[doc. web n. 9896412]

Provvedimento del 13 aprile 2023

Registro dei provvedimenti
n. 122 del 13 aprile 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Introduzione.

Il Centro Hermes per la Trasparenza e i Diritti umani digitali ha presentato al Garante una segnalazione in relazione “al sistema ShareArt sviluppato da ENEA, Agenzia nazionale per le nuove tecnologie, l'energia e lo sviluppo economico sostenibile [di seguito, l’”Agenzia” o l’”Enea”), in collaborazione con l'Istituzione Bologna Musei” [organismo strumentale del Comune di Bologna – di seguito, il “Comune” – privo di personalità giuridica], il cui scopo sarebbe “di misurare “il gradimento di un’opera d’arte” e rilevare il corretto utilizzo di mascherina e distanziamento”.

In particolare, “attraverso una telecamera il sistema ShareArt rileva automaticamente i volti che guardano in direzione dell’opera, acquisendo contestualmente una serie di informazioni relative al comportamento nell'osservazione delle opere d’arte, come il percorso compiuto per avvicinarsi all'opera, il numero di persone che l'hanno osservata, il tempo e la distanza di osservazione, il genere, la classe di età e lo stato d'animo dei visitatori che osservano”.

Con riguardo alle informazioni relative al genere, nella segnalazione si rappresenta che “la classificazione in base al genere rischia di confondere il sesso biologico con il genere, producendo classificazioni sbagliate e discriminando tutti i soggetti transgender o che non si identificano nel binarismo di genere”.

Secondo quanto riportato in un documento tecnico dell’Agenzia, allegato alla segnalazione, il sistema in questione utilizzerebbe un “nuovo algoritmo di rilevamento dei volti, basato su reti neurali convoluzionali (CNN) che prevede anche una funzione di tracking dell’osservatore”. Quando l’osservatore entra nel campo visivo della telecamera sarebbe, infatti, “assegnato un id numerico e viene seguito, indipendentemente che stia o meno osservando in direzione dell’opera, in modo che il numero di volti che osservano l’opera rilevato dal sistema sia riferito allo specifico id e dunque ad ogni singolo visitatore”.

Il sistema sarebbe in grado di “ottenere informazioni quali ad esempio il tempo medio o la distanza di osservazione suddivisi per genere e per classe d’età, i punti di osservazione dell’opera preferiti dai bambini o dalle persone più anziane, i percorsi preferiti dagli uomini e quelli preferiti dalle donne”. Inoltre, “il sistema ShareArt prevede, quando non sarà più obbligatorio indossare la mascherina ed il dato sarà attendibile, [la raccolta di] informazioni “su come varia l’umore del pubblico in base all’opera osservata o su come un’opera susciti emozioni diverse su osservatori di età diversa”, considerato che “la valutazione dello stato d’animo degli osservatori [...] permetterebbe di affinare ulteriormente la profilazione e soddisferebbe un’altra richiesta avanzata dai curatori dei musei.”

Infine, con riguardo agli obblighi di trasparenza, nella segnalazione si afferma che “[ci sono] ben pochi segnali a indicare che il sistema fosse attivo, al di là delle piccole telecamere nere attaccate alle pareti e un disclaimer alla biglietteria”.

2. L’attività istruttoria.

Con nota del XX (prot. n. XX), l’Enea, in risposta a una richiesta d’informazioni dell’Autorità (prot. n. XX del XX), ha dichiarato, in particolare, che:

“lo scopo dell’attività di ricerca è di fornire ai curatori di collezioni museali, mostre, esposizioni, un insieme di dati utili a studiare la modalità di fruizione delle opere d’arte, al fine di evidenziare punti di forza, criticità, miglioramenti per ottimizzare l’esposizione delle opere stesse”;

“il sistema non comporta la raccolta e il trattamento di dati riferibili a persone fisiche identificate o identificabili e, a fortiori, di dati biometrici […]”;

“per ogni frame prodotto dalla telecamera […] sono generati i seguenti dati:1) data e ora della rilevazione (gg/mm/aaaa hh:mm:ss), 2) tempo trascorso dal momento di accensione del Dispositivo a quello della rilevazione, 3) coordinate, in pixel, del riquadro circoscrivente il volto, 4) larghezza, in pixel, del riquadro del volto, 5) altezza, in pixel del riquadro del volto, 6) numero di identificazione (ID),7) presenza o meno della mascherina”;

“[…] la rete neurale impiegata applica una tecnica di face detection che, contrariamente alla face recognition, orientata all’identificazione delle persone, si limita a rilevare la presenza di volti umani. Ne consegue che il numero di identificazione (ID) si riferisce al riquadro del volto come figura geometrica e non alle caratteristiche biometriche della persona e serve per individuare il suo spostamento all’interno dell’area inquadrata dalla telecamera. Qualora la persona uscisse dall’area ripresa e ne rientrasse immediatamente dopo, al riquadro del suo volto rilevato sarebbe associato un nuovo ID che non ha riferimenti con quello precedente. Infatti, l’ID non è relativo ai dati biometrici, ma a un algoritmo di “centroid object tracking”;

“[…] non è possibile risalire all’immagine acquisita dalla telecamera e, di conseguenza, all’identità della persona fisica a cui tale immagine è associata, a partire dai dati ricavati dall’elaboratore direttamente sui supporti locali e immediatamente inviati ai database di ENEA dopo essere stati tradotti in forma numerica”;

“[…] viene acquisito dal sistema il numero dei volti nell’immagine (frame), coordinate e dimensione all’interno del frame. Il frame viene elaborato dall’algoritmo (CNN) in una scheda elettronica SBC (Single Board Computer), in una memoria dedicata interna volatile (RAM) e quindi il frame non è accessibile da altri sistemi e il contenuto non viene conservato. Di conseguenza l’immagine in questo caso non può essere considerato “dato personale” in quanto non può essere ricondotta al volto della persona fisica (i dati che transitano, per pochi millesimi di secondo, nella memoria volatile del SBC sono informazioni interne al frame, non coincidenti con l’immagine del volto del visitatore)”;

“le reti neurali impiegate sono di tipo convoluzionale (CNN) e, come noto dalla letteratura scientifica, non funzionano in base all’estrazione di dati biometrici, ma effettuano la classificazione grazie ad un addestramento effettuato con un training set d’immagini”;

