Telecamere in aree pubbliche con microfono incorporato per addestrare l'intelligenza artificiale, il Garante sanziona il Comune di Trento per violazione della privacy
Con un provvedimento notificato il 20 gennaio 2024, il Garante per la protezione dei dati personali ha multato il comune di Trento per la violazione della riservatezza personale dei cittadini nell’ambito della sperimentazione dei progetti ”Marvel” e “Protector”, sanzione che dovrà essere pagata entro il termine di 30 giorni, cancellando i dati trattati in violazione di legge.
I progetti Marvel e Protector di telecontrollo del territorio finanziati dall’Unione Europea, di cui il comune di Trento è uno dei partner, sono stati avviati nel 2019 con l’obiettivo di addestrare dei software di intelligenza artificiale a riconoscere potenziali situazioni di rischio per la sicurezza urbana, con tutte le rassicurazioni del caso che la privacy dei cittadini sarebbe stata rispettata.
In particolare, il progetto Marvel (“Multimodal Extreme Scale Data Analytics for Smart Cities Environments”) prevedeva l’acquisizione di filmati dalle telecamere di videosorveglianza già installate nel territorio comunale per finalità di sicurezza urbana, nonché dell’audio ottenuto da microfoni appositamente collocati sulla pubblica via.
I dati, che ad avviso del Comune sarebbero stati immediatamente anonimizzati dopo la raccolta, venivano analizzati per rilevare in maniera automatizzata, mediante tecniche di intelligenza artificiale, eventi di rischio per la pubblica sicurezza. Il progetto Protector (“PROTECTing places of wORship”) prevedeva invece, oltre all’acquisizione dei filmati di videosorveglianza (senza segnale audio), la raccolta e l’analisi di messaggi e commenti d’odio pubblicati sui social, rilevando eventuali emozioni negative ed elaborando informazioni d’interesse per le Forze dell’ordine, allo scopo di identificare rischi e minacce per la sicurezza dei luoghi di culto.
Anche se il Comune aveva sostenuto di "avere fatto affidamento sulle valutazioni del proprio responsabile della protezione dei dati (il Consorzio dei comuni) e sulla consulenza specialistica ricevuta dalla Fondazione Bruno Kessler, soggetto dotato di un’elevata competenza nell’ambito della ricerca scientifica”, dopo un’approfondita istruttoria, il Garante ha rilevato molteplici violazioni della normativa privacy.
Il non corretto trattamento dei dati personali dei cittadini è stata quindi la causa della sanzione, anche se da una parte il Garante ha riconosciuto che il comune “ha agito in buona fede, essendo incorso in un errore in diritto, nella convinzione che i trattamenti in questione potessero essere sussunti nel quadro giuridico in materia di sicurezza urbana e che le misure volte all’anonimizzazione dei dati fossero sufficienti a evitare la possibilità di identificare gli interessati".
Nonostante ciò, il Garante ha stigmatizzato le massive e invasive modalità di trattamento poste in essere, che hanno comportato significativi rischi per i diritti e le libertà degli interessati, anche di rango costituzionale.
Nel definire l’importo ridotto della sanzione, il Garante ha considerato tra le attenuanti anche il “numero limitato di ore di registrazione” (309 ore per il progetto Marvel e 18 ore per il progetto Protector, di cui solo 4 ore sono attualmente conservate) e la promozione di «forme di divulgazione pubblica dei progetti”.
Tra i rilievi mossi dal Garante, il fatto che il Comune di Trento abbia raccolto dati personali in luoghi pubblici per finalità di ricerca scientifica in assenza di una norma che autorizzasse tale attività, non annoverando la ricerca scientifica tra le proprie finalità istituzionali, e non essendo quindi in grado di comprovare la sussistenza di alcun quadro giuridico idoneo a giustificare i trattamenti dei dati personali – relativi anche a reati e a categorie particolari – e la conseguente ingerenza nei diritti e nelle libertà fondamentali delle persone.
Tenuto conto che i dati venivano condivisi anche con soggetti terzi, tra cui i partner di progetto, i trattamenti effettuati sono stati quindi ritenuti illeciti. Si sono rivelate inoltre insufficienti le tecniche di anonimizzazione impiegate per ridurre i possibili rischi di reidentificazione per gli interessati.
Criticità sono emerse anche sotto il profilo della trasparenza. Il Comune non aveva infatti compiutamente descritto i trattamenti nelle informative di primo e di secondo livello, come la possibilità che anche le conversazioni potessero essere registrate dai microfoni installati sulla pubblica via.
Inoltre, nonostante i due progetti comportassero l’impiego di nuove tecnologie e la sorveglianza sistematica di zone accessibili al pubblico, il Comune non ha comprovato di aver effettuato una valutazione d’impatto prima di iniziare il trattamento.
Nei prossimi giorni l’amministrazione trentina valuterà se pagare i 50.000 euro della sanzione (non 25.000 come inizialmente dichiarato dall'amministrazione comunale), oppure presentare ricorso contro il provvedimento del Garante, anche se il rischio in caso di rigetto sarebbe quello di esporre il comune ad una sanzione maggiorata.
Da parte sua, l'Autorità ha rimarcato che simili forme di sorveglianza negli spazi pubblici possono modificare il comportamento delle persone e condizionare anche l’esercizio delle libertà democratiche, e perciò il Garante si è comunque dichiarato come sempre aperta al dialogo, sia con il Comune di Trento sia con ogni altra amministrazione, per dare supporto ad ogni eventuale futura iniziativa di uso dell’AI da realizzare in conformità con le norme sulla privacy.
