{{feedLink}}

Acqua alta a Venezia: il Garante affonda il ticket di ingresso.

sanzione Christian Bernieri
(Aggiornato il )
Venezia e i suoi contrasti: grande bellezza e immensa sciatteria.
Venezia e i suoi contrasti: grande bellezza e immensa sciatteria. Ph: CB

Forse in Comune si aspettavano un "Leone d'Oro" ... ma l'unica cosa che riceveranno è un gatto rognoso.

Il tema di oggi è il ticket di ingresso in città, o meglio, il contributo di accesso alla città antica: una pessima idea, perdipiù realizzata nel peggiore dei modi (a.c.d.c.). Fin dal giorno in cui venne partorita questa pensata mi sono espresso in modo piuttosto netto e colorito. Ricordo di aver scritto molte parole con la doppia "z", altre che iniziano con "p" e tante "t" e altre poco gradite a Giovanni Della Casa. Ora, dopo i tempi tecnici (biblici) dell'istruttoria all'amatriciana, il Garante mi delizia con un provvedimento, datato 4 agosto, e sanziona il Comune di Venezia, demolendo le fondamenta e l'architettura complessiva del tributo che, purtroppo, qualche cervello annacquato ha partorito.

Probabilmente il fatto che il provvedimento, firmato e notificato al comune da più di un mese, sia stato pubblicato solo oggi, ha evitato scomodi imbarazzi che avrebbero stonato sul tappeto rosso steso in occasione della settimana del cinema. Mi chiedo, tuttavia, con che coraggio i politici coinvolti da questo scempio (eletti, non nominati) si siano presentati davanti alle telecamere, sorridenti e gongolanti. Io non ne sarei capace. Honni soit qui mal y pense.

Tornando al merito della questione, il provvedimento è di quelli sintetici, scritto nello stesso stile dell'informativa di Instagram. Un Cut-Paste delle varie interlocuzioni tra Garante e Comune.

La vicenda potrebbe risultare assai deludente per tutti coloro che credono nella politica, convinti che l'amministrazione comunale (eletti, non nominati) sia adeguata al proprio ruolo e che tenga in adeguata considerazione i diritti dei cittadini e delle persone in generale.

Un disastro: il Comune è partito nel peggiore dei modi, acquisendo dati in stile sovietico, razzolando nella melma per registrare ogni scampolo di informazione, senza l'ombra di un motivo e con assoluta noncuranza di leggi e regolamenti. Nel corso degli anni, anche grazie al fatto di avere le mascelle degli ispettori del Garante saldamente ancorate agli stinchi, il progetto ha subito delle provvidenziali modifiche, elevandosi dall'infimo livello di "cloaca" e raggiungendo un più dignitoso stato di "porcheria".

Oggi il progetto fa schifo, ma fa meno schifo di prima e, anche per questo, la sanzione è limitata a 10.000 Euro. In effetti le sanzioni comminate alla pubblica amministrazione sono modeste, sia perché sono soldi nostri, sia perché non hanno alcuna funzione di deterrente o educativa e, soprattutto perché hanno un valore simbolico:

il Garante ci sta dicendo che l'amministrazione del capoluogo lagunare (eletti, non nominati) è talmente incompetente, così sciagurata, ignorante a tal punto da non riuscire a concepire un progetto che non calpesti i diritti delle persone e i loro dati personali. In altre parole, il Garante sta dicendo ai Veneziani che hanno ottenuto ciò che hanno chiesto, votando le persone sbagliate. Per fortuna ci sono dei limiti e dei meccanismi di salvaguardia che limitano i danni causati dalla cialtronaggine.

 

Il Comune ha provato a giustificare le proprie scelte nel modo più banale: è un tributo, quindi facciamo quello che vogliamo!

Purtroppo non funziona così e, come sempre, per fare qualcosa bisogna essere capaci di farlo.

 

NO

No, non puoi raccogliere questi dati dicendo che sono funzionali al tributo, anche perché il presupposto per applicare il tributo è l'accesso alla città, non la mera intenzione di accedere, forse, eventualmente ed in futuro.

No, non si può raccogliere ogni genere di informazione se non è necessaria e funzionale ad un trattamento legittimo

No, non si può tenere dati personali a disposizione di futuri controlli, che peraltro non avvengono

No, non si può chiedere a tutti di preregistrarsi, tanto per agevolare il lavoro di quattro funzionari

No, non si possono installare dei totem amatoriali, programmati da cialtroni, pieni di bug e grossolane vulnerabilità, per erogare un servizio pubblico

No, tutto questo non serve a nulla rispetto alle verifiche da parte degli accertatori, che si devono far bastare il foglietto con il QR-Code, feticcio di nefasta memoria.

No, non si possono raccogliere dati relativi alla salute, dati che permettono di ricostruire rapporti amicali e sociali, dati giudiziari, dati relativi a circostanze già note alla PA... solo per poter, eventualmente, forse, chissà, in futuro, poter verificare le autocertificazioni che, a campione, si deciderà di verificare.

