Non servono tutti quei dati per il contributo d’accesso
I fondi di coesione Ue vengono usati anche per finanziare progetti di sorveglianza. A Venezia hanno sostenuto la realizzazione di una Smart Control Room. Ma non è l’unico caso. Alberto Puliafito e Laura Carrer indagano
A Venezia, dal 2024, chi vuole entrare in città per un giorno quando è attivo il contributo d’accesso, deve pre-registrarsi online e ottenere un QR-code. Che tu sia un lavoratore pendolare, una studentessa, un parente in visita, una persona che deve fare una terapia o andare a un funerale, anche se sei esente dal pagamento, ti devi registrare.
Ma il Garante per la protezione dei dati personali ha detto che questo sistema è illecito. Non solo perché raccoglie troppi dati, ma soprattutto perché lo fa senza necessità.
La vicenda parte proprio dalla sperimentazione iniziata nel 2024: per entrare a Venezia nei giorni di alta affluenza, anche chi è esente dal pagamento del contributo d’accesso deve registrarsi su un portale online del Comune, spiegare chi è, perché entra, da dove viene, quando, per quanto tempo. Il portale restituisce un QR-code da mostrare in caso di controlli. La registrazione si può fare anche tramite totem installati fisicamente in città, nel piazzale della Stazione, per esempio.
Ma il controllo – se avviene – è a campione. Nella maggior parte dei casi non succede nulla: tu inserisci i dati, ottieni il codice, entri in città, e nessuno ti ferma. Eppure i dati restano lì, in attesa che qualcuno (forse) li usi.
Il Garante ha analizzato tutto questo e ha deciso che è una violazione del principio di minimizzazione. Se il controllo è eventuale e avviene sul posto, non ha senso raccogliere tutto prima. Basta chiedere documenti o autocertificazioni solo quando serve, senza obbligare milioni di persone a raccontare i fatti propri.
E poi c’è il modo in cui i dati sono stati raccolti. Il Comune, all’inizio della sperimentazione, chiedeva addirittura il motivo preciso per cui si entrava in città: lavoro? terapia? visita ai detenuti? accudimento di familiari? Affinché il portale funzionasse, bisognava esplicitare tutto. Un’iperburocrazia digitale con cui nessuno avrebbe mai accettato di convivere se fosse stata imposta in presenza, da un funzionario con un timbro e un faldone.
Solo più avanti il Comune ha semplificato: ha reso possibile selezionare una voce generica, “altre esenzioni”, che permetteva di compilare il modulo digitale senza entrare nel dettaglio, e ha tolto alcune categorie dall’obbligo di pre-registrarsi. Ma era troppo tardi: il danno (anche normativo) era già fatto.
Il Garante ha poi segnalato problemi anche sui totem: in almeno un caso, l’interfaccia permetteva di modificare le impostazioni del browser, salvare il QR-code nella memoria locale, lasciare tracce di dati nei file temporanei. In pratica, c’era il rischio concreto che le informazioni personali di una persona fossero accessibili a chi usava il totem dopo di lei.
Sicurezza informatica scarsa, insomma. Ma anche progettazione sbagliata: mancava la cosiddetta privacy by default, cioè quel principio che dovrebbe garantire che, anche se una persona sbaglia o non sa, il sistema lo protegge lo stesso.
Il Garante ha stabilito che la raccolta è sproporzionata, non è necessaria, viola almeno sei articoli del GDPR, la normativa europea sulla privacy. Questa decisione dimostra anche che una tecnologia pensata – o raccontata – per regolare i flussi turistici può diventare facilmente uno strumento di sorveglianza preventiva.
Il Comune di Venezia, quindi, dovrà cambiare rotta. Nello specifico, dovrà:
eliminare la pre-registrazione per molte categorie di esenti;
usare in modo esteso la voce “altre esenzioni” per evitare di raccogliere il motivo specifico della presenza sul territorio comunale;
smettere di raccogliere dati sugli ospiti dei residenti;
chiarire come funzionano i controlli successivi e per quanto tempo i dati vengono conservati;
sistemare il portale e i totem, garantendo che nessun dato resti accessibile o memorizzato senza motivo.
In più, il Garante ha imposto una multa da diecimila euro (sanzione tutto sommato contenuta e simbolica) e ha ordinato che il provvedimento venga pubblicato integralmente.
Questa non è solo una storia veneziana. È un precedente molto importante e contiene in sé una questione politica importante: anche se vuoi regolamentare il turismo, non puoi costruire schedature preventive. Non puoi trasformare un’esenzione fiscale in un modulo inquisitorio. Non puoi registrare abitudini, spostamenti e relazioni delle persone senza una necessità concreta.
La sorveglianza non è la risposta a tutto. Non lo è nemmeno quando la chiami “gestione dei flussi”.
I fondi di coesione Ue vengono usati anche per finanziare progetti di sorveglianza. A Venezia hanno sostenuto la realizzazione di una Smart Control Room. Ma non è l’unico caso. Alberto Puliafito e Laura Carrer indagano
La Smart Control Room di Venezia è stata finanziata con fondi della politica di coesione europea per contrastare le disuguaglianze, migliorare le condizioni di vita, rafforzare la coesione. Ma è davvero così?
Il primo caso del mondo contemporaneo occidentale in cui una città diventa “su prenotazione”.
A Roma i fondi di coesione hanno sostenuto una piattaforma digitale per rendere la Capitale smart. I risultati sono poco chiari, ma il progetto è stato rifinanziato.
L’idea di smart city è sempre più diffusa e applicata, ma non è poi così chiaro come si concretizzi. E, soprattutto, a vantaggio di chi.
Non servono tutti quei dati per il contributo d’accesso
Soluzioni per contrastare lo spopolamento
Venezia è unica. Ma non è l’unica. E non è sola.
Ticket d’accesso e Smart Control Room sono soluzioni contro l’iperturismo?