SINDACA


Descrizione
Per ottimizzare e velocizzare i processi decisionali concernenti le richieste d’asilo, il sistema, realizzato da Cedat85, videoregistra, trascrive in lingua originale e traduce automaticamente in lingua italiana i colloqui delle persone richiedenti asilo.
Il sistema, che verrà utilizzato dalla Commissione Nazionale Asilo e dalle Commissioni Territoriali di settore, si basa su tecnologie di riconoscimento vocale. I file multimediali risultati dall’utilizzo di questo sistema, previa approvazione della trascrizione della conversazione da parte del richiedente, costituiscono una verbalizzazione automatica del colloquio.
Criticità ed il parere del Garante
Profili di criticità del sistema risiedono nella sicurezza dei dati rispetto alla normativa sulla privacy e di tutela della riservatezza degli attori coinvolti nella procedura. Nonostante le specifiche rassicurazioni che si trovano su questi temi nel provvedimento del garante, non si conosce ancora l’impatto, a livello di sistemi, delle misure adottate.
Altre dimensioni preoccupanti emergono dalle non specificate modalità di valutazione del sistema, che vengono descritte dall’azienda produttrice con espressioni ambigue, per esempio l’essere caratterizzato da «un livello di precisione non inferiore al 95% e una percentuale di sicurezza altissima». Un sistema di traduzione automatica non accuratamente testato ed utilizzato acriticamente in un contesto così sensibile come quello di una deposizione di un colloquio di una persona richiedente asilo mina diritti civili fondamentali e deve quindi essere oggetto di continuo scrutinio pubblico.
Nel progetto, è stato coinvolto il Garante per la protezione dei dati personali fin dalla fase istruttoria, che ha correttamente indicato la necessità di redigere una DPIA, fondamentale nel caso di trattamenti dei dati che possano potenzialmente violare diritti e libertà fondamentali delle persone. Il Garante, sempre nell’ambito dell’attività istruttoria, ha in prima battuta rilevato che: non erano presenti i termini temporali di conservazione dei dati, termini che devono essere presenti per rispettare un principio fondamentale del GDPR della c.d. storage limitation; che il titolare del trattamento, individuato dal Ministero nel Dipartimento Libertà Civili e Immigrazione (DLCI), non era adeguato, e che il ministero stesso avrebbe invece dovuto vestire i panni del titolare di trattamento. L’individuazione del titolare del trattamento non è cosa da poco, perché da quello dipendono una catena di indicazioni relative alle responsabilità in caso di violazioni.
Grazie alle sollecitazioni del Garante, è stato possibile specificare un periodo di conservazione dei dati di 24 mesi per i registri di accesso e delle operazioni e un periodo di conservazione di 3 anni per le videoregistrazioni e le trascrizioni quando non vi è appello. In aggiunta, il Ministero ha implementato le seguenti misure: definito le misure di sicurezza e controllo generale degli accessi, previsto misure di crittografiche, predisposto dei piani per far fronte alle data breach, previsto delle limitazioni degli attributi associati alle identità digitali degli utenti solo ai dati necessari (in ossequio al principio della data minimisation), e indicato una procedura di revisione annuale delle misure predisposte.
Altre informazioni
