N.3 - Febbraio 2024

• Trattamento con finalità di ricerca scientifica
  
• Il timore di un utilizzo di dati diffusi in rete a seguito di un attacco può essere un danno immateriale risarcibile
• Sanzionato un Comune che tratta con AI dati da telecamere, microfoni e reti sociali
• Notizie

In relazione ai trattamenti di dati personali effettuati per il perseguimento di finalità di ricerca scientifica, trova applicazione l’art. 89 del Regolamento (UE) 2016/679, ai sensi del quale

il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici è soggetto a garanzie adeguate per i diritti e le libertà dell'interessato, in conformità del presente regolamento. Tali garanzie assicurano che siano state predisposte misure tecniche e organizzative, in particolare al fine di garantire il rispetto del principio della minimizzazione dei dati,

in base al quale i dati personali devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati" (Regolamento, art. 5, par. 1, lett. c).

Per quanto concerne le attività di ricerca scientifica che hanno ad oggetto le particolari categorie di dati di cui all’art. 9 del Regolamento, il par. 2, lett. j), del medesimo articolo ammette che tali dati possano essere trattati per finalità di ricerca scientifica sulla base del diritto dell'Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l'essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato, in conformità al predetto art. 89, par. 1.

Il trattamento dei dati personali per finalità di ricerca scientifica deve, in ogni caso, essere effettuato nel rispetto delle disposizioni del decreto legislativo 30 giugno 2003, n. 196, "Codice  in materia di protezione dei dati personali"  (104 e ss.), delle prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica (art. 5 del provvedimento 5 giugno 2019, n. 146), nonché delle Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica, che costituiscono condizione essenziale di liceità e correttezza dei trattamenti effettuati per tale finalità (v. artt. 2-quater e 106 del Codice e 21, comma 5, del decreto legislativo 10 agosto 2018, n. 101).

La Corte di Giustizia dell’UE (“CGUE”) con la sentenza nella causa C-340/2021 pubblicata il 14 dicembre 2023, offre un’interpretazione dell’art. 82 del Regolamento UE 2016/679 (“GDPR”) aprendo alla possibilità di ritenere danno immateriale il mero timore di un uso abusivo anche solo eventuale e futuro dei dati personali. La CGUE fornisce inoltre chiarimenti in relazione alla responsabilità del titolare per i danni arrecati agli interessati in caso di data breach.

IL FATTO

A seguito di un attacco hacker ai danni di un’Autorità finanziaria bulgara, alcuni dati personali, contenuti nel sistema informatico di tale Autorità, venivano pubblicati in internet.

In relazione a tale evento, una cittadina bulgara proponeva ricorso dinanzi al competente Tribunale chiedendo la condanna dell’Autorità finanziaria al risarcimento del danno immateriale derivante dalla violazione dei suoi dati: danno immateriale che definiva consistente nel “timore che i suoi dati personali, che sono stati pubblicati senza il suo consenso, siano oggetto di un utilizzo abusivo, in futuro, o che essa subisca un ricatto, un’aggressione, o addirittura un rapimento.”

L’Autorità aveva dimostrato l’adozione delle misure necessarie a prevenire la violazione dei dati personali, sosteneva l’inesistenza di un nesso di causalità tra il danno immateriale lamentato e la violazione e affermava che, dal momento che l’accesso abusivo era stato commesso in modo doloso da soggetti estranei all’Autorità, non poteva questa essere considerata responsabile delle conseguenze dannose.

Il Tribunale respingeva le domande e la ricorrente agiva per la cassazione della sentenza.

