Update | Videosorveglianza e intelligenza artificiale: il Garante della Privacy sanziona il Comune di Trento
Il Garante della Privacy ha sanzionato il Comune di Trento per due progetti che combinavano videosorveglianza e intelligenza artificiale trattando dati personali in violazione del GDPR. Che cosa è successo di preciso? Di seguito l’analisi completa del caso.
***
Con provvedimento n. 5 del 2024 l’Autorità Garante per la Protezione dei Dati Personali (di seguito “Garante”) ha sanzionato il Comune di Trento per aver posto in essere dei trattamenti di dati personali in violazione del Regolamento UE 679/2016 (“GDPR”).
I fatti alla base del provvedimento
Il Comune di Trento ha partecipato a due progetti di ricerca denominati “Marvel” e “Protector”, con l’obiettivo di sviluppare soluzioni tecnologiche volte a migliorare la sicurezza in ambito urbano. In particolare, il progetto Marvel prevedeva l’acquisizione di filmati estratti dalle telecamere di videosorveglianza già installate nel territorio comunale per finalità di sicurezza urbana, nonché dei file audio ottenuti da microfoni appositamente collocati sulla pubblica via ai fini del progetto. Il progetto prevedeva poi che tali dati, dopo essere stati anonimizzati, venissero analizzati al fine di rilevare in maniera automatizzata, mediante tecniche di intelligenza artificiale, eventi rilevanti ai fini della salvaguardia della pubblica sicurezza. Il progetto Protector, invece, prevedeva, oltre all’acquisizione di filmati di telecamere di videosorveglianza, anche la raccolta e l’analisi di messaggi d’odio pubblicati sulle piattaforme Twitter e YouTube al fine di rilevare eventuali emozioni negative per identificare rischi e minacce per la sicurezza dei luoghi di culto.
Il quadro giuridico ricostruito dal Garante
Innanzitutto, è necessario premettere che il Garante ritiene applicabile il GDPR in quanto ha considerato inadeguate le tecniche di anonimizzazione utilizzate nell’ambito di entrambi i progetti. Per quanto concerne i file audio, la tecnica utilizzata è stata la sostituzione della voce; tuttavia, il Garante rileva che la conversione vocale non rimuove il contenuto parlato dell’enunciato, il quale può potenzialmente contenere informazioni identificative. Per quanto riguarda i file video, invece, la tecnica utilizzata è stata quella dell’offuscamento dei volti delle persone e delle targhe dei veicoli ripresi; anche in questo caso, tuttavia, la tecnica non è stata considerata idonea in quanto gli interessati sono comunque potenzialmente identificabili tramite altre caratteristiche fisiche o elementi di contesto o informazioni detenute da terzi, o ancora informazioni desumibili, ad esempio, dalla localizzazione della telecamera o informazioni relative al percorso effettuato.
Tanto premesso, il Garante ritiene che i trattamenti posti in essere ricadano negli artt. 9 e 10 GDPR, ossia nel trattamento delle categorie particolari di dati personali e dei dati personali relativi a condanne penali e reati. Infatti, il progetto Protector, analizzando messaggi/commenti acquisiti dalle reti sociali riguardanti l’ambito religioso, pone in essere un trattamento di dati idonei a rivelare le convinzioni religiose dei relativi autori o di terzi menzionati in detti messaggi; il progetto Marvel, invece, si inserisce in un trattamento ex art. 10 GDPR poiché vengono utilizzate telecamere di sicurezza urbana impiegate con lo specifico obiettivo di individuare e analizzare fatti rilevanti ai fini della tutela della pubblica sicurezza, che possono quindi integrare fattispecie di reato.
Accertato che i dati trattati sono quelli di cui agli artt. 9 e 10 GDPR, il Garante ricorda che il trattamento di dati appartenenti a categorie particolari è di regola vietato, fatte salve le eccezioni di cui all’art. 9 par. 2 GDPR. In tale quadro, i soggetti pubblici possono trattare dati personali, anche relativi a categorie particolari di dati, se il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento oppure per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. Con riguardo al trattamento dei dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza, si evidenzia che esso può avvenire soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell’UE o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati, ovvero solo qualora il trattamento sia autorizzato da una norma di legge o, nei casi previsti dalla legge, di regolamento.
Le violazioni accertate dal Garante
Il Garante ha accertato la violazione di diversi importanti principi, tra cui in particolare i principi di liceità e trasparenza del trattamento.
Per quanto concerne il principio di liceità del trattamento, il Garante evidenzia la mancata sussistenza di un quadro giuridico idoneo, per rango e qualità, a giustificare i trattamenti di dati personali posti in essere da un soggetto pubblico quale il Comune. Il Comune, nelle proprie memorie difensive, aveva addotto come base giuridica l’art. 2 legge regionale n. 2/2018, artt. 3 e 7 Statuto del Comune, i quali annoverano tra le funzioni amministrative di interesse locale attribuite ai comuni lo sviluppo culturale, sociale ed economico della popolazione. Il Garante, tuttavia, ritiene che queste disposizioni non possano costituire una valida base giuridica in quanto si limitano ad attribuire al Comune una competenza del tutto generica, senza quindi soddisfare i requisiti di qualità della base giuridica. Per spiegare meglio cosa si debba intendere con “requisiti di qualità della base giuridica”, il Garante cita la Corte di Giustizia dell’Unione Europea, la quale in più sentenze ha ribadito che la normativa su cui si fonda il trattamento deve prevedere regole chiare e precise che disciplinino la portata e l’applicazione della misura prevista; inoltre, sempre secondo la CGUE, la normativa deve imporre requisiti minimi in modo che i soggetti interessati dispongano di garanzie sufficienti che permettano di proteggere efficacemente dati contro il rischio di abusi.
In secondo luogo, per quanto concerne la violazione del principio di trasparenza, il Garante ha contestato l’incompletezza dell’informativa resa agli interessati. Quest’ultima, infatti, non rendeva edotto l’interessato: (i) della finalità di trattamento connessa alla ricerca scientifica; (ii) del fatto che anche il contenuto delle proprie conversazioni sarebbe stato acquisito e trattato ai fini del progetto Marvel; (iii)del corretto tempo di conservazione dei dati – il tempo indicato nell’informativa era di sei mesi, incongruente rispetto all’asserita immediata anonimizzazione dei dati; dei diritti degli interessati.
Le sanzioni
Alla luce delle considerazioni sopra riassunte, il Garante ha ritenuto opportuno ingiungere al Comune di pagare la somma di euro 50.000, oltre a vietare il trattamento dei dati personali degli interessati già raccolti nell’ambito dei suddetti progetti, e in ogni caso ha ordinato la cancellazione di tali dati.