Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 50 000 euro mot Trento kommun för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Garante genom mediers rapportering fått kännedom att Trento kommun implementerat ett nytt AI-drivet övervakningssystem med hjälp av en forskningsstiftelse. Övervakningssystemet använde AI för att analysera ljud- och videodata från mikrofoner och övervakningskameror på offentliga platser. Projekten kallas Marvel, Protector och Precrisis och var en del av flera EU-finansierade forskningsprojekt om smarta städer och förbättrad säkerhet i städer.
Projektet Marvel syftade till att utveckla ett automatiserat system som analyserar audiovisuella scener i realtid för att upptäcka säkerhetsproblem i städer. Forskningsstiftelsen hade tillgång till inspelningarna från de offentliga kamerorna i kommunen, som omedelbart anonymiseras och analyseras i stiftelsens arbetsstationer. Projektet Protector syftade istället till att förbättra säkerheten kring religiösa platser, särskilt mot risken för hatbrott och terrorattacker. Protector samlade in videodata från kameror som finns i områdena runt gudstjänstlokaler och textdata från hatkommentarer i sociala medier som sedan bearbetas av ett AI-system för att upptäcka eventuella relevanta risker. Även här har forskningsstiftelsen realtidsåtkomst till inspelningarna som omedelbart anonymiseras. Gällande projektet Precrisis har detta ännu inte har genomförts men att det kommer att aktiveras inom kort, när nödvändiga åtgärder har vidtagits för att säkerställa efterlevnaden av GDPR.
Garante konstaterade, med avseende på de två första projekten, att även om projekten var experimentella och inga uppgifter användes för faktiska brottsförebyggande ändamål, utförde den personuppgiftsansvarige fortfarande behandling av personuppgifter som rör fällande domar i brottmål och överträdelser enligt artikel 10 i GDPR. I själva verket tränades algoritmerna på uppgifter som samlats in från de kameror som redan fanns på kommunens territorium i syfte att upptäcka och dokumentera brottslig verksamhet och kan därför omfatta behandling av videor som registrerar brottslig verksamhet. Vidare ansåg Garante inte att kommunen i god tro kunde hävda att ingen faktisk behandling ännu utfördes eftersom projekten fortfarande var experimentella, eftersom kommunen själv angav roller, ändamål och rättslig grund för sådan behandling.
Garante bedömde sedan de anonymiseringstekniker som fanns på plats. Kommunen hävdade att man använde anonymiseringstekniker direkt efter insamlingen av uppgifterna genom ändring av röstljud i röstinspelningarna och suddning av människors ansikten i videorna. Garante ansåg att dessa tekniker var otillräckliga eftersom de inte garanterade en fullständig anonymisering av de insamlade personuppgifterna. När det gäller de uppgifter som samlats in från sociala medieplattformar var uppgifterna endast pseudonymiserade och inte anonymiserade, vilket kommunen hävdade, och därför måste behandlingen av dem vara förenlig med GDPR.
Garante konstaterade vidare att uppgifterna behandlades i strid med principerna om laglighet, korrekthet och öppenhet enligt artikel 5.1 (a) GDPR.
När det gäller principen om laglighet ansåg Garante att den regionala lag som ger kommunen allmän behörighet att utveckla sociala, kulturella och ekonomiska projekt som identifierats av den personuppgiftsansvarige inte kan utgöra en giltig rättslig grund i enlighet med artikel 6.1 (e) GDPR, artikel 6.2 och 6.3 GDPR eller artikel 9.2 (g) GDPR. Med hänvisning till bland annat EU-domstolens och Europadomstolens rättspraxis ansåg Garante att för att behandling ska baseras på en lag, måste lagen i sig innehålla specifika regler om omfattningen av och gränserna för behandlingen och behandlingen måste rimligen förväntas av de registrerade. På samma sätt ansåg Garante att kommunen inte kunde motivera behandlingen på grundval av nationell rätt om säkerhet i städer, som tillåter användning av kameror i det enda syftet att kontrastera och förhindra brott och som inte kunde åberopas för ytterligare behandling. Även när det gäller kommunens försvar att artikel 89 GDPR om undantag för forskningsändamål skulle kunna tillämpas på behandlingen, ansåg Garante att kommunen inte hade bevisat att den ska betraktas som ett forskningsinstitut. Mot bakgrund av detta ansåg Garante också att delningen av dåligt anonymiserade eller pseudonymiserade personuppgifter till forskningsinstitutet skedde i strid med artikel 5.1 (a) GDPR och saknade rättslig grund. Garante ansåg därför att kommunen agerade i strid med artiklarna 5, 6, 9 och 10 GDPR.
När det gäller öppenhet ansåg Garante att kommunen bröt mot artikel 13.1 (c) och (e) GDPR, artikel 13.2 (a), (b) och (d) samt artikel 14 GDPR eftersom den inte på ett korrekt sätt lämnade information om behandlingen av personuppgifter.
Slutligen ansåg Garante också att kommunen bröt mot artikel 35 GDPR eftersom den inte korrekt genomfört en konsekvensbedömning avseende dataskydd och den borde också ha övervägt att rådfråga Garante före behandling enligt artikel 36 GDPR, eftersom fallet omfattade storskalig offentlig övervakning.
Mot bakgrund av ovanstående slutsatser ansåg Garante att det var lämpligt att utfärda kommunen en sanktionsavgift på 50 000 euro.