La suprema Corte amministrativa bulgara, ricevuta l’impugnazione, sospendeva il giudizio per sottoporre alla Corte di Giustizia dell’Unione Europea alcune questioni pregiudiziali circa la corretta interpretazione del GDPR ed in particolare:

1. se gli articoli 24 e 32 del GDPR debbano essere interpretati nel senso che sia sufficiente una divulgazione o un accesso non autorizzato ai dati personali da parte di terzi per ritenere che le misure tecniche e organizzative adottate dal titolare non siano adeguate;
2. quale debba essere l’oggetto e la portata del controllo giurisdizionale di legittimità nell’esame dell’adeguatezza delle misure tecniche e organizzative adottate dal titolare del trattamento ai sensi dell’articolo 32 del GDPR;
3. se il principio di responsabilità debba essere interpretato nel senso che in un procedimento giudiziario il titolare del trattamento abbia l’onere di provare che le misure tecniche e organizzative siano adeguate ai sensi dell’articolo 32 del GDPR e se una perizia possa essere considerata un mezzo di prova necessario e sufficiente per dimostrare l’adeguatezza delle misure tecniche e organizzative adottate dal titolare;
4. se l’articolo 82, paragrafo 3, del GDPR debba essere interpretato nel senso che la divulgazione o l’accesso non autorizzati a dati personali avvenuta mediante un “attacco hacker” configuri un evento non imputabile al titolare del trattamento che consenta a questo di essere esonerato da responsabilità;
5. se l’articolo 82, paragrafi 1 e 2, del GDPR debba essere interpretato nel senso che nel caso di compromissione dei dati personali verificatasi mediante un “attacco hacker”, le sole inquietudini e ansie e i soli timori provati dalla persona interessata in merito ad un eventuale futuro uso improprio dei dati personali rientrino nella nozione di danno immateriale e facciano sorgere il diritto al risarcimento, qualora tale uso improprio non sia stato accertato e/o la persona interessata non abbia subito alcun ulteriore danno.

LE RISPOSTE DELLA CORTE DI GIUSTIZIA

La Corte di Giustizia ricorda innanzitutto che una disposizione del diritto dell’Unione che non contenga alcun rinvio espresso al diritto degli Stati membri deve interpretarsi in modo autonomo e uniforme in tutta l’Unione, tenendo conto, segnatamente, dei termini della disposizione, degli obiettivi che essa persegue e del contesto in cui si inserisce.

Ciò rilevato, sulla prima questione diretta a chiarire se gli articoli 24 e 32 del GDPR debbano essere interpretati nel senso che sia sufficiente una divulgazione o un accesso non autorizzato ai dati da parte di terzi per ritenere che le misure tecniche e organizzative adottate dal titolare non siano adeguate, la CGUE evidenzia che:

• l’articolo 24 del GDPR prevede un obbligo generale a carico titolare del trattamento di attuare misure tecniche e organizzative adeguate a garantire che il trattamento sia effettuato conformemente al Regolamento;
• l’articolo 32 del GDPR precisa gli obblighi del titolare in merito alla sicurezza del trattamento, tenendo conto dei rischi dello stesso;
• il riferimento, contenuto nell’articolo 32, paragrafi 1 e 2, del GDPR, a «un livello di sicurezza adeguato al rischio» e a un «adeguato livello di sicurezza» devono far ritenere che il Regolamento istituisca un regime di gestione dei rischi e non pretende affatto di eliminarli;
• il considerando n. 83 al GDPR, affermando che il titolare del trattamento dovrebbe valutare i rischi inerenti al trattamento e attuare misure per limitarli, esprime l’intenzione del legislatore europeo di «limitare» i rischi senza riferirsi all’eliminazione degli stessi.

La Corte di Giustizia conclude quindi dichiarando che gli articoli 24 e 32 del GDPR devono essere interpretati nel senso che una divulgazione non autorizzata di dati personali o un accesso non autorizzato a tali dati da parte di «terzi», non sono sufficienti, di per sé, per ritenere che le misure tecniche e organizzative attuate dal titolare del trattamento in questione non fossero «adeguate», ai sensi di tali articoli 24 e 32.

