Il Garante per la protezione dei dati personali ha emesso recentemente un provvedimento sanzionatorio nei confronti del comune di Trento per aver condotto due progetti di ricerca scientifica – utilizzando telecamere, microfoni e reti sociali – in violazione della normativa sulla protezione dati.
Sorveglianza e trattamento invasivo
Il Garante ha respinto il trattamento dei dati personali da parte del Comune di Trento legato ai progetti di ricerca scientifica Marvel e Protector, evidenziando la mancanza di presupposti di liceità e il rischio per i diritti individuali. Secondo quanto affermato dal Comune, i dati prelevati avrebbero subito immediata anonimizzazione dopo la raccolta. Tuttavia, i dati sarebbero stati analizzati per rilevare, in maniera automatizzata, eventi di rischio per la pubblica sicurezza.
In particolare, il progetto Marvel includeva l’acquisizione di filmati e audio da telecamere di videosorveglianza e microfoni pubblici. Il progetto Protector (PROTECTing places of wORship), invece, comprendeva la raccolta e analisi di messaggi social per identificare rischi per la sicurezza dei luoghi di culto.
Violazioni e sanzioni
Dopo un’approfondita indagine, il Garante ha individuato numerose violazioni delle normative sulla privacy da parte del Comune di Trento, tra cui:
- Trattamenti: Il Comune di Trento, non includendo la ricerca scientifica tra i propri obiettivi istituzionali, non ha dimostrato l’esistenza di un quadro giuridico adeguato a giustificare il trattamento dei dati personali, che comprendevano anche informazioni su reati e altre categorie particolari. Questa mancanza di giustificazione ha comportato un’ingerenza nei diritti e nelle libertà fondamentali delle persone, specialmente considerando la condivisione di tali dati con terze parti, inclusi i partner di progetto.
Di conseguenza, i trattamenti effettuati sono stati considerati illeciti.
- Trasparenza: si sono rilevate problematiche anche in termini di trasparenza, poiché il Comune non ha fornito una descrizione completa dei trattamenti nelle informative di primo e secondo livello. Questo includeva la mancanza di informazioni sulla possibilità che le conversazioni fossero registrate attraverso i microfoni installati nelle vie pubbliche.
- Valutazione d’impatto (DPIA): nonostante l’adozione di nuove tecnologie e la sorveglianza sistematica di aree aperte al pubblico nei due progetti, il Comune non è stato in grado di dimostrare di aver condotto una valutazione d’impatto prima di avviare il trattamento.
A seguito delle violazioni descritte, il Comune di Trento sarà tenuto a pagare una sanzione di 50.000 euro e dovrà, inoltre, cancellare i dati trattati in violazione di legge.
Considerando che forme analoghe di sorveglianza negli spazi pubblici possono influenzare quotidianamente il comportamento delle persone e limitare l’esercizio delle libertà democratiche, l’Autorità dichiara la sua disponibilità al dialogo, sia con il Comune di Trento che con qualsiasi altra amministrazione. L’intento finale è fornire supporto per eventuali future iniziative di utilizzo dell’IA che siano conformi alle norme sulla privacy.
