GUIDA ALLA NORMATIVA

Marketing predittivo e smart cameras: linee guida per il corretto trattamento dei dati personali

L’uso di tecnologie di marketing predittivo, abbinato allo sfruttamento della videosorveglianza attraverso smart cameras, pone serie problematiche in tema privacy in quanto la memorizzazione delle immagini di un volto costituisce un trattamento rilevante ai fini della tutela dei dati personali. Ecco le linee guida per la compliance normativa

07 Nov 2019
M
Veronica Muratori

Intellectual Property, Technology & Privacy team, Associate Studio Legale Withers

L’utilizzo di tecnologie di marketing predittivo è sempre più diffuso ed efficace. Lo sviluppo di tale forma di marketing, inoltre, va di pari passo con lo sfruttamento della potenzialità della videosorveglianza attraverso l’uso di smart cameras.

Capita a molti, infatti, di vedere posizionati in luoghi privati o pubblici, negozi, stazioni e aeroporti, totem o schermi che visualizzano messaggi pubblicitari molto più personalizzati di quanto ci si possa rendere conto.

Marketing predittivo e smart cameras: la tecnologia

Esistono oggi tecnologie che sfruttano i sistemi di videosorveglianza per l’analisi di audience pubblicitaria. I sistemi identificano la presenza di un volto umano nell’area ripresa e, sfruttando le immagini raccolte, forniscono alcune informazioni desunte dalle caratteristiche delle persone.

WHITEPAPER
Previeni i difetti di sicurezza nelle applicazioni: la soluzione in 5 punti
Sicurezza
Software

Le informazioni possono poi esser analizzate e utilizzate per creare messaggi promozionali personalizzati sulla base dei dati raccolti, per verificare il gradimento della persona rispetto al messaggio pubblicitario e ogni altro nuovo uso che verrà identificato.

A conferma dell’importanza del fenomeno, tali tecnologie ed in particolare gli usi cosiddetti diversi dei sistemi di videosorveglianza sono stati oggetto di attenzione anche delle recenti Linee Guida pubblicate dall’European Data Protection Board (EDPB).

Le Linee Guida hanno inevitabilmente evidenziato alcune criticità dello sfruttamento di tali tecnologie, criticità che in parte erano già state messe in luce dal nostro Garante.

In primo luogo, le Linee Guida ci ricordano che certamente tali tipi di trattamento dovranno, nella maggior parte dei casi, essere soggetti a una valutazione d’impatto preventiva. Inoltre, ricordiamo che il GDPR in molti di questi casi impone la nomina di un DPO.

Per valutare l’impatto delle Linee Guida e del GDPR su tali sistemi è opportuno distinguere tra i vari sistemi di videosorveglianza, ivi incluse le tecnologie ad esse annesse e le finalità di trattamento.

Le applicazioni possono essere molteplici: sistemi che riconoscono i clienti quando entrano in un negozio, che riconoscono le loro preferenze al fine di poter suggerire i prodotti più affini ai loro gusti o sistemi come il cosiddetto camerino intelligente.

A seconda della tecnologia della “smart camera” ci saranno trattamenti più o meno invasivi delle persone riprese. Una prima macro distinzione è tra i sistemi che si limitano a rilevare un volto trattando soli dati personali (face detection) e i sistemi che invece riconoscono il volto (face recognition) e sfruttano quindi i dati biometrici.

Marketing predittivo e smart cameras: problematiche privacy

Ad una prima impressione si potrebbe credere che la semplice ripresa di un volto, per una manciata di secondi, non abbia rilevanza ai fini privacy.

Invece, come già osservato dal Garante Privacy Italiano nel Provvedimento [doc. web n. 7496252], la memorizzazione delle immagini di un volto costituisce un trattamento rilevante ai fini della tutela dei dati personali: “seppur per un breve lasso di tempo, pari a qualche decimo di secondo, il sistema installato dalla Società comporta un trattamento di dati personali, consistenti nelle immagini del volto degli interessati, finalizzato a desumere dall´immagine del viso una serie di informazioni utilizzate per effettuare analisi dell´audience pubblicitaria“.