Con riferimento alla seconda questione con la quale si chiede quale debba essere l’oggetto e la portata del controllo giurisdizionale nell’esame dell’adeguatezza delle misure tecniche e organizzative adottate dal titolare del trattamento ai sensi dell’articolo 32 del GDPR, la Corte di Giustizia rileva che l’adeguatezza delle misure tecniche e organizzative deve essere valutata in due tempi: individuando, da un lato ed in concreto, i rischi di violazione dei dati personali indotti dal trattamento e le eventuali conseguenze per i diritti e le libertà delle persone fisiche, dall’altro lato, verificando se le misure attuate dal titolare del trattamento siano adeguate a tali rischi. Nell’ambito del controllo giurisdizionale un giudice nazionale deve poter valutare la ponderazione effettuata dal titolare del trattamento ed accertare che le misure adottate siano idonee a garantire un siffatto livello di sicurezza. Pertanto, l’articolo 32 del GDPR deve essere interpretato nel senso che l’adeguatezza delle misure tecniche e organizzative attuate dal titolare del trattamento deve essere valutata dai giudici nazionali in concreto, tenendo conto dei rischi connessi al trattamento e valutando se la natura, il contenuto e l’attuazione di tali misure siano adeguati ai rischi.

Circa il principio di responsabilità del titolare del trattamento ed il suo onere di dimostrare, nell’ambito di un’azione di risarcimento, l’adeguatezza delle misure di sicurezza attuate, la CGUE osserva che dagli art. 5, 24 e 32 del GDPR emerge che l’onere di provare che i dati personali siano trattati in modo tale da garantire una loro adeguata sicurezza spetti al titolare del trattamento. Attribuendo al contenuto dei tre articoli riferiti rilevanza di regola generale conclude affermando che “il principio di responsabilità del titolare del trattamento, di cui all’articolo 5, paragrafo 2, del GDPR, concretizzato all’articolo 24, deve essere interpretato nel senso che, nell’ambito di un’azione di risarcimento, spetta al titolare del trattamento l’onere di dimostrare l’adeguatezza delle misure di sicurezza attuate". Ritiene però che spetta all’ordinamento giuridico interno di ciascuno Stato membro stabilire le modalità procedurali dei ricorsi giurisdizionali ed osserva che una norma procedurale nazionale in forza della quale fosse sistematicamente necessario che i giudici nazionali disponessero una perizia giudiziaria per dar prova di un evento potrebbe contrastare con il principio di effettività: il ricorso sistematico a una siffatta perizia potrebbe rivelarsi superfluo alla luce di altre prove detenute dal giudice adito. Quindi la Corte conclude affermando che l’articolo 32 del GDPR e il principio di effettività del diritto dell’Unione devono essere interpretati nel senso che per valutare l’adeguatezza delle misure di sicurezza attuate dal titolare del trattamento una perizia giudiziaria non può costituire un mezzo di prova sistematicamente necessario e sufficiente.

Circa l’interpretazione dell’articolo 82, paragrafo 3, del GDPR diretta a verificare se il titolare del trattamento sia esonerato dall’ obbligo di risarcire il danno subito da una persona per il solo fatto che il danno derivi da una divulgazione non autorizzata di dati personali o da un accesso non autorizzato da parte di «terzi», la Corte osserva che:

• l’articolo 82, del GDPR dispone che un titolare del trattamento risponde per il danno cagionato dal trattamento che violi il regolamento e che sia esonerato da responsabilità se dimostra che l’evento dannoso non gli è imputabile;
• il considerando 146 del GDPR enuncia che il titolare del trattamento dovrebbe risarcire i danni che una persona può subire a causa di un trattamento non conforme al Regolamento e dovrebbe essere esonerato da tale responsabilità se dimostra che l’evento dannoso non gli è in alcun modo imputabile.

Da tali disposizioni si evince, per un verso, che il titolare del trattamento debba in linea di principio risarcire un danno causato e, dall’altro, che egli può essere esonerato da responsabilità se fornisce la prova che il fatto che ha provocato tale danno non gli è imputabile, dimostrando che non sussiste nesso di causalità tra la sua eventuale violazione dell’obbligo di protezione dei dati e il danno subito dalla persona fisica. Conclude quindi chiarendo che l’articolo 82, paragrafo 3, del GDPR deve essere interpretato nel senso che il titolare del trattamento non può essere esonerato dal suo obbligo di risarcire il danno subito da una persona per il solo fatto che tale danno deriva da una divulgazione non autorizzata di dati personali o da un accesso non autorizzato a tali dati da parte di «terzi», dato che il titolare deve dimostrare che il fatto che ha provocato il danno non gli è in alcun modo imputabile.

