La società partecipata che adotta iniziative innovative in materia di monitoraggio dei flussi veicolari e pedonali con impiego di intelligenza artificiale deve sempre fare i conti con la data governance. A partire dall'esigenza di informative dettagliate e una valutazione di impatto sulla protezione dei dati, la DPIA, che non può essere redatta dal responsabile per la protezione dei dati personali, il DPO, per evitare evidenti conflitti di interesse.
Lo ha chiarito il Garante per la protezione dei dati personali con il provvedimento n. 202 del 10 aprile 2025. L'Autorità ha appreso dagli organi di stampa che nel Comune di Milano sono state installate telecamere intelligenti in grado di tracciare e classificare gli utenti stradali. Lo scopo di questo monitoraggio, organizzato in completa autonomia dalla società privata interamente partecipata dal Comune, era finalizzato alla programmazione degli interventi in materia di traffico. Ma non sono stati regolati bene gli aspetti sulla corretta protezione dei dati personali e l'istruttoria del Garante si è quindi conclusa con l'applicazione di una severa sanzione amministrativa. Dal provvedimento emerge che la partecipata aveva attivato un sistema basato sull’intelligenza artificiale capace di riconoscere e classificare, in tempo reale, veicoli e persone attraverso le immagini raccolte da due telecamere mobili installate su strade pubbliche. I video, prima dell’oscuramento automatico di targhe e volti, venivano conservati per alcuni minuti su un server, e successivamente eliminati dopo la creazione di versioni offuscate conservate per una settimana. Il Garante ha chiarito che, anche se per poco tempo siamo in presenza di un trattamento di dati personali, peraltro senza cartelli e informative di secondo livello. L’Autorità ha evidenziato che anche la semplice acquisizione temporanea di immagini identificabili – come volti e targhe – costituisce trattamento di dati, indipendentemente dal fatto che le immagini siano successivamente convertite in statistiche o che il processo sia interamente automatizzato. Anche i filmati oscurati, secondo l’Autorità, continuano a essere considerati dati personali se consentono comunque – anche solo in astratto – l’identificazione dell’interessato tramite altri elementi come l’aspetto fisico, l’abbigliamento, il contesto e la localizzazione. Quanto alla titolarità del trattamento, il Garante ha escluso la responsabilità del Comune – che non aveva approvato né partecipato formalmente al progetto – attribuendo all’Agenzia, in quanto soggetto privato autonomo, il ruolo di titolare del trattamento. È stato riconosciuto che la base giuridica individuata, ovvero il legittimo interesse, risulta formalmente sostenibile, pur in attesa di un chiarimento più approfondito a livello europeo. Infine, il provvedimento ha censurato anche la redazione della DPIA, ritenuta inadeguata sotto vari profili. Senza data certa e predisposta direttamente dal DPO, il quale si è trovato in una posizione di evidente conflitto d’interessi. Il Garante ha infatti ricordato che il DPO deve esprimere un parere indipendente e non può redigere la valutazione d’impatto che formalmente risulta sempre un atto adottato dal titolare del trattamento. Questa prassi, peraltro diffusa, è stata pertanto considerata in violazione degli articoli 38, par. 6, 35, par. 2, e 39, par. 1, lett. c), del regolamento europeo.
Provvedimento del 10 aprile 2025, n. 202