Negli ultimi anni, la crescente integrazione dell’intelligenza artificiale nei sistemi di videosorveglianza ha aperto nuove prospettive per la gestione della sicurezza pubblica in molte città del mondo, Italia inclusa. La capacità di analizzare enormi quantità di dati in tempo reale e di identificare potenziali minacce con maggiore precisione ha fatto sì che sempre più amministrazioni locali si stiano orientando verso l’adozione di queste tecnologie innovative.
Gestire gli strumenti di videosorveglianza Ai: le sfide normative
Tuttavia, l’entusiasmo per queste nuove possibilità non deve oscurare le complesse sfide normative e etiche che ne derivano. In questo contesto, è fondamentale che le Pubbliche Amministrazioni siano ben preparate a gestire questi strumenti, garantendo che il loro utilizzo avvenga nel rispetto dei diritti dei cittadini e delle normative europee in vigore. Roma, ad esempio, si prepara a installare un numero senza precedenti di telecamere intelligenti in vista del Giubileo. Questo evento, di grande rilevanza per la città, richiede misure di sicurezza straordinarie e l’adozione di sistemi avanzati di videosorveglianza appare come una risposta naturale a tali esigenze. Tuttavia l’implementazione di queste tecnologie, in generale, comporta anche dei rischi, in particolare se non viene seguita con rigorosa attenzione alla conformità normativa. Come dimostrano i recenti casi di Trento e Torino, l’introduzione di tecnologie di sorveglianza basate su IA può facilmente entrare in conflitto con la normativa europea, in particolare l’ AI Act e il GDPR. In questo articolo vorrei fare una panoramica delle normative e ipotizzare, con senso pratico, un percorso di compliance, che possa fungere da base per i professionisti e gli enti che devono intraprendere un percorso di adeguamento di sistemi di videosorveglianza con l’uso di AI.
Il contesto normativo: AI Act e Gdpr
Per comprendere appieno le sfide e le opportunità legate all’uso dell’intelligenza artificiale nella videosorveglianza è essenziale partire dal contesto normativo in cui queste tecnologie vengono implementate.
Iniziamo dall’AI Act, il Regolamento Europeo 2024/1689, recentemente approvato, che è stato concepito per creare un quadro normativo uniforme che garantisca un utilizzo sicuro e trasparente dei sistemi di intelligenza artificiale all’interno dell’Unione Europea. Questo atto legislativo stabilisce una serie di regole specifiche per i sistemi di IA, con un’attenzione particolare verso quelli utilizzati per il riconoscimento biometrico, spesso utilizzato nella videosorveglianza, considerati strumenti ad altissimo rischio. L’obiettivo principale dell’AI Act è di garantire che l’IA venga utilizzata in modo da rispettare i diritti fondamentali dei cittadini e di prevenire possibili abusi. In particolare l’articolo 5 del predetto regolamento vieta l’uso di sistemi di riconoscimento biometrico in tempo reale in spazi pubblici, salvo limitate eccezioni come la prevenzione di minacce imminenti alla vita o all’incolumità fisica, finalità queste ultime che, probabilmente, potrebbero in effetti rientrare nei motivi che portano un ente a prevedere l’installazione di telecamere di sorveglianza. In questi casi, tra l’altro, oltre ad essere richiesto un controllo rigoroso, vi è l’obbligo di ottenere un’autorizzazione preventiva da parte di un’autorità giudiziaria o amministrativa indipendente. Questi sistemi (ma in realtà tutti i sistemi ad alto rischio) devono rispettare misure specifiche di gestione del rischio, garantendo trasparenza e affidabilità, così come previso dall’articolo 6 e, a proposito di trasparenza, l’articolo 13 richiede che gli utilizzatori di IA informino chiaramente i cittadini sull’uso dei loro dati e sull’operatività dei sistemi.
