Indice dei contenuti

Gli enti locali italiani si trovano ad affrontare una sfida complessa nell’utilizzo di software di analisi dati per ottimizzare servizi pubblici, bilanciando innovazione e rigorosa tutela della privacy. Il Regolamento UE 2016/679 (GDPR), applicato con particolare attenzione al D.Lgs. 101/2018 e al D.Lgs. 196/2003, impone requisiti tecnici e organizzativi stringenti, soprattutto in fase di profilazione e profilazione automatizzata, dove l’elaborazione di dati personali richiede metodi strutturati e certificabili. Questo articolo fornisce una guida dettagliata, passo dopo passo, per implementare il Legittimo Interesse (Legitimate Interest Assessment – LIA) e integrarlo con tecniche avanzate di Privacy by Design, garantendo conformità, sicurezza e operatività in contesti pubblici.

1. Fondamenti normativi: il quadro giuridico applicato agli enti locali
La normativa italiana applica il GDPR con specificità nel contesto dei software di analisi dati pubblici, dove il trattamento di dati personali, spesso aggregati ma identificabili, richiede un’analisi rigorosa.
Il Codice Privacy, D.Lgs. 196/2003 e D.Lgs. 101/2018, impongono obblighi differenziati in base alla finalità, alla sensibilità dei dati e alla finalità dell’elaborazione. In particolare, Art. 6, comma 1, lettera b) GDPR richiede una base giuridica valida, che in ambito pubblico spesso si configura come legittimo interesse, ma solo dopo una Valutazione del Legittimo Interesse (LIA) approfondita.
Art. 37 GDPR impone che, prima di avviare trattamenti, l’ente identifichi e documenti il legittimo interesse, bilanciandolo con i diritti fondamentali dei cittadini.
Art. 28 D.Lgs. 101/2018 definisce gli obblighi del Responsabile della Protezione dei Dati (RPD), che in enti locali svolge un ruolo centrale nella governance della privacy, non solo come figura consultiva ma con poteri tecnici e organizzativi concreti, tra cui la supervisione delle valutazioni di impatto e la verifica dei contratti con i fornitori di software analitici.

Per la procedura LIA dettagliata, vedi il caso studio di un comune lombardo che ha implementato un registro LIA con checklist integrate nel ciclo di vita del progetto software.
2. Valutazione del Legittimo Interesse: il metodo A strutturato per la LIA
Il Metodo A per la Valutazione del Legittimo Interesse (Legitimate Interest Assessment) offre un framework operativo per garantire conformità in enti pubblici.

Fase 1: Definizione della finalità esplicita e misurabile

La finalità deve essere formulata in modo chiaro, non generico. Ad esempio: “Analizzare i dati di mobilità cittadina per ottimizzare la frequenza dei mezzi pubblici, riducendo tempi di attesa e migliorando accesso a servizi sociali”.

Fase 2: Analisi della necessità e proporzionalità

Si valuta se i dati raccolti sono strettamente necessari. Per evitare sovra-raccolta, si applica il principio di minimizzazione: raccogliere solo dati temporali, geolocalizzati a livello aggregato (es. quartiere) e non identificativi individuali. Si verifica la compatibilità con strumenti di pseudonimizzazione già previsti nel progetto software.

Fase 3: Valutazione dell’impatto sui diritti dei cittadini

Si procede con un questionario strutturato che considera:

• Tipo di dati (mobilità, reddito, residenza) e sensibilità;
• Probabilità di re-identificazione, anche tramite correlazione con altri dataset pubblici;
• Possibili discriminazioni indirette, ad esempio su fasce socio-economiche;
• Effetto sulla fiducia dei cittadini hacia le istituzioni.

Fase 4: Documentazione del bilancio legittimo

Il risultato è un registro LIA che include:

• Descrizione dettagliata della finalità e della base giuridica;
• Analisi dei rischi e misure adottate (es. anonimizzazione, accesso limitato);
• Nomina del RPD e coinvolgimento delle parti interessate (utenti, esperti privacy);
• Data di revisione e firma del responsabile.

Esempio pratico: un comune che analizza dati di trasporto pubblico per ottimizzare rotte deve dimostrare che la profilazione non include dati sensibili (salute, religione) e che ogni output è aggregato, con audit trimestrali per verificare il rispetto.
Template LIA (sintetico):

  
Finalità: ottimizzazione servizi mobilità cittadina
  
Necessità: dati aggregati di movimento, non individuali
  
Rischi valutati: re-identificazione <0,5% per correlazione con open data; discriminazione <1% per gruppi vulnerabili
  
Misure: pseudonimizzazione, accesso RBAC, audit logs
  
Documentazione: registro LIA aggiornato ogni 6 mesi
  

Per il quadro normativo base sul trattamento dati, consultare D.Lgs. 101/2018 e D.Lgs. 196/2003.
3. Progettazione tecnica per la Privacy by Design nei software di analisi
L’Art. 25 GDPR impone la progettazione tecnica con minimizzazione e pseudonimizzazione come principi fondamentali. In contesti pubblici, ciò richiede un’architettura che integri privacy fin dalla fase di sviluppo software.

Fase 1: Definizione delle categorie di dati e flussi

Si mappa ogni tipo di dato elaborato:

• Dati personali identificativi (cognome, codice fiscale parziale);
• Dati comportamentali (orari di transito, percorsi);
• Dati sensibili (condizioni di salute rilevate tramite servizi sociali).

Si classificano secondo il livello di rischio: dati a basso rischio (orari di autobus), medio (indirizzi residenziali aggregati), alto (dati sanitari).

Fase 2: Implementazione tecnica di minimizzazione e pseudonimizzazione

– **Minimizzazione:** i dati vengono raccolti solo con attributi strettamente necessari, es. “quartiere” al posto di indirizzo esatto; durata conservazione limitata a 12 mesi, tranne casi con interventi urgenti.
– **Pseudonimizzazione:** si applicano tecniche come hashing unidirezionale con salt casuali (es. SHA-256 + sal generato da token univoco utente), garantendo che senza la chiave di mapping non sia possibile ricostruire l’identità.
– **Criptazione:** dati in transito e in storage protetti con AES-256; database separati per dati sensibili accessibili solo tramite ruoli autorizzati.
– **Accesso dinamico:** configurazione RBAC con policy basate su ruolo (operatore analista, responsabile privacy, RPD), con autenticazione a più fattori (MFA).

Esempio pratico di trasformazione dati:

Dato originale: “Mario Rossi, 45 anni, cod. fiscale 01234567890, quartiere 12, autobus 23, orario 08.15”
Trasformato: PID: XYZ12345, quartiere, orario aggregato, cod. fiscale pseudonimizzato

Il flag “XYZ12345” è generato da un generatore crittografico associato alla sessione, non collegabile a identità reale senza chiave riservata.

Strumenti consigliati:

• ARX Data Anonymizer per test di re-identificazione;
• OpenDP per implementare privacy differenziale nelle query analitiche;
• Software ETL con logging automatico (es. Apache NiFi) per audit trail.

4. Fasi operative per l’implementazione: il ciclo di vita