privacy

Videosorveglianza potenziata dall’IA: obblighi privacy e misure di compliance



Indirizzo copiato

I sistemi di videosorveglianza con intelligenza artificiale richiedono particolari attenzioni per la protezione dei dati personali. Oltre agli adempimenti tradizionali, servono valutazioni d’impatto specifiche e misure tecniche rafforzate. L’AI Act limita l’uso di identificazione biometrica, permettendola solo in casi eccezionali con autorizzazione preventiva

Pubblicato il 30 ott 2024

Mario Cucciarrè

Avvocato, Associate – Rödl & Partner

Tommaso Mauri

Dipartimento Data Protection Rödl & Partner

Flavia Salvatore

Dipartimento Data Protection Rödl & Partner



Videosorveglianza, IA e GDPR (1)

Come si concilia l’utilizzo di sistemi di videosorveglianza con l’introduzione di componenti di intelligenza artificiale? In che modo si evolve la gestione degli adempimenti legati alla protezione dei dati personali?

Questi dubbi, insieme a tanti altri interrogativi, sono recentemente balzati all’attenzione degli addetti ai lavori in considerazione del vertiginoso aumento nell’utilizzo di tecnologie di intelligenza artificiale in ambito di videosorveglianza.

Proviamo, allora, a fornire una panoramica dei principali adempimenti data protection legati alla raccolta di immagini tramite videocamere, ove si avrà modo di approfondire la giurisprudenza in merito – con riferimento sia alle interpretazioni dell’Autorità Garante per la Protezione dei Dati Personali (anche “Garante”) che alla recente pronuncia della Corte di Cassazione sui tempi di conservazione delle immagini – e alcuni fatti di cronaca che hanno portato alla luce l’esigenza di regolare l’utilizzo di telecamere intelligenti, anche in spazi pubblici.

Proponiamo, quindi, alcune riflessioni sul trattamento di dati personali derivanti dall’utilizzo di telecamere dotate di componenti di intelligenza artificiale. Il sempre più frequente utilizzo di tali funzionalità, infatti, non può che suggerire un approccio ulteriormente cauto nella gestione del trattamento dei dati personali e delle conseguenti obbligazioni in capo ai titolari del trattamento sotto l’aspetto dell’accountability a loro richiesta dal Regolamento (UE) n. 679/2016 (anche “GDPR”), considerati gli effetti prodotti e producibili, in particolare laddove il trattamento svolto tramite le telecamere intelligenti collimi con la raccolta di dati biometrici.

In conclusione, si proporranno una serie di misure tecnico-organizzative che possano fungere da supporto ai titolari del trattamento nel tentativo di mitigare i rischi connessi all’implementazione di sistemi di videosorveglianza intelligenti, tenuto conto dei principi data protection e dei presidi indicati dal Regolamento (UE) n. 1689/2024 (anche “AI Act”). L’obiettivo è quello di fornire una to do list che possa rappresentare una sorta di guida operativa nell’adozione delle cautele necessarie per la tutela dei diritti e delle libertà dei soggetti interessati.

Gli aspetti data protection durante l’utilizzo di telecamere intelligenti

    Lo sviluppo tecnologico dei sistemi di Intelligenza Artificiale (anche “IA”) ha recentemente favorito l’utilizzo di sistemi di videosorveglianza dotati di IA in vari contesti, tra cui la sicurezza pubblica, la gestione del traffico, la sorveglianza commerciale e la protezione delle proprietà private.

    Le telecamere intelligenti si caratterizzano per la presenza di componenti IA avanzate che, grazie alle funzionalità di analisi dei dati automatizzate, migliorano le capacità di monitoraggio e di analisi rispetto alle telecamere tradizionali.

    La maggiore efficienza delle telecamere intelligenti ha preferito il loro impiego per finalità di sicurezza urbana. In particolare, è ormai noto come molte Amministrazioni locali (quali, ad esempio, i Comuni di Roma, Torino e Trento) e straniere abbiano deciso di dispiegare tali sistemi di videosorveglianza intelligenti.