Parallelamente, il GDPR regola la protezione dei dati personali, imponendo obblighi stringenti per l’uso di telecamere con riconoscimento. Trattamenti del genere richiedono la conduzione di valutazioni d’impatto sulla protezione dei dati, necessarie per identificare e mitigare i rischi associati all’uso di tecnologie che trattano dati sensibili come i sistemi di riconoscimento biometrico. Ma anche il principio di minimizzazione dei dati, introdotto dall’art. 5 che impone di raccogliere solo i dati strettamente necessari per lo scopo previsto, evitando così il trattamento di informazioni personali superflue, è assolutamente attinente all’uso di sistemi di videosorveglianza atteso che l’acquisizione e il trattamento delle immagini devono avvenire in modo selettivo e proporzionato, evitando la raccolta e la conservazione di dati personali non pertinenti.
Con queste normative in mente, è chiaro che l’iniziativa di Roma, seppur ambiziosa, dovrà essere gestita con estrema cautela. L’installazione di 15.000 telecamere intelligenti potrebbe infatti rappresentare un’importante opportunità per migliorare la sicurezza durante il Giubileo, ma anche un rischio significativo se le normative europee non vengono rispettate.
Casi studio: le lezioni di Trento e Torino
Premesso che l’uso di intelligenza artificiale nella video sorveglianza non necessariamente deve contemplare anche il trattamento di dati biometrici, se Roma intende comunque avvalersi di sistemi di AI per la propria gestione della sicurezza, è fondamentale che il Comune comunichi in modo trasparente ai cittadini le ragioni di questa scelta, illustrando chiaramente le finalità specifiche per cui le telecamere saranno utilizzate e garantendo che l’uso della tecnologia sia limitato al periodo del Giubileo e circoscritto ai motivi di sicurezza estrema.
In ogni caso, la capitale, volendo procedere con l’installazione delle telecamere intelligenti, farebbe bene a trarre insegnamento dai recenti casi di Trento e Torino, due esempi che evidenziano i rischi di un’implementazione inadeguata di tecnologie di sorveglianza basate su IA. A Trento, il Comune è stato sanzionato dal Garante per la protezione dei dati personali per non aver rispettato i requisiti di trasparenza e minimizzazione dei dati imposti dal GDPR. In particolare, in quel caso, le autorità hanno rilevato che i cittadini non erano stati adeguatamente informati sull’uso dei loro dati e che il volume di dati raccolti superava di gran lunga il necessario per raggiungere le finalità dichiarate. Questo episodio rappresenta una chiara violazione dei principi fondamentali del GDPR, mettendo in luce l’importanza di una gestione rigorosa e conforme delle tecnologie di sorveglianza. A Torino, invece, è in corso un’istruttoria aperta dal Garante Privacy per presunte violazioni simili. Anche in questo caso, la mancanza di una valutazione d’impatto adeguata e la scarsa trasparenza nella comunicazione con i cittadini sono tra i principali punti di indagine.
Gestione del rischio e misure di mitigazione
Alla luce di quanto sopra è dunque evidente che le Pubbliche Amministrazioni che intendono adottare tecnologie di videosorveglianza con AI devono seguire una serie di passaggi obbligatori per garantire la conformità normativa. Questi passaggi non solo aiutano a evitare sanzioni, ma contribuiscono anche a costruire un rapporto di fiducia con i cittadini, dimostrando che l’innovazione tecnologica può andare di pari passo con il rispetto dei diritti fondamentali.
La valutazione del rischio
E allora, quando si parla di AI, si inizia da lì: dalla valutazione del rischio, un processo che, in qualità di avvocato, ritengo essenziale per garantire la conformità normativa e la tutela dei diritti fondamentali degli individui. Il punto di partenza per un’adeguata valutazione del rischio consiste nell’identificare chiaramente gli obiettivi del sistema di videosorveglianza, che possono variare dalla sicurezza pubblica alla protezione di infrastrutture critiche, fino alla prevenzione di attività illecite. La fase successiva riguarda poi l’identificazione dei rischi intrinseci all’uso di sistemi di videosorveglianza.
La raccolta e il trattamento dei dati personali
Tra questi, la raccolta e il trattamento dei dati personali rappresentano una delle principali aree di attenzione, in quanto implicano potenziali minacce alla privacy e al diritto alla riservatezza, quali l’accesso non autorizzato ai dati o il loro uso improprio. Inoltre, l’AI, se non adeguatamente progettata e testata, può introdurre bias algoritmici che portano a discriminazioni, minando i diritti di categorie protette o portano rischi di errori di riconoscimento, come i falsi positivi o negativi, che potrebbero avere conseguenze rilevanti in termini di diritti degli individui, oltre ai rischi tecnologici legati alla vulnerabilità agli attacchi informatici e alla manipolazione dei sistemi.