Come per ogni trattamento di dati, le Linee Guida specificano che sarà necessario individuare la finalità del trattamento e la base giuridica che lo fonda.

Pare realistico sostenere che nella maggior parte dei casi tali tipi di trattamento troveranno il loro fondamento sul legittimo interesse del titolare, stante l’oggettiva difficoltà di acquisire il consenso dei soggetti interessati. I soggetti interessati dovranno però avere il diritto ad opporsi a tale trattamento.

Smart cameras e face detection

Qualora si decida di sfruttare delle smart cameras con tecnologia di face detection, ossia una tecnologia che è in grado di identificare la sola presenza di persone (ad esempio per contare il numero di ingressi in un certo locale), ci si troverà di fronte a un trattamento di dati personali.

L’algoritmo del sistema consente di determinare la presenza di un volto umano nell’area ripresa e in alcuni casi, a seconda dell’uso del sistema di smart cameras, di rilevare il tempo di permanenza davanti al campo visivo del sensore o davanti alla pubblicità mostrata e/o di fornire alcune informazioni approssimative desunte dalle caratteristiche del volto.

Tali sistemi quindi non consentono il riconoscimento facciale dei passanti, né il loro monitoraggio o tracciamento, ma, come visto sopra, sono pur sempre rilevanti sotto il profilo della tutela dei dati personali.

In un caso simile, in cui la società sfruttava una tecnologia di smart cameras per effettuare una “analisi cosiddetta anonimizzata dell’audience pubblicitaria” in cui nessun dato personale restava memorizzato in modo duraturo nel sistema, il nostro Garante (provvedimento 7496252 del 21 dicembre 2017) aveva prescritto alla società di collocare presso ogni totem/strumento installato un cartello, (anche in formato di vetrofania) che segnalasse la presenza della telecamera e che riportasse gli elementi essenziali relativi al trattamento dei dati effettuato.

Tale informativa sintetica doveva inoltre contenere i riferimenti all’informativa completa facilmente raggiungibile – anche tramite un apposito QR Code – sul sito internet della società titolare. Oltre a ciò il Garante aveva predisposto l’obbligo di monitoraggio dei dispositivi utilizzati.

Anche le Linee Guida parlano di un doppio livello di informazione agli interessati nei luoghi in cui avviene la video sorveglianza.

Un primo livello che è costituito dal segnale di avvertimento ed un secondo livello di informazione dove vengono fornite informazioni ulteriori.

Il segnale di avvertimento non dovrebbe essere posizionato troppo distante dalla postazione di video registrazione affinché l’interessato possa facilmente riconoscere la finalità della videosorveglianza (approssimativamente ad altezza occhi).

A ciò si aggiungono le prescrizioni in tema di periodo di conservazione dei dati e misure di sicurezza che dovranno essere attentamente valutate.

Smart cameras e face recognition

Diverso è il caso di sistemi che tramite la video sorveglianza e le smart cameras trattano dati particolari. Ci riferiamo ai sistemi in grado di identificare le persone.

Tale trattamento deve essere effettuato ai sensi dell’art. 9 GDPR, articolo che disciplina il trattamento di categorie particolari di dati personali e prim’ancora dovrebbe minimizzarsi il rischio di catturare filmati che rivelino altri dati sensibili, indipendentemente dalla finalità perseguita.

Come sottolineato dalle Linee Guida, l’uso di dati biometrici ed in particolare il riconoscimento facciale comportano rischi elevati per i diritti degli interessati. Il ricorso a tali tecnologie deve avvenire nel dovuto rispetto dei principi di liceità, necessità, proporzionalità e minimizzazione dei dati come stabilito nel GDPR.

Pare quindi fondamentale distinguere tra i sistemi che semplicemente rilevano le caratteristiche fisiche al fine di classificare le persone senza identificarle e sistemi che sono in grado di generare dei template biometrici al fine di indentificare univocamente una persona.

