Boete voor het gebruik van AI-bewakingssystemen voor wetenschappelijk onderzoek
De Italiaanse Gegevensbescherming Autoriteit (GPDP) is van oordeel dat de gemeente Trento als verwerkingsverantwoordelijke artikel 35 GDPR heeft geschonden, aangezien zij niet naar behoren een DPIA had uitgevoerd en ook had moeten overwegen de GPDP te raadplegen voorafgaand aan de verwerking overeenkomstig artikel 36 GDPR, aangezien de zaak betrekking had op grootschalig openbaar toezicht.
Feiten
De GPDP ontving het nieuws over een nieuw experiment met AI-gestuurde bewakingssystemen dat werd uitgevoerd door de gemeente Trento, de controller, met de steun van FBK, een onderzoeksstichting. In het kader van een sociaal experiment stond de controleur de inzet toe van drie projecten, "Marvel" en "Protector", inmiddels afgerond, en "Precrisis" nog te activeren, met behulp van AI-systemen die waren ontwikkeld door de stichting om gegevens te verzamelen van openbare ruimtes in de gemeente door middel van videocamera's en microfoons die kunnen dienen om potentiële gevaarlijke situaties voor het publiek te voorkomen.
Toen de GPDP van deze feiten op de hoogte werd gesteld, stelde het een onderzoek in naar de verwerkingen die de verantwoordelijke voor de verwerking had uitgevoerd in verband met de bovengenoemde projecten en verzocht het om nadere informatie.
De verantwoordelijke voor de verwerking gaf onder andere aan dat de projecten door de EU werden gefinancierd en verstrekte details over de technische werking van elk van de projecten. Met name "Marvel" is gericht op de ontwikkeling van een geautomatiseerd systeem dat audiovisuele scènes in realtime analyseert om veiligheidsproblemen in steden op te sporen. De stichting heeft toegang tot de opnames van de openbare camera's in de gemeente, die direct worden geanonimiseerd en geanalyseerd in de werkstations van de stichting. Het project "Protector" daarentegen is gericht op het verbeteren van de veiligheid rond gebedshuizen, vooral tegen het risico van haatmisdrijven en terreuraanslagen. Het platform verzamelt videogegevens van camera's in de omgeving van gebedshuizen en tekstuele gegevens van haatcommentaren op sociale media, die vervolgens worden uitgewerkt door een AI-systeem om mogelijke relevante risico's te detecteren. Ook hier heeft de stichting in realtime toegang tot de opnames, die direct worden geanonimiseerd. Tot slot, met betrekking tot het "Precrisis"-project, gaf de verwerkingsverantwoordelijke aan dat dit nog niet is geïmplementeerd, maar binnenkort zal worden geactiveerd, nadat de nodige maatregelen zijn genomen om naleving van de GDPR te waarborgen.
Verder voerde de verwerkingsverantwoordelijke met betrekking tot alle drie de projecten aan dat de rechtsgrondslag voor deze verwerking artikel 6, lid 1, onder e) GDPR is en verwees de verwerkingsverantwoordelijke naar de Italiaanse wet nr. 38/2009 die gemeenten de bevoegdheid verleent om videobewakingssystemen in te voeren om de veiligheid in de steden te verbeteren en naar de regionale wet van 3 mei 2018 die de gemeente generieke bevoegdheid verleent voor de ontwikkeling van sociale, culturele en economische projecten. Verder beweerde de verwerkingsverantwoordelijke dat, aangezien de projecten zich nog in de ontwikkelingsfase bevinden, de bepalingen van de GDPR pas van toepassing zouden worden wanneer deze worden geactiveerd. Bovendien voegde de verwerkingsverantwoordelijke eraan toe dat dergelijke onderzoeksprojecten ook zouden worden uitgevoerd in overeenstemming met de bepaling in artikel 89 GDPR. Tot slot gaf de verwerkingsverantwoordelijke aan dat hij de stichting had aangewezen als verwerker krachtens artikel 28 GDPR voor de toekomstige verwerking van persoonsgegevens die zal plaatsvinden zodra de projecten zijn geactiveerd.
De gegevensbeschermingsautoriteit reageerde op deze en andere opmerkingen van de verwerkingsverantwoordelijke en verklaarde dat zij een procedure zou starten gericht op het nemen van corrigerende maatregelen tegen de verwerkingsverantwoordelijke voor onrechtmatige verwerkingsactiviteiten.
Beoordeling
Na een uitgebreid onderzoek kwam de GPDP tot haar conclusies met betrekking tot de verwerking van persoonsgegevens door de verantwoordelijke voor de verwerking.
