Il Garante della Privacy ha stabilito, con il provvedimento n. 551 del 21 dicembre 2017, che l'installazione di "Totem pubblicitari" all'interno delle stazioni ferroviarie è consentita a condizione che sia data ai passanti un'informativa in forma semplificata - attraverso dei cartelli, anche in vetrofania (quindi con un'etichetta adesiva) - che li avvisi della presenza del sistema di rilevazione di dati e che dovrà essere, però, sempre integrata ed associata ad un'informativa completa, facilmente reperibile on line dagli interessati (anche con la predisposizione di un apposito QR-Code, riportato direttamente sul cartello di avviso). Cerchiamo di capire meglio il significato di questa decisione.
Il caso
L'intervento del Garante conclude un'attività istruttoria avviata in seguito alla ricezione di alcune segnalazioni riguardanti l'installazione di apparati promozionali del tipo digital signage (c.d. Totem) all'interno di aree a frequente passaggio di pubblico nelle principali stazioni ferroviarie italiane e, in particolare, nella stazione di Milano.
Dagli accertamenti svolti dal Garante è risultato che il sistema realizzato da Grandi Stazioni Retail S.p.A. (la società titolare del diritto di sfruttamento commerciale degli spazi pubblicitari presenti nelle maggiori stazioni ferroviarie italiane) consiste nell'inserimento, all'interno di apposite colonnine pubblicitarie, non solo di uno schermo, sul quale vengono passati i messaggi pubblicitari, ma anche di sensori video (in genere webcam), in grado di raccogliere dati dall'esterno al fine di valutare l'impatto sull'osservatore della pubblicità che viene trasmessa.
Più nel dettaglio, le immagini raccolte dalla telecamera installata sulla colonnina vengono analizzate al fine di percepire genericamente la presenza di un volto umano nell'area ripresa e determinarne il tempo di permanenza di fronte alla pubblicità, senza tuttavia poterlo identificare attraverso le sue caratteristiche biometriche specifiche; estrapolare in modo approssimativo alcune informazioni in base alle caratteristiche del volto (quali sesso, fascia d'età, distanza dalla colonnina, ecc.); svolgere un'analisi statistica per individuare il grado di apprezzamento del singolo messaggio pubblicitario in base ad una stima dell'espressione facciale, quantificata in cinque livelli (da felice a triste).
Viene effettuata quindi un'analisi del volto delle persone che osservano le immagini pubblicitarie per rilevare il gradimento o meno di quanto trasmesso sui Totem. Ciò non comporta alcuna operazione di riconoscimento facciale, di tracciamento o di monitoraggio delle persone inquadrate, ma è, comunque, apparso innegabile che mediante tali dispositivi si realizzi un trattamento di dati personali avente finalità di analisi statistica delle informazioni raccolte.
Infatti, anche se i dati sono memorizzati per un minimo lasso temporale (la sovrascrittura delle immagini avviene molto rapidamente) e anche se i dati vengono trasmessi in forma anonima al sistema di analisi centrale, attraverso i Totem vengono raccolte e trattate delle informazioni relative alle persone fisiche e nei confronti di tale attività deve, di conseguenza, trovare piena applicazione la normativa prevista in tema di protezione dei dati personali.
Le valutazioni del Garante.
Alla luce dell'istruttoria svolta dal Garante, è stato appurato, infatti, che, in base alla tipologia di informazioni raccolte e della cancellazione pressoché immediata delle immagini degli interessati, nessun dato personale resta memorizzato in modo duraturo nel sistema. Inoltre, stando a quanto dichiarato dalla società titolare del trattamento, il sistema usato è configurato sulla base di algoritmi di mera face detection e non di face recognition, per cui non è in alcun modo in grado di identificare il volto dell'individuo attraverso dati biometrici.
L'Autorità Garante, di conseguenza, ha ritenuto che il trattamento posto in essere dalla società sia conforme ai principi di cui agli artt. 3 e 11 del d.lgs. 196/2003, c.d. Codice della Privacy, i quali stabiliscono rispettivamente il principio di necessità nel trattamento dei dati (art. 3: "I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità") e le modalità del trattamento e i requisiti dei dati (art. 11: "1. I dati personali oggetto di trattamento sono: a) trattati in modo lecito e secondo correttezza; b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi; c) esatti e, se necessario, aggiornati; d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati; e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. 2. I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati").
Secondo il Garante, il fatto che il software utilizzato sia in grado di elaborare dati statistici a partire dalle immagini riprese in modo quasi immediato, ma senza porre in essere elaborazioni biometriche delle stesse né registrazioni di tali informazioni, permette di ritenere adeguate le cautele adottate. Le modalità di trattamento dei dati personali attraverso i Totem pubblicitari, quindi, non metterebbero a rischio i diritti e le libertà fondamentali, né la dignità e la riservatezza degli interessati.
