Il Garante per la protezione dei dati personali ha sanzionato il Comune di Trento per aver attuato due progetti che prevedono l’uso dell’intelligenza artificiale e dei dati raccolti tramite videocamere, microfoni e reti sociali. L’obiettivo è lo sviluppo di specifiche soluzioni che possono migliorare la sicurezza urbana, ma sono state rilevate varie violazioni della normativa sulla privacy.
Vietata l’IA che non rispetta la privacy
Il Comune di Treno ha avviato tre progetti che sfruttano l’intelligenza artificiale: Marvel, Protector e Precrisis. Sono stati finanziati dall’Unione europea e prevedono la raccolta di dati tramite videocamere, microfoni, X (Twitter) e YouTube con l’obiettivo di rilevare potenziali situazioni di pericolo per la pubblica sicurezza.
Per il progetto Precrisis non è stata ancora avviata nessuna raccolta di dati, quindi il Garante ha esaminato solo gli altri due. Marvel (Multimodal Extreme Scale Data Analytics for Smart Cities Environments) prevedeva l’acquisizione di flussi video dalle telecamere IP di sorveglianza già installate nel territorio comunale e di flussi audio tramite microfoni installati in alcune piazze e vie della città.
Protector (PROTECTing places of wORship) era invece un progetto specifico per i luoghi di culto. In questo caso sono stati raccolti i flussi video dalle telecamere di videosorveglianza e i dati testuali (post e commenti) da X e YouTube con l’obiettivo di identificare eventuali minacce per la sicurezza.
Il Comune di Trento ha dichiarato che tutti i dati dei social media sono stati anonimizzati, volti e targhe sono stati sfocati, le voci delle persone sono state alternate. Il Garante della privacy ha tuttavia ravvisato diverse violazioni. Il Comune non ha comprovato la sussistenza di un quadro giuridico idoneo a giustificare i trattamenti dei dati personali, che sono quindi avvenuti in modo illecito.
L’autorità ha inoltre verificato che le tecniche di anonimizzazione non erano sufficienti (si potrebbe risalire all’identità delle persone). Il Comune non ha informato correttamente i cittadini che le conversazioni potessero essere registrate e non ha effettuato una valutazione di impatto prima di iniziare il trattamento dei dati. Il Comune dovrà quindi pagare una sanzione di 50.000 euro e cancellare i dati trattati in violazione di legge.