Informativa privacy relativa all'Intelligenza Artificiale - Agenzia Mobilità Ambiente Territorio

Informativa sul trattamento dei dati personali (Codice della privacy - D. Lgs. 196/2003 come novellato dal D. Lgs. 101/2018 - Regolamento UE 679/2016 sul trattamento dei dati personali – Art. 13)

Agenzia Mobilità Ambiente e Territorio S.r.l. (AMAT) con sede in via Tommaso Pini 1, 20134 Milano, P.IVA: 12908910156, in persona del suo legale rappresentante pro-tempore, in qualità di titolare del trattamento dei dati (in seguito “Titolare”), La informa, ai sensi del Regolamento UE 679/2016 (“GDPR”) che i Suoi dati saranno trattati secondo principi di correttezza, liceità, trasparenza, nel rispetto delle finalità e modalità di seguito indicate, raccogliendoli nella misura necessaria ed esatta per il trattamento.

1. Premessa

Nell’ambito di un progetto finalizzato al potenziamento delle capacità di rilievo e monitoraggio del traffico veicolare sulla rete stradale del comune di Milano, il Titolare ha realizzato uno strumento hardware/software in grado di classificare e conteggiare i flussi veicolari e dei pedoni presenti sulle intersezioni stradali.

Nel corso di queste attività di rilevazione il Titolare acquisisce immagini dello spazio pubblico e dei veicoli e pedoni in transito che verranno poi utilizzate per il perseguimento delle finalità indicate al successivo punto 2 della presente informativa.

Il Titolare desidera inoltre informarla che nell’esecuzione di tali attività potrebbe riprendere incidentalmente alcune immagini dei volti dei passanti, dei passeggeri a bordo dei mezzi di trasporto e delle relative targhe che però non rappresentano oggetto d’interesse e che verranno debitamente trattate come meglio specificato alla sezione 4 della presente informativa.

Tali immagini vengono importate su una piattaforma di proprietà di AMAT che utilizza anche una tecnologia di intelligenza artificiale per conteggiare e classificare alcune categorie di dati quali tipologia dei veicoli e numero di pedoni in transito.

2. Liceità, finalità, base giuridica del trattamento e conferimento dei dati

I dati acquisiti saranno trattati – in conformità al GDPR, al Regolamento (UE) n.1689/2024 (c.d. AI Act) ed alla sezione 4 della presente informativa – per l’erogazione di servizi di monitoraggio e supporto alla mobilità pubblica nell’ambito del comune di Milano.

Nell’ambito di tale finalità si possono identificare anche i seguenti obiettivi che ne costituiscono parte integrante:

Potenziamento della capacità di rilievo e monitoraggio del traffico veicolare sulla rete del Comune di Milano.
Implementazione di strumenti in grado di classificare e conteggiare le tipologie di veicoli ed il numero dei pedoni in transito ripresi dalle telecamere installate.
Svolgimento di test sulle caratteristiche di intelligenza artificiale della piattaforma utilizzata da AMAT in relazione al rilevamento delle caratteristiche dei veicoli al fine della loro classificazione.

La base giuridica applicabile del trattamento è il legittimo interesse del Titolare del trattamento, ai sensi dell’art 6, par 1, lett. f) del GDPR.

Con specifico riferimento all’utilizzo di strumenti dotati di Intelligenza Artificiale, le finalità perseguite dal Titolare rientrano nei cosiddetti scopi a rischio limitato, ai sensi dell’art. 50 del Regolamento (UE) n.1689/2024 (c.d. AI Act), per i quali si hanno obblighi di trasparenza verso gli interessati al fine di assicurare che gli utenti siano consapevoli di interagire con un sistema di IA, permettendo loro di prendere decisioni informate o di esercitare un giudizio critico.

Sono stati affissi cartelli che indicano la presenza delle telecamere prima del loro raggio d’azione, consentendo a chi lo desidera di non farsi riprendere dalle stesse.