Sull’ultima questione, diretta a chiarire se l’articolo 82, paragrafo 1, del GDPR debba essere interpretato nel senso che il timore di un potenziale utilizzo abusivo dei dati personali da parte di terzi possa, di per sé, costituire un «danno immateriale», la Corte osserva che l’art. 82 prevede che chiunque subisca un danno materiale o immateriale causato da una violazione Regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento. L’esistenza di un «danno» «subito» costituisce una delle condizioni del diritto al risarcimento assieme alla violazione del Regolamento ed al nesso di causalità tra danno e violazione. Considerazioni di ordine letterale, sistematico e teleologico impediscono però che una norma o a una prassi nazionale subordinino il risarcimento di un «danno immateriale» alla condizione che lo stesso abbia raggiunto un certo grado di gravità; per altro verso l’art. 82 non esclude che la nozione di «danno immateriale» ai fini del risarcimento, comprenda il timore che dati personali siano oggetto di un futuro utilizzo abusivo da parte di terzi. Richiamato il considerando 146 del GDPR, secondo cui il concetto di danno dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di giustizia, un’interpretazione della nozione di «danno immateriale» che non includa il timore dell’interessato che i suoi dati personali siano oggetto di utilizzo abusivo in futuro non risponderebbe a una concezione ampia.

Inoltre, tenuto conto che il considerando 85 del GDPR, secondo cui una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche deve far ritenere che il legislatore dell’Unione abbia inteso includere in tali nozioni la semplice perdita di controllo sui loro dati quand’anche un utilizzo abusivo non si sia verificato concretamente. Un’interpretazione della nozione di «danno immateriale» che non includesse il solo timore dell’interessato che i suoi dati siano oggetto di un utilizzo abusivo da parte di terzi, in futuro, non sarebbe conforme alla garanzia di un livello elevato di protezione delle persone fisiche.

La Corte conclude quindi affermando che l’articolo 82, paragrafo 1, del GDPR deve essere interpretato nel senso che il timore di un interessato per un potenziale utilizzo abusivo dei dati personali da parte di terzi a seguito di una violazione del Regolamento può, di per sé, costituire un «danno immateriale», ai sensi di tale disposizione.

IL FATTO

Un comune ha partecipato a due progetti finanziati con fondi UE che avevano l’obiettivo di sviluppare soluzioni tecnologiche volte a migliorare la sicurezza in ambito urbano, secondo il paradigma delle c.d. “città intelligenti” (smart cities).

In particolare, in un progetto si prevedeva l’acquisizione di filmati estratti dalle telecamere di videosorveglianza già installate nel territorio comunale per finalità di sicurezza urbana nonché dell’audio ottenuto da microfoni appositamente collocati sulla pubblica via ai fini del progetto. Tali dati venivano analizzati al fine di rilevare in maniera automatizzata, mediante tecniche di intelligenza artificiale, eventi rilevanti ai fini della salvaguardia della pubblica sicurezza (es. assembramenti, aggressioni, scippi, risse, ecc.). In particolare, le immagini venivano utilizzate al fine specifico di addestrare gli algoritmi di intelligenza artificiale a riconoscere potenziali situazioni di rischio per la pubblica sicurezza.

In un altro progetto si prevedeva oltre l’utilizzo delle immagini e degli audio anche la raccolta e l’analisi, mediante tecniche di intelligenza artificiale, di messaggi d’odio pubblicati sulla piattaforma “Twitter” (ora denominata “X”) e commenti pubblicati sulla piattaforma “YouTube”, al fine di rilevare eventuali emozioni negative (aggressività, rabbia o altre emozioni negative sul tema della religione), elaborando, mediante tecniche di intelligenza artificiale, informazioni ritenute d’interesse per le Forze dell’ordine, al fine di identificare rischi e minacce per la sicurezza dei luoghi di culto.