“al termine di questa elaborazione, che dura circa 100 millisecondi, il frame e il riquadro di ogni volto rilevato dall’elaborazione sono cancellati dalla memoria RAM della scheda elettronica SBC e sovrascritti da un nuovo frame”;

“i dati generati sono inviati tramite il protocollo “mqtt” al SERVER, costituto da una macchina virtuale dell’infrastruttura ENEA Grid installata nella sala calcolo del Centro Ricerche ENEA di Bologna, protetta con alti standard di sicurezza informatica”;

“[…] il Dispositivo può essere considerato come una “black box” che cattura in tempo reale le immagini e, senza memorizzarle né trasferirle, genera in uscita dati alfanumerici”;

“ciascun Dispositivo […] agisce come un sistema isolato e il volto di un visitatore catturato da un Dispositivo non può in alcun modo essere associato allo stesso nel caso in cui si soffermi di fronte ad un altro Dispositivo o, una volta uscito dal campo di ripresa del primo, vi rientri”;

“[…] non è possibile risalire al numero di visitatori, anche stimato, in quanto le rilevazioni effettuate dal sistema potrebbero essere riferite, in ipotesi, a uno stesso soggetto transitato in diverse sale espositive o più volte davanti alla stessa opera, così come a visitatori diversi, non identificabili, né numericamente definibili”;

“[…] visualizzare il volto di un visitatore, anche se solo istantaneamente, rappresenta un evento la cui possibilità di verificarsi è puramente ipotetica (che potrebbe derivare, ad esempio, da un accesso abusivo al sistema, dovuto ad un’azione intenzionale esterna: tale eventualità sarebbe, tuttavia, estremamente remota nella pratica, considerate le misure di sicurezza tecniche integrate, by design, nel sistema al fine di impedire accessi non autorizzati allo stesso e le misure di sicurezza organizzative messe in atto dall’Istituzione Bologna Musei, in quanto le telecamere sono installate in un ambiente che prevede già un'attività di sorveglianza per la salvaguardia del patrimonio artistico esposto)”;

“pure a voler ipotizzare […] l’esecuzione di attività di manutenzione tecnica del sistema durante il suo impiego (occorrenza, come detto, ad oggi mai verificata e che non è assolutamente prevista), ogni eventuale accesso al fotogramma del volto dei visitatori, nella frazione di secondo in cui lo stesso viene raccolto ed elaborato dall’algoritmo, sarebbe puramente accidentale e, comunque, il tempo estremamente ridotto del processo di elaborazione renderebbe estremamente remota, in pratica, la possibilità che l’operatore incaricato delle operazioni di manutenzione, personale ricercatore dell’ENEA, possa percepirlo come volto associabile a una persona fisica identificata o identificabile”;

“[…] ENEA ha prestato la massima attenzione […] all’adozione di misure adeguate al fine di prevenire l’accesso, anche solo accidentale, all’immagine del volto del visitatore, la cui elaborazione (pari a pochi millesimi di secondo) si svolge esclusivamente all’interno della memoria RAM della scheda elettronica installata in sede museale, senza alcuna possibilità di connessione con altre reti di comunicazione esterne”;

“è stata prevista una rete dedicata interna, con l’installazione di 18 punti WiFi ai quali solo gli stessi Dispositivi si possono connettere, in modo da evitare rischi derivanti da eventuali connessioni esterne (causate, ad esempio, da attacchi hacker) da e verso la rete Wifi del Museo”;

“in ogni caso, in data XX, il sistema è stato disattivato in via cautelativa, fino alla definizione della questione oggetto di segnalazione”;

“anche a voler immaginare possibili usi discriminatori del sistema, non sarebbe stato, di fatto, possibile per ENEA adottare decisioni potenzialmente sperequative nei confronti delle persone di genere non binario”;

“in ordine ai ruoli rispettivamente assunti da ENEA e da Istituzione Bologna Musei, […] si è ritenuto che, escluso l’ambito di applicazione materiale ai sensi dell’art. 2 del [Regolamento], non ne è possibile la formalizzazione […]. Si ritiene, invece, che l’utilizzo del sistema ShareArt comporti attività di trattamento di dati elettronici diversi dai dati personali, ricadente nell’ambito di applicazione del Regolamento (UE) 2018/1807 del 14 novembre 2018 […], in quanto i risultati della sperimentazione vengono forniti all’Istituzione Bologna Musei, che ne usufruisce come un servizio finalizzato all’analisi delle modalità di fruizione delle opere esposte e alla conseguente ottimizzazione delle modalità di esposizione”.

Con riguardo alla medesima richiesta d’informazioni, il Comune, con nota prot. n. XX, ha dichiarato, in particolare, che:

“l’Istituzione Bologna Musei, è stata costituita dal Comune di Bologna […,] [è un] organismo strumentale del Comune senza personalità giuridica […] creat[o] per la gestione e il coordinamento del sistema museale comunale”, essendo “assoggettata al potere di indirizzo e controllo del Comune stesso […] Essa, pertanto, rientra nel perimetro di titolarità del Comune”;

“nei primi mesi del 2019 ENEA ha presentato all’Istituzione Bologna Musei le attività di ricerca e sviluppo afferenti ad un sistema, denominato “ShareArt””;

l’“Ente, in aderenza ad un approccio di favore all’innovazione e alla ricerca, ha quindi accolto la proposta di Accordo di collaborazione ricevuta da ENEA, in attuazione del quale il Comune ha reso disponibile all’Ente di ricerca gli ambienti ove lo Stesso potesse perseguire la missione istituzionale di cui alla L. 221/2015, ovvero le attività di sperimentazione del sistema “ShareArt”;

“dal punto di vista organizzativo, stante comunque l’opportunità di informare i visitatori della presenza dei dispositivi del sistema “ShareArt”, è stato posizionato un cartello presso la cassa del Museo; ENEA ha inoltre posizionato ogni dispositivo in modo ben visibile accanto all’opera interessata”.

