La recente sanzione privacy al Comune di Trento rappresenta un punto di svolta per la Pubblica Amministrazione e le aziende che utilizzano l’Intelligenza Artificiale. Il Garante per la protezione dei dati personali ha sanzionato l’ente per 50.000 euro a causa delle violazioni riscontrate nei progetti europei Marvel e Protector, progettati per migliorare la sicurezza urbana tramite  analisi automatizzata di audio e video. Questo provvedimento chiarisce che l’innovazione non può prescindere dalla sicurezza informatica e dal rispetto del GDPR.”

Questo provvedimento chiarisce un concetto fondamentale: l’innovazione tecnologica e la sicurezza pubblica non possono mai prescindere dal rispetto del GDPR.

Cosa è successo nei progetti Marvel e Protector

Le indagini hanno evidenziato criticità strutturali che hanno portato alla sanzione privacy del Comune di Trento. Nello specifico, i progetti utilizzavano l’AI per monitorare luoghi pubblici, ma con gravi lacune:

• Dati non minimizzati: Raccolta eccessiva di suoni, immagini e dati dai social media non strettamente necessari alle finalità dichiarate.

• Anonimizzazione fallace: Le tecniche utilizzate non garantivano l’impossibilità di risalire all’identità dei cittadini, .rendendo i dati di fatto pseudonimizzati. Per garantire un’anonimizzazione reale, è necessario un processo di cancellazione sicura dei dati che renda le informazioni originali irrecuperabili.”

• Opacità informativa: I cittadini non erano stati adeguatamente informati sulla presenza di microfoni e sensori intelligenti né sulle modalità di trattamento dei loro dati.

• Assenza di DPIA rigorosa: La Valutazione di Impatto (DPIA), obbligatoria per trattamenti ad alto rischio. Scopri come gestire correttamente la documentazione tramite GDPRLAB 2.0.”

Il parere dell’esperto: “Il caso Trento dimostra che non basta ‘fare’ una DPIA, bisogna farla bene. Molti enti considerano la valutazione d’impatto un mero adempimento burocratico, mentre è l’unico strumento che permette di prevenire sanzioni milionarie e danni reputazionali.”

[!ATTENZIONE] La tua infrastruttura di videosorveglianza è a norma? L’uso di algoritmi di analisi video richiede adempimenti specifici. Non aspettare un’ispezione. 👉 Richiedi un Audit della tua DPIA e dei sistemi AI

Implicazioni e Provvedimenti del Garante

Oltre alla sanzione pecuniaria, il Garante ha imposto misure correttive drastiche che hanno di fatto reso vani gli investimenti tecnologici effettuati:

1. Divieto assoluto di utilizzare i dati raccolti.

2. Cancellazione immediata di tutti i database creati in violazione.

3. Obbligo di integrare la Privacy by Design in ogni fase di progettazione futura

Un caso simile: Il caso “Serpico” negli USA A differenza di quanto accaduto a Trento, esperimenti internazionali di “Predictive Policing” (polizia predittiva) sono stati bloccati sul nascere proprio per la mancanza di basi giuridiche solide. Il Comune di Trento, pur agendo in buona fede per scopi di ricerca, ha sottovalutato che la ricerca scientifica non esonera dal rispetto della dignità e della libertà individuale.

Lezioni per la Pubblica Amministrazione e le Imprese

La sanzione privacy al Comune di Trento offre indicazioni preziose per chiunque tratti dati su larga scala:

• Video Sorveglianza: L’informativa deve essere chiara. Se la tua rete di telecamere è stata compromessa da un attacco, è fondamentale avviare un’analisi forense per valutare l’entità della violazione.”

• Trasparenza Reale: L’informativa deve essere chiara, visibile e facilmente comprensibile, non un documento legale illeggibile.

• Sicurezza dei Dati: L’anonimizzazione deve essere irreversibile. La protezione dei database centralizzati può essere rafforzata utilizzando infrastrutture come Bastione Cloud.

L’adozione di queste linee guida non serve solo a evitare multe, ma a costruire un rapporto di fiducia digitale con i cittadini e gli utenti.

Proteggi i tuoi progetti tecnologici

L’integrazione di sistemi di Intelligenza Artificiale o videosorveglianza avanzata richiede una consulenza specializzata. Se i tuoi sistemi di archiviazione video sono stati criptati, consulta il nostro servizio di rimozione ransomware.

🧠 AI e Privacy: Il Ciclo della Conformità

Per evitare sanzioni come quella di Trento, ogni progetto che utilizza l’Intelligenza Artificiale deve seguire un ciclo di valutazione rigoroso che metta il cittadino al centro.

🤖 Innovazione senza sanzioni: È possibile?

Il caso Trento insegna: l’AI senza una solida base legale è un investimento sprecato.

• DPIA & AI Audit: Valutiamo l’impatto dei tuoi algoritmi prima che lo faccia il Garante.

• Check-up Videosorveglianza: Verifica se i tuoi sensori e telecamere rispettano i principi di minimizzazione.

• Infrastruttura Sicura: Proteggi i dati raccolti con sistemi di backup e cifratura professionale.

Rendi i tuoi progetti tecnologici a prova di futuro:

Contatta SecurityLab