Il GDPR afferma all’Articolo 4.14 che il dato biometrico deriva da un trattamento tecnico specifico relativo a caratteristiche fisiche, fisiologiche o comportamentali. Il video realizzato di per sé non è un dato biometrico ai sensi dell’articolo 9 GDPR, ma può diventarlo se trattato tecnicamente al fine di contribuire all’identificazione di un individuo.

Qualora i dati trattati dal sistema di videosorveglianza vengano trattati in maniera da identificare in maniera univoca una persona, allora ci si troverà di fronte ad un dato biometrico.

I criteri che si possono utilizzare per verificare se ci si trovi di fronte ad una tecnologia che sfrutta i dati biometrici sono:

  1. la natura dei dati (dati relativi a caratteristiche fisiche, fisiologiche o comportamentali di una persona);
  2. i mezzi e le modalità di trattamento (sono dati risultanti da un trattamento tecnico specifico o meno);
  3. le finalità del trattamento (identificare univocamente una persona).

Le Linee Guida ribadiscono che l’uso privato del riconoscimento biometrico tramite videosorveglianza presuppone spesso come base giuridica un esplicito consenso di tutti gli interessati (articolo 9, paragrafo 2, lettera a) GDPR), con le relative eccezioni.

Si pensi al caso in cui il titolare memorizza i dati biometrici e tali dati sono raccolti per indentificare una persona, anche per finalità di marketing. Il sistema quindi memorizza dati biometrici tramite dei template generati dall’estrazione di caratteri chiave delle persone inquadrate dalle smart cameras (ad esempio le misure di un volto).

Questo può essere il caso del proprietario di un negozio che installa un sistema di riconoscimento facciale all’interno dei suoi locali al fine di personalizzare la pubblicità nei confronti dei clienti o di offrire ai clienti una shopping experience personalizzata.

In questo caso la finalità del trattamento è fin dal principio quella di riconoscere una persona e sarà necessario raccogliere il consenso dei clienti prima di poter attivare il sistema per finalità di marketing.

Le Linee Guida chiariscono che il sistema sarebbe illecito se catturasse dati biometrici dei visitatori o passanti senza il loro consenso, anche se i loro dati venissero cancellati immediatamente dopo la loro acquisizione.

Quindi qualora ci si trovi in un ambiente privato, gestito dal titolare, nella maggior parte dei casi lo stesso dovrà premurarsi della richiesta del consenso in caso di trattamento di dati biometrici. Il doppio livello di informativa come per il caso di face detection non è sufficiente.

Cosa succede nei casi, sicuramente molto ricorrenti, in cui le telecamere ed i sistemi di rilevamento biometrici sono installati in ambienti non controllati dove possono indistintamente accedere tutti? In questi casi non è infatti possibile inquadrare solo chi ha dato un consenso al trattamento.

Il sistema potrebbe anche identificare le persone che non hanno dato il proprio consenso per distinguerle da quelle che lo hanno dato e quindi poi escluderle dall’invio delle comunicazioni.

Nuovamente ci si trova di fronte ad un trattamento la cui finalità è quella di indentificare una persona. Le Linee Guida chiariscono che sarà possibile procedere a tale tipo di trattamento solamente avendo ottenuto il consenso di ciascuna persona inquadrata dalla smart camera, con tutte le difficoltà del caso, o qualora si sia in presenza di una delle ipotesi-eccezioni previste dall’art. 9.2 GDPR.

Conclusioni

Sicuramente tale necessità rappresenta un importante passaggio da tenere in considerazione sia nello sviluppo che nello sfruttamento di tali tecnologie, che incontrano un limite ogni qual volta vogliano sfruttare un dato biometrico per finalità di marketing.

Le smart cameras sono quindi un importante strumento di marketing che deve essere utilizzato valutando attentamente l’impatto sul trattamento dei dati e sui rischi ad esso connessi.

WHITEPAPER
DATI: fonte imprescindibile per le aziende! PROTEGGILI e mantienili CONFORMI alle regole
Big Data
Sicurezza
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr