Garante Privacy sanziona il Comune di Trento: violazione GDPR nell’utilizzo di Intelligenza Artificiale
All’esito di un provvedimento dell’11 Gennaio 2024 il Garante ha sanzionato il Comune di Trento per una condotta contraria al GDPR avuta nell’ambito dell’applicazione di due (su tre) progetti di avanguardia tecnologica orientati al perseguimento di una maggiore sicurezza urbana sul territorio. I tre progetti chiamati Marvel, Protector e Precrisis sono co-finanziati dall’Unione Europea nell’ambito di programmi di ricerca europea e prevedono la raccolta di informazioni in luoghi pubblici attraverso microfoni, telecamere di videosorveglianza e controllo social. Il Garante ha ritenuto di ingiungere per gli stessi la cancellazione dei dati raccolti, il divieto di prosecuzione e la sanzione di €50.000,00.
Nello specifico con il progetto Marvel il Comune intende allenare l’intelligenza artificiale su materiali audio e video prodotti da telecamere sul territorio. I dati, una volta raccolti, sono poi trasmessi a un computer che si occupa di anonimizzarli e ritrasmetterli su un server. L’anonimizzazione del dato audio in particolare era posto in essere modificando il timbro vocale dell’autore.
Il progetto Protector ha come obiettivo, invece, quello di migliorare la protezione dei luoghi di culto al livello urbano acquisendo dati da telecamere di sorveglianza e dati provenienti da social media. Una volta elaborati i dati da modelli CLIP e comunque dataset pubblici, la piattaforma Protector avrebbe visionato i dati raccolti in forma anonimizzata per riconoscere eventuali minacce. Per quanto concerne l’analisi dei post sui social, invece, si sono utilizzati sia dataset pubblici che dati raccolti esplicitamente per Protector, una volta depurati dei dati concernente autore e link di provenienza (URL). In tale ambito era usata anche tecnologia di riconoscimento delle emozioni con l’obbiettivo di riconoscere escalations di odio nei commenti Twitter e nei video Youtube riguardanti il tema religioso. Il terzo progetto, Precrisis, invece non era ancora stato avviato e risultava in fase di attivazione al tempo dei fatti.
Per quanto fosse stata posta in essere, a detta del Comune, una massiccia attività di anonimizzazione e pseudonimizzazione del dato, per quei dati non anonimizzati ci si appoggiava alla base giuridica ex art 6 co. 1 lett. e in quanto la L. 38/2009 all’art 6 co.7 che gli consente l’utilizzo di sistemi di videosorveglianza in luoghi pubblici o aperti per la tutela della sicurezza urbana.
La prima osservazione del Garante è che, sebbene la videosorveglianza non sia di per sé sempre identificabile come trattamento di dati particolari, in questo caso il fine del Comune rende evidente il tipo di dati oggetto del trattamento. Il Comune volendo documentare, attraverso tali telecamere, fattispecie di reato ha esso stesso reso evidente come l’obiettivo fosse ottenere tali dati, protetti ex art 10 GDPR. A questo si deve aggiungere la circostanza che, nel progetto Protector, le telecamere, appostate in prossimità di luoghi di culto, avevano registrato, ed erano stati filtrati sui social, messaggi e più in generale conversazioni concernenti credenze religiose (che risultano dati particolari ai sensi dell’art 9 del GDPR)
A seguito di una disamina sui ruoli del Comune di Trento e della Fondazione Bruno Kessler o FBK (ausiliaria del Comune nei progetti di cui trattasi) risulta il Comune di Trento quale titolare del trattamento e la FBK come responsabile.
Passando invece all’analisi delle tecniche di anonimizzazione il Garante rileva come i dati audio e video sono stati inizialmente raccolti per intero, e solo successivamente anonimizzati tramite computer. In tal senso si giudica irrilevante che la polizia avesse accesso solo al dato anonimizzato, poiché il deposito di dati personali, ancora privi di anonimizzazione, anche solo fintanto che il computer non li anonimizzi, integra di per sé un trattamento, con tutte le conseguenze del caso.
Non solo, si rileva che il sistema a disposizione del progetto rendeva anonimi solo i volti e non anche altre caratteristiche fisiche o di abbigliamento degli interessati. Un altro rilievo si pone per le anonimizzazioni dei materiali audio. Il Garante ritiene insufficiente il sistema di anonimizzazione poiché questo, pur camuffando la voce, non nascondeva l’argomento della conversazione. Di conseguenza dalla conversazione potevano eventualmente residuare nomi o circostanze che renderebbero identificabile il soggetto, gli interlocutori o soggetti terzi.
Ordunque in realtà tutte le asserite attività di anonimizzazione sarebbero classificabili più propriamente come attività di pseudonimizzazione. E in quanto tali necessitano di una base giuridica opportuna per la liceità del trattamento, fermo restando che il Garante rileva come, essendo stato quello del Comune un trattamento tout court, questo avrebbe dovuto fornire un’informativa secondo le modalità previste all’art 13 GDPR.
Secondo il Garante anche la base giuridica non sarebbe opportuna in quanto la competenza prevista nella L. 38/2009 all’art 6 co.7 è meramente programmatica ai fini della promozione e dello sviluppo culturale, sociale ed economico della popolazione e in quanto tale va bilanciata con gli artt. 7-8 della Carta dei diritti fondamentali dell’Unione Europea. In tal senso tali misure devono apparire coordinate con la nozione di “stretto necessario” e la legge deve apparire “sufficientemente chiara” (Copland v. United Kingdom par. 46).
In conclusione non vi sarebbe stata, secondo il Garante, aderenza ai principi di liceità, correttezza e trasparenza nel trattamento proposto dal Comune.