NATURA DEI DATI TRATTATI

Secondo il Garante il Comune, nell’ambito dei due progetti, ha posto in essere un trattamento di dati personali relativi a reati e, per quelli acquisiti dalle reti sociali, dati particolari riguardando l’ambito religioso.

LE CONTESTAZIONI DEL GARANTE

Sulle tecniche di anonimizzazione impiegate

Il Garante ha contestato che le tecniche impiegate dal Comune, successivamente alla raccolta dei dati, potessero considerarsi idonee a realizzare un’effettiva anonimizzazione degli stessi, rilevando innanzitutto che anche l’acquisizione e la temporanea memorizzazione di dati personali, come l’immagine del volto ripresa da dispositivi video, ancorché per una ridotta frazione temporale, costituisce un trattamento di dati personali.

Il Comune a sua difesa aveva affermato che “l’anonimizzazione dei dati audio consiste nella sostituzione della voce del parlante, mantenendo quanto più inalterate possibile le caratteristiche del segnale audio, incluso il contenuto semantico del parlato”.

Al riguardo, il Garante ha invece osservato come la sola sostituzione della voce del soggetto parlante non è in alcun modo idonea ad anonimizzare i dati personali correlati a una conversazione, atteso che dal contenuto della stessa è possibile ricavare informazioni relative sia al soggetto parlante sia a terzi e che tali informazioni possono rendere identificabile il parlante, i suoi interlocutori o i soggetti terzi a cui si fa rifermento nel discorso. Oltre a ciò, si deve osservare che, tenuto conto dell’ampia varietà di argomenti che vengono usualmente affrontati nelle conversazioni, non possono essere a priori esclusi trattamenti di dati personali relativi a reati o a categorie particolari o comunque riguardanti soggetti vulnerabili (minori, lavoratori, soggetti fragili, ecc.).

Per quanto attiene ai file video utilizzati, il Comune aveva affermato che la tecnica di anonimizzazione impiegata consisteva unicamente nell’offuscamento dei volti delle persone e delle targhe dei veicoli ripresi. Anche in questo caso, tale tecnica, secondo il Garante, non poteva ritenersi idonea ad assicurare l’effettiva anonimizzazione dei dati, atteso che gli interessati sono comunque potenzialmente identificabili tramite altre caratteristiche fisiche o elementi di contesto (come, ad esempio, corporatura, abbigliamento, posizione nella scena filmata, caratteristiche fisiche particolari, ecc.) o informazioni detenute da terzi (come, ad esempio, notizie di stampa relative a fatti di cronaca, informazioni fornite da persone presenti nella scena filmata, ecc.) o ancora informazioni desumibili, ad esempio, dalla localizzazione della telecamera (aree prospicenti determinati esercizi commerciali, studi medici o scuole) o, infine, informazioni relative al percorso effettuato da una determinata persona individuata nelle immagini video mediante le predette caratteristiche fisiche e gli elementi di contesto, stante la possibilità di seguire i suoi spostamenti fra le diverse telecamere installate.

Secondo il Garante le tecniche utilizzate dal Comune rendono piuttosto i dati pseudo anonimizzati dovendosi di conseguenza ritenere applicabile la disciplina in materia di protezione dei dati personali: la pseudonimizzazione, in quanto tecnica volta alla protezione del dato, non equivale ad anonimizzazione

Sulla liceità e la correttezza del trattamento.

Secondo il comune la base giuridica del trattamento doveva ritenersi individuata nelle disposizioni di legge e statutarie che annoverano tra le funzioni amministrative di interesse locale attribuite ai comuni lo sviluppo culturale, sociale ed economico della popolazione,

Per il Garante invece le già menzionate disposizioni, che attribuiscono al Comune una competenza del tutto generica e meramente programmatica ai fini della promozione dello sviluppo culturale, sociale ed economico della popolazione, non possono ritenersi idonee a soddisfare i requisiti di qualità della base giuridica ai fini del GDPR. La normativa su cui si fonda il trattamento deve prevedere regole chiare e precise che disciplinino la portata e l’applicazione della misura [prevista] e impongano requisiti minimi in modo che le persone i cui dati personali sono interessati dispongano di garanzie sufficienti che permettano di proteggere efficacemente [i] dati contro il rischio di abusi. Tale normativa dev’essere giuridicamente vincolante nell’ambito dell’ordinamento nazionale e, in particolare, indicare in quali circostanze e a quali condizioni una misura che preveda il trattamento di tali dati possa essere adottata, Garantendo così che l’ingerenza sia limitata allo stretto necessario.

