privacy

Ricerca e AI, dalle sanzioni del Garante all’AI Act: quali tutele per i nostri dati



Indirizzo copiato

Il Garante Privacy ha sanzionato il Comune di Trento per l’uso di AI in progetti di “smart urban security” senza basi giuridiche adeguate, in violazione della privacy. L’AI Act, dal canto suo, promuove l’innovazione e la ricerca scientifica in AI con “regulatory sandbox”, assicurando la protezione dei dati e coordinandosi col GDPR. Un equilibrio complesso

Pubblicato il 11 mar 2024

Alessandro Bacchilega

Trainee, Hogan Lovells

Valerio Natale

Senior Associate, Hogan Lovells



linee guida sviluppo sicuro intelligenza artificiale

La regolamentazione della ricerca scientifica mediante l’utilizzo di sistemi di intelligenza artificiale è un tema complesso oggetto del provvedimento adottato lo scorso 11 gennaio dal Garante Privacy nei confronti del Comune di Trento. In particolare, col citato provvedimento il Garante ha censurato alcuni progetti, asseritamente di ricerca scientifica, che si concentravano sul monitoraggio e sulla sicurezza urbana attraverso l’uso di tecnologie tipiche delle “città intelligenti” (o “smart cities“), implementando strumenti basati sull’intelligenza artificiale.

I progetti “Marvel”, “Protector” e “Precrisis” del Comune di Trento

Le attività di trattamento svolte dal Comune di Trento, finite sotto la lente del Garante, hanno riguardato progetti innovativi di sperimentazione per la ricerca scientifica implementati dal Comune in collaborazione con la Fondazione Bruno Kessler, finanziati nell’ambito di programmi di ricerca dell’Unione Europea. Questi progetti, denominati “Marvel”, “Protector”, e “Precrisis”, miravano a sfruttare sistemi avanzati di intelligenza artificiale per la raccolta di informazioni in luoghi pubblici, attraverso microfoni e telecamere di videosorveglianza, al fine di rilevare potenziali situazioni di pericolo per la pubblica sicurezza, per porre in essere attività di “smart urban security”.

Il progetto Marvel si proponeva di migliorare i servizi ai cittadini attraverso l’analisi in tempo reale di dati audiovisivi multimodali, rilevando eventi e riconoscendo scene audiovisive potenzialmente pericolose per i cittadini.

“Protector” mirava a migliorare la protezione dei luoghi di culto urbani analizzando crimini d’odio e minacce terroristiche, anche tramite la raccolta e l’analisi, di messaggi d’odio pubblicati sulla piattaforma “Twitter” (ora denominata “X”) e commenti pubblicati sulla piattaforma “YouTube”, al fine di rilevare eventuali emozioni negative (aggressività, rabbia o altre emozioni negative sul tema della religione).

Infine, “Precrisis” mirava a proteggere gli spazi pubblici attraverso soluzioni di sicurezza innovative integrate.

Nell’ambito del progetto, il Comune aveva installato alcune telecamere nella città, da cui erano state acquisite alcune brevi tracce video, a distanza l’una dall’altra, per un numero complessivo di più di 300 ore di video registrati in un arco temporale molto ampio (si pensi che solo il progetto Marvel ha consentito la raccolta di dati per un arco temporale di circa 20 mesi).

Le contestazioni del Garante e le misure da implementare per fare ricerca scientifica con strumenti di AI

Di particolare importanza è l’identificazione di una base giuridica specifica per il trattamento dei dati a fini di ricerca scientifica.

Nel corso dell’istruttoria condotta dal Garante, il Comune aveva tentato di giustificare il trattamento dei dati personali nell’ambito dei progetti di ricerca richiamando disposizioni di legge e statutarie, quali l’art. 2 della legge regionale n. 2/2018 e gli articoli 3 e 7 dello Statuto del Comune. Queste disposizioni attribuiscono infatti ai Comuni funzioni amministrative di interesse locale legate allo sviluppo culturale, sociale ed economico della popolazione, rientranti nel quadro giuridico della “sicurezza urbana”, che il Comune aveva interpretato come base giuridica per lo sviluppo del programma “Trento Smart city”, e di conseguenza per i progetti in questione.

Tuttavia, per il Garante il Comune non ha soddisfatto i criteri richiesti dalla normativa in materia privacy per diverse ragioni: in primo luogo, le basi giuridiche invocate erano considerate generiche e non fornivano regole chiare e precise, mancando così di definire in modo specifico la portata e le condizioni sotto le quali era consentita l’ingerenza nei diritti fondamentali degli individui.

In seconda battuta, il trattamento dei dati non era accompagnato dalle garanzie adeguate per i diritti e le libertà degli interessati, come invece previsto dall’articolo 89 del GDPR, essendo assenti misure tecniche e organizzative necessarie per proteggere i dati personali dei cittadini.