In riscontro a una successiva richiesta d’informazioni dell’Autorità (nota prot. n. XX del XX), l’Enea, con nota prot. n. XX, ha dichiarato, in particolare, che:

“la base giuridica del trattamento dei ritenuti dati personali (immagini dei visitatori) [si può] individuare nell’art. 6, p. 1, lett. e) del Regolamento (UE) 2016/679”;

l’Enea “è un Ente di diritto pubblico finalizzato alla ricerca ed all’innovazione tecnologica, nonché alla prestazione di servizi avanzati alle imprese, alla pubblica amministrazione ed ai cittadini nei settori dell’energia, dell’ambiente e dello sviluppo economico”;

l’art. 2 dello statuto dell’Ente prevede che “l’ENEA opera nei settori dell’energia, dell’ambiente e dello sviluppo economico sostenibile, e mette a disposizione del sistema Paese competenze multidisciplinari e esperienza consolidata nella gestione di progetti complessi”, essendo l’Enea “definito come un ente finalizzato alla ricerca, all’innovazione tecnologica e alla prestazione di servizi avanzati verso le imprese, la pubblica amministrazione e i cittadini”;

l’art. 3, comma 2, lett. g), dello statuto dell’Ente prevede che lo stesso “realizza e fornisce a soggetti pubblici e privati studi, ricerche, analisi dei dati, misure, prove e valutazioni nei settori di competenza”;

nell’ambito del Dipartimento TERIN, Dipartimento Tecnologie Energetiche e Fonti Rinnovabili dell’Ente, “la Divisione per lo Sviluppo Sistemi per l’informatica e l’ICT (TERIN ICT) svolge attività di ricerca, innovazione tecnologica e prestazione di servizi avanzati nei settori dell’energia e dello sviluppo economico sostenibile, attraverso l’implementazione delle ICT, con particolare riguardo, tra l’altro, […] allo sviluppo dell’ICT per i beni artistici, con lo sviluppo di sistemi di acquisizione e rappresentazione di dati per i Beni Culturali”;

“in relazione all’attività istituzionale dell’Agenzia di supporto al sistema della produzione e dei servizi, la Conservazione dei beni culturali è, infatti, uno dei settori di intervento dell’ENEA […]”;

“in tale ambito di elaborazione di soluzioni e tecnologie innovative per il monitoraggio e conservazione dei beni artistici e culturali e la valorizzazione delle realtà territoriali, è stato sviluppato […] il sistema ShareArt”;

“l’attività di ricerca […] ha per scopo di fornire ai curatori di collezioni museali, mostre, esposizioni, un insieme di dati utili a studiare la modalità di fruizione delle opere d’arte, al fine di evidenziare punti di forza, criticità, miglioramenti per ottimizzare l’esposizione delle opere stesse”;

“in particolare, il sistema ShareArt è stato applicato nell’ambito delle attività di ricerca e sviluppo legate alle metodologie informatiche basate su applicazioni IoT/BigData e delle reti neurali. In relazione, dunque, alle finalità del progetto, appare utile precisare che queste attengono esclusivamente al perseguimento di studi e ricerche scientifiche, in linea con quanto espressamente disposto dal richiamato art. 2 dello Statuto dell’ENEA, e in ossequio alle finalità istituzionali di ricerca scientifica il cui perseguimento è affidato a ENEA direttamente dalla richiamata normativa, quale compito di interesse pubblico”;

“i dati, già anonimizzati, vengono studiati solamente da ENEA e ISTBO per le rispettive finalità del progetto e non sono comunicati a terzi. Eventualmente potrebbero essere pubblicati, esclusivamente in forma aggregata, per la sola finalità di divulgazione dei risultati della ricerca scientifica”;

“i Dispositivi del sistema ShareArt in esercizio non generano alcun flusso video “intercettabile” dall’esterno e […] non è possibile risalire all’immagine acquisita dalla telecamera e, di conseguenza, all’identità della persona fisica a cui tale immagine è associata, a partire dai dati ricavati dall’elaboratore direttamente sui supporti locali e immediatamente inviati ai database di ENEA dopo essere stati tradotti in forma numerica; i dati generati dal sistema sono del tutto anonimi e sono archiviati presso database dedicati accessibili al solo personale autorizzato di ENEA, per esclusive finalità di analisi tecnico-scientifica ed aggregazione statistica”;

“il sistema ShareArt, pertanto, è stato impostato al fine di trattare solo dati totalmente anonimizzati”;

“in ogni caso, grazie alle misure di sicurezza adottate […], un’ipotetica intrusione nel dispositivo non consentirebbe né il controllo della telecamera, né l’intercettazione del flusso video e della memoria locale senza che ciò possa comportare anche l’interruzione dell’esecuzione dell’applicativo ShareArt. In effetti, l’applicazione ShareArt, in esecuzione in ciascun dispositivo, assume il controllo esclusivo della telecamera presente sul dispositivo stesso, impedendo a qualsiasi altro processo l’accesso alla medesima telecamera: un’ipotetica interruzione/intrusione nel dispositivo, dunque, sarebbe rilevata in tempo reale dal server del Centro ENEA, poiché si interromperebbe anche l’invio periodico del segnale di controllo (heartbeat), generato dal programma ShareArt stesso in costanza di esecuzione su ogni dispositivo”.

Con riguardo alla medesima richiesta d’informazioni, il Comune, con nota prot. n. XX, ha dichiarato, in particolare, che:

“l’adesione all’iniziativa da parte del Museo inerisce ad un quadro normativo ed istituzionale - cui afferisce l’Istituzione - di assoluto favore verso iniziative, anche tecnologicamente innovative, che possano produrre effetti positivi in ordine alla valorizzazione del patrimonio culturale pubblico”;

“l’Istituzione, stante la natura assolutamente sperimentale dell’iniziativa “Share Art”, ha consentito che ENEA potesse condurre le attività di test ed analisi su circa 10 opere (su 24.000 opere presenti negli 11 musei civici gestiti) e previa garanzia da parte di ENEA della conformità del progetto alla normativa applicabile in materia. Per di più, si evidenzia che la sperimentazione è stata condotta da ENEA in coincidenza con il periodo di ridotta presenza di pubblico a causa dei frequenti periodi di chiusura del Museo a causa della pandemia”;

“l’Istituzione Bologna Musei:

non ha assunto alcun ruolo nell’ideazione, nell’implementazione, nella gestione, nella conservazione del flusso dei dati;

non ha mai avuto accesso né ha fruito dei dati trattati ed elaborati dalla piattaforma applicativa (se non a numero tre elaborati di alcuni dati statistici ed aggregati, trasmessi da ENEA a scopo meramente dimostrativo e presentati in occasione della conferenza stampa del XX);

non ha utenze di accesso alla piattaforma applicativa.”