    Videosorveglianza e sicurezza urbana: la sperimentazione nel Regno Unito

    A tal proposito, è interessante riprendere brevemente l’iniziativa promossa dalla società Network Rail, adibita alla gestione dell’infrastruttura ferroviaria del Regno Unito: secondo quanto riportato dagli organi di stampa parrebbe, infatti, che all’interno delle stazioni ferroviarie inglesi l’intelligenza artificiale sviluppata da Amazon contribuisca ad alimentare le telecamere di videosorveglianza al fine di monitorare e analizzare le emozioni dei passeggeri per prevenire possibili conflitti o emergenze, nonché particolari tipologie di reati.

    La sperimentazione, condotta in otto stazioni ferroviarie del Regno Unito, mirerebbe a migliorare la sicurezza dei passeggeri e il servizio clienti. Le telecamere, integrate con gli algoritmi avanzati di apprendimento automatico sviluppati da Amazon, consentirebbero infatti di rilevare l’età, il sesso e una serie di emozioni umane. Non solo, poiché interpretando le espressioni facciali e altri segnali non verbali, il sistema sarebbe in grado di identificare i passeggeri potenzialmente angosciati o agitati, consentendo in tal senso alle forze di polizia di poter intervenire per prevenire possibili azioni illecite.

    La sperimentazione a Torino e Roma

    Diversa la modalità di impiego presso i citati Comuni italiani di Torino e Roma.

    È emerso infatti che l’IA, integrata nei sistemi di videosorveglianza del Comune di Torino, avrebbe permesso alle forze dell’ordine locali di comprendere in tempo reale se occorresse intervenire in una situazione di emergenza o per motivi di sicurezza. Similmente, l’Amministrazione capitolina prevedeva di installare telecamere con riconoscimento facciale all’interno dei vagoni del servizio di trasporto pubblico e sulle banchine “in grado di verificare azioni scomposte” di chi in passato si fosse reso protagonista “di atti non conformi”.

    Vien da sé affermare che l’utilizzo di tali tecnologie avanzate, quando integrate in sistemi di videosorveglianza, sollevi preoccupazioni relative alla privacy e alla protezione dei dati, specie considerando la possibilità che venga effettuata una sorveglianza continua e invasiva delle persone, oltre che una puntuale profilazione, giustificata – ad oggi – da mere finalità di controllo generalizzato del territorio e prevenzione di attività illecite.

    L’istruttoria del Garante privacy a Trento

    L’utilizzo di telecamere intelligenti da parte del Comune di Trento, ad esempio, è stato oggetto di istruttoria, poi culminata in un provvedimento del Garante della privacy (v. infra). Tali dispositivi, infatti, implicavano la raccolta di informazioni in luoghi pubblici anche attraverso microfoni, al fine di rilevare potenziali situazioni di pericolo per la pubblica sicurezza.

    Garante: gli adempimenti necessari a garantire la liceità del trattamento nella videosorveglianza AI

    Con tale provvedimento, il Garante ha provveduto a indicare (cfr. provv. n. 5 dell’11.01.2024) quali adempimenti debbano essere posti in essere per fine di garantire la liceità del trattamento nelle ipotesi di utilizzo di impianti di videosorveglianza dotati di IA.

    Si fa riferimento, in particolare, a quanto segue:

    • il trattamento dei dati deve infatti essere giustificato da una base giuridica valida, come previsto dagli articoli 6 e 9 del GDPR;
    • il trattamento dei dati deve inoltre avvenire in modo lecito, corretto e trasparente nei confronti dell’interessato (art. 5, par. 1, lett. a, del GDPR);
    • è necessario fornire agli interessati tutte le informazioni richieste dalla normativa, come la finalità del trattamento, la base giuridica, e i diritti degli interessati (art. 13 e 14 del GDPR);
    • è necessario effettuare una valutazione d’impatto sulla protezione dei dati (DPIA) per identificare e mitigare i rischi associati al suddetto trattamento;
    • devono essere adottate misure tecniche e organizzative adeguate a garantire la sicurezza dei dati trattati e la protezione dei diritti e delle libertà degli interessati;
    • i dati personali devono essere conservati solo per il tempo necessario a conseguire le finalità per cui sono stati raccolti.

