Il garante per la protezione dei dati personali interviene sullo svolgimento di attività di ricerca tramite sistemi d’intelligenza artificiale

Massima

Gli enti pubblici non annoveranti la ricerca scientifica tra le proprie finalità istituzionali devono comprovare la sussistenza di un quadro giuridico idoneo a giustificare i trattamenti di dati svolti per tale finalità. Altresì, agli interessati va fornita un’adeguata informativa e il titolare deve comprovare di avere effettuato un’adeguata valutazione d’impatto prima d’iniziare il trattamento.

Il caso

Il Garante per la Protezione dei Dati Personali (il “GPDP”) ha sanzionato il Comune di Trento (il “Comune”) per avere condotto due progetti di ricerca scientifica, usando telecamere, microfoni e reti sociali, in violazione della normativa sulla protezione dei dati.

Tali progetti, finanziati con fondi europei, hanno come obiettivo lo sviluppo di soluzioni tecnologiche volte a migliorare la sicurezza in ambito urbano, secondo il paradigma delle ‘città intelligenti’ (‘smart cities’).

In particolare:

• Il progetto MARVEL prevede l’acquisizione di filmati dalle telecamere di videosorveglianza già installate nel territorio comunale per fini di sicurezza urbana, nonché dell’audio ottenuto da microfoni appositamente collocati sulla pubblica via. I dati, che ad avviso del Comune sarebbero stati immediatamente anonimizzati dopo la raccolta, venivano analizzati per rilevare in maniera automatizzata, mediante tecniche d’intelligenza artificiale, eventi di rischio per la pubblica sicurezza.
• Il progetto PROTECTOR prevedeva invece, oltre all’acquisizione dei filmati di videosorveglianza (senza segnale audio), la raccolta e l’analisi di messaggi e commenti di odio pubblicati sui social media, rilevando eventuali emozioni negative ed elaborando informazioni d’interesse per le forze dell’ordine, per identificare rischi e minacce per la sicurezza dei luoghi di culto.

Dopo un’approfondita istruttoria, il GPDP ha rilevato molteplici violazioni della normativa privacy.

La questione

Nel provvedimento, il GPDP esamina le seguenti questioni:

• Se e in che modo le tecniche di anonimizzazione asseritamente impiegate nei progetti di ricerca dal Comune fossero idonee a eliminare o quantomeno mitigare l’impatto dei progetti stessi sui diritti e sulle libertà fondamentali degli interessati.
• Quali siano i requisiti in materia di liceità e correttezza del trattamento connessi all’esecuzione di attività di ricerca scientifica da parte di enti pubblici che non abbiano tra le proprie finalità istituzionali lo svolgimento di tali attività.
• Quali siano i requisiti in materia di trasparenza del trattamento connessi all’implementazione di sistemi di monitoraggio nel contesto delle città intelligenti.
• Se e in che modo i dati raccolti da un ente pubblico partecipante a un progetto di ricerca scientifica possano essere oggetto di comunicazione agli altri partecipanti al progetto stesso.
• Gli adempimenti in materia di valutazione d’impatto sulla protezione dei dati (“VIPD”) connessi all’implementazione di progetti di città intelligente.

Le soluzioni giuridiche

Rispetto alle questioni sopra delineate, il GPDP identifica le seguenti soluzioni giuridiche:

• Le tecniche di anonimizzazione impiegate sono risultate inidonee a realizzare un'effettiva anonimizzazione dei dati. Infatti, nel progetto MARVEL, poiché i microfoni installati sulla pubblica via possono captare anche conversazioni, la sola sostituzione della voce del soggetto parlante è risultata inidonea ad anonimizzare i dati correlati a una conversazione. Anche per le registrazioni video, la tecnica impiegata - consistente solo nell'offuscamento dei volti delle persone e delle targhe dei veicoli ripresi – è inidonea ad assicurare l'anonimizzazione dei dati. Infine, con riferimento al trattamento nel progetto PROTECTOR dei messaggi pubblicati su Twitter (ora “X”), i dati degli utenti di tale piattaforma sono risultati solo pseudonimizzati.
• Circa la liceità e correttezza del trattamento, le disposizioni di legge e statutarie annoveranti tra le funzioni amministrative d'interesse locale attribuite ai comuni lo sviluppo culturale, sociale ed economico della popolazione sono state ritenute inidonee a soddisfare i requisiti di qualità della base giuridica ai fini del regolamento (UE) n. 679/2016 (il “GDPR”) e del d.lgs. n. 196/2003 (il “Codice Privacy”).
• Quanto alla trasparenza del trattamento, le informative rese agli interessati non si riferivano specificamente alla finalità di trattamento connessa alla ricerca scientifica. Inoltre, circa i tempi di conservazione dei dati, il periodo massimo di sei mesi dalla rilevazione indicato nell'informativa è risultato incongruente. Relativamente ai diritti degli interessati, l'informativa menziona poi il solo diritto di accesso ai dati, facendo un generico riferimento agli “altri diritti riconosciuti dalla legge”. Ancora, sono stati censurati la mancata indicazione nell'informativa della raccolta di dati audio e dei trattamenti di dati degli utenti di Twitter/X e YouTube. In base a queste e altre criticità, il GPDP ha quindi accertato che il Comune ha violato gli artt. 13 e 14 GDPR.
• In merito alla comunicazione dei dati, il GPDP ha censurato la condivisione dei contenuti audio-video e dei nomi utente pseudonimizzati degli autori dei messaggi e commenti pubblicati sulle piattaforme Twitter/X e YouTube con i partner e revisori dei progetti di ricerca, nonché con la Commissione europea. Infatti, tale comunicazione di dati è avvenuta violando il principio di liceità, correttezza e trasparenza e in assenza di una base giuridica.
• Infine, circa la VIPD, il documento redatto dal Comune è risultato non datato, né sottoscritto. Ancora, esso non considera i trattamenti effettuati con riferimento ai dati degli utenti di Twitter/X e YouTube, non descrive puntualmente i progetti di ricerca e non valuta la necessità e proporzionalità dei trattamenti in relazione alle finalità. La VIPD non considera poi i rischi per i diritti e le libertà degli interessati non connessi alla sicurezza fisica e logica dei dati, né sono analizzate le misure adottate per mitigare tali rischi. Infine, secondo il GPDP il Comune avrebbe dovuto previamente raccogliere le opinioni della cittadinanza sull'iniziativa che s'intendeva intraprendere.

Osservazioni

I dati dei cittadini sono il motore dello sviluppo delle smart cities, il cui studio e la cui analisi consente di accrescere lo sviluppo di servizi più incentrati sui cittadini.

Il coinvolgimento delle nuove tecnologie, però, comporta numerosi rischi per gli stessi: per esempio, l’uso illecito dei dati o il loro trattamento per finalità ulteriori rispetto a quelle dichiarate ai cittadini.

Perciò, i titolari del trattamento devono effettuare VIPD in grado d’identificare, di valutare e di descrivere i potenziali rischi associati all’uso della tecnologia proposta adottando adeguate misure tecniche e organizzative.

Del resto, la fiducia dei cittadini è il requisito fondamentale per il successo delle soluzioni di smart city, come dimostrano casi applicativi che hanno sollevato forti reazioni da parte dei cittadini stessi, preoccupati per la scarsa trasparenza e quantità d’informazioni fornite sul trattamento dei loro dati.

Riferimenti

International Working Group on Data Protection in Technology, in  Working Paper on Smart Cities, Bonn, 2022.