Il Garante per la protezione dei dati personali ha lanciato un importante monito riguardo l’uso dell’intelligenza artificiale per mascherare i volti nei video di sorveglianza.
Con un provvedimento datato 10 aprile 2025, l’Autorità ha chiarito che questa tecnica, pur oscurando le immagini, non garantisce l’anonimizzazione dei dati.
Di conseguenza, i filmati rimangono dati personali e devono sottostare a tutte le garanzie previste dalla normativa sulla privacy.
Non solo il volto rende identificabili
Il fulcro della decisione del Garante è che l’identificazione di una persona non si basa unicamente sul riconoscimento facciale o sul nome.
Caratteristiche come la corporatura, l’abbigliamento, la postura e persino l’ambiente circostante sono tutti elementi che, combinati, possono rendere un individuo riconoscibile.
Inoltre, il Garante ha evidenziato come l’incrocio dei filmati con altre informazioni accessibili (come testimonianze, notizie di cronaca o la posizione specifica della telecamera) può aumentare significativamente le possibilità di identificazione, rendendo l’anonimizzazione superficiale.
Il caso dell’Agenzia Mobilità Ambiente e Territorio di Milano
Il provvedimento nasce da un’indagine sul sistema di sorveglianza installato da AMAT (Agenzia Mobilità Ambiente e Territorio S.r.l.) a Milano.
La società, partecipata dal Comune, aveva implementato telecamere per monitorare il traffico, sia veicolare che pedonale, sostenendo che l’offuscamento automatico di volti e targhe garantisse il rispetto della privacy.
Il Garante ha respinto questa interpretazione. Ha ribadito che anche se il volto viene mascherato, l’immagine di una persona rimane un dato personale. Il trattamento di questi dati avviene non solo quando l’identificazione viene effettuata, ma anche quando è potenzialmente possibile.
La vera anonimizzazione e le sanzioni
Secondo il Garante, un dato può essere considerato anonimo solo quando, anche utilizzando le tecnologie più avanzate, non è in alcun modo possibile risalire all’identità della persona.
Pertanto, l’utilizzo di un’IA che si limita a offuscare il volto non è sufficiente.
Inoltre, l’Autorità ha sanzionato l’agenzia per un altro grave errore: la valutazione d’impatto sulla protezione dei dati (DPIA) era stata affidata al Data Protection Officer (DPO) interno, violando l’articolo 38, paragrafo 6, del GDPR. Questa scelta ha creato un conflitto di interessi, compromettendo l’indipendenza del DPO e la validità stessa della valutazione.
