Il Garante sanziona il Comune di Trento per aver condotto due progetti di ricerca scientifica, utilizzando telecamere, microfoni e reti sociali, in violazione della normativa sulla protezione dati
No del Garante al trattamento dei dati personali nel Comune di Trento nell’ambito dei progetti di ricerca scientifica Marvel e Protector: diritti a rischio in assenza dei necessari presupposti di liceità. Il Comune dovrà pagare una sanzione di 50.000 euro e cancellare i dati trattati in violazione di legge.
I progetti, finanziati con fondi europei, hanno come obiettivo lo sviluppo di soluzioni tecnologiche volte a migliorare la sicurezza in ambito urbano, secondo il paradigma delle “città intelligenti” (smart cities).
In particolare, il progetto Marvel (“Multimodal Extreme Scale Data Analytics for Smart Cities Environments”) prevedeva l’acquisizione di filmati dalle telecamere di videosorveglianza già installate nel territorio comunale per finalità di sicurezza urbana, nonché dell’audio ottenuto da microfoni appositamente collocati sulla pubblica via. I dati, che ad avviso del Comune sarebbero stati immediatamente anonimizzati dopo la raccolta, venivano analizzati per rilevare in maniera automatizzata, mediante tecniche di intelligenza artificiale, eventi di rischio per la pubblica sicurezza. Il progetto Protector (“PROTECTing places of wORship”) prevedeva invece, oltre all’acquisizione dei filmati di videosorveglianza (senza segnale audio), la raccolta e l’analisi di messaggi e commenti d’odio pubblicati sui social, rilevando eventuali emozioni negative ed elaborando informazioni d’interesse per le Forze dell’ordine, allo scopo di identificare rischi e minacce per la sicurezza dei luoghi di culto.
Dopo un’approfondita istruttoria, il Garante ha rilevato molteplici violazioni della normativa privacy.
Il Comune di Trento, che non annovera la ricerca scientifica tra le proprie finalità istituzionali, non ha comprovato la sussistenza di alcun quadro giuridico idoneo a giustificare i trattamenti dei dati personali – relativi anche a reati e a categorie particolari – e la conseguente ingerenza nei diritti e nelle libertà fondamentali delle persone. Tenuto conto che i dati venivano condivisi anche con soggetti terzi, tra cui i partner di progetto, i trattamenti effettuati sono stati quindi ritenuti illeciti.
Si sono rivelate inoltre insufficienti le tecniche di anonimizzazione impiegate per ridurre i possibili rischi di reidentificazione per gli interessati.
Criticità sono emerse anche sotto il profilo della trasparenza. Il Comune non aveva infatti compiutamente descritto i trattamenti nelle informative di primo e di secondo livello, come la possibilità che anche le conversazioni potessero essere registrate dai microfoni installati sulla pubblica via.
Inoltre, nonostante i due progetti comportassero l’impiego di nuove tecnologie e la sorveglianza sistematica di zone accessibili al pubblico, il Comune non ha comprovato di aver effettuato una valutazione d’impatto prima di iniziare il trattamento.
Pur riconoscendo alcuni fattori attenuanti, il Garante ha stigmatizzato le massive e invasive modalità di trattamento poste in essere, che hanno comportato significativi rischi per i diritti e le libertà degli interessati, anche di rango costituzionale.
Poiché simili forme di sorveglianza negli spazi pubblici possono modificare il comportamento delle persone e condizionare anche l’esercizio delle libertà democratiche, l’Autorità si è comunque dichiarata come sempre aperta al dialogo, sia con il Comune di Trento sia con ogni altra amministrazione, per dare supporto ad ogni eventuale futura iniziativa di uso dell’AI da realizzare in conformità con le norme sulla privacy.
Garante per la protezione dei dati personali