Con due recenti provvedimenti, il Garante per la protezione dei dati personali (“Garante” o “Autorità”) ha irrogato due sanzioni, rispettivamente da 50.000 e 1.000 euro, nei confronti del Comune di Trento e di un condominio per aver, nel primo caso, condotto due progetti di ricerca scientifica, utilizzando telecamere, microfoni e reti sociali, in violazione della normativa sulla protezione dei dati personali mentre, nel secondo, installato un sistema di videosorveglianza senza la delibera dell’assemblea condominiale.
- La vicenda del Comune di Trento
L’iniziativa del Garante con riferimento al Comune di Trento trae origine dalla diffusione di notizie stampa che riportavano l’iniziativa del comune trentino di sperimentare tre sistemi di intelligenza artificiale, i cui progetti di sviluppo sarebbero stati finanziati nell’ambito di programmi di ricerca dell’Unione europea. Tali progetti prevedevano la raccolta di informazioni in luoghi pubblici attraverso microfoni e telecamere di videosorveglianza, al fine di rilevare potenziali situazioni di pericolo per la pubblica sicurezza.
Naturalmente, il Garante ha rivolto al titolare, il comune, una richiesta di informazione in relazione ai trattamenti di dati personali posti in essere nell’ambito dei predetti progetti.
Come riportato direttamente dal Comune:
- uno dei progetti prevedevano l’acquisizione di filmati dalle telecamere di videosorveglianza già installate nel territorio comunale per finalità di sicurezza urbana, nonché dell’audio ottenuto da microfoni appositamente collocati sulla pubblica via; inoltre, i dati, che ad avviso del Comune sarebbero stati immediatamente anonimizzati dopo la raccolta, venivano analizzati per rilevare in maniera automatizzata, mediante tecniche di intelligenza artificiale, eventi di rischio per la pubblica sicurezza;
- un altro progetto contemplava, invece, oltre all’acquisizione dei filmati di videosorveglianza (senza segnale audio), la raccolta e l’analisi di messaggi e commenti d’odio pubblicati sui social, rilevando eventuali emozioni negative ed elaborando informazioni d’interesse per le Forze dell’ordine, allo scopo di identificare rischi e minacce per la sicurezza dei luoghi di culto.
Alla luce delle informazioni raccolte in sede di istruttoria, il Garante ha rilevato una serie di violazioni della normativa privacy, ovverosia che il Comune:
- non annoverando la ricerca scientifica tra le proprie finalità istituzionali, non ha comprovato la sussistenza di alcun quadro giuridico idoneo a giustificare i trattamenti dei dati personali – relativi anche a reati e a categorie particolari – e la conseguente ingerenza nei diritti e nelle libertà fondamentali delle persone;
- aveva previsto solo tecniche di anonimizzazione impiegate per ridurre i possibili rischi di reidentificazione per gli interessati ritenute insufficienti dall’Autorità;
- non aveva compiutamente descritto i trattamenti nelle informative di primo e di secondo livello, come la possibilità che anche le conversazioni potessero essere registrate dai microfoni installati sulla pubblica via;
- non aveva comprovato di aver effettuato una valutazione d’impatto prima di iniziare il trattamento, nonostante i due progetti comportassero l’impiego di nuove tecnologie e la sorveglianza sistematica di zone accessibili al pubblico
Nonostante il riconoscimento di alcuni fattori attenuanti, il Garante ha condannato fermamente le modalità di trattamento estensivo e invasive adoperate, le quali hanno causato gravi rischi per i diritti e le libertà degli interessati, inclusi quelli di rilevanza costituzionale.
- La vicenda del Condominio
Questa vicenda trae origine dall’istruttoria del Garante, avviata a seguito di un reclamo di un condomino, che aveva portato all’accertamento del fatto che, presso il condominio, era stato istallato un sistema di videosorveglianza composto da due telecamere, posizionate all’esterno dell’edificio, il cui angolo di visuale era esteso all’area destinata al parcheggio e al cancello di accesso, con parziale visione della strada pubblica.
Benché l’informativa avvertisse della presenza delle telecamere e fosse segnalata da alcuni cartelli, questa era priva dell’indicazione del titolare del trattamento. Inoltre, il dispositivo poi, oltre a riprendere le immagini, consentiva di visualizzarle mediante un telefonino in possesso dell’amministratore.
Nel provvedimento sanzionatorio, l’Autorità ha sottolineato che:
- qualora vi sia consenso tra i condomini per proteggere gli spazi comuni, è indispensabile ottenere una delibera condominiale, alla quale l’Amministratore deve dare attuazione;
- la delibera costituisce il mezzo attraverso il quale i condomini collaborano per stabilire le caratteristiche principali del trattamento, includendo modalità e scopi del trattamento stesso, la durata di conservazione delle immagini registrate e l’identificazione degli individui autorizzati ad accedere alle registrazioni;
- senza una delibera condominiale adottata conformemente alle disposizioni del codice civile riguardo alla maggioranza, il trattamento non può essere attribuito correttamente al condominio, con l’effetto di attribuire la qualifica di titolare al solo Amministratore.
Di conseguenza, il trattamento eseguito dall’amministratore è stato considerato illecito, comportando l’applicazione della sanzione pari a 1.000 euro.
- Alcune considerazioni per le aziende in merito alla videosorveglianza
Questi provvedimenti sono particolarmente interessanti per le aziende a cui si applica il GDPR e che intendono installare sistemi di videosorveglianza poiché sottolinea l’importanza dell’implementazione delle necessarie misure di accountability, specie quando si intende sperimentare sistemi di intelligenza artificiale.
Pertanto, quando queste intendono procedere con questi trattamenti, sarà necessario prevedere le informative di primo e secondo livello, oltre che svolgere la valutazione di impatto sulla protezione dei dati personali (DPIA). Coinvolgere soggetti terzi nella realizzazione dei propri progetti che contemplano il trattamento dei dati personali è consigliabile, come anche svolgere un assessment preliminare dei ruoli privacy al fine di individuare gli adempimenti di volta in volta applicabili a ciascuna parte.
Su un simile argomento può essere interessante l’articolo“Il Garante sanziona una azienda di moda per utilizzo illecito del sistema di videosorveglianza”.