3. Dati trattati

I dati personali acquisiti e trattati solo incidentalmente, come meglio specificato di seguito, dal Titolare rientrano nella categoria dei dati comuni (immagine, numero di targa dei veicoli).

A tal proposito, il considerando 51 del GDPR afferma che “[…] il trattamento di fotografie non dovrebbe costituire sistematicamente un trattamento di categorie particolari di dati personali, poiché esse rientrano nella definizione di dati biometrici soltanto quando saranno trattate attraverso un dispositivo tecnico specifico che consente l’identificazione univoca o l’autenticazione di una persona fisica […]”.

Sul tema si è espresso anche l’EDPB (European Data Protection Board) con le Linee Guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video affermando che “[…] le riprese video di un individuo non possono essere considerate di per sé dati biometrici ai sensi dell’art. 9 GDPR se non sono state sottoposte ad un trattamento tecnico specifico per contribuire all’identificazione di tale individuo […]; in base al punto 75 delle stesse Linee Guida, inoltre, affinché il trattamento sia considerato un trattamento di categorie particolari di dati personali (in particolare, biometrici), è necessario che siano trattati dati «intesi a identificare in modo univoco una persona fisica». Il Titolare, dunque, non genera modelli biometrici volti all’identificazione univoca delle persone fisiche, le quali vengono solo incidentalmente riprese nell’attività di identificazione della tipologia di mezzi di trasporto e numero dei pedoni che è la reale finalità perseguita.

4. Modalità di trattamento, misure di sicurezza e conservazione dei dati personali

I Suoi dati personali sono sottoposti a trattamento elettronico. AMAT non effettua trattamenti automatizzati di profilazione dei dati personali di cui è in possesso.

Anche ai fini di trasparenza dettati dall’art. 50 del Regolamento (UE) n.1689/2024 (c.d. AI Act), di seguito si fornisce la descrizione del processo svolto da AMAT mediante telecamere dotate di tecnologie di intelligenza artificiale. Si possono successivamente identificare due fasi di gestione separate e distinte che supportano il raggiungimento della finalità perseguita ossia il conteggio della tipologia dei veicoli e del numero di pedoni in transito nell’ area identificata.

In una prima fase, essendo necessario allenare il sistema di intelligenza artificiale che effettua i conteggi, vengono acquisite le immagini delle telecamere al fine di selezionare quelle ritenute più idoneo a tale scopo; per evitare un indebito trattamento di dati personali il sistema, sempre in questa fase, anonimizza in automatico i volti delle persone e le targhe dei veicoli che vengono incidentalmente acquisiti nell’esecuzione delle attività; il processo di anonimizzazione avviene mediante un algoritmo di identificazione automatica di volti e targhe su cui viene applicato l’offuscamento selettivo tramite tecnica denominata “Gaussian Blur”.A questo punto, le immagini già anonimizzate vengono criptate tramite chiave crittografica ed un algoritmo, denominato “Random Shuffling” il quale garantisce la non ricostruibilità delle informazioni; infine, le immagini vengono salvate in una modalità tale da garantire l’offuscamento dei volti delle persone e delle targhe dei veicoli (c.d. modalità “Canny”). La fase di allenamento dell’intelligenza artificiale si chiude con il confronto tra i conteggi ottenuti mediante lo strumento di IA ed un conteggio effettuato manualmente da un operatore, anche in questo caso con immagini già anonimizzate come sopra descritto, che, se ritenuto soddisfacente determina l’eliminazione delle stesse immagini.

Le immagini offuscate vengono conservate per cinque anni per poi essere eliminate definitivamente.

In una seconda fase, quella dell’esecuzione effettiva dei conteggi, i dati acquisiti in streaming dalle telecamere vengono inviate alla piattaforma dotata di intelligenza artificiale che effettua l’attività di conteggio eliminando successivamente le immagini in tempo reale; in questa fase non avviene quindi alcun tipo di processo di conservazione e tutto il processo di trattamento dura nel complesso qualche frazione di secondo.