Sul punto, il Garante ricorda che il trattamento dei dati personali per finalità di ricerca scientifica deve, in ogni caso, essere effettuato nel rispetto delle disposizioni del Codice Privacy (artt. 104 e ss.), delle prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca, nonché delle Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica (incluso come Allegato A5 al Codice), che costituiscono condizione essenziale di liceità e correttezza dei trattamenti effettuati per tale finalità (artt. 2-quater e 106 del Codice Privacy e 21, comma 5, del d.lgs. 10 agosto 2018, n. 101).

Da ultimo, per quanto riguarda il trattamento di categorie particolari di dati (art. 9 GDPR) e i dati relativi a reati (art. 10 GDPR), che secondo il Garante potevano derivare dalle riprese, il Comune non ha individuato alcun quadro giuridico che preveda espressamente e disciplini in dettaglio i tipi di dati, le operazioni eseguibili e le misure appropriate e specifiche da adottare in relazione ai trattamenti effettuati per le attività di ricerca scientifica svolte nell’ambito dei predetti progetti. Il Garante ha dunque contestato, anche sotto tale profilo, l’esistenza di una base giuridica tale da poter considerare lecito il trattamento ai sensi del GDPR e dal Codice Privacy.

Per poter fondare il trattamento sull’eccezione prevista per la ricerca scientifica (Art. 9, par. 2, lett. g) e j) GDPR), infatti, il Comune avrebbe dovuto assicurarsi che il trattamento effettuato per tale finalità fosse esplicitamente autorizzato da una base giuridica nazionale o dell’Unione, proporzionata alla finalità perseguita, rispettosa dell’essenza del diritto alla protezione dei dati e che prevedesse misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi degli interessati. Un tipo di ricerca scientifica che, tuttavia, sfugge alla normativa nazionale o dell’Unione, almeno al momento.

Alla contestazione dell’assenza di una base giuridica, di certo assorbente, l’Autorità ha accompagnato ulteriori censure, con riferimento alla mancata adozione di una adeguata informativa privacy e di una completa valutazione di impatto sulla protezione dei dati personali (cd. “DPIA”).

La ricerca scientifica nell’ambito dell’IA Act

Il provvedimento del Garante offre un’occasione interessate per affrontare il tema della ricerca scientifica mediante l’impiego di strumenti di intelligenza artificiale nell’ambito dell’AI Act.

Con l’obiettivo di sostenere l’innovazione e il rispetto per la libertà della scienza senza però compromettere le attività di ricerca e sviluppo, l’AI Act esclude dal proprio ambito di applicazione i sistemi e i modelli di AI specificamente sviluppati e messi in servizio al solo scopo di ricerca e sviluppo scientifico sviluppo (Art. 2, paragrafo 5a). Questo significa che, prima che tali sistemi o modelli vengano commercializzati o entrino in servizio, le attività di ricerca, test e sviluppo orientate ai prodotti relativi ai sistemi o modelli di IA non sono soggette alle disposizioni di questo regolamento. Tuttavia, è importante sottolineare che, una volta che un sistema di IA, sviluppato attraverso tali attività di ricerca e sviluppo, sarà immesso sul mercato o messo in servizio, esso entrerà a pieno titolo dell’ambito di applicazione del regolamento.

L’opportunità delle regulatory sandbox e il coordinamento con il GDPR

Il regolamento prevede inoltre delle eccezioni per la sperimentazione in condizioni reali, attraverso l’uso delle cosiddette “regulatory sandbox”, cioè dei quadri normativi speciali che possono essere istituiti per consentire di testare nuovi sistemi di IA in condizioni di vita reale senza violare il regolamento stesso. Si tratta, in sostanza, di spazi protetti, mutuati da altri settori dell’ordinamento (ad es. alcuni settori del mondo finanziario e delle biotecnologie), che consentiranno, da un lato, di promuovere l’innovazione e, dall’altro, di non rinunciare a un controllo su tali attività.

Le autorità nazionali designate dagli Stati Membri dovranno istituire almeno una sandbox a livello nazionale entro 24 mesi dall’entrata in vigore dell’AI Act, il quale prevede anche un meccanismo di collaborazione e coordinamento tra Stati e istituzioni UE per il loro sostegno tecnico e la gestione.

Questi spazi di sperimentazione mirano a migliorare la certezza del diritto, condividere le migliori pratiche, promuovere l’innovazione e accelerare l’accesso al mercato dell’Unione, in particolare per PMI e startup, assicurando al contempo che ogni rischio significativo per la salute, la sicurezza e i diritti fondamentali sia adeguatamente mitigato.

Conclusioni

Da un punto di vista della protezione dei dati, il testo dell’AI Act approvato a dicembre dimostra una maturazione rispetto all’originale proposta, prevedendo espressamente che il regolamento costituirà la base giuridica per i fornitori e i potenziali fornitori di sistemi di AI sperimentati nell’ambito della sandbox per utilizzare i dati personali raccolti per altri scopi per sviluppare determinati sistemi di IA nell’interesse pubblico. Una novità importante che, ad esempio, apre a scenari interessanti anche con riferimento al dibattitto sul cd. secondary use dei dati sanitari, in contesti legati alla loro elaborazione nell’ambito di sistemi di IA.

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 3