“i dispositivi “Share Art” non hanno accesso alla rete dell’Ente”;

“l’ideazione, l’implementazione, la gestione, la conservazione, lo studio, l’analisi e la fruizione delle informazioni elaborate dalla piattaforma, sono stati di esclusiva pertinenza di ENEA, la quale, conseguentemente, fornirà le informazioni richieste dall’Autorità in ordine a base giuridica del trattamento e misure di sicurezza”;

In riscontro a una terza richiesta d’informazioni dell’Autorità (nota prot. n. XX del XX), rivolta esclusivamente all’Enea, quest’ultima, con nota prot. n. XX, ha dichiarato, in particolare, che:

“il sistema ShareArt non comporta la raccolta e il trattamento di dati riferibili a persone fisiche identificate o identificabili”;

“viene utilizzato un algoritmo che non riconosce il volto. Infatti, viene acquisito dal sistema esclusivamente il numero dei volti nell’immagine (frame). L’immagine in questo caso non può essere considerata “dato personale” in quanto non può essere ricondotta al volto della persona fisica (i dati che transitano, per pochi millesimi di secondo, nella memoria volatile del SBC sono informazioni interne al frame, non coincidenti con l’immagine del volto del visitatore, in ogni caso non idonei a identificare lo stesso”;

“i Dispositivi del sistema ShareArt in esercizio non generano alcun flusso video e […] non è possibile risalire al frame acquisito dalla telecamera”;

“i dati generati dal sistema […] sono archiviati presso database dedicati accessibili al solo personale autorizzato di ENEA, per esclusive finalità di analisi tecnico-scientifica ed aggregazione statistica inerenti al progetto”;

“il sistema ShareArt, pertanto, è stato impostato al fine di trattare – sin dalla iniziale fase di acquisizione – solo dati anonimi”;

“non si è [, pertanto,] ritenuto dover procedere con quanto prescritto dalle “Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica”, compresa la realizzazione del progetto ai sensi dell’art.3”;

“i trattamenti dei dati, laddove dovessero essere considerati dati personali ai sensi del [Regolamento], si ritiene potrebbero essere svolti dall’ENEA in base all’art. 6, p. 1, lett. e) del [Regolamento]”;

infatti, “nell’ambito del Dipartimento TERIN, la Divisione per lo Sviluppo Sistemi per l’informatica e l’ICT (TERIN ICT) svolge attività di ricerca, innovazione tecnologica e prestazione di servizi avanzati nei settori dell’energia e dello sviluppo economico sostenibile, attraverso l’implementazione delle ICT, con particolare riguardo, tra l’altro, al calcolo scientifico, alle reti ad alte prestazioni, al cloud computing ed allo sviluppo dell’ICT per i beni artistici, con lo sviluppo di sistemi di acquisizione e rappresentazione di dati per i Beni Culturali”;

“in tale ambito è stato stipulato il Protocollo d’intesa tra il Ministero dei beni e delle attività culturali e del Turismo MiBACT e l’ENEA “Per L’Efficienza energetica, l’innovazione, la prevenzione e la sicurezza del patrimonio culturale”, prot. n. XX […]; l’art. 2 “Oggetto” prevede che le parti si impegnano a collaborare per la predisposizione e realizzazione di progetti di interesse nazionale riguardanti le seguenti aree tematiche…Applicazioni di tecnologie ICT per l’efficientamento energetico, la diagnosi, la sicurezza e la virtualizzazione del patrimonio Culturale”;

“l’attività di ricerca […] ha per scopo di fornire ai curatori di collezioni museali, mostre, esposizioni, un insieme di dati aggregati utili a studiare la modalità di fruizione delle opere d’arte, al fine di evidenziare punti di forza, criticità, miglioramenti per ottimizzare l’esposizione delle opere stesse. In particolare, il sistema ShareArt è stato applicato nell’ambito delle attività di ricerca e sviluppo legate alle metodologie informatiche basate su applicazioni IoT/BigData e delle reti neurali”;

tra il 2016 e il 2018 il sistema ShareArt è stato sperimentato in due occasioni; al tempo tale sistema era basato “su un algoritmo di elaborazioni immagini che si chiama “haar cascade” che si fonda sulla ricerca di un “archetipo” di volto, fornito dalle librerie di elaborazione immagini, all’interno dell’immagine acquisita dalla telecamera. Al fine di individuare i volti posti più o meno lontano dalla telecamera a infrarossi, l’algoritmo di ricerca scala l’archetipo a varie grandezze e associa un intervallo di confidenza alla rilevazione, che indica la bontà della verosimiglianza. Questa procedura consente solamente la rilevazione (“detection”, in inglese) della presenza di un volto e non consente il riconoscimento (“recognition”, in inglese)” [e consentiva di ottenere dati come:] 1) numero di volti rilevati nel tempo; 2) distanza dei volti rilevati nel tempo; 3) distribuzione del tempo medio di osservazione; 4) distribuzione della distanza media di osservazione; 5) mappa in falsi colori della posizione degli osservatori rispetto all’opera”;

dopo tali sperimentazioni, “la possibilità di utilizzare un prodotto più performante, la Raspberry Pi4 Model B+, ha consentito il miglioramento della “face detection” che è passata dal classificatore “Haar Cascade” all’impiego di reti neurali convoluzionali”;

“il ricorso alle reti neurali ha consentito di acquisire nuovi dati [, quali]:1) presenza o meno della mascherina nel volto rilevato; 2) direzione dello sguardo, 3) stima dell’età (variabile continua tra 18 e 75 anni), 4) stima del genere (classificazione binaria maschio-femmina)”;

“contemporaneamente allo sviluppo tecnico del dispositivo è stato concluso un Accordo di Collaborazione con l’Istituzione Bologna Musei (IstBO) […], visto il comune interesse scientifico a sperimentare nuovi sistemi basati sull’applicazione di metodiche IoT/Big Data al fine di poter quantificare grandezze utili a definire il grado di fruizione di opere d’arte esposte nei musei”;

“in base al citato Accordo, l’Istituzione Bologna Musei (IstBO) ha messo a disposizione, per la durata di due anni, i suoi musei con la finalità di applicare il sistema ShareArt in due fasi. Nella prima, per la quale era stato previsto l’impiego di 5 dispositivi, erano attesi risultati di sperimentazione statistici e sociologici; qualora tali risultati fossero stati ritenuti dalle parti utili e scientificamente validi, si sarebbe passati alla fase due impiegando il sistema lungo un intero percorso museale, nell’ambito complessivo di una mostra o di un’esposizione permanente per studiare le modalità di fruizione delle opere da parte dei visitatori”;