Nel caso di specie, invece la legge che consente ai Comuni “l'installazione di sistemi di videosorveglianza” ai soli fini di “prevenzione e contrasto dei fenomeni di criminalità diffusa e predatoria” non contempla l’utilizzo di microfoni per l’acquisizione del segnale audio e non consente l’utilizzo delle immagini di videosorveglianza, da parte degli Enti locali, per finalità di trattamento ulteriori, specialmente nel caso in cui esso si ponga in contrasto con la ragionevole aspettativa degli interessati

La finalità di ricerca scientifica non è annoverata tra le competenze istituzionali del Comune e, pertanto, i trattamenti di dati personali in questione non possono ritenersi autorizzati ai sensi del quadro giuridico europeo e nazionale che definisce, tra le altre, i presupposti soggettivi e oggettivi per effettuarli

Sulla trasparenza del trattamento

Il Garante contesta anche il contenuto dell’informativa resa dal Comune.

L’informativa non fa specificamente riferimento alla finalità di trattamento connessa alla ricerca scientifica, lasciando erroneamente intendere agli interessati che anche i trattamenti di dati personali, posti in essere nell’ambito dei due progetti fossero riconducibili alle finalità di sicurezza urbana;

Gli interessati non sono stati messi in condizione di comprendere che anche il contenuto delle proprie conversazioni sarebbe stato acquisito e trattato ai fini del progetto a nulla rilevando che, per le caratteristiche intrinseche del sistema di registrazione l’effettiva possibilità di udire rilevanti contenuti semantici era da considerarsi una eventualità pressoché nulla, tenuto conto che la possibilità di acquisire il contenuto di conversazioni non era comunque in radice esclusa e che, nella documentazione relativa al progetto, l’acquisizione di tale contenuto costituiva uno specifico elemento di interesse ai fini dell’addestramento degli algoritmi di intelligenza artificiale volti al riconoscimento di situazioni di pericolo per la pubblica sicurezza.

Quanto ai tempi di conservazione dei dati, nel cartello di informativa si legge che “i dati audio e video sono conservati per un periodo di sette giorni decorrenti dalla data della rilevazione”, ragionevolmente con riferimento alla finalità di sicurezza urbana. Tale termine non può, invece, trovare applicazione in relazione all’audio, la cui raccolta non è consentita dal quadro normativo in materia di videosorveglianza per finalità di sicurezza urbana.

Il Comune ha, poi, omesso di fornire agli interessati chiare indicazioni in merito alle modalità con la quali gli interessati avrebbero potuto consultare l’informativa completa sul trattamento dei dati personali. In particolare, Il cartello informativo di primo livello rimanda al “sito internet istituzionale del Comune”, senza indicare la specifica pagina/sezione di tale sito o inserire un QR Code, su cui l’informativa completa poteva essere reperita, così, di fatto, ostacolando la possibilità per gli interessati di accedere alla stessa

Si è omesso di specificare che l’audio avrebbe potuto riguardare anche le conversazioni intercorse tra le persone presenti sulla pubblica via e di illustrare i trattamenti di dati personali che riguardano gli utenti che hanno pubblicato messaggi sulla piattaforma “Twitter” o commenti sulla piattaforma “YouTube” cosi come la circostanza che tali informazioni sarebbero state comunicate agli altri partner dei progetti.

Da ultimo, si rileva che la sezione “diritti dell'interessato”, non contiene alcun riferimento al diritto degli interessati di proporre reclamo a un'autorità di controllo.

Sulla valutazione d’impatto sulla protezione dei dati

Il Garante ha poi censurato il documento redatto dal Comune e contenente la valutazione d’impatto osservando che risulta privo di data e non reca la sottoscrizione né del legale rappresentante del Comune né di altro soggetto a tal fine autorizzato, circostanze che non consentono di verificare che il documento in questione sia stato redatto prima della data di inizio del trattamento e di attribuire lo stesso all’Ente.

