SINDACA

Descrizione

Per ottimizzare e velocizzare i processi decisionali concernenti le richieste d’asilo, il sistema, realizzato da Cedat85, videoregistra, trascrive in lingua originale e traduce automaticamente in lingua italiana i colloqui delle persone richiedenti asilo.  

Il sistema, che verrà utilizzato dalla Commissione Nazionale Asilo e dalle Commissioni Territoriali di settore, si basa su tecnologie di riconoscimento vocale. I file multimediali risultati dall’utilizzo di questo sistema, previa approvazione della trascrizione della conversazione da parte del richiedente, costituiscono una verbalizzazione automatica del colloquio. 

Criticità ed il parere del Garante

Profili di criticità del sistema risiedono nella sicurezza dei dati rispetto alla normativa sulla privacy e di tutela della riservatezza degli attori coinvolti nella procedura. Nonostante le specifiche rassicurazioni che si trovano su questi temi nel provvedimento del garante, non si conosce ancora l’impatto, a livello di sistemi, delle misure adottate. 

Altre dimensioni preoccupanti emergono dalle non specificate modalità di valutazione del sistema, che vengono descritte dall’azienda produttrice con espressioni ambigue, per esempio l’essere caratterizzato da «un livello di precisione non inferiore al 95% e una percentuale di sicurezza altissima». Un sistema di traduzione automatica non accuratamente testato ed utilizzato acriticamente in un contesto così sensibile come quello di una deposizione di un colloquio di una persona richiedente asilo mina diritti civili fondamentali e deve quindi essere oggetto di continuo scrutinio pubblico. 

Nel progetto, è stato coinvolto il Garante per la protezione dei dati personali fin dalla fase istruttoria, che ha correttamente indicato la necessità di redigere una DPIA, fondamentale nel caso di trattamenti dei dati che possano potenzialmente violare diritti e libertà fondamentali delle persone. Il Garante, sempre nell’ambito dell’attività istruttoria, ha in prima battuta rilevato che: non erano presenti i termini temporali di conservazione dei dati, termini che devono essere presenti per rispettare un principio fondamentale del GDPR della c.d. storage limitation; che il titolare del trattamento, individuato dal Ministero nel Dipartimento Libertà Civili e Immigrazione (DLCI), non era adeguato, e che il ministero stesso avrebbe invece dovuto vestire i panni del titolare di trattamento. L’individuazione del titolare del trattamento non è cosa da poco, perché da quello dipendono una catena di indicazioni relative alle responsabilità in caso di violazioni. 
Grazie alle sollecitazioni del Garante, è stato possibile specificare un periodo di conservazione dei dati di 24 mesi per i registri di accesso e delle operazioni e un periodo di conservazione di 3 anni per le videoregistrazioni e le trascrizioni quando non vi è appello. In aggiunta, il Ministero ha implementato le seguenti misure: definito le misure di sicurezza e controllo generale degli accessi, previsto misure di crittografiche, predisposto dei piani per far fronte alle data breach, previsto delle limitazioni degli attributi associati alle identità digitali degli utenti solo ai dati necessari (in ossequio al principio della data minimisation), e indicato una procedura di revisione annuale delle misure predisposte.  

Altre informazioni

Sistema automatizzato: S.IN.D.A.C.A. (Sistema Informativo di Documentazione delle Audizioni delle Commissioni Asilo)

Committente: Ministero dell’Interno e Ministero della Giustizia

Data di introduzione: 2024

Finalità ed utilizzo: registrazione e trascrizione automatica dei colloqui con le persone richiedenti asilo   

Le fonti da noi analizzate non specificano esplicitamente il set di dati su cui si basa S.IN.D.A.C.A., ma forniscono dettagli sui tipi di dati elaborati e sulle modalità di archiviazione.

Ecco cosa si può dedurre sui dati del sistema: 

I contenuti del sistema consistono nelle registrazioni audio e video dei colloqui. Queste registrazioni vengono elaborate utilizzando tecnologie avanzate di riconoscimento vocale automatico (ASR, Automatic Speech Recognition) per generare trascrizioni, che insieme ai file audio-video vengono memorizzate all’interno del sistema.

Oltre alle registrazioni e alle trascrizioni, il sistema gestisce informazioni dettagliate sugli utenti autorizzati ad accedervi. Questo include i dati identificativi dei magistrati, gli avvocati con i loro indirizzi e-mail certificati, e il personale del tribunale, come cancellieri e operatori UPP, inserendo tutto in log che registrano gli accessi degli utenti autorizzati. L’accesso al sistema è riservato esclusivamente agli utenti autorizzati. Magistrati, cancellieri e personale UPP vi accedono attraverso la rete intranet SPC, mentre gli avvocati possono utilizzare un portale web dedicato accessibile tramite internet.Un ulteriore elemento essenziale del sistema è l’uso di un codice identificativo univoco (Codice CUI), che viene assegnato al richiedente asilo durante il processo di identificazione. Tutti i dati raccolti e generati vengono archiviati in una piattaforma IT centralizzata, attualmente basata sulla Hitachi Content Platform (HCP). Da questo punto di vista il Ministero ha esternalizzato ad un privato un servizio fondamentale per il funzionamento dello stesso sistema di SIN.DA.CA. La HCP è stata scelta dal ministero «per garantire elevati standard di integrità e disponibilità dei dati, supportati da meccanismi di crittografia sia durante la trasmissione sia durante l’archiviazione, al fine di proteggere la sicurezza e la riservatezza delle informazioni».  Da questo punto di vista tuttavia, non si sa se i dati raccolti su HCP possano essere potenzialmente condivisi con la casa madre in paesi extra-UE.

Cedat 85. (n.d.). *Ministero dell’Interno*. Disponibile su https://www.cedat85.com/it/project/ministero-dellinterno/

Garante per la Protezione dei Dati Personali. (2023, July 27). Parere sullo schema di decreto del Presidente del Consiglio dei ministri recante disposizioni in materia di interoperabilità dei sistemi informativi e delle basi di dati dell’amministrazione pubblica (articolo 50-ter del CAD) – 27 luglio 2023 [10064748]. Disponibile su https://www.garanteprivacy.it/home/docweb/-/docweb-display/print/10064748