“poiché la finalità del sistema ShareArt è fornire ai curatori dei musei e delle loro esposizioni, un sistema (tecnologia, metodo e algoritmo) per ottenere dati oggettivi sulla fruizione delle opere d’arte all’interno di un museo affinché si possa comprendere lo stato attuale e migliorare le esposizioni, i dati sono acquisiti in forma anonima, quindi analizzati sempre in maniera aggregata. L’intento della ricerca con ShareArt, infatti, non è focalizzato sul singolo visitatore, ma sulla totalità del pubblico”;

“tutti i dati acquisisti non consentono di risalire al singolo visitatore né tantomeno consentono di prendere decisioni e compiere azioni anche solo potenzialmente idonee a discriminare in alcun modo un visitatore dall’altro”;

"i visitatori i cui volti sono rilevati dal sistema, non vengono assolutamente, neppure potenzialmente, sottoposti a decisioni basate sulle informazioni acquisite e generate da tale sistema, né possono essere prese decisioni idonee anche solo potenzialmente a impattare sui diritti e sulle libertà di tali soggetti, proprio perché il sistema non è in grado di associare i dati estrapolati a persone fisiche direttamente o indirettamente individuabili”;

a seguito della pandemia, “il team di ricercatori impegnati sul progetto ShareArt ha posto attenzione ad un’ulteriore possibile utilità del sistema, rappresentata dallo studio dei dati relativi all’uso della mascherina e al distanziamento sociale che sono stati introdotti nella seconda versione del sistema ShareArt che, come descritto in precedenza, impiega l’uso delle reti neurali convoluzionali”;

“infatti, è scopo di ricerca con ShareArt studiare se l’introduzione della normativa che ha regolamentato l’uso della mascherina all’interno dei musei avesse potuto modificare le normali modalità con cui si visita il museo e si guardano le opere. Questa informazione è ottenibile incrociando l’istogramma del tempo medio di osservazione con il dato di percentuale di presenza della mascherina sui volti degli osservatori. Confrontando per una medesima opera il tempo medio di osservazione, in condizioni di presenza di mascherina che in assenza, quando la normativa lo consentirà, si potrà capire se l’obbligo di indossare la mascherina ha avuto un qualche impatto sulla modalità di fruizione delle opere”;

“analogamente, acquisire il dato di rispetto del distanziamento sociale come imposto dalla normativa, potrebbe fornire l’informazione sul cambiamento della distanza media di osservazione e sul tempo medio di osservazione se confrontato con i dati acquisiti in assenza della normativa che impone il distanziamento. Inoltre, si può studiare se questa normativa ha cambiato la modalità con cui le persone visitano il museo analizzando se ci sono gruppi di 2, 3 o più persone davanti all’opera”;

“il fatto di informare i visitatori posti davanti all’opera del mancato rispetto delle indicazioni della normativa (mascherina e distanziamento sociale) tramite un discreto segnale visivo è stato fornito a vantaggio della sicurezza di tutti i visitatori del museo e a vantaggio della discrezione della segnalazione”;

“anche qui, dunque, non vi è trattamento di dati personali ai sensi del [Regolamento] in quanto il sistema non consente di identificare, direttamente o indirettamente, i visitatori che non indossano la mascherina”;

“l’obiettivo della sperimentazione è la messa a punto di un metodo e di un sistema non invasivo del modo in cui i visitatori si approcciano alle opere artistiche, in grado di dare utili – e anonime – informazioni ai curatori di musei e mostre espositive. Si tratta quindi della sperimentazione di un prototipo che, da un lato, mette a punto le tecniche di conteggio e rilevazione e, dall’altro, serve a scoprire e identificare le informazioni utili al miglioramento della fruizione dei beni artistici e culturali. Solo al termine di questa prima fase propedeutica, sarà possibile impiegare “in produzione” il sistema anche a fini statistici”.

Con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato all’Agenzia, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni degli artt. 5, par. 1, lett. a), 6, 12, 13 e 26 del Regolamento, nonché 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139), per aver posto in essere un trattamento di dati personali in maniera non conforme al principio di “liceità, correttezza e trasparenza”, in assenza di un idoneo presupposto normativo e in assenza di un’adeguata informativa sul trattamento dei dati personali, nonché senza aver previamente stipulato un accordo di contitolarità del trattamento con il Comune.

Con la medesima nota, l’Agenzia è stata invitata a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).

Con nota del XX (prot. n. XX), l’Enea ha presentato la propria memoria difensiva, dichiarando, in particolare, che:

“il sistema ShareArt non comporta la raccolta e il trattamento di dati riferibili a persone fisiche identificate o identificabili. Di conseguenza […] il Regolamento non [è] stato ritenuto applicabile, ai sensi dell’art. 2 e del Considerando (26) del medesimo Regolamento, in quanto […] non vengono mai trattati dati personali”;

non è corretto sostenere che “l’utilizzo dei predetti dispositivi comporta un trattamento di dati personali”; ciò in quanto “il segnale elettrico prodotto dalla telecamera (frame) viene inviato in tempo reale al Single Board Computer (SBC) dove è in esecuzione un programma di face detection (rilevamento volto). Se non viene rilevato alcun volto, il frame viene sovrascritto dal successivo. Se il programma di face detection rileva dei volti, prima che il frame sia sovrascritto dal successivo, da esso sono estratti alcuni dati scalari anonimi che vengono inviati al server con protocollo mqtt. Con i dati trasferiti al server è assolutamente impossibile identificare alcuna persona fisica”;

tale processo si configura come “come un processo irreversibile di anonimizzazione che produce dati che non sono riferibili, direttamente o indirettamente, a persone fisiche identificate o identificabili. È importante osservare che questo processo irreversibile di anonimizzazione avviene direttamente in tempo reale sui frame che: non sono mai visualizzati; non sono memorizzati; sono cancellati immediatamente. I frame prodotti dalle telecamere sono, dal punto di vista categoriale, delle matrici numeriche bidimensionali ottenute attraverso due operazioni successive: il campionamento e la codifica della scena ripresa. Affinché un essere umano possa interpretare la scena ripresa è necessaria un’ulteriore operazione: la visualizzazione, ovvero la conversione in forma analogica della matrice per renderla percepibile e comprensibile all’occhio umano. Questa operazione può essere effettuata in tempo reale, inviando direttamente i frame su uno schermo, o in differita, registrando dapprima i frame su una memoria di massa permanente e visualizzandoli solo successivamente. Ne consegue che per poter identificare una persona fisica attraverso un’immagine digitale è indispensabile visualizzarla e, qualora l’operazione fosse condotta in differita, sarebbe necessaria un’operazione preventiva di memorizzazione”;