Alla difesa del comune che sosteneva che la valutazione di impatto fosse stata inserita “nell’applicativo informatico contenente il registro delle attività di trattamento”, il Garante ha osservato che tale procedura non fosse idonea ad attribuire data certa al documento.

In ogni caso, il documento in questione riguardava esclusivamente i trattamenti di dati personali connessi all’impiego di “sistemi di videosorveglianza intelligente” e non considerava quelli effettuati nell’ambito del progetto.

Il documento non conteneva, inoltre, alcuna valutazione in merito alla “necessità e proporzionalità dei trattamenti in relazione alle finalità” e in particolare non illustrava le ragioni per le quali il Comune non avrebbe potuto condurre i progetti di ricerca scientifica in questione in ambienti urbani simulati, ovvero senza raccogliere e trattare i dati personali delle persone realmente presenti nella pubblica via oppure senza trattare determinate tipologie di dati caratterizzati da particolare delicatezza, come il contenuto delle conversazioni.

Per il Garante poi l’analisi effettuata risultava del tutto generica e avulsa dagli effettivi mezzi del trattamento, anche molto sofisticati sotto il profilo tecnologico, impiegati nei due progetti in questione, risultando, pertanto, impossibile comprendere l’effettivo rischio incombente in termini di sicurezza dei dati e l’idoneità delle misure attuate dal titolare per mitigare lo stesso,

Il documento infine non prendeva in alcun modo in considerazione gli altri rischi per i diritti e le libertà degli interessati, specialmente per quanto concerne le possibili conseguenze per gli interessati derivanti dal trattamento di informazioni particolarmente delicate quali il contenuto delle conversazioni, i dati relativi a reati e quelli relativi alle convinzioni religiose. Né venivano analizzate le misure adottate per mitigare tali rischi.

Qui il provvedimento.

Il Garante per la protezione dei dati personali ha notificato a OpenAI, la società che gestisce ChatGPT, l’atto di contestazione per aver violato la normativa in materia di protezione dei dati personali.

Il 31 marzo dell'anno scorso il Garante aveva emesso nei confronti della società un provvedimento di limitazione provvisoria al trattamento dei dati. Adesso, a seguito di un'istruttoria, ha concluso che si possano configurare illeciti rispetto a quanto stabilito nel Regolamento UE.

OpenAI ha trenta giorni per comunicare le sue memorie difensive.

Nel procedimento il Garante terrà conto dei lavori della task force europea creata proprio su questo argomento.

La Corte Europea dei Diritti Umani il 13 febbraio 2024 ha sentenziato (si vedano in particolare i paragrafi 76-80) che la richiesta di una backdoor che consenta la decifratura di connessioni E2E è un'interfenza sproporzionata nel diritto alla privacy. La presenza di una backdoor potrebbe essere sfruttata da organizzazioni criminali e metterebbe in serio pericolo la sicurezza di tutte le cominicazioni elettroniche. La Corte fa notare che esistono altri metodi per monitorare le comunicazioni cifrate senza ridurne la sicurezza per tutti gli utenti.

La sentenza è importante alla luce della proposta di regolamento della Commissione Europea per rendere obbligatoria per tutti i fornitori di servizi e-mail e messaggistica l'analisi dei messaggi, anche quelli cifrati E2E, alla ricerca di contenuti pedopornografici, il che ovviamente comporterebbe l'istituzione di backdoor nei protocolli di cifratura.

Da gennaio Google ha cominciato la sperimentazione della Privacy Sandbox, il meccanismo che propone per eliminare i cookie di terze parti, utilizzati per tracciare le preferenze degli utenti.

Il meccanismo è stato criticato da tempo dalla Electronic Frontier Foundation. Recentemente la U.K. Competition and Markets Authority ha pubblicato un rapporto che richiede a Google di non progettare e utilizzare la Privacy Sanbox in modi che rinforzino  la sua posizione dominante sul mercato della pubblicità.