A questo punto, una volta identificati i rischi, è necessario procedere alla loro valutazione, considerando sia la gravità dell’impatto potenziale sia la probabilità che tali rischi si materializzino, analizzando altresì le possibili conseguenze per i diritti e le libertà delle persone, nonché per la sicurezza e la privacy.
La mitigazione dei rischi
La successiva fase è la mitigazione dei rischi: quali misure tecniche e organizzative sono adeguate e vanno adottate per evitare (il più possibile) che i rischi che abbiamo individuato possano accadere? Sul piano tecnico, ciò potrebbe includere l’implementazione di tecnologie avanzate per la crittografia dei dati, l’anonimizzazione e la minimizzazione dei dati raccolti. Sul piano organizzativo, è fondamentale definire protocolli chiari per l’accesso ai dati, la formazione del personale e la gestione delle emergenze nonché stabilire procedure di revisione e monitoraggio per garantire che le misure adottate siano efficaci e che siano aggiornate in risposta a nuove minacce o vulnerabilità.
L’analisi del rischio residuo
Ma attenzione non finisce qui: non meno importante è infatti l’analisi del rischio residuo, ovvero la valutazione di quanto il rischio sia ridotto dalle misure di mitigazione e se esso sia accettabile in relazione agli obiettivi del sistema di videosorveglianza. Questo processo, secondo un mio framework di compliance, dovrebbe prevedere la consultazione con le autorità competenti in materia di protezione dei dati, esperti di etica e anche rappresentanti della comunità, al fine di garantire che il rischio residuo sia considerato e valutato in modo globale e condiviso.
Documentare il processo di risk assessment
Quindi va redatta la documentazione dell’intero processo di risk assessment (e del funzionamento del sistema di AI), non solo per garantire la trasparenza e l’accesso da parte delle autorità competenti, ma anche per facilitare la comunicazione con il pubblico riguardo all’uso della videosorveglianza, spiegando chiaramente le finalità, le misure di protezione adottate e i diritti degli individui.
Prima di andar via da questa ipotetica compliance, è essenziale (anzi è obbligatorio) creare delle procedure per la governance nel tempo, che preveda un monitoraggio continuo del sistema per identificare nuovi rischi o cambiamenti nel contesto operativo e aggiornare regolarmente la valutazione del rischio. Questo processo dinamico deve adattarsi ai cambiamenti tecnologici e normativi, mantenendo sempre al centro la tutela dei diritti fondamentali degli individui e garantendo un equilibrio tra sicurezza e protezione della privacy.
Verso una videosorveglianza responsabile
Ovviamente questo articolo potrebbe diventare un libro, se dovessi parlare di tutti gli altri adempimenti necessari, come ad esempio la valutazione d’impatto sulla protezione dei dati come stabilito dall’articolo 35 del GDPR, l’eventuale richiesta e di autorizzazioni giudiziarie per l’uso di sistemi di riconoscimento biometrico in tempo reale in spazi pubblici, la predisposizione di una costante e obbligatoria sorveglianza umana anche quando i sistemi di IA operano in modo autonomo, come stabilito dall’Articolo 14 dell’AI Act, l’aggiornamento del registro delle attività di trattamento e tanto altro.
Conclusioni
Insomma l’adozione di tecnologie avanzate come l’intelligenza artificiale nella sorveglianza pubblica è inevitabile e, se gestita correttamente, può offrire vantaggi significativi in termini di sicurezza. Tuttavia, la Pubblica Amministrazione deve dimostrare di essere all’altezza delle sfide normative poste da tali tecnologie. È ora che gli enti italiani prendano sul serio i regolamenti europei sulle nuove tecnologie, dimostrando di essere istituzioni moderne e tecnologicamente avanzate, ma anche dei garanti della legalità e dei diritti dei loro cittadini.
