La Camera di risoluzione delle controversie della GBA ha emesso oggi un rimprovero alla città di Anversa per il suo progetto di innovazione del 2022 volto a contrastare in modo intelligente l’inquinamento acustico nel suo quartiere studentesco. Secondo la Camera di risoluzione delle controversie, l’attuazione del progetto ha violato diverse disposizioni del GDPR, come i principi di legalità e trasparenza. La Camera contenziosa ordina alla città di cancellare tutte le impronte vocali e tutti i file audio grezzi contenenti registrazioni vocali raccolte durante il progetto.
Progetto di innovazione: registrazione del suono nel quartiere studentesco di Anversa
Nel 2022 la città di Anversa ha installato 30 sensori acustici in una zona specifica della città. L’obiettivo di questo progetto innovativo era mappare l’inquinamento acustico nell’area studentesca e porvi rimedio tramite la tecnologia.
I sensori registravano continuamente (24 ore su 24, 7 giorni su 7) i suoni ambientali, che venivano salvati come “file audio raw” da 10 secondi. Quando i suoni registrati superavano un certo livello sonoro tra le 19:00 e le 7:00, i sensori creavano un’impronta vocale (“spettrogramma MEL”), ovvero una rappresentazione (immagine) di uno specifico suono vocale. Queste impronte vocali sono state utilizzate per addestrare un modello di intelligenza artificiale a classificare diversi tipi di suoni e ad attivare una configurazione di “spinta gentile” (incoraggiamento a interrompere il rumore notturno).
Alla fine del 2022, il servizio di ispezione GBA ha ordinato alla città di Anversa di sospendere temporaneamente il progetto. Secondo la legge, il Servizio ispettivo può ordinare misure provvisorie per impedire che si verifichi una situazione che causerebbe danni gravi, immediati e difficilmente riparabili.
Mancanza di una valida base giuridica e di adeguate garanzie
Dopo un’indagine da parte del Servizio ispettivo, il fascicolo è stato successivamente analizzato dalla Camera delle controversie della GBA, che ha stabilito, tra le altre cose, che il progetto non aveva alcuna valida base giuridica. I sensori hanno raccolto dati sensibili (le impronte vocali sono dati biometrici) o dati che inevitabilmente contengono dati sensibili (le conversazioni registrate possono contenere informazioni sulla salute o sulle opinioni politiche, ad esempio). Tuttavia, il GDPR vieta il trattamento di dati sensibili, salvo in un numero limitato di casi (elencati nell’articolo 9.2 del GDPR ). In questo caso, la città di Anversa non poteva validamente invocare nessuna di queste eccezioni.
La Camera per la risoluzione delle controversie rileva anche carenze in materia di trasparenza. Sottolinea, tra le altre cose, che la città aveva dichiarato che le conversazioni non sarebbero state registrate, mentre l’analisi del fascicolo dimostra che effettivamente era così.
Infine, si rileva che le impronte vocali sono state elaborate in forma non crittografata nel Google Cloud, la cui società madre si trova al di fuori dello Spazio economico europeo (negli Stati Uniti), e che ciò è stato fatto consapevolmente, ma senza adeguate misure di mitigazione del rischio.
La Camera per la risoluzione delle controversie e il Servizio ispettivo sottolineano che non è stato tenuto sufficientemente conto del parere del responsabile della protezione dei dati (RPD) della città, che aveva evidenziato elementi potenzialmente problematici, e che l’analisi dei rischi del progetto per i diritti e le libertà delle persone (nota anche come ” DPIA “) è stata inadeguata. Se si fossero tenuti in considerazione tali osservazioni, sulla base di un’adeguata analisi dei rischi, si sarebbero potute adottare misure per mitigare i rischi individuati dal DPA e si sarebbero potute eventualmente prevenire violazioni del GDPR.
Sanzione
Al fine di sanzionare le violazioni individuate, tra le altre, in materia di liceità del trattamento, trasparenza, DPIA e trasferimento dei dati verso paesi terzi, la Camera per la risoluzione delle controversie:
- un rimprovero formulato nei confronti della città di Anversa; E
- La città di Anversa ha ordinato di cancellare tutte le impronte vocali e tutti i file audio grezzi contenenti suoni vocali.
Nell’irrogare la sanzione, la Camera delle controversie ha tenuto conto del fatto che si trattava di un progetto di innovazione limitato nel tempo, volto a risolvere un problema riconosciuto (inquinamento acustico) e che la città aveva collaborato all’indagine.
Hielke Hijmans, Presidente della Litigation Chamber, conclude: “La protezione dei dati e l’innovazione non si escludono a vicenda. Tuttavia, tali progetti tecnologici devono essere regolamentati in modo appropriato, tenendo conto dei potenziali rischi per gli individui e adottando misure per limitare tali rischi. Ecco perché sottolineiamo l’importanza di effettuare una valutazione d’impatto approfondita e di coinvolgere il Responsabile della protezione dei dati”.
Il GBA sottolinea inoltre di mettere a disposizione dei titolari del trattamento dei dati risorse per orientarli nell’uso delle nuove tecnologie, come la sua brochure informativa sui sistemi di intelligenza artificiale o il suo rapporto sulla giornata di studio “Città intelligenti” .