La regolamentazione della ricerca scientifica mediante l’utilizzo di sistemi di intelligenza artificiale è un tema complesso oggetto del provvedimento adottato lo scorso 11 gennaio dal Garante Privacy nei confronti del Comune di Trento. In particolare, col citato provvedimento il Garante ha censurato alcuni progetti, asseritamente di ricerca scientifica, che si concentravano sul monitoraggio e sulla sicurezza urbana attraverso l’uso di tecnologie tipiche delle “città intelligenti” (o “smart cities“), implementando strumenti basati sull’intelligenza artificiale.
I progetti “Marvel”, “Protector” e “Precrisis” del Comune di Trento
Le attività di trattamento svolte dal Comune di Trento, finite sotto la lente del Garante, hanno riguardato progetti innovativi di sperimentazione per la ricerca scientifica implementati dal Comune in collaborazione con la Fondazione Bruno Kessler, finanziati nell’ambito di programmi di ricerca dell’Unione Europea. Questi progetti, denominati “Marvel”, “Protector”, e “Precrisis”, miravano a sfruttare sistemi avanzati di intelligenza artificiale per la raccolta di informazioni in luoghi pubblici, attraverso microfoni e telecamere di videosorveglianza, al fine di rilevare potenziali situazioni di pericolo per la pubblica sicurezza, per porre in essere attività di “smart urban security”.
Il progetto Marvel si proponeva di migliorare i servizi ai cittadini attraverso l’analisi in tempo reale di dati audiovisivi multimodali, rilevando eventi e riconoscendo scene audiovisive potenzialmente pericolose per i cittadini.
“Protector” mirava a migliorare la protezione dei luoghi di culto urbani analizzando crimini d’odio e minacce terroristiche, anche tramite la raccolta e l’analisi, di messaggi d’odio pubblicati sulla piattaforma “Twitter” (ora denominata “X”) e commenti pubblicati sulla piattaforma “YouTube”, al fine di rilevare eventuali emozioni negative (aggressività, rabbia o altre emozioni negative sul tema della religione).
Infine, “Precrisis” mirava a proteggere gli spazi pubblici attraverso soluzioni di sicurezza innovative integrate.
Nell’ambito del progetto, il Comune aveva installato alcune telecamere nella città, da cui erano state acquisite alcune brevi tracce video, a distanza l’una dall’altra, per un numero complessivo di più di 300 ore di video registrati in un arco temporale molto ampio (si pensi che solo il progetto Marvel ha consentito la raccolta di dati per un arco temporale di circa 20 mesi).
Le contestazioni del Garante e le misure da implementare per fare ricerca scientifica con strumenti di AI
Di particolare importanza è l’identificazione di una base giuridica specifica per il trattamento dei dati a fini di ricerca scientifica.
Nel corso dell’istruttoria condotta dal Garante, il Comune aveva tentato di giustificare il trattamento dei dati personali nell’ambito dei progetti di ricerca richiamando disposizioni di legge e statutarie, quali l’art. 2 della legge regionale n. 2/2018 e gli articoli 3 e 7 dello Statuto del Comune. Queste disposizioni attribuiscono infatti ai Comuni funzioni amministrative di interesse locale legate allo sviluppo culturale, sociale ed economico della popolazione, rientranti nel quadro giuridico della “sicurezza urbana”, che il Comune aveva interpretato come base giuridica per lo sviluppo del programma “Trento Smart city”, e di conseguenza per i progetti in questione.
Tuttavia, per il Garante il Comune non ha soddisfatto i criteri richiesti dalla normativa in materia privacy per diverse ragioni: in primo luogo, le basi giuridiche invocate erano considerate generiche e non fornivano regole chiare e precise, mancando così di definire in modo specifico la portata e le condizioni sotto le quali era consentita l’ingerenza nei diritti fondamentali degli individui.
In seconda battuta, il trattamento dei dati non era accompagnato dalle garanzie adeguate per i diritti e le libertà degli interessati, come invece previsto dall’articolo 89 del GDPR, essendo assenti misure tecniche e organizzative necessarie per proteggere i dati personali dei cittadini.
Sul punto, il Garante ricorda che il trattamento dei dati personali per finalità di ricerca scientifica deve, in ogni caso, essere effettuato nel rispetto delle disposizioni del Codice Privacy (artt. 104 e ss.), delle prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca, nonché delle Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica (incluso come Allegato A5 al Codice), che costituiscono condizione essenziale di liceità e correttezza dei trattamenti effettuati per tale finalità (artt. 2-quater e 106 del Codice Privacy e 21, comma 5, del d.lgs. 10 agosto 2018, n. 101).
