Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Installazione di apparati promozionali del tipo “digital signage” (definiti anche Totem) presso una stazione ferroviaria - 21 dicembre 2017 [7496252]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
7496252
Data:
21/12/17
Argomenti:
Sorveglianza spazi pubblici , Pubblicità
Tipologia:
Prescrizioni del Garante

VEDI ANCHE Newsletter del 26 gennaio 2018

 

 

[doc. web n. 7496252]

Installazione di apparati promozionali del tipo "digital signage" (definiti anche Totem) presso una stazione ferroviaria - 21 dicembre 2017

Registro dei provvedimenti
n. 551 del 21 dicembre 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il d.lg. 30 giugno 2003, n. 196 ("Codice in materia di protezione dei dati personali", di seguito "Codice");

VISTE le segnalazioni presentate ai sensi dell'art. 141, comma 1, lett. a), del Codice nei confronti di Grandi Stazioni Retail S.p.A. in ordine all'avvenuta istallazione di segnaletiche promozionali del tipo "digital signage" presso la stazione ferroviaria di Milano-Centrale;

VISTE le notizie di stampa apparse su alcune testate giornalistiche, riguardanti il medesimo argomento;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Licia Califano;

PREMESSO

1. Le segnalazioni.

In data 17 e 21 marzo 2017 sono pervenute alcune segnalazioni, con le quali è stata lamentata l'avvenuta istallazione di apparati promozionali del tipo "digital signage" (definiti anche Totem) presso la stazione ferroviaria di Milano-Centrale che, nel mostrare messaggi pubblicitari, utilizzerebbero un sistema di "riconoscimento e tracciamento facciale" di coloro che si trovino davanti agli stessi.

A seguito delle predette doglianze e delle notizie di stampa apparse nello stesso periodo su alcuni quotidiani, questa Autorità ha avviato un'istruttoria attraverso la formulazione di una prima richiesta di informazioni nei confronti di Grandi Stazioni S.p.A. (cfr. nota del 4 aprile 2017), veicolata poi dalla stessa a Grandi Stazioni Retail S.p.A. (cfr. nota del 12 aprile 2017 prot. 13772) che, a seguito della scissione societaria perfezionata nel 2016, è risultata essere l'effettivo titolare del trattamento.

2. Le dichiarazioni della società.

Con nota pervenuta il 12 aprile 2017, in risposta alla predetta richiesta di informazioni e con l'ulteriore documentazione inviata a seguito degli incontri di approfondimento tecnico svoltosi presso la sede dell'Ufficio, Grandi Stazioni Retail S.p.A., titolare del diritto di sfruttamento commerciale, in esclusiva, degli spazi pubblicitari presenti nei complessi immobiliari delle maggiori stazioni ferroviarie italiane, ha riferito che il sistema, realizzato per finalità di analisi dell'audience pubblicitaria, prevede l'installazione di impianti pubblicitari digitali (colonnine pubblicitarie) di tipo "digital signage" presso alcune aree largamente frequentate dal pubblico delle principali stazioni ferroviarie (c.d. grandi stazioni).

Attualmente, la Società, per il tramite del fornitore Dialogica S.r.l., ha già installato circa 500 apparati prevedendo di arrivare ad un numero, a regime, pari a 750 unità.

Le colonnine, connesse alla rete di Grandi Stazioni Retail, sono dotate di uno schermo, sul quale vengono trasmessi messaggi pubblicitari ed informazioni, di un apparato pc/media player (che invia allo schermo i contenuti digitali da visualizzare) e di sensori in grado di effettuare la raccolta di dati di audience per valutare l'efficacia della comunicazione pubblicitaria trasmessa. La raccolta dei dati di audience viene effettuata mediante l'utilizzo dell'applicazione VidiReports, realizzata dalla società Quividi s.a.s., in grado di analizzare le immagini raccolte dal sensore video installato sulla colonnina (in genere una webcam) al fine di:

- determinare la presenza di un volto umano nell'area ripresa;

- rilevare il tempo di permanenza di fronte alla pubblicità, ovvero il tempo di persistenza di un certo volto nel campo visivo del sensore;

- fornire alcune informazioni (per quanto con un certo grado di approssimazione) desunte dalle caratteristiche del volto quali: sesso, fascia d'età, distanza dalla colonnina;

- effettuare analisi statistiche volte ad individuare il livello di gradimento dei diversi messaggi pubblicitari.