Si evidenzia ancora che in entrambe le fasi i dati riferibili a volti e targhe sono acquisiti incidentalmente e che non hanno alcuna utilità in termini di raggiungimento delle finalità perseguite.

Non vengono in alcun modo utilizzate le immagini per creare modelli biometrici per il riconoscimento successivo delle persone che transitano nel raggio di ripresa.

I Suoi dati saranno trattati con l’utilizzo dei migliori sistemi informatici o telematici a disposizione sul mercato, utilizzando alti “standard” di sicurezza contro perdita accidentale dei dati adottando procedure di gestione dei “data breach” (i.e. violazione della gestione dei dati) così come previsti dalla normativa in vigore. In conformità poi agli art. 25 (“Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita”),32 (“Sicurezza del trattamento”), 35 (“Valutazione d'impatto sulla protezione dei dati”) e 36 (“Consultazione preventiva”) del Regolamento UE 679/2016, il Titolare ha adottato un documento programmatico sulla progettazione del servizio oggetto della presente informativa.

5. Accesso e comunicazione dei dati

Per le finalità di cui al precedente punto 2, il Titolare potrà comunicare i suoi dati personali a diverse categorie di destinatari quali, ad esempio ai dipendenti e collaboratori del Titolare nella loro qualità di autorizzati e/o responsabili interni del trattamento e/o amministratori di sistema.

I suoi dati non saranno diffusi.

6. Trasferimento dati all’estero

I dati personali non sono oggetto di trasferimento al di fuori dell’Unione europea. Tuttavia, resta inteso che, ove si rendesse necessario, potremo trasferire i dati personali anche in Paesi non SEE, garantendo sin d’ora che tale trasferimento avverrà nel rispetto delle disposizioni di legge applicabili:

in caso di trasferimenti internazionali di dati personali provenienti dallo Spazio Economico Europeo (SEE) e destinati ad un paese non SEE, il trasferimento può avvenire se la Commissione Europea abbia riconosciuto che un paese non SEE fornisca un livello adeguato di protezione dei dati: in questo caso, i suoi dati personali possono essere trasferiti su questa base;
per i trasferimenti verso paesi non SEE in cui il livello di protezione non è stato riconosciuto come adeguato dalla Commissione Europea, potremo fare affidamento su una deroga applicabile alla situazione specifica e/o comunque adottando le clausole contrattuali standard previste dalla Commissione europea per il trasferimento di dati personali extra UE.

7. Diritti dell’interessato e modalità di esercizio

La informiamo che, in qualunque momento e qualora ne ricorrano i presupposti, può esercitare i suoi diritti previsti dagli artt. 15 e ss GDPR:

ottenere la conferma dell’esistenza o meno dei dati personali che La riguardano e la loro copia in forma intelligibile;
ottenere l’aggiornamento, la rettificazione o l’integrazione dei Suoi dati;
richiedere la cancellazione dei propri dati, nei termini consentiti dalla normativa;
opporsi, in tutto o in parte, al trattamento dei dati personali che La riguardano;
limitare il trattamento, in caso di violazione, richiesta di rettifica o opposizione;
chiedere la portabilità dei dati trattati elettronicamente, forniti sulla base di consenso o contratto;
revocare il consenso al trattamento dei Suoi dati, qualora previsto.
in relazione alla profilazione interamente automatizzata ottenere l’intervento umano del Titolare per esprimere la propria opinione e contestarne la decisione.

Qualora lo ritenga opportuno, potrà presentare reclamo all’Autorità Garante per la Protezione dei Dati Personali.

L’interessato potrà in qualsiasi momento esercitare i diritti inviando:

una raccomandata a.r. all’indirizzo del Titolare;
un’email a privacy@amat-mi.it

Per poter contattare il nominato Responsabile della protezione dei dati (DPO), si può inviare una comunicazione scritta al seguente indirizzo: dpo@amat-mi.it