La recente sanzione privacy al Comune di Trento rappresenta un punto di svolta per la Pubblica Amministrazione e le aziende che utilizzano l’Intelligenza Artificiale. Il Garante per la protezione dei dati personali ha sanzionato l’ente per 50.000 euro a causa delle violazioni riscontrate nei progetti europei Marvel e Protector, progettati per migliorare la sicurezza urbana tramite l’analisi automatizzata di audio e video.

Questo provvedimento chiarisce un concetto fondamentale: l’innovazione tecnologica e la sicurezza pubblica non possono mai prescindere dal rispetto del GDPR.

Cosa è successo nei progetti Marvel e Protector

Le indagini hanno evidenziato criticità strutturali che hanno portato alla sanzione privacy del Comune di Trento. Nello specifico, i progetti utilizzavano l’AI per monitorare luoghi pubblici, ma con gravi lacune:

• Dati non minimizzati: Raccolta eccessiva di suoni, immagini e dati dai social media non strettamente necessari alle finalità dichiarate.

• Anonimizzazione fallace: Le tecniche utilizzate non garantivano l’impossibilità di risalire all’identità dei cittadini, rendendo i dati di fatto “pseudonimizzati” e quindi ancora soggetti al GDPR.

• Opacità informativa: I cittadini non erano stati adeguatamente informati sulla presenza di microfoni e sensori intelligenti né sulle modalità di trattamento dei loro dati.

• Assenza di DPIA rigorosa: La Valutazione di Impatto (DPIA), obbligatoria per trattamenti ad alto rischio come la sorveglianza AI, era carente o incompleta.

Il parere dell’esperto: “Il caso Trento dimostra che non basta ‘fare’ una DPIA, bisogna farla bene. Molti enti considerano la valutazione d’impatto un mero adempimento burocratico, mentre è l’unico strumento che permette di prevenire sanzioni milionarie e danni reputazionali.”

[!ATTENZIONE] La tua infrastruttura di videosorveglianza è a norma? L’uso di algoritmi di analisi video richiede adempimenti specifici. Non aspettare un’ispezione. 👉 Richiedi un Audit della tua DPIA e dei sistemi AI

Implicazioni e Provvedimenti del Garante

Oltre alla sanzione pecuniaria, il Garante ha imposto misure correttive drastiche che hanno di fatto reso vani gli investimenti tecnologici effettuati:

1. Divieto assoluto di utilizzare i dati raccolti.

2. Cancellazione immediata di tutti i database creati in violazione.

3. Obbligo di integrare la Privacy by Design in ogni fase di progettazione futura.

Un caso simile: Il caso “Serpico” negli USA A differenza di quanto accaduto a Trento, esperimenti internazionali di “Predictive Policing” (polizia predittiva) sono stati bloccati sul nascere proprio per la mancanza di basi giuridiche solide. Il Comune di Trento, pur agendo in buona fede per scopi di ricerca, ha sottovalutato che la ricerca scientifica non esonera dal rispetto della dignità e della libertà individuale.

Lezioni per la Pubblica Amministrazione e le Imprese

La sanzione privacy al Comune di Trento offre indicazioni preziose per chiunque tratti dati su larga scala:

• AI e Sorveglianza: Ogni tecnologia deve rispettare i principi di necessità e trasparenza.

• Trasparenza Reale: L’informativa deve essere chiara, visibile e facilmente comprensibile, non un documento legale illeggibile.

• Sicurezza dei Dati: L’anonimizzazione deve essere tecnicamente irreversibile per essere considerata tale.

L’adozione di queste linee guida non serve solo a evitare multe, ma a costruire un rapporto di fiducia digitale con i cittadini e gli utenti.

Proteggi i tuoi progetti tecnologici

L’integrazione di sistemi di Intelligenza Artificiale o videosorveglianza avanzata richiede una consulenza specializzata che unisca diritto e tecnologia.

Vuoi evitare gli errori del caso Trento? Scarica la nostra [Guida Pratica alla Privacy by Design per l’AI] o prenota una consulenza con i nostri esperti di SecurityLab.

👉 Contattaci oggi per una verifica di conformità