    Cosa dice la giurisprudenza di legittimità

    Ebbene, proprio in relazione a quest’ultimo aspetto (conservazione delle immagini videoregistrate) è intervenuta anche la giurisprudenza di legittimità, che ha di recente chiarito che la disposizione di cui all’art. 154, primo comma, lettera c) del D.Lgs. n. 196 del 2003 sia rivolta nei confronti di un soggetto specifico e non anche nei confronti di una generalità di consociati (cfr. Cass. sez. II, ord. n. 19550 del 16/07/2024).

    Sicché, nelle ipotesi in cui un’azienda vìoli l’obbligo di non conservare le immagini acquisite da telecamere intelligenti per più del tempo necessario, il provvedimento sanzionatorio adottato dal Garante sarebbe da ritenersi illegittimo ove:

    • non sia stata preventivamente aperta un’istruttoria;
    • non siano state impartite, successivamente, disposizioni nei confronti dello specifico titolare del trattamento (principio di accountability).

    A ciò si aggiungano le consuete e permanenti verifiche cross labour:

    • anzitutto, una mappatura dei sistemi e delle apparecchiature tecniche e informatiche che fanno parte dell’impianto, al fine di predisporre un Regolamento videosorveglianza;
    • uno specifico accordo con le rappresentanze sindacali o, nel caso in cui queste ultime non siano presenti all’interno dell’organizzazione, la presentazione di un’apposita istanza all’Ispettorato Territoriale del Lavoro competente e il successivo rilascio del provvedimento autorizzativo che consentirà di avviare l’impianto;
    • la somministrazione agli interessati di un’informativa privacy che contenga anche tutte le informazioni ai sensi dell’articolo 4, comma 3, dello Statuto dei Lavoratori;
    • l’esposizione della cartellonistica informativa semplificata, ai sensi delle Linee Guida EDPB n. 3/2019 sul trattamento dei dati personali attraverso dispositivi video, adottate il 29 gennaio 2020;
    • la redazione di una valutazione d’impatto e di una valutazione di legittimo interesse del trattamento effettuato tramite l’impianto;
    • la predisposizione delle nomine agli incaricati e, se presenti, ai responsabili esterni del trattamento.

    Le indicazioni dell’AI Act

    Occorre, inoltre, ricordare che il recentissimo AI Act ha previsto il divieto di utilizzare sistemi di identificazione biometrica remota «in tempo reale» a fini di attività di contrasto, elencando invece soltanto alcune limitate eccezioni che ne consentano il suo utilizzo, quali:

    • la ricerca mirata di specifiche vittime di sottrazione, tratta di esseri umani o sfruttamento sessuale di esseri umani, nonché la ricerca di persone scomparse;
    • la prevenzione di una minaccia specifica, sostanziale e imminente per la vita o l’incolumità fisica delle persone fisiche o di una minaccia reale e attuale o reale e prevedibile di un attacco terroristico;
    • la localizzazione o l’identificazione di una persona sospettata di aver commesso un reato, ai fini dello svolgimento di un’indagine penale, o dell’esercizio di un’azione penale o dell’esecuzione di una sanzione penale.

    L’uso di queste telecamere intelligenti in spazi aperti al pubblico è comunque consentito soltanto per confermare l’identità della persona specificamente interessata e deve tenere conto dei seguenti aspetti:

    • la natura della situazione, la gravità, la probabilità e l’entità del danno che sarebbe causato in caso del mancato uso;
    • l’impatto per i diritti e le libertà fondamentali derivante dall’uso delle telecamere intelligenti.