Per quanto concerne gli altri requisiti di liceità del trattamento, il Garante ha stabilito che la Società possa continuare ad effettuare il trattamento dei dati a condizione che il titolare del trattamento fornisca agli interessati un'informativa in forma semplificata, ai sensi dell'art. 13, comma 3 del Codice della Privacy (la norma così recita: "3. Il Garante può individuare con proprio provvedimento modalità semplificate per l'informativa fornita in particolare da servizi telefonici di assistenza e informazione al pubblico").
In poche parole, è necessario, per poter utilizzare tali dispositivi, procedere con l'apposizione di cartelli informativi nelle vicinanze delle colonnine pubblicitarie, così come è richiesto in presenza di sistemi di videosorveglianza: in tal modo, gli interessati sono avvisati della presenza della telecamera e possono liberamente scegliere di non sostare né passare davanti ai Totem ed evitare, così, di essere ripresi.
Questa forma di informativa semplificata dovrà comunque essere integrata da informative complete, contenenti tutti gli elementi previsti dal Codice Privacy, che dovranno essere messe a disposizione degli interessati sia sul sito web della società titolare, sia attraverso un QR code da posizionare sulla vetrofania.
Con riferimento poi al requisito del consenso, il Garante ha innanzitutto rilevato l'impossibilità nel caso di specie di acquisirlo direttamente e preventivamente dai singoli interessati, in quanto la raccolta dei dati, come abbiamo visto, avviene semplicemente soffermandosi davanti al totem pubblicitario. L'Autorità però ha individuato un requisito alternativo al previo consenso nell'istituto del bilanciamento di interessi, disciplinato dall'art. 24, comma 1, lett. g) del Codice della Privacy (la norma prevede al riguardo che:"1. Il consenso non è richiesto, oltre che nei casi previsti nella Parte II, quando il trattamento: [...] g) con esclusione della diffusione, è necessario, nei casi individuati dal Garante sulla base dei princìpi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell'interessato").
Tale soluzione comporta che gli interessi dei soggetti a cui le informazioni raccolte si riferiscono, tutelati dalla legge, vengano posti a confronto con gli interessi perseguiti da chi effettua il trattamento: nel caso in cui questi ultimi risultino prevalenti o, quanto meno, di portata equivalente a quelli degli interessati, il trattamento sarà lecito anche senza rilascio del previo consenso. Ciò, peraltro, è stato ammesso dal Garante a condizione che la ricezione ed elaborazione delle immagini avvenga per la sola finalità di analisi anonimizzata dell'audience pubblicitaria.
Ad ogni modo, alla luce dell'obbligo di sicurezza di cui all'art. 31 del Codice ("I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta"), l'Autorità ha imposto l'adozione di misure volte ad effettuare un controllo periodico (almeno ogni sei mesi) dei dispositivi, con particolare riferimento alla webcam e alla memoria locale.
Mediante tali controlli andrà verificata la presenza di eventuali alterazioni, indisponibilità degli apparati o tentativi di accesso fraudolento agli stessi: il pericolo di un possibile utilizzo improprio dei dispositivi da parte di soggetti non autorizzati rimane infatti attuale ed è compito e responsabilità della Società che ne è titolare monitorare regolarmente e garantire la sicurezza dei Totem nei confronti di tutti gli interessati.
Conclusioni
La soluzione adottata dal Garante non ha carattere particolarmente innovativo: l'informativa in forma semplificata che viene imposta in presenza di Totem pubblicitari coincide, infatti, sostanzialmente con quella richiesta per l'installazione di sistemi di videosorveglianza. E la similitudine è evidente dal punto di vista tecnico: le persone si trovano, in entrambi i casi, riprese da telecamere in occasione del semplice passaggio in zone aperte al pubblico.
Ben diverse, però, sono le finalità per le quali i dati personali vengono trattati: se, nel caso degli impianti di videosorveglianza, il fine è quello della tutela delle persone o dei beni patrimoniali che possono essere presenti in un determinato luogo, nell'ipotesi dei Totem, invece, i dati personali sono trattati per finalità squisitamente statistiche e per interessi commerciali. Da questa prospettiva si può cogliere un'apertura del Garante, in particolare, se pensiamo che il trattamento in oggetto si fonda non sul consenso degli interessati, ma su un bilanciamento di interessi: quello dei soggetti a cui i dati personali si riferiscono e quello, appunto, del mercato e delle analisi statistiche connesse alle imprese pubblicitarie.