“nel modo di operare di ShareArt, sebbene siano presenti dispositivi video, mancano le due operazioni fondamentali che determinano un trattamento di dati personali: la visualizzazione e la memorizzazione […] Considerato che il sistema ShareArt non dà luogo né “alla raccolta e alla conservazione di informazioni grafiche o audiovisive su tutte le persone che entrano nello spazio monitorato”, né alla loro gestione per “mostrarle a un operatore”, ma soprattutto non consente che “l’identità di tali persone [possa] essere stabilita sulla base delle informazioni […] raccolte”, si è innanzitutto ritenuto e si continua a ritenere che non fosse e non sia assimilabile a un sistema di videosorveglianza”;

“la Corte di Giustizia UE sul punto “ha già dichiarato che una registrazione video di persone immagazzinata in un dispositivo di registrazione continua […] costituisce […] un trattamento di dati personali automatizzato” (CGUE, sent. 14/2/2019, Buivids, cit., punto 34). A contrario, in assenza di questi elementi, ne discende che non vi è trattamento di dati personali”;

“nel caso di ShareArt i dati non trattati sono costituiti dai frame i quali […] sono continuamente sovrascritti. Ne consegue che i dati trasmessi al server sono anonimi. Il sistema ShareArt, pertanto, è stato impostato al fine di trattare – sin dalla iniziale fase di acquisizione – solo dati anonimi.”:

“il Considerando (26) del [Regolamento] recita espressamente che “per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente.” Ora risulta evidente che non conservando i frame, né avendone  mai visualizzato alcuno, l’identificabilità di una persona sia un’operazione impossibile. Lo stesso Considerando (26) del Regolamento […] prosegue [chiarendo che] “i principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato. Il presente regolamento non si applica pertanto al trattamento di tali informazioni anonime, anche per finalità statistiche o di ricerca”.

tra il mese di agosto 2020 e il mese di luglio 2021 “era in corso nel Paese la pandemia da Covid-19 e per contrastarla era stato dichiarato lo Stato di Emergenza. Tra le varie misure di contenimento della pandemia, è stato previsto l’uso di mascherine facciali protettive e il distanziamento sociale nei luoghi pubblici, compresi i musei. Ne consegue che in quel periodo i visitatori delle Collezioni Comunali d’Arte di Palazzo D’Accursio in Bologna erano tenuti a indossare sul volto la cosiddetta “mascherina” e il personale di sorveglianza presente era tenuto a vigilare affinché tutti i presenti osservassero questa prescrizione. Nel periodo considerato […] i dispositivi hanno acquisito non solo dati anonimi per impostazione, ma anche frame nei quali i volti delle persone erano travisati all’origine e che in nessun modo è possibile ritenere che contenessero dati personali nell’accezione del [Regolamento]”;

“il fatto che più soggetti siano coinvolti nello stesso trattamento di dati personali (qui da escludere in radice) non significa che essi agiscano necessariamente in qualità di contitolari del trattamento […] vi possono essere situazioni in cui vari soggetti trattano gli stessi dati personali in una catena di operazioni; ciascuno di essi ha una finalità indipendente e impiega mezzi indipendenti relativamente al segmento della catena di rispettiva competenza. In mancanza di una partecipazione congiunta nella determinazione delle finalità e dei mezzi di una  stessa operazione o dello stesso insieme di operazioni di trattamento, la contitolarità deve essere esclusa e i vari soggetti devono essere considerati come titolari del trattamento indipendenti che agiscono in momenti successivi”;

“il titolare è individuato nel soggetto che adotta decisioni sui soggetti interessati in quanto parte o risultato del trattamento. L’ENEA non adotta, né potrebbe in alcun modo adottare decisioni nei confronti dei visitatori dei musei, né può in alcun modo condizionare la fruizione delle opere d’arte da parte del pubblico”;

“a parte la già rilevata imprecisione dei dati rilevabili dal sistema, in ragione dell’obbligo di utilizzo della mascherina, che ha impedito, finora, di trarre evidenze attendibili dai dati acquisiti – che, come detto, sono in ogni caso raccolti da ENEA in forma anonima – il tempo estremamente limitato di messa in opera del sistema ShareArt non ha consentito di produrre risultati idonei a generare rischi per i diritti e le libertà delle persone fisiche”;

“il ruolo svolto dall’ENEA è riconducibile alla propria attività di ricerca pubblica di sviluppo di sistemi di acquisizione e rappresentazione di dati per i Beni Culturali ed offre ai Curatori Museali un’attività di apporto esclusivamente tecnico-scientifico, consistente nella progettazione del sistema e nello studio statistico dei dati raccolti in forma anonima, per finalità proprie e distinte di Istituzione Bologna Musei”;

“scopo del sistema ShareArt, infatti, come risulta dal Rapporto tecnico già in atti, “è la “misurazione” del gradimento di un’opera d’arte, ottenuta non interrogando i visitatori come tradizionalmente fatto finora, quanto piuttosto registrando nel tempo, grazie all’utilizzo delle nuove tecnologie, molteplici indicatori ed ottenendo, con una tipica applicazione Big Data, le informazioni dall’esplorazione di grandi quantità di dati diversi”;

“per quanto concerne l’osservazione [dell’Autorità] sull’essersi attribuiti, ENEA e ISBO, il diritto di pubblicare e/o rendere noti i risultati delle attività che è stato ritenuto indice di contitolarità, soccorre ad escludere la riferita interpretazione la lettura integrale dell’art. 8 dell’Accordo di Collaborazione citato dove si fa riferimento all’ipotesi di risultati realizzati congiuntamente, in piena ed effettiva collaborazione, costituiti da contributi omogenei ed oggettivamente non distinguibili. È di tutta evidenza che l’aver previsto una simile ipotesi esclude, appunto, che si tratti della regola di modus operandi, anzi, a contrario, sottolinea la posizione autonoma e separata delle due Istituzioni pubbliche […]”;

“non si ritiene condivisibile l’assunto […] in ordine alla non sufficienza delle  disposizioni riferite alla missione istituzionale dell’Ente in termini “del tutto generici e non sufficienti a ritenere che il trattamento di dati personali effettuato nell’ambito del progetto ShareArt, fosse strettamente necessario ai fini del conseguimento degli obiettivi di interesse pubblico. L’ENEA […] è un Ente di diritto pubblico finalizzato alla ricerca ed all’innovazione tecnologica, nonché alla prestazione di servizi avanzati alle imprese, alla pubblica amministrazione ed ai cittadini nei settori dell’energia, dell’ambiente e dello sviluppo economico. […] L’art. 2 [dello statuto di Enea] definisce le Finalità istituzionali dell’Agenzia, mentre l’art. 3 individua le Attività, le linee programmatiche portate avanti dalla struttura ovvero dai Dipartimenti. Nell’ambito del Dipartimento TERIN, la Divisione per lo Sviluppo Sistemi per l’informatica e l’ICT (TERIN ICT) svolge attività di ricerca, innovazione tecnologica e prestazione di servizi avanzati nei settori dell’energia e dello sviluppo economico sostenibile, attraverso l’implementazione delle ICT, con particolare riguardo, tra l’altro, al calcolo scientifico, alle reti ad alte prestazioni, al cloud computing ed allo sviluppo dell’ICT per i beni artistici, con lo sviluppo di sistemi di acquisizione e rappresentazione di dati per i Beni Culturali.  In questo contesto di elaborazione di soluzioni e tecnologie innovative per il monitoraggio e conservazione dei beni artistici e culturali e la valorizzazione delle realtà territoriali, è stato sviluppato, come già precisato, il sistema ShareArt. A seguito della pandemia da COVID 19 nel 2020, a fronte del nuovo contesto, il team di ricercatori impegnati sul progetto ShareArt ha posto attenzione ad un’ulteriore possibile utilità del sistema, rappresentata dallo studio dei dati relativi all’uso della mascherina e al distanziamento sociale che sono stati introdotti nella versione del sistema ShareArt sperimentata per brevissimo tempo”;

“i soggetti della ricerca non sono i visitatori, quanto piuttosto le opere d’arte considerate in relazione le une con le altre. Si tratta di stabilire, in termini relativi, una sorta di graduatoria delle opere più osservate. Questa classifica consente ai curatori di verificare se le scelte espositive, e di conseguenza la fruizione delle opere, siano coerenti con il valore storico-critico delle stesse”;

“la messa a punto (nell'ambito di una collaborazione) di un prodotto di ricerca, fornito all’Istituzione Bologna Musei per determinati fini, è tipico della attività di ricerca applicata svolta istituzionalmente dall’ENEA”;

“il pubblico del Museo è stato avvisato mediante l’affissione alla biglietteria, luogo obbligato di transito per accedere alle sale espositive, di un cartello che descriveva la sperimentazione in corso, precisando il funzionamento del sistema - che non avrebbe comportato la registrazione di immagini -, lo scopo (monitoraggio del gradimento delle opere d’arte), l’ubicazione delle telecamere (in prossimità delle opere); nello stesso avviso erano chiaramente riportati i loghi delle due Autorità interessate, i Musei e l’Enea. Pertanto, si concorda sul fatto che non fossero presenti tutti gli elementi previsti dall’art. 13 del Regolamento […], ma in quanto, come precisato in tutti i precedenti punti, non si è ritenuto e non si ritiene applicabile il [Regolamento]”;

“pur tuttavia, nell’ottica della massima trasparenza nei confronti del pubblico del Museo, a riprova dell’assoluta buona fede sulla piena liceità della sperimentazione scientifica in corso, si sono rese le informazioni fondamentali in ordine alla stessa”.

In occasione dell’audizione, richiesta ai sensi dell’art. 166, comma 6, del Codice e tenutasi in data XX (verbale prot. n. XX dell’XX), l’Agenzia ha dichiarato, in particolare, che:

“il progetto si pone come obiettivo il gradimento delle opere d’arte, misurando quali opere all’interno di uno spazio espositivo siano più visitate, con l’obiettivo di ottimizzare le modalità di esposizione e consentire al pubblico di fruire al meglio delle opere. Per evitare di perturbare l’osservatore durante la mostra, è stato deciso di installare una telecamera in prossimità dell’opera, evitando all’osservatore di utilizzare dispositivi indossabili. La telecamera acquisisce un c.d. “frame” e in maniera automatica conta i volti che sono presenti, senza acquisire la relativa immagine, e stima la loro posizione. Il sistema è in grado di stimare quali sono le opere più apprezzate, valutando il numero di volti e il tempo di permanenza degli stessi davanti all’opera”;

“nel momento in cui viene rilevato un presunto volto in un rettangolo, viene presa la posizione di un angolo di questo rettangolo, a cui viene associata una stringa alfanumerica e altri parametri (come la stima della distanza; pixel in centimetri; eventuale mascherina indossata). Non c’è alcun modo, tramite tale stringa, di risalire alla persona. […] Non è, pertanto, possibile individuare la stessa persona in più occasioni di esposizione davanti alla stessa telecamera o ad altre telecamere, essendo così evitato anche il rischio di re-identificazione della persona. L’utilizzo di una rete neurale addestrata è in grado di rilevare i volti, come figura geometrica, estraendo dei dati che però non sono più riconducibili alla persona”;

“il dispositivo cattura dei fotoni che impattano su un fotorivelatore, che genera un segnale elettrico; successivamente un micro controllore elabora le informazioni tramite una rete neurale, senza utilizzare immagini in chiaro. Nel momento in cui c’è una fotoreazione, il segnale elettrico viene elaborato direttamente all’interno del chip in maniera istantanea. Nessuna informazione viene memorizzata su un dispositivo né in maniera temporanea né in maniera permanente”.