Da ultimo, per quanto riguarda il trattamento di categorie particolari di dati (art. 9 GDPR) e i dati relativi a reati (art. 10 GDPR), che secondo il Garante potevano derivare dalle riprese, il Comune non ha individuato alcun quadro giuridico che preveda espressamente e disciplini in dettaglio i tipi di dati, le operazioni eseguibili e le misure appropriate e specifiche da adottare in relazione ai trattamenti effettuati per le attività di ricerca scientifica svolte nell’ambito dei predetti progetti. Il Garante ha dunque contestato, anche sotto tale profilo, l’esistenza di una base giuridica tale da poter considerare lecito il trattamento ai sensi del GDPR e dal Codice Privacy.
Per poter fondare il trattamento sull’eccezione prevista per la ricerca scientifica (Art. 9, par. 2, lett. g) e j) GDPR), infatti, il Comune avrebbe dovuto assicurarsi che il trattamento effettuato per tale finalità fosse esplicitamente autorizzato da una base giuridica nazionale o dell’Unione, proporzionata alla finalità perseguita, rispettosa dell’essenza del diritto alla protezione dei dati e che prevedesse misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi degli interessati. Un tipo di ricerca scientifica che, tuttavia, sfugge alla normativa nazionale o dell’Unione, almeno al momento.
Alla contestazione dell’assenza di una base giuridica, di certo assorbente, l’Autorità ha accompagnato ulteriori censure, con riferimento alla mancata adozione di una adeguata informativa privacy e di una completa valutazione di impatto sulla protezione dei dati personali (cd. “DPIA”).
La ricerca scientifica nell’ambito dell’IA Act
Il provvedimento del Garante offre un’occasione interessate per affrontare il tema della ricerca scientifica mediante l’impiego di strumenti di intelligenza artificiale nell’ambito dell’AI Act.
Con l’obiettivo di sostenere l’innovazione e il rispetto per la libertà della scienza senza però compromettere le attività di ricerca e sviluppo, l’AI Act esclude dal proprio ambito di applicazione i sistemi e i modelli di AI specificamente sviluppati e messi in servizio al solo scopo di ricerca e sviluppo scientifico sviluppo (Art. 2, paragrafo 5a). Questo significa che, prima che tali sistemi o modelli vengano commercializzati o entrino in servizio, le attività di ricerca, test e sviluppo orientate ai prodotti relativi ai sistemi o modelli di IA non sono soggette alle disposizioni di questo regolamento. Tuttavia, è importante sottolineare che, una volta che un sistema di IA, sviluppato attraverso tali attività di ricerca e sviluppo, sarà immesso sul mercato o messo in servizio, esso entrerà a pieno titolo dell’ambito di applicazione del regolamento.
L’opportunità delle regulatory sandbox e il coordinamento con il GDPR
Il regolamento prevede inoltre delle eccezioni per la sperimentazione in condizioni reali, attraverso l’uso delle cosiddette “regulatory sandbox”, cioè dei quadri normativi speciali che possono essere istituiti per consentire di testare nuovi sistemi di IA in condizioni di vita reale senza violare il regolamento stesso. Si tratta, in sostanza, di spazi protetti, mutuati da altri settori dell’ordinamento (ad es. alcuni settori del mondo finanziario e delle biotecnologie), che consentiranno, da un lato, di promuovere l’innovazione e, dall’altro, di non rinunciare a un controllo su tali attività.
Le autorità nazionali designate dagli Stati Membri dovranno istituire almeno una sandbox a livello nazionale entro 24 mesi dall’entrata in vigore dell’AI Act, il quale prevede anche un meccanismo di collaborazione e coordinamento tra Stati e istituzioni UE per il loro sostegno tecnico e la gestione.
Questi spazi di sperimentazione mirano a migliorare la certezza del diritto, condividere le migliori pratiche, promuovere l’innovazione e accelerare l’accesso al mercato dell’Unione, in particolare per PMI e startup, assicurando al contempo che ogni rischio significativo per la salute, la sicurezza e i diritti fondamentali sia adeguatamente mitigato.
Conclusioni
Da un punto di vista della protezione dei dati, il testo dell’AI Act approvato a dicembre dimostra una maturazione rispetto all’originale proposta, prevedendo espressamente che il regolamento costituirà la base giuridica per i fornitori e i potenziali fornitori di sistemi di AI sperimentati nell’ambito della sandbox per utilizzare i dati personali raccolti per altri scopi per sviluppare determinati sistemi di IA nell’interesse pubblico. Una novità importante che, ad esempio, apre a scenari interessanti anche con riferimento al dibattitto sul cd. secondary use dei dati sanitari, in contesti legati alla loro elaborazione nell’ambito di sistemi di IA.
