Portale istituzionale - Comune di Milano

                                                         Informativa ai sensi dell’art. 13 e 14 del Regolamento UE n. 2016/679

               Sul trattamento dati relativo alla sperimentazione sull’utilizzo di uno strumento di intelligenza artificiale generativa

Ai sensi dell’art. 13 e 14 del Regolamento UE n. 2016/679 (Regolamento generale sulla protezione dei dati personali), si forniscono le seguenti informazioni.

Titolare del trattamento

Il Titolare del trattamento è il Comune di Milano con sede in Piazza della Scala, 2 – 20121 Milano –Direzione Innovazione Tecnologica e Digitale sita in via Gian Battista Vico 18 – 20123 Milano – indirizzo mail: ITED@comune.milano.it 

Data Protection Officer (DPO)

Il Comune di Milano ha nominato un proprio Responsabile per la protezione dei dati personali che può essere contattato all’ indirizzo e-mail: dpo@comune.milano.it 

Finalità

Il Comune di Milano, nell’ambito delle proprie iniziative di innovazione tecnologica e transizione digitale, ha avviato una sperimentazione sull’utilizzo di uno strumento di intelligenza artificiale generativa, con la finalità di supportare le attività amministrative interne e favorire l’efficientamento dei processi organizzativi.

I dati personali acquisiti nell’ambito della sperimentazione saranno trattati dal Comune di Milano per finalità strettamente connesse alla valutazione dell’efficacia, dell’affidabilità e dell’impatto operativo delle soluzioni di intelligenza artificiale generativa in relazione alle attività amministrative dell’Ente.

In particolare, le finalità del trattamento riguardano:

a) l’utilizzo operativo dello strumento da parte degli utenti dell’Amministrazione;

b) log di sistema, ai dati di audit e alle informazioni tecniche generate al fine di garantire la sicurezza, il corretto funzionamento e la conformità del servizio.

Base giuridica

I dati personali sono trattati nel rispetto delle condizioni previste dal Regolamento UE 2016/679 ed in particolare:

- dall’art. 6 – par. 1 lett. c) del GDPR per adempiere un obbligo legale al quale è soggetto il titolare in base all’art. 14 della Legge 132/2025, che disciplina l’impiego di sistemi di intelligenza artificiale da parte delle pubbliche amministrazioni, attribuendo alle stesse obblighi organizzativi e di governance finalizzati all’adozione responsabile, sicura e conforme di tali strumenti nell’ambito delle funzioni istituzionali.

- dall’art. 6 – par. 1 lett. e) del GDPR e dall’art. 2-ter del D.lgs. 196/2003 “Codice in materia di protezione dei dati personali”, per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri in coerenza con il Codice dell’Amministrazione Digitale - Promozione della digitalizzazione e semplificazione dei processi (con particolare riferimento all’art. 12 CAD) e il PNRR - Digitalizzazione e innovazione della PA (legittima l’uso di tecnologie di automazione e AI);

- dall’art. 9 -par. 2 lett. a per ipotesi residuali e applicabili solo in casi eccezionali (es. laddove l’utente elabori documenti su richiesta dell’interessato).

Tipologie dei dati trattati

L’utilizzo sperimentale del prodotto Microsoft 365 – Copilot prevede la seguente raccolta dei seguenti dati personali:

- dati personali comuni (es. dati anagrafici, di contatto, ecc.);

- dati particolari ex art. 9 reg. UE 2016/679 e dati giudiziari ex art. 10 reg. UE 2016/679, ove già trattati nell’ambito delle attività istituzionali derivanti, ad esempio, dal contenuto dei documenti gestiti, dalle attività istruttorie o dalla redazione di atti legati a procedimenti amministrativi, sanitari o di personale

Fonte da cui originano i dati personali

I dati personali oggetto dell'attività di trattamento possono essere anche ottenuti non direttamente presso l’interessato, in quanto presenti in documenti, e-mail e contenuti amministrativi elaborati dai dipendenti comunali (es. dati di cittadini o fornitori).

Modalità di trattamento

Il trattamento si svolge nel rispetto dei diritti e delle libertà fondamentali ed è improntato ai principi di correttezza, liceità, trasparenza e di tutela della riservatezza. Viene effettuato anche con l’ausilio di strumenti elettronici coerentemente con le operazioni indicate nell’art. 4, n. 2, del Regolamento UE 2016/679.

Natura del trattamento

Il conferimento dei dati è necessario per l’esecuzione dei compiti istituzionali del Comune di Milano e per lo svolgimento delle attività connesse alla sperimentazione di strumenti di intelligenza artificiale a supporto delle funzioni amministrative (art. 6, par. 1, lett. e, art. 6, par. 3 del Regolamento UE 679/2016), e per l’attuazione dei principi di digitalizzazione e innovazione della Pubblica Amministrazione previsti dall’art. 12 del Codice dell’Amministrazione Digitale (D.lgs. 82/2005) e dalle misure del Piano Nazionale di Ripresa e Resilienza (PNRR), nonché dall'art 14 della legge 132/25.

Comunicazione e diffusione

Non è prevista alcuna diffusione di dati personali verso soggetti terzi, i dati potranno essere comunicati a fornitori tecnologici designati come Responsabili del trattamento ai sensi dell’art. 28 del GDPR, nonché al personale interno autorizzato della Direzione Innovazione Tecnologica e Digitale, che li tratteranno nel rispetto delle autorizzazioni e delle istruzioni impartite dal Titolare. In casi specifici, i dati potranno essere comunicati ad autorità pubbliche od organi di controllo.

Il trattamento dei dati viene effettuato anche da persone di Microsoft Corporation, in qualità di fornitore dei servizi Microsoft e Copilot che opera quale Responsabile del trattamento ai sensi dell’art. 28 GDPR.

Categorie di destinatari dei dati

L’attività è svolta dal personale interno autorizzato, nel rispetto delle istruzioni operative e sotto la supervisione dei responsabili di funzione.

Conservazione dei dati

i dati saranno conservati esclusivamente per il periodo strettamente non superiore a quello della sperimentazione. In assenza di specifiche esigenze organizzative o documentali, tali dati verranno rimossi entro:

• 30 giorni dalla conclusione dell’attività di elaborazione se si tratta di contenuti generati tramite Copilot;

• 180 giorni per i log di audit, secondo la policy predefinita Microsoft.

Processo decisionale automatizzato

I dati raccolti non saranno soggetti a processi decisionali interamente automatizzati, ivi compresa la profilazione.

Trasferimento dati verso paese terzi

I dati trattati per le predette finalità non sono trasferiti a paesi terzi all’esterno dell’Unione Europea o dello Spazio Economico Europeo (SEE) o a organizzazioni internazionali. Ove ciò dovesse rendersi necessario, tale trasferimento avverrà esclusivamente nei confronti di Paesi terzi a favore dei quali la Commissione Europea ha previamente emanato una decisione di adeguatezza, ai sensi dell’art. 45 GDPR, o, in mancanza, in presenza di una delle garanzie di cui al Capo V del GDPR, quali le clausole contrattuali standard ai sensi dell’art. 46 GDPR.

Diritti degli interessati

Gli interessati possono esercitare i diritti previsti dall’art. 15 e seguenti del Regolamento UE 2016/679 e in particolare il diritto di accedere ai propri dati personali, di chiederne la rettifica o la limitazione, la portabilità, l’aggiornamento se incompleti o erronei e la cancellazione se sussistono i presupposti nonché di opporsi all’elaborazione rivolgendo la richiesta va rivolta al:

− Comune di Milano in qualità di Titolare, via Gian Battista Vico 18 20134 Milano - Direzione Innovazione Tecnologica e Digitale - al seguente indirizzo e-mail ITED@comune.milano.it 

oppure

- Responsabile per la protezione dei dati personali del Comune di Milano (Data Protection Officer - “DPO”) raggiungibile al seguente indirizzo e-mail: dpo@comune.milano.it 

Diritto di reclamo

Si informa infine che gli interessati, qualora ritengano che il trattamento dei dati personali a loro riferiti avvenga in violazione di quanto previsto dal Regolamento UE 2016/679 (art. 77) hanno il diritto di proporre reclamo al Garante, (www.garanteprivacy.it) o di adire le opportune sedi giudiziarie (art. 79 del Regolamento).

Modifiche

Il Titolare si riserva il diritto di apportare alla presente Informativa, a propria esclusiva discrezione e in qualunque momento, tutte le modifiche ritenute opportune o rese obbligatorie dalle norme di volta in volta vigenti, dandone adeguata pubblicità agli interessati.