Search
Close this search box.

Italien: Bologna kommun får reprimand för att ha behandlat personuppgifter om museibesökare med ett system för ansiktsigenkänning

Garante per la protezione dei dati personali (Garante) ger Bologna kommun en reprimand för överträdelser av dataskyddsförordningen (GDPR).

Av beslutet framgår att ett ShareArt-projekt genomförts i de kommunala konstsamlingarna i Palazzo D’Accursio i Bologna för att få information om besökarnas egenskaper och om hur de interagerade med vissa konstverk. Projektet följde ett samarbetsavtal mellan ENEA och Bologna Museums Institution, som är ett instrumentellt organ i Bologna kommun.

Informationen samlades in med ett system som använde en algoritm för ansiktsigenkänning (ShareArt) som utvecklats av den nationella byrån för ny teknik, energi och hållbar ekonomisk utveckling (ENEA). Algoritmen för ansiktsigenkänning var baserad på konvolutionella neurala nätverk (CNN) för att upptäcka ansikten i bilderna. Besökarna informerades om systemet genom ett meddelande vid biljettkassan, där det bland annat angavs att algoritmen inte innebär ansiktsigenkänning.

En italiensk medborgarrättsorganisation, Hermes Center for Transparency and Digital Human Rights, lämnade in en rapport till Garante om det använda ShareArt-systemet. I rapporten angavs bland annat att ShareArt, med hjälp av en kamera, automatiskt upptäckte ansikten som tittade i riktning mot konstverk och i samband med detta samlade in en rad uppgifter om beteenden vid betraktande av konstverk. I rapporten framhölls att det endast fanns mycket få tecken på att systemet användes, små svarta kameror som fästs på väggarna och en ansvarsfriskrivning vid biljettkassan.

Efter rapporten inledde Garante en utredning och begärde information från såväl Bologna kommun som ENEA. Parterna hävdade bland annat att systemet inte innefattar insamling och behandling av uppgifter om identifierade eller identifierbara fysiska personer. Bologna kommun ansåg vidare att kommunen inte hade någon roll i samband med behandlingen av uppgifterna.

I motsats till vad ENEA och Bologna kommun hävdade konstaterade Garante att algoritmerna för ansiktsigenkänning behandlar personuppgifter som består av bilder av människors ansikten, om än under en mycket kort tidsperiod.

Garante konstaterade vidare att Bologna kommun och ENEA var gemensamt personuppgiftsansvariga, eftersom de gemensamt fastställde ändamålen och medlen för behandlingen. Garante ansåg dock att samarbetsavtalet mellan parterna inte uppfyllde kraven i artikel 26 GDPR. I synnerhet noterade Garante att avtalet inte innehöll kontaktuppgifter till parterna eller respektive dataskyddsombud, och inte heller definierade den rättsliga grunden för behandlingen, lagringsperioden för uppgifterna eller nämnde de registrerades rättigheter.

Efter att Garante klargjort att användningen av ShareArt-systemet innebar en behandling av personuppgifter, konstaterades också att det inte fanns någon rättslig grund enligt artikel 6 GDPR för behandlingen. Vidare drog Garante slutsatsen att behandlingen därför utfördes på ett sätt som inte överensstämmer med principen om laglighet, rättvisa och öppenhet i enlighet med artikel 5.1(a) GDPR.

Slutligen konstaterade Garante att meddelandet som informerade besökarna om ShareArt-systemet inte innehöll alla de delar som krävs enligt artikel 13 GDPR. Garante konstaterade följaktligen att behandlingen ägde rum i strid med artiklarna 5.1 (a), 12 och 13 GDPR.

Mot bakgrund av ovanstående beslutade Garante att ge Bologna kommun en reprimand för överträdelser av artiklarna 5, 6, 13 och 26 GDPR.

Mer information

Myndighet: Garante per la protezione dei dati personali (Garante)

Land: Italien

Lagrum: Art. 4 GDPR, art. 5 GDPR, art. 6 GDPR, art. 9 GDPR, art. 13 GDPR, art. 26 GDPR, art. 57 GDPR, art. 58 GDPR, art. 78 GDPR

Sanktionsavgift: N/A

Mottagare: Bologna kommun

Beslutsnummer: 9896808

Beslutsdatum: 2023-04-13

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

07 MAR

AI – Introduktion till artificiell intelligens

Kursen ger dig de rättsliga förutsättningarna för utveckling, upphandling och användning av AI.

14 MAR

Cybersäkerhet - Introduktion till NIS2-direktviet

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

AI - Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.