    Peraltro, in queste limitatissime ipotesi in cui è consentito l’utilizzo di telecamere intelligenti in luoghi aperti al pubblico, è altresì necessario, da un lato, che l’autorità di contrasto abbia condotto una valutazione d’impatto sui diritti fondamentali (c.d. “FRIA” ex art. 27 dell’AI Act), dall’altro, che l’attività di abbia ricevuto un’autorizzazione preventiva da un’autorità giudiziaria o da un’autorità amministrativa indipendente.

    Riflessioni sul trattamento dei dati personali per l’utilizzo di videosorveglianza dotata di IA

    A livello data protection, quindi, non possiamo esimerci dal sottolineare che tali sistemi di videosorveglianza intelligenti possano decisamente aggravare il rischio privacy in capo ai titolari del trattamento. E ciò in ragione del fatto che – a differenza dei tradizionali impianti di videosorveglianza – le telecamere dotate di funzionalità di IA potrebbero arrivare a raccogliere ben più della “semplice” immagine della persona.

    Basti pensare alla capacità di raccogliere dati relativi alle caratteristiche fisiche o fisiologiche di una persona, o di comprendere, attraverso l’apprendimento intelligente, la tipologia di comportamento tenuto da quella stessa persona. E l’esempio citato in precedenza con riferimento alle telecamere intelligenti utilizzate nella sperimentazione inglese all’interno delle stazioni ferroviarie ne è un esempio lampante.

    O ancora alle soluzioni in grado di rilevare le sagome degli interessati per finalità di c.d. people counting, in grado di elaborare le immagini e di restituire una clusterizzazione per età, sesso ed etnia e che possono essere utilizzati per scopi differenti, anche legati all’incremento del business del titolare.

    Si pensi poi alle telecamere in grado di rilevare la temperatura corporea degli individui, come quelle che abbiamo imparato a conoscere durante la fase pandemica che raccolgono dati particolari, o a quelle dotate di sistemi di rilevazione biometrica per fornitura dispositivi di protezione. E molto altro.

    È evidente che questo genere di soluzioni potrebbe avere un impatto notevole per i diritti degli interessati – dalla discriminazione su base etnico-razziale, alla sorveglianza invasiva – motivo per cui è essenziale un’attenta valutazione dei rischi e selezione delle misure di mitigazione adeguate.

    Quali quindi le verifiche da svolgere per garantire la tutela dei diritti degli interessati?

    Oltre agli adempimenti precedentemente citati (PIA, LIA, documentazione privacy e adempimenti labour, per dirne alcuni), l’azienda dovrà individuare, in primo luogo, la corretta base giuridica del trattamento, connessa alla finalità per la quale è stato installato l’impianto. Generalmente le soluzioni di videosorveglianza vengono impiegate per ragioni di tutela del patrimonio aziendale – che viene giustificata dal legittimo interesse del titolare, ai sensi dell’articolo 6, par. 1, lett. f) – ma ciò non esclude che queste possano essere utilizzate anche per scopi ulteriori, come abbiamo accennato nel caso del people counting o ancora della profilazione.

    In secondo luogo, dovranno essere definiti tempi di conservazione delle immagini raccolte adeguati e commisurati alle reali esigenze del titolare, nonché alle finalità del trattamento. Dal momento che, per l’appunto, in genere gli scopi legittimi di videosorveglianza sono quelli associati alla tutela del patrimonio aziendale, i tempi di retention, tenendo conto del principio di minimizzazione e di limitazione della conservazione dei dati, dovranno essere commisurati in modo tale da consentire al titolare di individuare eventuali danni o illeciti. Si parla quindi di pochi giorni, oltre i quali le immagini dovrebbero essere sovrascritte o cancellate. Più a lungo si conservano le immagini (in modo particolare se si superano le 72 ore di retention), tanto più argomentata – all’interno della valutazione di impatto, della valutazione di legittimo interesse, così come nell’istanza autorizzativa presentata all’ITL o nell’accordo con i sindacati – dovrà essere la giustificazione del periodo di retention.