Met betrekking tot de eerste twee projecten stelde het GPDP vast dat, hoewel de projecten experimenteel waren en er geen gegevens werden gebruikt voor daadwerkelijke misdaadpreventie, de verantwoordelijke voor de verwerking nog steeds persoonsgegevens verwerkte met betrekking tot strafrechtelijke veroordelingen en overtredingen op grond van artikel 10 GDPR. In feite werden de algoritmen getraind op gegevens die waren verzameld van de camera's die al aanwezig waren op het grondgebied van de gemeente met als doel het detecteren en documenteren van criminele activiteiten en zouden ze dus de verwerking van video's met criminele activiteiten kunnen omvatten. Verder was de GPDP niet van mening dat de verantwoordelijke voor de verwerking te goeder trouw kon beweren dat er nog geen daadwerkelijke verwerking plaatsvond omdat de projecten nog experimenteel waren, aangezien de verantwoordelijke voor de verwerking zelf de rollen, doeleinden en rechtsgrondslag voor een dergelijke verwerking had aangegeven. Het CBP bevestigde ook de rol van de gemeente als verwerkingsverantwoordelijke en het feit dat zij onderworpen kan zijn aan het opleggen van een boete, zelfs als bepaalde activiteiten namens haar door een verwerker worden uitgevoerd, onder verwijzing naar C-683/21.
De gegevensbeschermingsautoriteit beoordeelde vervolgens de gebruikte anonimiseringstechnieken. De verwerkingsverantwoordelijke voerde aan dat hij direct na het verzamelen van de gegevens anonimiseringstechnieken toepaste: het wijzigen van stemgeluiden in de stemopnamen en het vervagen van gezichten van mensen in de video's. Het GPDP vond deze technieken niet geschikt voor het verzamelen van gegevens. De gegevensbeschermingsautoriteit vond deze technieken ontoereikend omdat ze geen volledige anonimisering van de verzamelde persoonsgegevens garandeerden. Wat betreft de verzamelde gegevens van sociale mediaplatforms, waren de gegevens slechts gepseudonimiseerd en niet geanonimiseerd, zoals de verwerkingsverantwoordelijke beweerde, waardoor de verwerking ervan in overeenstemming moest zijn met de GDPR.
Bovendien oordeelde de GPDP dat de gegevens werden verwerkt in strijd met de beginselen van rechtmatigheid, billijkheid en transparantie krachtens artikel 5, lid 1, onder a) GDPR.
Met betrekking tot het rechtmatigheidsbeginsel was de GPDP van mening dat de regionale wet die de gemeente generieke bevoegdheid verleent voor de ontwikkeling van sociale, culturele en economische projecten die door de verantwoordelijke voor de verwerking zijn geïdentificeerd, geen geldige rechtsgrondslag kan vormen in overeenstemming met artikel 6, lid 1, onder e) GDPR, artikel 6, leden 2 en 3, GDPR en artikel 9, lid 2, onder g) GDPR. Verwijzend naar jurisprudentie van het HvJEU en van het EHRM en rekening houdend met artikel 52, lid 1, van het Handvest van de grondrechten van de Europese Unie, oordeelde de GPDP dat, wil een verwerking gebaseerd zijn op een wet, de wet zelf moet voorzien in specifieke regels over de reikwijdte en beperkingen van de verwerking en de verwerking redelijkerwijs moet worden verwacht door de betrokkenen. Op dezelfde manier oordeelde de GPDP dat de verwerkingsverantwoordelijke de verwerking niet kon rechtvaardigen op basis van Wet nr. 38/2009 inzake stedelijke veiligheid, die het gebruik van camera's uitsluitend toestaat om criminaliteit tegen te gaan en te voorkomen en die niet kon worden gebruikt voor verdere verwerking. Ook met betrekking tot het verweer van de verantwoordelijke voor de verwerking dat artikel 89 GDPR van toepassing zou kunnen zijn op de verwerkingen, oordeelde de GPDP dat de verantwoordelijke voor de verwerking als gemeente niet kon aantonen dat zij als een onderzoeksinstelling moet worden beschouwd. In het licht hiervan was het GPDP ook van mening dat het delen van slecht geanonimiseerde of gepseudonimiseerde persoonsgegevens aan de verwerker in strijd was met artikel 5, lid 1, onder a) GDPR en een rechtsgrondslag ontbrak. Daarom, aldus de GPDP, handelde de verwerkingsverantwoordelijke in strijd met de artikelen 5, 6, 9 en 10 GDPR.
Met betrekking tot transparantie oordeelde de gegevensbeschermingsautoriteit dat de verwerkingsverantwoordelijke artikel 13, lid 1, onder c) en e) GDPR, artikel 13, lid 2, onder a), b) en d), en artikel 14 GDPR had geschonden, aangezien hij niet naar behoren informatie had verstrekt over de verwerkingen.
Tot slot oordeelde de GPDP ook dat de verwerkingsverantwoordelijke artikel 35 GDPR had geschonden, aangezien hij niet naar behoren een DPIA had uitgevoerd en hij ook had moeten overwegen de GPDP te raadplegen voorafgaand aan de verwerking overeenkomstig artikel 36 GDPR, aangezien de zaak betrekking had op grootschalig openbaar toezicht.
In het licht van de bovenstaande bevindingen en gelet op de bepaling in artikel 83, leden 2 en 3 GDPR, oordeelde de GPDP dat het passend was om de verwerkingsverantwoordelijke een boete van 50.000 euro op te leggen.
Bron: Garante per la protezione dei dati personali (Italy) - 9977020 - GDPRhub
Machinevertaling met Deepl