Il Garante, con provvedimento del 25 Gennaio 2024, ha optato per una sanzione di 50.000 euro al Comune di Trento per aver condotto due progetti di ricerca scientifica violando la normativa sulla protezione dati. Vediamo nel dettaglio cos’è successo.
I progetti Marvel e Protector
I progetti in questione, a cui ha preso parte il Comune di Trento, sono stati finanziati con fondi europei. Avevano come obiettivo lo sviluppo di soluzioni tecnologiche volte a migliorare la sicurezza urbana, secondo il paradigma delle smart cities (città intelligenti). Le modalità di utilizzo di telecamere, microfoni e reti sociali nell’ambito di questi progetti ha portato ad una serie di violazioni della normativa sulla protezione dei dati.
In particolare, il progetto Marvel (Multimodal Extreme Scale Data Analytics for Smart Cities Environments) ha utilizzato 14 telecamere di videosorveglianza già installate nel territorio e 6 microfoni posizionati in tre luoghi pubblici diversi per registrare l’audio del circondario. I dati servivano per rilevare, attraverso l’utilizzo dell’AI, eventi rischiosi per la pubblica sicurezza.
Il progetto Protector (PROTECTing places of wORship) puntava invece, oltre ad acquisire alcuni filmati di videosorveglianza (senza però l’audio), ad analizzare i messaggi e commenti d’odio pubblicati sui social. Il fine era quello di individuare eventuali rischi di sicurezza per i luoghi di culto. Per questo progetto sono state acquisite un totale di 18 ore di videoregistrazione che riguardano il periodo compreso tra febbraio 2022 e il 30 aprile 2023.
La violazione della normativa sulla protezione dei dati
Il Comune di Trento è incappato in una mancanza sostanziale nella gestione dei dati personali: non è stato in grado di fornire evidenze sufficienti a supporto dell’esistenza di un quadro giuridico adeguato che giustificasse le modalità e il trattamento stesso di tali informazioni.
Criticità sono emerse anche in merito alle tecniche di anonimizzazione impiegate per garantire l’irriconoscibilità degli interessati. Il Comune di Trento, basandosi sulle valutazioni del proprio responsabile della protezione dei dati e sulla consulenza specialistica ricevuta dalla Fondazione Bruno Kessler, aveva implementato alcune misure per anonimizzare i dati raccolti. Tra queste, la sostituzione della voce del parlante e l’applicazione di una sfocatura ai volti e alle targhe dopo la loro acquisizione. Queste tecniche di anonimizzazione si sono però rivelate insufficienti. Come ha ribadito il Garante, anche l’acquisizione temporanea di dati costituisce un trattamento di dati personali.
Inoltre, il Comune di Trento non ha rispettato il principio di trasparenza: non ha descritto in modo approfondito i trattamenti nelle informative di primo e secondo livello. Le informazioni di primo livello (cartello di avvertimento) forniscono i dati più importanti: le finalità del trattamento, l’identità del titolare, l’eventuale trasmissione di dati a terzi, il periodo di conservazione dei dati ecc… L’informativa di secondo livello deve invece contenere tutte le informazioni relative al trattamento, in forma completa, chiara e facilmente comprensibile.
Per approfondire > Videosorveglianza: quali obblighi normativi?
In merito all’informativa di primo livello, il Comune di Trento non ha fatto riferimento al fatto che la ricerca avesse una finalità scientifica. In questo modo gli interessati possono aver assunto che i dati rilevati fossero riconducibili esclusivamente a finalità di sicurezza urbana. Per quanto concerne l’informativa di secondo livello, invece, non sono stati menzionati i microfoni impiegati nel progetto Marvel. Di conseguenza, non era chiaro che i microfoni stessero registrando le conversazioni intercorse tra le persone che circolavano sulla strada pubblica.
Il Comune non ha poi dimostrato di aver effettuato alcuna valutazione di impatto prima di cominciare il trattamento.
Il Garante opta per la sanzione al Comune di Trento
Il Garante, pur riconoscendo che il Comune di Trento avesse agito in buona fede, ha rilevato diverse illecità nel trattamento dei dati effettuato da quest’ultimo.
In particolare il Garante ha rilevato la violazione delle seguenti normative: art.5, par. 1, lett. a), 6, 9, 10, 13, par. 1, lett. c) ed e), e par. 2, lett. a), b) e d), 14 e 35 del Regolamento, nonché 2-ter, 2-sexies e 2-octies del Codice.
Per questo, pur riconoscendogli anche alcuni fattori attenuanti, ha optato per una sanzione al Comune di Trento dell’ammontare di euro 50.000 euro. Ha quindi imposto il divieto di trattare i dati personali già raccolti (sia sotto forma di registrazioni video che audio, messaggi o commenti ottenuti dai social) e la cancellazione dei sopracitati dati personali.
Il Garante si è comunque dichiarato disponibile a fornire supporto per qualsiasi iniziativa futura che riguardi l’utilizzo dell’AI. Non solo al Comune in questione, ma anche alle altre amministrazioni, in modo tale da non incorrere in violazioni delle normative sulla privacy.
Il provvedimento completo è disponibile qui.
Cerchi una piattaforma per la conformità del tuo sistema di videosorveglianza che ti metta al riparo da sanzioni? Permettici di consigliarti la nostra soluzione Videosorveglianza In Regola.
