Un lettore ci segnala che in settimana (purtroppo l’amministrazione non rende noto come da best practice la data di pubblicazione delle pagine) la Città di Collegno ha indetto improvvisamente le elezioni del nuovo direttivo del Consiglio dei Giovani.
L’organo dovrebbe avere durata annuale con possibile rinnovo di ulteriori 12 mesi, ma in periodo di pandemia numerose attività collaterali – ad esempio il rinnovo delle elezioni dei Comitati di Quartiere – sono state rinviate sine die.
Perché invece il rinnovo del Consiglio dei Giovani? Perché questa improvvisa fretta? Qualcuno suggerisce che la Giunta abbia voluto dare un segnale, dopo la protesta plateale dei giovani collegnesi finita su numerose testate locali che riprendono il nostro articolo.
Al di là delle motivazioni, la pagina della Città contiene un link ad un form esterno di Google Docs, strumento di terze parti disponibile pubblicamente a chiunque.
I cittadini, in particolare i ragazzi tra i 15 e i 29 anni, vengono invitati ad inserire numerosi dati personali, tra cui email, numero di telefono, nome e cognome e addirittura copia del documento di identità. Un database prezioso per chiunque, e che dunque merita la massima tutela nella protezione dei dati personali in particolare trattandosi di giovani e di una iniziativa istituzionale.
Il sito ha alcuni errori (ad esempio “dò il consenso”, con l’accento, oppure Comune di Collegno anziché la più corretta dicitura istituzionale Città di Collegno) ma pare riconducibile davvero all’amministrazione comunale, non fosse che per il link tra il sito istituzionale e il form stesso.
L’informativa privacy indica che i dati non sono oggetto di trattamento di terze parti, non saranno comunicati a soggetti privati e il titolare è il Comune di Collegno (nella persona del Sindaco Casciano, titolare del trattamento?). Tutto bene quindi? No.
I Form Google sono strumenti di terze parti (dunque “i privati” citati nell’informativa), che acquisiscono, trattano e salvano i dati personali. Chi ha accesso al form? Quante persone possono leggere i dati personali? Sono tutti dipendenti comunali autorizzati o ci sono altre persone che trattano il dato? Come minimo per usarli in maniera aggregata esiste un trattamento da parte di Google, non indicato nell’informativa. Dove finiscono i documenti di identità, considerano che vengono salvati su Google? Per quanto tempo? Con che garanzia di sicurezza?
Abbiamo già segnalato al DPO della Città (la figura che “aiuta” il titolare del trattamento al rispetto delle norme) che il form potrebbe rappresentare un trattamento illecito di dati personali, siamo in attesa di un riscontro.
E’ evidente che, se così fosse, ci sono aspetti giuridici che dovrebbero portare ad azioni urgenti e non differibili:
– i dati raccolti andrebbero immediatamente cancellati
– le persone che hanno compilato il form avvisate che i loro dati sono stati salvati da Google senza che ne venissero precisate le finalità
– la Città di Collegno nella persona del titolare del trattamento dovrebbe immediatamente chiedere a Google la cancellazione dandone riscontro scritto sul sito della Città e personalmente ai singoli cittadini
– il sindaco Casciano dovrebbe dare conto ufficialmente di come sia potuto succedere, assicurarsi che la Città usi strumenti proprietari e cosa farà perché non succeda più.
Se invece il DPO e l’Autorità Garante per la protezione dei dati personali confermeranno la correttezza dell’operato dell’amministrazione, vorremmo comunque suggerire che le informative sul trattamento dati siano coerenti, e indichino chiaramente che la Città vuole regalare dati dei cittadini ai privati e per quali fini questi verranno usati.
I dati personali, in particolare quelli dei ragazzi collegnesi, meritano maggiore attenzione.
AGGIORNAMENTO DELL’8 MARZO
Le nostre osservazioni hanno portato alla cancellazione del link dalla pagina istituzionale della Città e il Google Form è stato chiuso.
Ancora una volta sottolineiamo che il sito istituzionale non indica data di prima pubblicazione e data di ultima modifica delle pagine, rendendo difficile per il cittadino capire quando vengono pubblicate le notizie (o, come in questo caso, quando viene sospesa una iniziativa senza dire nulla ai cittadini)
Al posto del Google Form un messaggio piuttosto criptico: per informazioni contattate cdg.collegno@gmail.com. Cosa significa “per maggior informazioni”? Perché la pagina istituzionale non spiega cosa è successo? Se i dati erano raccolti dalla Città di Collegno come recitava l’informativa, come mai c’è un indirizzo privato Gmail sul form? I dati inseriti nel Form, inclusi i documenti di identità, a chi sono andati? Il silenzio dell’amministrazione è preoccupante.