Il Garante per la protezione dei dati sanziona l’utilizzo dell’AI in violazione della normativa privacy

L’Autorità garante ha sanzionato il Comune di Trento per aver condotto programmi di ricerca scientifica con l’utilizzo di sistemi di intelligenza artificiale in violazione della normativa a tutela dei dati personali

Il Garante per la protezione dei dati personali, con provvedimento dell’11 gennaio 2024, ha sanzionato il Comune di Trento al pagamento della sanzione di 50.000 euro per aver condotto, con il supporto della Fondazione Bruno Kessler (FBK), due progetti di ricerca scientifica in violazione della normativa a tutela della protezione dei dati personali.

Da notizie di stampa l’Autorità garante della privacy ha appreso che il Comune di Trento stava portando avanti la sperimentazione di tre diversi sistemi di intelligenza artificiale, denominati “Marvel”, “Protector” e “Precrisis”.

Mentre quest’ultimo non destava particolari problemi in materia di tutela della privacy, essendo in fase di programmazione e non essendo ancora stato avviato, i primi due progetti risultavano non conformi al GDPR.

I progetti “Marvel” e “Protector”, fiinanziati nell’ambito di programmi di ricerca dell’Unione europea, prevedevano la raccolta di informazioni provenienti da luoghi pubblici mediante l’utilizzo di microfoni e telecamere di videosorveglianza, al fine di rilevare (ed eventualmente contrastare) situazioni di pericolo per la sicurezza pubblica.

In particolare, il progetto “Marvel” consisteva nella raccolta e nell’analisi di dati audiovisivi – acquisiti mediante telecamere già installate nel territorio del Comune e microfoni appositamente collocati sulla pubblica via – che avrebbero consentito di rilevare, attraverso l’impiego di tecniche di intelligenza artificiale, eventi di rischio per la sicurezza pubblica.

Il progetto “Protector”, invece, prevedeva la raccolta e l’analisi di messaggi e commenti d’odio pubblicati su svariati social network, al fine di isolare – sempre attraverso l’impiego di tecniche di intelligenza artificiale – emozioni negative e situazioni di allarme da mettere poi a disposizione delle Forze dell’ordine.

A seguito di una complessa istruttoria, il Garante ha sanzionato il Comune di Trento sulla base dei seguenti motivi:

  1. Assenza di basi giuridiche legittimanti il trattamento dei dati personali, in violazione dell’art. 6 del GDPR. Il Comune di Trento, che non annovera la ricerca scientifica tra le proprie finalità istituzionali, non ha debitamente provato di aver trattato i dati personali sulla base di una delle condizioni di liceità del trattamento contenute nel richiamato art. 6;
  2. Insufficienza delle tecniche di anonimizzazione impiegate dal Comune (insufficienza, ad esempio, della semplice sostituzione della voce del soggetto parlante con un’altra alterata);
  3. Condivisione di dati personali con soggetti diversi dal Titolare del trattamento, ossia con la FBK, Fondazione partner dei progetti di ricerca che trattava i dati in qualità di Responsabile del trattamento;
  4. Carenza di trasparenza e mancata compiuta descrizione dei trattamenti dei dati personali.

Il Garante ha censurato tutte le attività di ricerca condotte dal Comune nell’ambito dei due progetti, poiché le modalità di raccolta e di analisi dei dati sono risultate tanto invasive da comportare significativi rischi per le libertà e per i diritti fondamentali degli Interessati dal trattamento.

Si è infatti messo in evidenza che il contenuto delle conversazioni, captato mediante tecniche di intelligenza artificiale, non risultava realmente anonimizzato, tant’è che sarebbe stato possibile, a mero titolo esemplificativo, venire a conoscenza di dati personali relativi a reati posti in essere da terzi soggetti menzionati o di dati personali relativi a categorie di soggetti vulnerabili.

In ogni caso, va precisato che l’Autorità, pur condannando in questo specifico caso il Comune di Trento per come ha condotto il trattamento dei dati personali, si è detta assolutamente aperta all’utilizzo dell’AI e pronta a collaborare con ogni Amministrazione per la realizzazione di progetti di ricerca in conformità con le norme sulla tutela della privacy.