Il totem della privacy: quando la pubblicità “ruba” i tuoi dati

Il totem alla stazione sa che sei lì, sa cosa fai e sa di che umore sei. Ma nessuno te lo ha detto!

Andiamo con ordine.

La pubblicità è sempre stata un atto di comunicazione dal produttore al consumatore. Ora è invece diventata interattiva, bidirezionale: non solo atto di persuasione dall’alto verso il basso, ma al tempo stesso flusso di dati personali dal consumatore al produttore, che quest’ultimo raccoglie ad uso di future campagne promozionali o per statistica commerciale, demoscopica, e chissà cos’altro.

Siamo già abituati a cookies che monitorano la nostra attività in rete e selezionano, sulla base di questa, quali banner pubblicitari mostrarci. La normativa europea sulla privacy, e i Garanti nazionali al seguito (si veda il provvedimento del Garante italiano n. 229, dell’8 maggio 2014, doc. web n. 3118884 e i successivi chiarimenti del 5 giugno 2015, qui), hanno già affrontato le implicazioni di questa tecnologia prescrivendo a carico dei titolari (Google, o proprietari dei siti web visitati) condotte atte a raccogliere il consenso informato degli utenti. Ma la fantasia dei pubblicitari si è spinta oltre.

Il caso in esame.

Sono recentemente apparsi in alcune stazioni ferroviarie dei totem (detti anche digital signage, più semplicemente dei monoliti con grandi schermi verticali che proiettano pubblicità) dotati di piccole telecamere puntate su chiunque si soffermi di fronte a loro. Viene in mente l’occhio rosso e imperscrutabile di HAL 9000, che addirittura riusciva a leggere le labbra degli astronauti per tramare contro di loro piani di morte. Quello di cui parliamo è invece un sistema un po’ meno sofisticato e maligno, ma non meno inquietante in quanto riesce a leggere addirittura le emozioni decifrando le espressioni facciali dei passanti.

Più in particolare, il sistema, chiamato VidiReports, ogni volta che avverte la presenza di un volto umano innanzi allo schermo attraverso algoritmi di face detection (ovvero un software che riconosce la presenza di un volto umano, senza tuttavia procedere ad alcuna specifica identificazione di appartenenza), raccoglie e analizza una serie di dati personali dello spettatore tra cui: data e ora di arrivo, tempo di presenza, tempo di attenzione prestata, sesso, fascia d’età, distanza media dal punto di misura, espressione facciale (quantificata in 5 livelli da felice a triste).

Tali dati, che hanno indubbiamente varia natura, anche sensibile e di profilazione, e vengono utilizzati per ricavare un pool di informazioni aggregate impiegate per compiere un’analisi statistica volta ad individuare il livello di gradimento dei diversi messaggi pubblicitari. La trasformazione in forma aggregata dei dati, e quindi la loro anonimizzazione, è pressoché immediata, in quanto il volto viene “dimenticato” dal programma non appena lasciato il cono di visibilità del sensore.

Provvedimento del Garante.

Con proprio provvedimento n. 551 del 21 dicembre 2017, l’Autorità Garante, all’esito di una istruttoria condotta sostanzialmente sulle dichiarazioni di Grandi Stazioni Retail S.p.a. (GSR, titolare del trattamento dei dati raccolti dai totem – doc. web n. 7496252), ha ritenuto che l’utilizzo del sistema VidiReports nei termini sopra descritti non fosse del tutto legittimo, ma che comunque potesse proseguirsi in un’ottica di bilanciamento di interessi dell’art. 24, comma 1, lett. g) del Codice.

Ha rilevato il Garante, infatti, che sebbene il totem raccolga e tratti dati personali dei passanti solo per pochi istanti, non si possa parlare di trattamento di informazioni anonime, ma di vero e proprio trattamento di dati personali. Ha tuttavia concluso che considerate le circostanze concrete il trattamento al suo esame fosse conforme ai principi di necessità (minimizzazione), liceità e pertinenza (artt. 3 e 11 del Codice) e che pertanto potesse proseguirsi salvo rispettare i due adempimenti cardine dell’informativa e del consenso.

Quanto alla prima, il Garante ha disposto che GSR effettui un’informativa in forma semplificata, ai sensi dell’art. 13, comma 3, del Codice, «attraverso cartelli sintetici posizionati nelle vicinanze dei totem pubblicitari, messaggi che dovranno comunque essere integrati da più complete informative, rese agevolmente disponibili sul sito della Società titolare, nonché attraverso un QR code da posizionare sulla stessa vetrofania».

Quanto al consenso, invece, il Garante, come accennato, ha fatto ricorso al bilanciamento di interessi esonerando GSR da tale obbligo «a condizione che la rilevazione delle immagini effettuata avvenga alle condizioni e nei limiti precisati» nel proprio provvedimento. Tale soluzione fa leva sul fatto che alcuni trattamenti possono essere comunque legittimi anche se privi di consenso da parte degli interessati purché gli interessi in gioco (lo scopo del trattamento e i diritti della personalità coinvolti) convivano in equilibrio secondo un apprezzamento che si dovrebbe svolgere ex ante e non ex post il quale, prima dell’entrata in vigore del nuovo GDPR, spettava al Garante su istanza del titolare e oggi, invece, spetta direttamente al titolare (si vedano in proposito le due opinion su legitimate interest prima e dopo il GDPR – opinion 06/2014 del 9 aprile 2014 e opinion 2/2017 dell’8 giugno 2017). Ebbene, poiché pare che i totem fossero utilizzati ben prima di maggio 2016 (quando cioè era in vigore solo il Codice), credo si possa concludere che il trattamento dati sia stato compiuto da GSR in modo illegittimo, senza alcuna informativa e consenso degli interessati e senza alcuna preliminare valutazione dell’Autorità preposta. Né, in tempi più recenti, pare che GSR si sia posto il problema con una mappatura dei trattamenti e un’analisi dei rischi.

Doveva proprio intervenire il Garante per far capire al titolare che stava compiendo un trattamento dati (peraltro sensibili in alcuni casi)? E doveva intervenire il Garante per imporre al titolare di effettuare un monitoraggio periodico con frequenza almeno semestrale sul funzionamento del totem (ultimo punto del suo provvedimento in commento)? Possibile che la sensibilità in tema di privacy sia ancora così bassa (si parla di 500 totem in giro per l’Italia al tempo dell’istruttoria; e forse oggi sono già 750)?

Francesco Rampone – f.rampone@lascalaw.com

© RIPRODUZIONE RISERVATA

Print Friendly

Condividi su

Potrebbe interessarti anche

Se, come insegna la filosofia digitale, tutto è informazione, e se tutta l’informazione può cons...

Privacy

Con recente deliberazione, il Garante per la protezione dei dati personali ha individuato i settori ...

Privacy

Da 15 anni a questa parte un’azienda europea aveva sostanzialmente tre modi per trasferire verso g...

Privacy