No, non puoi chiedere questi dati per verifiche se, per legge, le verifiche si basano su autocertificazioni e, ovviamente, la pre-registrazione voluta dal Comune non ha alcun valore di autocertificazione.

 

Ma come si fa a giustificare un totem talmente configurato male, talmente vulnerabile da consentire a chiunque di modificare le impostazione e di trasformarsi in una macchina di raccolta e condivisione dati? Come?

Il Garante ha rilevato e contestato violazioni gigantesche: violazione dei principi di necessità e di proporzionalità, di liceità, correttezza e trasparenza, di limitazione della finalità, di minimizzazione, di limitazione della conservazione, nonché di privacy by design e privacy by default. L'assurda configurazione dei totem ha comportato la violazione dell'obbligo di  riservatezza dei dati, di privacy by design e di sicurezza del trattamento. 

Il Comune ha realizzato illecitamente "un trattamento massivo di dati personali riferiti non solo ai soggetti tenuti al pagamento del contributo d’accesso ma, soprattutto, a coloro che ne sono esclusi o esentati.
In particolare, la registrazione sul Portale nella fase di prima sperimentazione avvenuta nel 2024 ha comportato la raccolta - preventiva rispetto ad un eventuale successivo controllo - di informazioni molto dettagliate sui tempi e sugli spostamenti, nonché sulle motivazioni dell’accesso alla città di Venezia, relativamente all’attività lavorativa, di studio, sportiva, alla sfera dei rapporti personali e sociali degli interessati o dei loro familiari, che necessitano di una attenta valutazione in relazione alle specifiche finalità perseguite dalla richiamata normativa di settore."

inoltre... "a fronte dell’enorme numero di dati personali raccolti, soltanto una percentuale decisamente trascurabile sarà effettivamente utilizzata per finalità tributarie" - "comportando una massiva raccolta di dati personali e informazioni sugli spostamenti degli interessati che, oltre a essere non necessaria, non appare proporzionata rispetto alle finalità perseguite."

 

 

Infine il Garante sgancia la mina:

la base di legittimazione per questo trattamento non c'è! Il comune aveva l'intenzione (non dichiarata) di utilizzare i dati per programmare i flussi turistici e, per fare questo, si è inventato una scusa, una narrazione per riuscire ad acquisire dati e utilizzarli in un modo che la legge non permette. I tributi, si sa, sono un po' come i cuccioli di foca e bambini in pericolo... la scusa ideale che non si discute, ma se sono un paravento per fare altro, allora discuterne diventa necessario.

E il Garante spiega bene quanto siano inadeguate le scelte dell'amministrazione veneziana: "In ogni caso, il calcolo delle soglie (o delle presenze previste) potrebbe essere effettuato con differenti strategie e modalità di misurazione alternative, meno invasive o senza ricorrere ad un trattamento di dati personali. Non risultano, infatti, agli atti dell’istruttoria evidenze in ordine a eventuali valutazioni effettuate su possibili modalità alternative di quantificazione (per es. richiedendo ai soggetti istituzionali una quantificazione dei flussi di utenza media/standard, dei picchi minimi o massimi, etc.). "

Micdrop!

 

Il Garante tira le somme scrivendo l'epitaffio politico dell'amministrazione:

"Dall’istruttoria condotta è emersa, in particolare, l’inadeguatezza delle misure adottate per assicurare il pieno rispetto dei principi di necessità e di proporzionalità, di liceità, correttezza e trasparenza, di limitazione della finalità, di minimizzazione, di limitazione della conservazione, di integrità e riservatezza, nonché di privacy by design e privacy by default con riguardo al trattamento dei dati personali effettuato, in particolare, nella fase di prima sperimentazione del Portale, nonché alle impostazioni di configurazione dei c.d. “totem”."

 

Per me è tutto abbastanza chiaro, solo una cosa non capisco. Il comune e il Garante hanno più volte citato il portale "http://cda.ve.it"... http.  Non https. Quella "s" mancante testimonia un elemento di sciatteria informatica notevole, la mancanza di una protezione basilare del traffico web che, in altre occasioni, è stata oggetto di autonoma sanzione. Non comprendo perché, in questo caso, non ci si sia soffermati su un elemento così vistoso e pericoloso. Forse, in presenza ti un disastro di questa portata, i dettagli si ridimensionano e tendono a scomparire nell'ombra.

 

CB.

Christian Bernieri

“A fucking good DPO” - Data Protection advocate. IAPP CIPP/E.

Consulente privacy (oppure) DPO. Mai le due cose contemporaneamente!

Principal Consultant presso SGST srl

Su Twitter (X) ero @prevenzione ma  ho cancellato tutto. "Io li odio i nazisti dell'Illinois."  (cit.)

Sono su BLUESKY, sono @garantepiracy.it

Sono anche su Linkedin

Se mi cerchi fisicamente, mi puoi trovare qui: φ 42° 21,5′ N - λ 10° 3,85′ E

Puoi mandarmi messaggi diretti e anonimi via Signal

Altri post correlati

Letture totali:  

...

Toggle darkmode