La presenza di un volto verrebbe rilevata attraverso algoritmi di face detection e non di face recognition che consentirebbero quindi di rilevare (genericamente) la presenza di un volto umano senza però identificarlo attraverso caratteristiche biometriche specifiche di quel volto. In particolare, è stato chiarito che, nel caso in cui una persona si trovi a passare più volte di fronte al sensore, il suo passaggio sarebbe comunque "dimenticato" dal programma non appena lasciato il cono di visibilità del sensore e poi nuovamente contato al successivo passaggio. Inoltre, è stato specificato che, sebbene le diverse colonnine siano fornite dello stesso tipo di software, l'istallazione dello stesso nelle varie postazioni è stata realizzata per restare separata, senza possibilità che tra gli apparecchi ci possa essere alcuna comunicazione. Stante tale peculiarità, non ci sarebbe quindi alcuna possibilità di seguire, attraverso VidiReports, la traiettoria di uno specifico volto nell'area della stazione

Per ciò che riguarda il programma, VidiReports memorizzerebbe, per ogni volto individuato di fronte allo schermo, un set di dati contenente le seguenti informazioni:

- numero sequenziale per il pacchetto di dati;

- identificativo dell'apparato che ha prodotto il pacchetto di dati;

- data e ora di arrivo dello spettatore;

- tempo di presenza dello spettatore;

- tempo di attenzione prestata dallo spettatore;

- sesso dello spettatore [opzionale];

- fascia d'età dello spettatore [opzionale];

- distanza media dello spettatore dal punto di misura;

- stima dell'espressione facciale, quantificata in 5 livelli da felice a triste [opzionale].

Tali dati sarebbero cifrati e quindi memorizzati centralmente per effettuare analisi di tipo statistico, riferite al gradimento dei messaggi pubblicitari trasmessi.

Le immagini relative ai passanti non verrebbero invece salvate localmente nell'apparato né in alcun sistema della Società. Tali immagini sarebbero infatti memorizzate nella sola memoria RAM dell'apparato locale per il solo tempo necessario ad effettuare le analisi indicate, pari a qualche decimo di secondo al massimo, venendo quindi subito sovrascritte dalle immagini successive. Le immagini analizzate dal sistema non sarebbero in nessun caso trasmesse all'esterno né inviate ad alcun altro sistema della Società.

La policy della Società per la sicurezza fisica degli apparati, finalizzata a proteggere i predetti impianti da accessi indesiderati, prevede che i dispositivi attivi (personal computer, periferiche, switch) siano inaccessibili alla vista e accessibili solo attraverso chiavi o codici da parte del personale addetto alla loro manutenzione.

Rispetto ai contenuti multimediali trasmessi attraverso la colonnina - news, previsioni meteo e contenuti pubblicitari dinamici – non sarebbe consentita l'esecuzione di real time streaming, o l'accesso a sorgenti e server esterni. I contenuti sarebbero raccolti da un server di sincronizzazione, validati e quindi distribuiti in modalità pull, con tecnologie SSL/TLS, agli apparati, che ne controllano la correttezza prima della riproduzione locale. I sensori (touch screen o webcam) sarebbero configurati ad uso esclusivo della singola applicazione, senza poter essere utilizzati da altre applicazioni. In particolare, la webcam sarebbe ad uso esclusivo del servizio VidiReports per l'audience detection, e quindi non potrebbe essere utilizzata per registrare o trasmettere immagini.

3. Le valutazioni dell'Autorità.

In termini generali, la disciplina sulla protezione dei dati personali prevede che il trattamento di dati del tipo di quelli in esame, oltre che svolgersi in osservanza dei diritti e delle libertà fondamentali e della dignità degli interessati (art. 2 del Codice), debba essere effettuato nel rispetto, tra l'altro, dei princìpi di necessità, liceità e proporzionalità (artt. 3 e 11, comma 1, lett. a) e d), del Codice).

Alla luce di quanto rappresentato da Grandi Stazioni Retail S.p.A. e sulla base della documentazione prodotta, risulta (contrariamente a quanto comunicato a Dialogica nel 2012 sulla base della documentazione in allora disponibile) che seppur per un breve lasso di tempo, pari a qualche decimo di secondo, il sistema installato dalla Società comporta un trattamento di dati personali, consistenti nelle immagini del volto degli interessati, finalizzato a desumere dall'immagine del viso una serie di informazioni utilizzate per effettuare analisi dell'audience pubblicitaria.

Tenuto conto che la finalità perseguita dalla società è unicamente quella di effettuare l'analisi c.d. anonimizzata dell'audience pubblicitaria, vale rilevare che le caratteristiche funzionali dell'applicativo VidiReports, in relazione alla tipologia di informazioni raccolte e alle modalità di cancellazione pressoché immediata delle immagini degli interessati, sono tali che nessun dato personale resta memorizzato in modo duraturo nel sistema;  inoltre, stando a quanto dichiarato in atti, il sistema è configurato sulla base di algoritmi  di mera "face detection" e non di "face recognition", per cui non è in grado di identificare il volto dell'individuo attraverso dati biometrici.

Pertanto, ad avviso di questa Autorità, all'esito dell'istruttoria sono emersi elementi che inducono a ritenere che il trattamento effettuato dalla Società sia conforme ai principi posti dagli artt. 3 e 11 del Codice.

In particolare, l'impiego di software di elaborazione in grado di estrapolare dati di tipo statistico dalle immagini riprese in modo pressoché    immediato,    senza    elaborazioni    biometriche    né  registrazioni di immagini, né accessi in live, valgono a far ritenere che siano previste adeguate cautele affinché non siano messi a rischio i diritti e le libertà fondamentali, nonché la dignità e la riservatezza degli interessati.

