Il Garante Privacy ha sanzionato il Comune di Trento per il trattamento illecito di dati personali in due progetti tramite impianto di videosorveglianza, volti a migliorare la sicurezza in ambito urbano, secondo il paradigma delle c.d. “città intelligenti” (smart cities) (Provvedimento dell’11 gennaio 2024 n. 5)
Le violazioni includono:
- mancanza di base giuridica e di trasparenza,
- mancata esecuzione della valutazione d’impatto (DPIA).
I progetti del Comune
Il primo progetto prevedeva l’acquisizione di filmati dalle telecamere di videosorveglianza già installate nel territorio comunale per finalità di sicurezza urbana. Oltre alle immagini il Comune raccoglieva l’audio ottenuto da microfoni appositamente collocati sulla pubblica via.
I dati, che il Comune anonimizzava subito dopo la raccolta, venivano analizzati per rilevare in maniera automatizzata, mediante tecniche di intelligenza artificiale, eventi di rischio per la pubblica sicurezza.
Il secondo progetto prevedeva invece, oltre all’acquisizione dei filmati di videosorveglianza (senza segnale audio a differenza del primo), la raccolta e l’analisi di messaggi e commenti d’odio pubblicati sui social, rilevando eventuali emozioni negative ed elaborando informazioni d’interesse per le Forze dell’ordine, allo scopo di identificare rischi e minacce per la sicurezza dei luoghi di culto.
Le violazioni rilevate
Il Garante ha rilevato molteplici violazioni della normativa privacy.
- Assenza di idonea base giuridica che legittimasse il trattamento.
Il Comune di Trento non annoverava la ricerca scientifica tra le proprie finalità istituzionali; i dati, inoltre, erano condivisi con soggetti terzi, tra cui i partner di progetto.
le telecamere di videosorveglianza in questione sono state installate dal Comune al fine precipuo di individuare e documentare fattispecie di reato connesse ai fenomeni di criminalità diffusa e predatoria, e anche nell’ambito dei progetti “Marvel” e “Protector” le immagini sono state utilizzate al fine specifico di addestrare gli algoritmi di intelligenza artificiale a riconoscere potenziali situazioni di rischio per la pubblica sicurezza.
- Carenza di misure di sicurezza.
L’anonimizzazione era insufficiente per ridurre i possibili rischi di reidentificazione per gli interessati.
- Trasparenza e obbligo di informativa.
Il Comune non aveva compiutamente descritto i trattamenti nelle informative di primo e di secondo livello. Come la possibilità che anche le conversazioni potessero essere registrate dai microfoni installati sulla pubblica via.
Importante: l’informativa sul trattamento dei dati ….. non fa specificamente riferimento alla finalità di trattamento connessa alla ricerca scientifica, lasciando erroneamente intendere agli interessati che anche i trattamenti di dati personali, posti in essere nell’ambito dei due progetti, siano riconducibili alle finalità di sicurezza urbana ..
Inoltre, per quanto l’informativa contenga un riferimento all’audio, gli interessati non sono stati messi in condizione di comprendere che anche il contenuto delle proprie conversazioni sarebbe stato acquisito e trattato ai fini del progetto Marvel, aspetto che è certamente da considerarsi uno degli impatti più consistenti del trattamento.
- Mancato svolgimento della Valutazione d’Impatto (DPIA)
La normativa prevede infatti che venga sempre predisposta la valutazione d’impatto in caso di “sorveglianza sistematica su larga scala di una zona accessibile al pubblico”; inoltre, l’utilizzo di nuove tecnologie quali l’intelligenza artificiale e la natura dei dati oggetto di trattamento (contenuto delle conversazioni, dati relativi a reati e alle convinzioni religiose) avrebbe ulteriormente richiesto tale valutazione.
Importante: Nel caso di specie, il Comune era certamente soggetto all’obbligo di redigere una valutazione d’impatto sulla protezione dei dati, ai sensi dell’art. 36 del Regolamento, prima di avviare i trattamenti connessi ai progetti “Marvel” e “Protector”.
La sanzione
Il Garante ha ritenuto opportuno ingiungere al Comune di pagare la somma di euro 50.000. Inoltre ha vietato il trattamento dei dati personali degli interessati già raccolti nell’ambito dei suddetti progetti e ha ordinato la cancellazione di tali dati.
Conclusione
Con il provvedimento in esame, il Garante ha posto dei limiti all’utilizzo combinato di mezzi di sorveglianza e nuove tecnologie. Diventa fondamentale garantire che i dati raccolti siano trattati con la massima cautela e secondo rigorosi standard di privacy.
(Fonte Garante Privacy)