Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

NORMATIVA PRIVACY

Video analitica e GDPR, trattamento di dati video per finalità di marketing: regole di protezione dati

Parlando di video analitica e GDPR è importante definire le regole di protezione dei dati personali in quanto, specialmente quando si svolgono analisi video per finalità di marketing, non si tratta della classica videosorveglianza, ma di una tipologia di trattamento dati per la quale è necessario valutare e limitare i rischi collegati. Ecco come

07 Gen 2020
Z
Alfredo Zallone

Avvocato, DPO, Consulente Privacy


I sistemi di videosorveglianza hanno cambiato il modo in cui le organizzazioni interagiscono con i propri utenti, sia nel settore pubblico che in quello privato ed è dunque importante definire le regole di protezione dei dati personali quando si parla di video analitica (o video analisi) e GDPR.

L’utilizzo di dati video per l’analisi dei comportamenti delle persone è già, in certi ambiti, materia consolidata. Pensiamo in questo senso soprattutto ai casi di trattamenti di dati video effettuati per finalità di sicurezza (privata e pubblica[1]), in cui anche il trattamento di dati biometrici è stato regolamentato e trova ampli riscontri applicativi[2].

Ci si interroga su cosa succederebbe, invece, se si trattassero tali dati per finalità commerciali o promozionali, ad esempio utilizzando cartelloni pubblicitari che si adattano al nostro profilo mentre camminiamo, o vetrine che cambiano a seconda di chi le guarda.

Si tratterebbe, in questo caso, di analisi dei dati video per finalità di marketing, una tipologia di trattamento di dati personali che inizia a trovare ambiti applicativi nel comparto retail, ma che fa sorgere forti interrogativi sui limiti e presidi da adottare per limitarne i rischi collegati. Di seguito cercheremo di descriverli brevemente, analizzandone le problematiche più rilevanti.

Video analitica e GDPR: di cosa parliamo

È necessario innanzitutto partire da un presupposto: la video analitica, o video analisi non corrisponde alla videosorveglianza, né può essere logicamente ricondotta ad un suo sottoinsieme.

La videosorveglianza, infatti, attiene al complesso di tutte le attività di trattamento legate alla raccolta e trattamento di immagini video per finalità di sorveglianza e/o controllo, nella concezione più comune del termine.

La video analitica, invece, è un’analisi di dati – nello specifico di dati in formato video – effettuata mediante algoritmi, per le più varie finalità (sicurezza, statistica, marketing, profilazione ecc.).

Questi due trattamenti vengono spesso fatti coincidere e mischiati: tuttavia, il punto di contatto tra di loro è, a conti fatti, solamente lo strumento di raccolta dei dati, ossia la telecamera. I due trattamenti, quindi, a parte per la telecamera, non coincidono e non andrebbero confusi.

Partendo da questo presupposto, l’utilizzo di una telecamera, quando comporta il trattamento di dati personali e qualora sia applicabile il GDPR[3], può comportare conseguenze rilevanti dal punto di vista dell’impatto che potrebbe avere sugli interessati.

Normativa di riferimento

Le tecnologie di video analitica sono state rese disponibili al grande pubblico e declinate per finalità differenti rispetto a quelle tradizionali oramai da qualche anno, tuttavia la loro declinazione per finalità di marketing è relativamente nuova.

Come era prevedibile, dunque, la video analitica finalizzata al marketing non è oggetto di provvedimenti di carattere generale dell’Autorità garante per la protezione dei dati personali (di seguito “Garante), che ha trattato solamente il tema della videosorveglianza con il Provvedimento in materia di Videosorveglianza del Garante dell’8 aprile 2010 (di seguito il “Provvedimento”).

Il Provvedimento è di recente stato integrato dal Comitato Europeo per la Protezione dei Dati (di seguito il “Comitato”), che ha adottato le Linee guida per il trattamento di dati personali attraverso dispositivi di raccolta video (“Guidelines 3/2019 on processing of personal data through video devices” adottate il 10 luglio 2019, versione per la consultazione pubblica, di seguito le “Linee guida”).