In tale quadro, vanno poi più specificatamente verificati gli ulteriori requisiti di liceità di cui agli artt. 13, 23, 31 e ss. del Codice.

A questo proposito, sulla base delle affermazioni della Società, si ritiene opportuno che il titolare del trattamento fornisca l'informativa in forma semplificata, ai sensi dell'art. 13, comma 3, del Codice, attraverso cartelli sintetici posizionati nelle vicinanze dei totem pubblicitari, messaggi che dovranno comunque essere integrati da più complete informative, rese agevolmente disponibili sul sito della Società titolare, nonché attraverso un QR code da posizionare sulla stessa vetrofania.

Relativamente poi al requisito del consenso, evidentemente impossibile da acquisire nella fattispecie illustrata, quest'Autorità ritiene che un requisito alternativo possa essere individuato nell'istituto del bilanciamento di interessi, ai sensi dell'art. 24, comma 1, lett. g) del Codice, a condizione che la rilevazione delle immagini effettuata da Grandi Stazioni Retail S.p.A. avvenga alle condizioni e nei limiti precisati in questo stesso provvedimento con riferimento alle rappresentate finalità di analisi c.d. anonimizzata dell'audience pubblicitaria.

Infine, per ciò che riguarda le misure di sicurezza adottate dalla Società, esse appaiono complessivamente adeguate sebbene si ritenga opportuno indicare al Titolare del trattamento di adottare particolare cura nella salvaguardia degli elementi che, dal punto di vista della protezione dei dati personali, appaiono maggiormente critici: il sensore per la raccolta delle immagini (la webcam istallata su ogni apparato) e la memoria locale sulla quale vengono memorizzate temporaneamente le immagini degli interessati. A questo riguardo va prescritta l'effettuazione di un monitoraggio periodico con frequenza, almeno semestrale, di tali apparati.

In conclusione, alla luce delle dichiarazioni rese (della cui veridicità Grandi Stazioni Retail S.p.A. ha assunto ogni responsabilità - anche penale - ai sensi dell'art. 168 del Codice) e delle illustrate modalità di funzionamento dell'applicazione, volta alla rilevazione di dati personali ai fini di analisi dell'audience pubblicitaria, questa Autorità ritiene che la società possa proseguire ad effettuare il trattamento di dati personali sopra illustrato, a condizione che la stessa provveda ad adempiere alle seguenti prescrizioni impartite ai sensi degli artt. 143, comma 1, lett. b), 144, e 154, comma 1, lett. c), del Codice:

1) predisporre un'informativa in forma semplificata, ai sensi dell'art. 13, comma 3, del Codice, attraverso cartelli sintetici che dovranno comunque essere integrati da informative complete reperibili sul sito internet di Grandi Stazioni Retail S.p.A., nonché attraverso un QR code da posizionare sulla stessa vetrofania;

2) adottare le misure necessarie per implementare un monitoraggio periodico, con frequenza almeno semestrale, dello stato dei dispositivi (con specifico riguardo alla webcam e alla memoria locale), per evidenziare eventuali malfunzionamenti, indisponibilità degli apparati o tentativi di accesso fraudolento, in ragione del rischio specifico relativo ad un possibile utilizzo di tali dispositivi da parte di un soggetto non legittimato.

TUTTO CIÒ CONSIDERATO, IL GARANTE

a) ammette la prosecuzione del trattamento di dati personali effettuato da Grandi Stazioni Retail S.p.A. di impianti pubblicitari digitali (colonnine pubblicitarie) di tipo "digital signage" presso alcune aree di frequente passaggio del pubblico delle principali stazioni ferroviarie secondo le modalità prospettate in premessa a condizione che la società provveda ad adempiere alle seguenti prescrizioni impartite ai sensi degli artt. 143, comma 1, 144, lett. b) e 154, comma 1, lett. c) del Codice:

- predisporre un'informativa in forma semplificata, ai sensi dell'art. 13, comma 3, del Codice, attraverso cartelli sintetici che dovranno comunque essere integrati da informative complete reperibili sul sito internet di Grandi Stazioni Retail S.p.A., nonché attraverso un QR code da posizionare sulla stessa vetrofania;

- adottare le misure necessarie per implementare un monitoraggio periodico, con frequenza almeno semestrale, dello stato dei dispositivi (con specifico riguardo alla webcam e alla memoria locale), per evidenziare eventuali malfunzionamenti, indisponibilità degli apparati o tentativi di accesso fraudolento, in ragione del rischio specifico relativo ad un possibile utilizzo di tali dispositivi da parte di un soggetto non legittimato;

b) individua nei termini di cui in motivazione, ai sensi dell'art. 24, comma 1, lett. g) del Codice, l'applicazione per finalità di marketing descritta dalla Società quale fattispecie per la quale il trattamento dei dati degli interessati può essere effettuato senza richiederne il consenso.

Avverso il presente provvedimento, ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 21 dicembre 2017

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia