Il Garante Privacy, con provvedimento n. 202 del 10 aprile 2025, ha sanzionato per diverse violazioni del GDPR un’agenzia di mobilità comunale, quale deployer di un sistema di IA, per aver sviluppato uno strumento di IA sulla raccolta dei dati relativi ai flussi di traffico, tramite analisi in tempo reale di filmati provenienti da telecamere installate sulla pubblica via.
Immagini di volti e targhe quali dati personali
Preliminarmente, il Garante osserva che l’impiego di tale sistema di IA da parte del deployer ha comportato un trattamento di dati personali ai sensi del GDPR (art. 4, par. 1, nn. 1 e 2), consistenti nei filmati ritraenti persone fisiche (pedoni, conducenti e passeggeri) e targhe di veicoli in transito.
Il GDPR definisce, infatti, il dato personale come “qualsiasi informazione riguardante una persona fisica identificata o identificabile” (art. 4, par. 1, n. 1): in base della giurisprudenza della Corte di Giustizia UE in materia di trattamento di dati personali mediante dispositivi video, l’immagine del volto di una persona costituisce un dato personale e la registrazione di tale immagine comporta un trattamento di dati personali.
È, infatti, astrattamente possibile risalire all’identità di una persona, a partire dall’immagine del volto, in particolare utilizzando informazioni che sono in possesso di terzi (banche dati pubbliche o private) o pubblicamente disponibili (reti social): affinché un dato possa essere qualificato come dato personale non si richiede che tutte le informazioni che consentono di identificare la persona interessata siano in possesso di una sola persona.
Peraltro, anche l’acquisizione e la temporanea memorizzazione di dati personali, come l’immagine del volto ripresa da dispositivi video, anche se per una ridotta frazione temporale, costituisce un trattamento di dati personali (ovvero, prima che possa essere letta sotto forma di algoritmo dal sistema, deve comunque essere acquisita e letta l’immagine in sé considerata).
Allo stesso modo, anche i numeri di targa dei veicoli costituiscono dati personali, trattandosi d’informazioni relative a persone fisiche identificabili (v. in proposito Cass. 4648/2024), così come i filmati sottoposti all’operazione di offuscamento di volti e numeri di targa, sono dati personali: sotto quest’ultimo profilo, per il Garante, per “identificazione” non si intende solo la possibilità di recuperare il nome o l’indirizzo di una persona, ma anche la potenziale identificabilità mediante individuazione, correlabilità e deduzione.
La tecnica di “offuscamento” impiegata nel caso di specie non è quindi stata ritenuta idonea ad assicurare l’effettiva anonimizzazione dei dati, poiché gli interessati erano comunque potenzialmente identificabili tramite:
- altre caratteristiche fisiche o elementi di contesto (corporatura, abbigliamento, posizione nella scena filmata, caratteristiche fisiche particolari)
- informazioni detenute da terzi (notizie di stampa relative a fatti di cronaca, informazioni fornite da persone presenti nella scena filmata)
- informazioni desumibili dalla localizzazione della telecamera (aree prospicenti esercizi commerciali, studi medici o scuole)
- informazioni relative al percorso effettuato dalla persona individuata nelle immagini video, vista l’astratta possibilità di seguire i suoi spostamenti fra le diverse telecamere installate sul territorio comunale
Il dato anonimo è, invece, tale, solo se non consente in alcun modo l’identificazione diretta o indiretta di una persona, tenuto conto di tutti i mezzi (economici, informazioni, risorse tecnologiche, competenze, tempo) nella disponibilità di chiunque provi a utilizzare tali strumenti per identificare un interessato.
La violazione del principio di trasparenza di cui al GDPR da parte del deployer di IA
Nel rispetto del principio di “liceità, correttezza e trasparenza”, il titolare del trattamento deve adottare misure appropriate per fornire all’interessato, prima di iniziare il trattamento, tutte le informazioni richieste dal GDPR in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (artt. 5, par. 1, lett. a), 12, 13 e 14 del GDPR).
Quando siano impiegati sistemi di videosorveglianza, in particolare, il titolare del trattamento, oltre a rendere l’informativa di primo livello mediante apposizione di segnaletica di avvertimento in prossimità della zona sottoposta a videosorveglianza, deve fornire agli interessati anche delle “informazioni di secondo livello”, che devono contenere tutti gli elementi obbligatori a norma dell’art. 13 del GDPR ed essere facilmente accessibili per l’interessato, ad esempio attraverso un pagina informativa completa messa a disposizione in uno snodo centrale o affissa in un luogo di facile accesso (V. Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video).
Il Garante ha rilevato nel caso di specie diversi profili di violazione del GDPR, correlate in particolare all’incorretta informazione nell’informativa agli interessati, contenente errate informazioni circa l’anonimizzazione dei dati (sia in fase di acquisizione che di lettura) ed i tempi di conservazione; inoltre, l’informativa di primo livello rimandava a una pagina web ove era pubblicata un’informativa di carattere generale sui complessivi trattamenti di dati personali posti in essere dal deployer nei diversi contesti in cui essa opera, che per il Garante non può considerarsi idonea a rendere edotti gli interessati delle specificità dei trattamenti di dati personali posti in essere nell’ambito di tale progetto.
In definitiva, l’incorretto rinvio all’informativa di secondo livello ha reso inefficace il meccanismo d’informativa stratificata mediante documenti di primo e di secondo livello, in violazione degli artt. 5, par. 1, lett. a), 12, par. 1, e 13 del GDPR.
DPO in conflitto d’interessi
Il GDPR prevede che il titolare del trattamento debba consultarsi con il responsabile della protezione dei dati (DPO); il DPO deve altresì sorvegliare lo svolgimento della valutazione d’impatto sulla protezione dei dati (art. 39, par. 1, lett. c).
Nel caso di specie, avendo il deployer demandato al DPO l’onere di svolgere in prima persona e sottoscrivere la valutazione d’impatto sulla protezione dei dati, ha posto lo stesso in una situazione di conflitto d’interessi, tale da pregiudicare la possibilità per lo stesso di fornire in maniera indipendente e priva di condizionamenti il proprio parere in merito alla valutazione d’impatto sulla protezione dei dati che avrebbe dovuto effettuare il titolare.
Ciò, conclusivamente, in violazione dell’art. 38, par. 6, del GDPR, in riferimento agli artt. 35, par. 2, e 39, par. 1, lett. c), GDPR.