In tale provvedimento, si analizzano in modo molto più significativo le tecniche di video analitica, che vengono identificate come più “rischiose” rispetto alla semplice videosorveglianza soprattutto in relazione alla potenziale intrusività dei trattamenti che ne possono derivare.

Video analitica e GDPR: tipologie di attività

La video analitica permette, grazie alla raccolta di dati in alta definizione, di effettuare molti tipi di analisi sui dati relativi alle persone fisiche che vengono riprese. Ci soffermeremo solo su due tipologie di analisi: la face recognition e la face detection.

Va innanzitutto specificato che quando la qualità delle immagini è molto elevata, può essere possibile effettuare analisi di riconoscimento facciale che permettono di identificare la fisionomia delle persone attraverso la mappatura dei volti degli interessati mediante tecniche di face recognition.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal

Tale tecnica comporta, secondo le opinioni del Garante e del Comitato, il trattamento di dati biometrici, mediante la creazione di un modello univoco di riconoscimento assegnato a determinate persone. Queste tecniche permettono di indentificare univocamente gli interessati grazie ad algoritmi avanzati che analizzano caratteristiche fisiologiche degli individui e, dopo aver creato un “template” di un volto (o di una o più caratteristiche biometriche), sono in grado di riconoscere il medesimo soggetto in forza di tali caratteristiche nel momento in cui questi rientra nel cono di visione della telecamera.

Per la loro potenziale invasività, sono pochi gli ambiti in cui è stato ammesso il loro uso, e quasi esclusivamente per finalità di pubblica sicurezza e, dunque, basate sul presupposto di liceità di cui all’art. 9, comma 2, lett. g) (motivi di interesse pubblico rilevante).

Le tecniche di face recognition (che comportano il trattamento di dati biometrici) declinate per finalità di marketing, invece, devono essere sempre basate sul consenso specifico dell’interessato[4], in quanto le altre basi di liceità previste dall’art. 9 del GDPR non forniscono alternative valide che tutelino gli interessi e le libertà degli interessati in modo adeguato.

Quando invece i software di analisi dei dati non hanno come target l’individuazione delle caratteristiche biometriche delle persone, ma solo l’individuazione di determinati “oggetti” – come ad esempio la presenza di volti (ma non il loro riconoscimento), la presenza di persone, determinati colori o forme – si tratta di tecniche di image detection (o face detection).

Queste tecniche, non trattando dati biometrici sono meno intrusive e si sono ritagliate degli spazi di applicazione anche a livello commerciale e sono state esaminate nel provvedimento Grandi Stazioni Retail sul digital signage[5].

Video analitica e GDPR: il provvedimento del Garante

Questo provvedimento del Garante in materia di video analitica indica gli elementi fondamentali per analizzare secondo liceità i dati video per finalità di marketing. Di seguito ne riportiamo i passaggi fondamentali.

Nel caso specifico erano state installate in una stazione ferroviaria delle “colonnine” di tipo “digital signage” che, al passaggio delle persone, mostravano contenuti pubblicitari contemporaneamente effettuando attività di analisi mediante dei “sensori in grado di effettuare la raccolta di dati di audience per valutare l’efficacia della comunicazione pubblicitaria trasmessa”.

Il sensore, in particolare, consentiva di analizzare le immagini al fine di:

  • individuare la presenza di volti;
  • rilevare il tempo medio di permanenza;
  • categorizzare il volto secondo i canoni di sesso, età e distanza dalla colonnina;
  • valutare il livello di gradimento della pubblicità.

Tali attività, riconducibili alle tecniche di face detection e non di face recognition, non sono state ritenute particolarmente invasive per la riservatezza delle persone. La società istante ha ottenuto il provvedimento di autorizzazione al trattamento, autorizzazione rilasciata anche in forza di una serie di altri elementi, primo tra i quali il fatto che le immagini dei passanti, benché trattate, non sarebbero state registrate e il passaggio dei singoli utenti sarebbe dunque “dimenticato”.

Inoltre, non esisteva la possibilità di fare “dialogare” tra loro le varie colonnine, sebbene tutte fornite dello stesso tipo di software, con la relativa impossibilità di incrociare i dati e seguire il passante all’interno della stazione in cui sono installate le colonnine.

I dati, in aggiunta, venivano cifrati e memorizzati centralmente per analisi di tipo statistico, riferite al gradimento dei messaggi pubblicitari trasmessi, e non per effettuare attività di profilazione o di marketing in senso stretto.

I meccanismi con cui venivano raccolti i dati, benché per un breve lasso di tempo, comportavano un trattamento di dati personali, nello specifico le immagini del volto degli interessati, al fine poi di effettuare analisi dell’audience pubblicitaria. Tale sistema, come detto, è stato configurato sulla base di algoritmi di “face detection” per cui non era in grado di identificare il volto dell’individuo attraverso dati biometrici.

Sulla base dei presupposti indicati sopra, tale tecnica è stata dichiarata conforme ai principi da 3 a 11 del codice della privacy (vecchio testo) ed il relativo trattamento è stato ritenuto quindi lecito, in quanto i dati di tipo statistico estrapolati dalle immagini non comportavano trattamenti di dati biometrici né registrazioni di immagini, né accessi in live.

Tali misure sono state valutate come adeguate ad evitare che fossero messi a rischio i diritti e le libertà fondamentali, nonché la dignità e la riservatezza degli interessati.

Per quanto riguarda la trasparenza, il Garante ha imposto di esporre un’informativa in forma semplificata e sintetica, integrata da una informativa completa reperibile su sito del titolare Grandi stazioni e consultabile mediante QR code.

In questo caso, secondo il Garante, la base giuridica per il trattamento di dati personali per finalità di analisi statistica per finalità di marketing può essere effettuato senza richiederne il consenso – peraltro impossibile da richiedere in questo ambito – basandosi sul legittimo interesse.

Come vedremo di seguito, tuttavia, rimangono molti gli ostacoli in relazione all’utilizzo di tale base giuridica in questi contesti.

Video analitica e GDPR: il legittimo interesse

Uno dei temi fondamentali relativi alla video analitica è che di per sé non è accompagnata da una finalità prestabilita: è il titolare a decidere di utilizzare i dati raccolti mediante dispositivi di registrazione delle immagini video per specifiche finalità – come ad esempio per sicurezza, o analisi statistiche, o come nel nostro caso per marketing – e dunque dovrà individuare la più adatta base di liceità del trattamento tra quelle disponibili all’art. 6 del GDPR.

Sappiamo che il trattamento di videosorveglianza trova, nella stragrande maggioranza dei casi, in ambito privato, la propria base di liceità nel legittimo interesse del titolare (art. 6, comma 1, lett. f) GDPR) di tutelare il proprio patrimonio, la sicurezza e l’incolumità delle persone fisiche[6].

Quando tuttavia la raccolta di dati video è finalizzata al perseguimento di finalità promozionali o di marketing, è necessario valutare se si possa fare affidamento sul legittimo interesse.

Il Parere 6/2014 sul concetto di interesse legittimo del Gruppo articolo 29 (di seguito anche “WP29”, ora confluito nel Comitato), sembrerebbe, almeno a livello teorico, tenere aperta la porta del trattamento dei dati personali per finalità di marketing sulla base del legittimo interesse.

Addirittura, parrebbe possibile effettuare attività di profilazione sulla base del legittimo interesse, come si può evincere da questo passaggio: “i [titolari] del trattamento possono avere un interesse legittimo a conoscere le preferenze dei loro clienti per poter personalizzare meglio le loro offerte e, in definitiva, offrire prodotti e servizi in grado di soddisfare meglio le esigenze e i desideri dei clienti[7], a patto che tale interesse sia oggetto di attenta analisi sulla sussistenza delle garanzie adeguate in favore degli interessati tra le quali, in particolare, dovrebbe essere presente un meccanismo che permetta di opporsi a tale trattamento.

Tuttavia, lo stesso parere stabilisce chiaramente che questa attività non debba comportare un indebito controllo dell’attività degli interessati, o la creazione di profili complessi delle preferenze e personalità dei medesimi. Il WP29 ritiene infatti “probabile che tale attività di profilazione costituisca una considerevole ingerenza nella vita privata del cliente e, in tal caso, sull’interesse del responsabile del trattamento prevarrebbero gli interessi e i diritti dell’interessato[8].

Dello stesso avviso, inoltre, parrebbero essere le linee guida che il wp29 ha adottato in seguito all’entrata in vigore del GDPR che riprendono tale impostazione interpretativa: benché sia ipotizzabile individuare nel legittimo interesse la base di liceità del trattamento di profilazione, è sempre necessario tenere in conto vari elementi, quali “il livello di dettaglio del profilo” e la sua completezza, l’impatto della profilazione e le garanzie destinate a assicurare il rispetto dei principi di correttezza, non discriminazione e esattezza nel profilo di profilazione.

In forza di tale impostazione il WP29 ribadisce, dunque, che “sarebbe difficile per il titolare del trattamento giustificare il ricorso al legittimo interesse come base legittima per pratiche intrusive di profilazione e tracciamento per finalità di marketing o pubblicità, ad esempio quelle che comportano il tracciamento di persone fisiche su più siti web, ubicazioni, dispositivi, servizi o l’intermediazione di dati[9].

Conclusioni

Applicando questi principi alla video analitica, dunque, sembrerebbe molto limitato l’ambito di possibile applicazione del legittimo interesse quale base di liceità a sé stante sufficiente per effettuare analisi dei dati video per finalità di marketing.

Il provvedimento del Garante Grandi Stazioni offre degli spunti interessanti per avanzare nell’utilizzo di tali tecniche, ma apparentemente al momento attuale solo per finalità di analisi statistica (applicata al marketing), e con l’adozione di molti presidi a tutela delle libertà e diritti degli interessati.

NOTE

  1. Sul tema dei trattamenti di dati da parte di autorità competenti per finalità di prevenzione e indagine di reati, si noti che la fonte di riferimento è la Direttiva (UE) 2016/680.
  2. Si pensi, ad esempio, ai vari provvedimenti relativi all’utilizzo di sistemi di videosorveglianza intelligente (tra cui menzioniamo provv. Aut. Garante per la protezione dei dati personali n. 421, 19 ottobre 2017, doc. web n. 7273513, nonché n. 393 del 5 ottobre 2017 doc. web n. 7297931, n. 292 del 6 luglio 2016, doc. web n. 5411269), e quelli relativi alla rilevazione di dati biometrici per finalità di sicurezza (tra cui segnaliamo l’ultimo più importante, n. 155 del 15 marzo 2018, doc. web n. 8789277).
  3. Riassumiamo, per semplicità, che non è applicabile il GDPR quando i dati sono anonimi, ossia quando non permettono di identificare persone fisiche, quando è applicabile la sopra menzionata Direttiva (UE) 2016/680, o quando il trattamento è svolto per l’esercizio di attività a carattere esclusivamente personale o domestico (vedere, per maggiori informazioni, l’art. 2 del GDPR).
  4. Linee guida, p. 15, 76, “The use of video surveillance including biometric recognition functionality installed by private entities for their own purposes (e.g. marketing, statistical, or even security) will, in most cases, require explicit consent of all data subjects (Article 9 (2) (a))”.
  5. Provvedimento del Garante del 21 dicembre 2017 sull’“Installazione di apparati promozionali del tipo “digital signage” (definiti anche Totem) presso una stazione ferroviaria” [7496252].
  6. Nel caso delle pubbliche amministrazioni, la base giuridica principale è l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, ai sensi dell’art. 6, comma 1, lett. e) GDPR, che adesso non tratteremo.
  7. Wp.29, “Parere 6/2014 sul concetto di interesse legittimo del responsabile del trattamento ai sensi dell’articolo 7 della direttiva 95/46/CE”, 9 aprile 2014, p.30.
  8. Wp.29, “Parere 6/2014 sul concetto di interesse legittimo del responsabile del trattamento ai sensi dell’articolo 7 della direttiva 95/46/CE”, 9 aprile 2014, p.31.
  9. Wp29, “Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679”, 3 ottobre 2017, p. 16.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5