Roberto Rossi
Il Garante per la protezione dei dati personali ha sanzionato per 50.000 euro il Comune di Trento, colpevole di aver trattato in modo illecito i dati personali di alcuni individui che hanno transitato all’interno del territorio comunale tra il 2022 e il 2023. Con provvedimento 11 gennaio 2024, n. 5, il Comune è stato altresì obbligato a cancellare i relativi dati raccolti.
Con tale iniziativa, pertanto, il Garante certifica come l’attività dei progetti di ricerca MARVEL e PROTECTOR sia stata giudicata come inadeguata in rapporto alla tipologia di dati raccolti, alle finalità e alle misure di sicurezza poste in essere, nonostante il parere del responsabile della protezione dei dati del Comune e l’assistenza ricevuta dalla fondazione Bruno Kessler.
I progetti
Ricordiamo brevemente come i progetti avessero come obiettivo quello di
sviluppare un framework di calcolo distribuito con l’obiettivo di consentire la percezione e l’intelligenza multimodali per il riconoscimento di scene audiovisive, il rilevamento di eventi e la cosiddetta smart urban security; tramite la raccolta e l’analisi di dati da streaming audiovisivi multimodali, il progetto intende migliorare la qualità della vita e dei servizi ai cittadini all’interno del paradigma della città intelligente, senza violare i limiti etici e di privacy, in modo responsabile per l’intelligenza artificiale, attraverso la combinazione e l’analisi in tempo reale di dati audiovisivi multimodali distribuiti su larga scala e il supporto al processo decisionale automatizzato a tutti i livelli framework di calcolo distribuito.
I progetti prevedevano la raccolta di dati audio e video mediante diverse telecamere sparse all’interno del Comune e anonimizzati subito prima di essere inviati alla piattaforma di calcolo, rendendoli così disponibili agli altri partner del progetto.
Altro obiettivo era quello di
migliorare la protezione dei luoghi di culto a livello urbano attraverso l’analisi dei crimini d’odio e delle minacce terroristiche, nonché la valutazione delle misure di sicurezza e delle risposte date dalle forze dell’ordine in tali contesti. Il progetto ha elaborato una strategia di sicurezza specifica per i luoghi di culto e ha permesso di sviluppare e testare nuove componenti tecnologiche […] secondo i principi della cosiddetta ethics/privacy-by-design, in selezionati luoghi di culto in Belgio (Anversa), Bulgaria (Sofia) e Italia (Trento), al fine di migliorare le capacità di analisi delle forze dell’ordine.
I dati di questo progetto venivano acquisiti sia dalle telecamere di sorveglianza che mediante i su Twitter (ora X) e i commenti sotto i video di YouTube, elaborati da un sistema di intelligenza artificiale che sottoponeva poi alle forze dell’ordine le combinazioni di dati che potevano rappresentare dei rischi per la sicurezza dei luoghi di culto e delle persone ivi presenti. Anche in questo caso i dati raccolti subivano un’anonimizzazione in maniera automatica.
La posizione del Comune
Avviata l’istruttoria, il Comune ha fornito maggiori informazioni sulla propria partecipazione al progetto, delineando come la base giuridica per il trattamento siano
le disposizioni di legge e statutarie (in particolare, art. 2 legge regionale n. 2/2018 e artt. 3 e 7 dello Statuto del Comune) che annoverano tra le funzioni amministrative di interesse locale attribuite ai comuni lo sviluppo culturale, sociale ed economico della popolazione, al quale è certamente riconducibile lo sviluppo del programma “Trento Smart city” (quale progetto strategico del Comune), in cui rientrano i tre progetti […]”; inoltre, ai sensi dell’art. 2 ter comma 1 bis del Codice, “i trattamenti di dati personali effettuati nell’ambito di tali progetti sono stati considerati necessari per l’esercizio di tali funzioni e il perseguimento delle finalità degli stessi”.
Per quanto poi riguarda il processo di anonimizzazione, il Comune ha precisato che consiste “nella sostituzione della voce del parlante, mantenendo quanto più inalterate possibile le caratteristiche del segnale audio, incluso il contenuto semantico del parlato”.
