Il Garante ha ingiunto una sanzione di 50.000 euro al Comune di Trento per aver condotto due progetti di ricerca scientifica, utilizzando telecamere, microfoni e reti sociali, in violazione della normativa sulla protezione dati.
Col provvedimento emanato l’11.01.2024, il Garante ha bloccato i trattamenti nell’ambito dei progetti di ricerca scientifica “Marvel” e “Protector”, con la seguente motivazione: diritti a rischio in assenza dei necessari presupposti di liceità. Il Comune dovrà pagare una sanzione e cancellare i dati trattati in violazione di legge. I progetti, finanziati con fondi europei, avevano come obiettivo lo sviluppo di soluzioni tecnologiche volte a migliorare la sicurezza in ambito urbano, secondo il paradigma delle “città intelligenti” (smart cities).
In particolare, il progetto “Marvel” (Multimodal Extreme Scale Data Analytics for Smart Cities Environments) prevedeva l’acquisizione di filmati dalle telecamere di videosorveglianza già installate nel territorio comunale per finalità di sicurezza urbana, nonché dell’ audio ottenuto da microfoni appositamente collocati sulla via pubblica.I dati, che ad avviso del Comune sarebbero stati immediatamente anonimizzati dopo la raccolta, venivano analizzati per rilevare in maniera automatizzata, mediante tecniche di intelligenza artificiale, eventi di rischio per la pubblica sicurezza.
Il progetto “Protector” (PROT ECTing places of wORship) prevedeva invece, oltre all’acquisizione dei filmati di videosorveglianza (senza segnale audio), la raccolta e l’analisi di messaggi e commenti d’odio pubblicati sui social, rilevando eventuali emozioni negative ed elaborando informazioni d’interesse per le Forze dell’ordine, allo scopo di identificare rischi e minacce per la sicurezza dei luoghi di culto.
Dopo un’approfondita istruttoria, il Garante ha rilevato molteplici violazioni della normativa sul trattamento dei dati personali. Il Comune di Trento, che non annovera la ricerca scientifica tra le proprie finalità istituzionali, non ha comprovato la sussistenza di alcun quadro giuridico idoneo a giustificare i trattamenti dei dati personali, relativi anche a reati e a categorie particolari (artt. 9 e 10 del RGPD), e la conseguente ingerenza nei diritti e nelle libertà fondamentali delle persone. Tenuto conto che i dati venivano condivisi anche con soggetti terzi, tra cui i partner di progetto, i trattamenti effettuati sono stati quindi ritenuti illeciti.
Si sono rivelate inoltre insufficienti le tecniche di anonimizzazione impiegate per ridurre i possibili rischi di re-identificazione per gli interessati. Altre criticità sono emerse anche sotto il profilo della trasparenza. Il Comune non aveva infatti compiutamente descritto i trattamenti nelle informative di primo e di secondo livello, come la possibilità che anche le conversazioni potessero essere registrate dai microfoni installati sulla pubblica via.
Inoltre, nonostante i due progetti comportassero l’impiego di nuove tecnologie e la sorveglianza sistematica di zone accessibili al pubblico, il Comune non ha comprovato di aver effettuato una valutazione d’impatto prima di iniziare il trattamento. Pur riconoscendo alcuni fattori attenuanti, il Garante ha stigmatizzato le massive e invasive modalità di trattamento poste in essere, che hanno comportato significativi rischi per i diritti e le libertà degli interessati, anche di rango costituzionale.
A conclusione dell’istruttoria, l’Autorità ha ingiunto al Comune il pagamento di una somma di 50.000 euro; oltre a imporre il divieto di trattare i dati personali degli interessati già raccolti nell’ambito dei progetti “Marvel” e “Protector” (registrazioni video o audio; messaggi/commenti ottenuti da reti sociali; informazioni relative alle reti di utenti sulla piattaforma “Twitter”/“X”) e la cancellazione di predetti dati personali.
Foto: archivio Qdpnews.it
Autore: Luca Leoni – Sistema Ratio Centro Studi Castelli