    Cionondimeno, nel momento in cui il titolare, nella gestione dell’impianto, si avvalga di soggetti esterni che accedono alle immagini in qualità di responsabili del trattamento (si pensi alle società di security molto spesso affidatarie anche del compito di monitorare le riprese di videosorveglianza), la scelta del fornitore dovrà essere guidata da un processo di valutazione dell’adeguatezza delle misure tecniche e organizzative da questi implementate, che soddisfino i requisiti del GDPR, garantendo la tutela dei diritti degli interessati.

    Misure tecnico-organizzative di mitigazione dei rischi

    Ma allora quali misure possono essere individuate ai fini di abbattimento del rischio connesso all’utilizzo di videocamere dotate di IA?

    Nel solco di quanto sopra anticipato, il suggerimento concreto che è possibile fornire alle aziende rimane quello di imbastire un solido processo di risk management che tenga conto, quantomeno, dei seguenti presidi:

    • verifica sulla consistenza e efficienza delle misure di controllo del trattamento svolto dalla componente di IA, con particolare riferimento alla gestione dell’intervento umano quale presidio di tutela per i diritti e le libertà fondamentali degli individui in riferimento alle immagini e dati estratti dalle telecamere di videosorveglianza.
    • identificazione e analisi dei rischi noti e ragionevolmente prevedibili che l’uso di telecamere intelligenti può porre per la protezione dei dati personali e la privacy degli individui;
    • svolgimento di un assessment tecnico sugli impianti di videosorveglianza e l’interazione con componenti IA integrati per verificarne l’allineamento e il rapporto con i requisiti di disponibilità, integrità e confidenzialità dei dati personali che trattano;
    • adozione di misure di gestione dei rischi opportune e mirate, intese ad affrontare i rischi derivanti dall’uso di telecamere intelligenti;
    • svolgimento delle attività di calcolo e gestione del rischio, con particolare riferimento a: (i) la valutazione del rischio privacy, (ii) la valutazione di impatto sul trattamento dei dati (presidi entrambi disciplinati dal GDPR) e (iii) la valutazione di impatto sui diritti fondamentali dell’individuo (quale misura introdotta dall’AI Act con riferimento ai sistemi di IA ad alto rischio, ossia nelle ipotesi di cui agli Allegati I e III del Regolamento);
    • garanzia sulla presenza di un processo di privacy by design e by default della componente IA integrata nelle telecamere, che consenta una governance sulla protezione dei dati personali oggetto di trattamento per l’intero ciclo di vita del sistema interessato;
    • adozione di un processo di monitoraggio degli effetti e degli impatti di tali sistemi di videosorveglianza nel corso del tempo (occorrerebbe, in tal senso, individuare una tempistica idonea a garantire un controllo efficiente);
    • redazione ed eventuale aggiornamento delle informative esistenti per inclusione degli impianti di videosorveglianza che supportino l’utilizzo di una tecnologia di IA;

    EU Stories - La coesione innova l'Italia

    Tutti
    Iniziative
    Analisi
    Iniziative
    Parte la campagna di comunicazione COINS
    Analisi
    La politica di coesione europea: motore della transizione digitale in Italia
    Politiche UE
    Il dibattito sul futuro della Politica di Coesione
    Mobilità Sostenibile
    L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
    Iniziative
    Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
    Politche ue
    Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
    Finanziamenti
    Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
    Analisi
    Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
    Politiche UE
    Innovazione locale con i fondi di coesione: progetti di successo in Italia
    Iniziative
    Parte la campagna di comunicazione COINS
    Analisi
    La politica di coesione europea: motore della transizione digitale in Italia
    Politiche UE
    Il dibattito sul futuro della Politica di Coesione
    Mobilità Sostenibile
    L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
    Iniziative
    Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
    Politche ue
    Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
    Finanziamenti
    Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
    Analisi
    Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
    Politiche UE
    Innovazione locale con i fondi di coesione: progetti di successo in Italia

    Articoli correlati

    Articolo 1 di 4