Il Comune sostiene poi di aver regolarmente informato gli interessati sul trattamento effettuato, mediante collocazione di appositi cartelli con l’informativa semplificata in corrispondenza dei luoghi in cui erano posizionate le telecamere e attraverso la pubblicazione sul sito web comunale dell’informativa completa sul trattamento dei dati personali. È altresì organizzata una conferenza stampa da parte dello stesso Comune, con cui si presenta il progetto, a cui è seguito anche il relativo comunicato pubblicato sul sito comunale.
L’istruttoria
Nel corso dell’istruttoria, però, il Garante non ritiene condivisibile la tesi del Comune, contestando la valutazione dell’ente di agire solo come partner del progetto e non come leader, valutato che i filmati ottenuti dalle videocamere sono acquisiti anche per il perseguimento di finalità di sicurezza urbana, rispetto alle quali solo il Comune agisce come titolare del trattamento. La Fondazione si è invece limitata infatti a fornire supporto tecnologico al progetto. Insomma, è il Comune ad aver agito come titolare del trattamento, mentre la Fondazione ha agito come responsabile del trattamento. Il ruolo di responsabilità del Comune è ulteriormente confermato dalla presenza del Grant Agreement del progetto, che individua proprio il Comune come responsabile.
Passando poi alle tecniche di anonimizzazione, il Garante ha constatato come queste non siano state idonee a garantire l’effettivo anonimato dei dati personali degli utenti perché – si legge nel provvedimento – la semplice sostituzione della voce del soggetto parlante
non è in alcun modo idonea ad anonimizzare i dati personali correlati a una conversazione, atteso che dal contenuto della stessa è possibile ricavare informazioni relative sia al soggetto parlante sia a terzi e che tali informazioni possono rendere identificabile il parlante, i suoi interlocutori o i soggetti terzi a cui si fa rifermento nel discorso.
La tecnica di offuscamento
Inidonea è anche la tecnica di offuscamento dei volti delle persone e delle targhe dei veicoli, considerato che gli interessati erano comunque potenzialmente identificabili
tramite altre caratteristiche fisiche o elementi di contesto (come, ad esempio, corporatura, abbigliamento, posizione nella scena filmata, caratteristiche fisiche particolari, ecc.) o informazioni detenute da terzi (come, ad esempio, notizie di stampa relative a fatti di cronaca, informazioni fornite da persone presenti nella scena filmata, ecc.) o ancora informazioni desumibili, ad esempio, dalla localizzazione della telecamera (aree prospicenti determinati esercizi commerciali, studi medici o scuole) o, infine, informazioni relative al percorso effettuato da una determinata persona individuata nelle immagini video mediante le predette caratteristiche fisiche e gli elementi di contesto, stante la possibilità di seguire i suoi spostamenti fra le diverse telecamere installate.
Per identificazione, infatti, non si intende solo la possibilità di recuperare il nome e/o l’indirizzo di una persona, bensì anche la potenziale identificabilità della stessa mediante individuazione, correlabilità e deduzione.
Ad aggravare la posizione del Comune anche l’ente sapesse già che tali tecniche non erano idonee a garantire un’anonimizzazione efficace, visto che il Responsabile per la protezione dei dati del Comune nella documentazione redatta ai fini delle valutazioni etiche e di protezione dei dati nell’ambito dei due progetti aveva evidenziato il rischio di identificazione degli interessati.
I dati anonimi
Per il Garante, dunque, un dato anonimo è tale solo
se non consente in alcun modo l’identificazione diretta o indiretta di una persona, tenuto conto di tutti i mezzi (economici, informazioni, risorse tecnologiche, competenze, tempo) nella disponibilità di chi (titolare o altro soggetto) provi a utilizzare tali strumenti per identificare un interessato.
Infine, il Garante ha ricordato che il trattamento dei dati particolari, riconducibili ad esempio a convinzioni religiose, è di regola vietato e che dunque il Comune può trattare questo tipo di dati se il trattamento
è necessario per adempiere a un obbligo legale al quale è soggetto il titolare del trattamento oppure per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento.
Dunque, il trattamento di dati particolari può essere effettuato per fini di ricerca scientifica solo se avviene sulla base
del diritto dell’Unione o nazionale, sia proporzionato alla finalità perseguita, rispetti l’essenza del diritto alla protezione dei dati e preveda misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.
Insomma, per il Garante sia la base giuridica individuata dal Comune (disposizioni di legge e statutarie) che le misure tecniche organizzative predisposte non sono compatibili con il trattamento effettuato.
