Provvedimento del Garante: videosorveglianza e intelligenza artificiale
Il Garante ha sanzionato il Comune di Trento per il trattamento illecito di dati personali in due progetti di ricerca scientifica. Le violazioni includono la carenza di base giuridica e di trasparenza, nonché la mancata esecuzione della valutazione d'impatto.
Il Garante per la protezione dei dati personali ha sanzionato il Comune di Trento per il trattamento illecito di dati personali effettuato nell’ambito di due progetti di ricerca scientifica.
In particolare, il primo progetto prevedeva l’acquisizione di filmati dalle telecamere di videosorveglianza già installate nel territorio comunale per finalità di sicurezza urbana, nonché dell’audio ottenuto da microfoni appositamente collocati sulla pubblica via.
I dati, che ad avviso del Comune sarebbero stati immediatamente anonimizzati dopo la raccolta, venivano analizzati per rilevare in maniera automatizzata, mediante tecniche di intelligenza artificiale, eventi di rischio per la pubblica sicurezza.
Il secondo progetto prevedeva invece, oltre all’acquisizione dei filmati di videosorveglianza (senza segnale audio a differenza del primo), la raccolta e l’analisi di messaggi e commenti d’odio pubblicati sui social, rilevando eventuali emozioni negative ed elaborando informazioni d’interesse per le Forze dell’ordine, allo scopo di identificare rischi e minacce per la sicurezza dei luoghi di culto.
Il Garante ha rilevato molteplici violazioni della normativa privacy.
1. Assenza di idonea base giuridica che legittimasse il trattamento: il Comune di Trento non annoverava la ricerca scientifica tra le proprie finalità istituzionali; i dati, inoltre, erano condivisi con soggetti terzi, tra cui i partner di progetto.
2. Carenza di misure di sicurezza: l’anonimizzazione si era rivelata insufficiente per ridurre i possibili rischi di reidentificazione per gli interessati.
3. Trasparenza e obbligo di informativa: il Comune non aveva compiutamente descritto i trattamenti nelle informative di primo e di secondo livello, come la possibilità che anche le conversazioni potessero essere registrate dai microfoni installati sulla pubblica via.
4. Mancato svolgimento di DPIA: nonostante i due progetti comportassero l’impiego di nuove tecnologie e la sorveglianza sistematica di zone accessibili al pubblico, il Comune non aveva effettuato una valutazione d’impatto prima di iniziare il trattamento.
Con il provvedimento in esame, il Garante ha posto dei limiti all’utilizzo combinato di mezzi di sorveglianza e nuove tecnologie. Contestualmente, il Garante ha precisato che l’impiego di tali mezzi per il trattamento di dati personali è legittimo se compiuto per finalità di ricerca scientifica da parte di soggetti a ciò autorizzati, quali ad esempio gli IRCCS.
È, dunque, fondamentale ai fini della legittimità del trattamento dei dati personali che sussista un’idonea base giuridica.