforme al canone di proporzionalità previsto dal Regolamento (UE) 2016/679 quale requisito della base normativa su cui si fonda il trattamento e parametro essenziale di legittimità delle limitazioni del diritto alla protezione dei dati […] Il previsto massivo trattamento di dati personali, destinato ad incidere su un numero estremamente rilevante di cittadini, “fruitori del servizio”, avrebbe, peraltro, richiesto la specifica previsione, da parte del legislatore, di misure adeguate ed efficaci al fine di escludere o ridurre i rischi per i diritti degli interessati. E ciò, sia sotto il profilo della sicurezza informatica, che riguardo alle modalità di conservazione dei dati riportati nel foglio di servizio, ai soggetti legittimati ad accedere alle informazioni o a coloro ai quali gli stessi possono essere comunicati (cfr. in particolare, art. 5, par. 1 lett. e) e f), Reg.). Il Garante non ha potuto evidenziare in via preventiva i rischi sottesi ad una tale previsione normativa individuando, ad un tempo, possibili misure idonee ad escluderli o quanto meno a mitigarli, non essendo stato richiesto il parere di cui all’articolo 36, par. 4, del Regolamento (UE) 2016/679, che ha introdotto l’obbligo di consultazione preventiva dell’Autorità anche con riguardo agli atti normativi di natura primaria».

Per questo motivo, l’Autorità Garante per la Protezione dei Dati Personali aveva chiesto di rivedere questa misura, andando proprio a modificare l’aspetto che riguarda il trattamento e la conservazione dei dati degli utenti che utilizzano un servizio NCC:

«Per le ragioni esposte, la norma, così come è formulata, non è idonea a soddisfare i requisiti richiesti di proporzionalità dalla normativa in tema di protezione dei dati personali, con serie ricadute sulla liceità del trattamento dei dati che su di essa si dovesse fondare; si rende pertanto necessario un intervento correttivo della disciplina, al fine di superare i profili di criticità evidenziati ed evitare ingiustificate limitazioni dei diritti degli interessati».

Due segnalazioni che, evidentemente, sono cadute nel vuoto. Infatti, l’attuale governo ha deciso di proseguire su quella strada tracciata dal decreto legge del primo governo Conte, rendendo obbligatorio il Foglio Elettronico di Servizio per NCC a partire dal 3 gennaio 2025.

L’ultimo parere

Nell’ultimo parere, quello relativo alla bozza del decreto interministeriale, il Garante Privacy ha sottolineato come debbano essere previste misure atte a mitigare i rischi anche attraverso la pseudonimizzazione, al fine di evitare che tutti questi dati possano finire alla mercé di chiunque. Perché non si fa più riferimento alle obiezioni sollevate nel 2019? Perché si tratta di un parere a livello tecnico sullo schema di un decreto e non sulla sua applicazione. Dunque, possiamo sottolineare come – seppur con ritardo – il Garante Privacy sia più volte intervenuto per sottolineare l’assenza della proporzionalità di questa raccolta dati (e anche sulla finalità del trattamento), ma il governo ha deciso di tirare dritto lo stesso.