Con nota del XX (prot. n. XX), l’Agenzia ha integrato le dichiarazioni rese in sede di audizione, affermando, in particolare, che:

“il sistema ShareArt, per evitare di perturbare l’osservatore durante la mostra, prevede di installare una telecamera in prossimità dell’opera […] La telecamera acquisisce un c.d. “frame” e, in maniera automatica, senza identificare, acquisire, registrare e visualizzare la relativa immagine, conta i volti presenti come figura geometrica e ne stima la loro posizione. Così strutturato, il sistema è in grado di stimare quali sono le opere più apprezzate, valutando il numero di volti e il tempo di permanenza degli stessi davanti all’opera”;

“quindi […] il sistema ShareArt non utilizza immagini digitali che rappresentano fotograficamente la scena inquadrata, ma estrae direttamente i “raw data”, che sono dati scalari anonimizzati all’origine e che non sono mai memorizzati in alcun punto del processo perché l’elaborazione avviene all’interno del chip e produce in output dati non più riconducibili all’originale”;

“il dispositivo usato nel progetto ShareArt è costituito da una Single Board Computer […], da una camera sensibile agli infrarossi […] collegata alla SBC via cavo […], da un’Unità di Elaborazione Visiva (VPU, […]), da un Display touch […] e da un alimentatore USB”;

“l’obiettivo della telecamera […] cattura la luce proveniente dalla scena inquadrata e focalizza i fotoni sul fotorivelatore (faceplate) […] Questo tipo di chip integra al suo interno una matrice di fototransistors CMOS […] che genera […] un segnale elettrico proporzionale all’intensità di luce che incide la loro superficie”;

“per ottenere l’informazione sul colore, si adotta una soluzione basata sulla teoria percettiva tricromatica di Young–Helmholtz: sulla superficie di ogni fototransistor è integrato un filtro che “specializza” il particolare fotosensore a rivelare solamente luce di una determinata lunghezza d’onda”;

“scegliendo opportunamente le lunghezze d’onda, è possibile riprodurre il “colore” della luce incidente sul faceplate utilizzando solamente tre filtri: uno che fa passare solamente la radiazione rossa (R), uno quella verde (G) ed uno quella blu (B)”;

“la distribuzione spaziale dei tre tipi di filtri sopra la matrice di fotodiodi rispetta la distribuzione di  Bayer […] che prevede che in un gruppo quadrato di 2x2 fotosensori vicini, ci sia alternanza dei tre filtri. Questo gruppo di 2x2 fotosensori costituisce il “pixel” dell’immagine le cui caratteristiche di luminanza e crominanza sono stimate a partire dai segnali generati dai 4 fotosensori. Quindi, per rispettare la geometria quadrata […] il filtro sensibile alla luce verde (G) è replicato sia sulla fila dei filtri per la luce blu (B), e in questo caso si parla di filtro Gb, sia sulla fila dei filtri per la luce rossa (R), e in questo caso si parla di filtro Gr. Questo comporta che in una matrice Bayer il numero di pixels dotati di filtro verde (G) è doppio rispetto ai pixels rossi (R) o blu (B). È importante sottolineare che nel momento in cui arriva la radiazione luminosa sulla parte sensibile del chip, questa viene scomposta in tre segnali elettrici, ognuno relativo all’informazione del filtro corrispondente, R, G e B […] [. Pertanto,] il segnale elettrico prodotto dalla telecamera consiste in dati grezzi (raw data) che sono così definiti perché non hanno subito nessun processamento e, pertanto, non possono essere visualizzati o stampati”;

“qualora si visualizzassero, i raw data non sarebbero una rappresentazione intellegibile della scena ripresa e non costituirebbero, cioè, un’immagine”;

“all’interno del chip […], i segnali elettrici generati dai fototransistor CMOS sono analogici e sono acquisiti da un circuito di rilettura, integrato con la matrice di pixels, che si occupa della loro conversione in digitale (campionamento e quantizzazione) e della loro trasmissione all’“esterno” come uscita elaborata dal chip. Nel caso di ShareArt, questa trasmissione avviene verso il microprocessore della SBC […] utilizzando il protocollo CSI (Camera Serial Interface) che è uno standard codificato di trasmissione dati ad alta velocità della tecnologia/interfaccia MIPI (Mobile Industry Processor Interface) che è un’organizzazione no profit che stabilisce standard per le interfacce hardware e software nei dispositivi mobili […] Il protocollo CSI, che ha subito diverse evoluzioni negli anni, applica un paradigma tale per cui  l’informazione che viene trasmessa subisce un processo di impacchettamento nel momento in cui passa da uno strato di astrazione alto (l’applicazione che innesca il processo), a quello intermedio (trasporto) fino ad arrivare a quello più basso (fisico) che coinvolge i componenti elettronici di ricetrasmissione dei pacchetti inviati. Il processo inverso, dal livello fisico a quello dell’applicazione, avviene nel dispositivo che si occupa della ricezione dei pacchetti contenenti l’informazione desiderata […] La particolarizzazione del protocollo CSI viene fatta dall’applicazione per tramite del “driver” che è  installato nel sistema operativo del microprocessore e che è specifico per il determinato chip di cui sivuole acquisire l’informazione. Nel caso di ShareArt, è [un’] applicazione […] che richiede i dati al chip […] della telecamera per tramite del driver che è installato nel sistema operativo […] e che comanda il livello di tensione e la temporizzazione dei contatti elettrici “pin” del microprocessore che sono fisicamente connessi, via cavo flex, con il chip della telecamera. [Pertanto,] è evidente che ciò che viene trasferito all’interno della catena di trasmissione che trasporta il dato dalla telecamera al microprocessore, è una serie di dati digitali codificati e trasmessi secondo protocolli non noti a priori”;

“quando il sistema ShareArt lavora in modalità operativa, sul microprocessore è in esecuzione un programma […] che si basa sulle reti neurali per l’estrazione delle informazioni necessarie alle finalità del progetto. La rete neurale convoluzionale (CNN) ha come input diretto i raw data, di cui si è specificato sopra il significato, che sono gli operandi dei calcoli matriciali che servono a generare l’output che, nel caso di ShareArt, è una stringa numerica che rappresenta le coordinate del quadrato che circoscrive il volto rilevato nel frame”

“la descrizione tecnica sopra descritta mette in evidenza che i dispositivi di ShareArt, durante tutte le fasi di trattamento dei dati, non impiegano immagini digitali che rappresentano fotograficamente la scena inquadrata. I dati scalari prodotti, estratti direttamente dai raw data del fotorivelatore, sono anonimizzati all’origine senza che ci sia mai la possibilità di riferirli a persona fisica durante nessuna delle fasi di raccolta”.

3. Esito dell’attività istruttoria.

3.1 Il trattamento di dati personali effettuato mediante il sistema ShareArt

Il Regolamento definisce il “dato personale” come “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)” (art. 4, par. 1, n. 1).

L’uso dell’espressione “qualsiasi informazione”, utilizzata anche nell’analoga definizione di cui all’art. 2, lett. a), della Direttiva 95/46, “riflette l’obiettivo del legislatore dell’Unione di attribuire un’accezione estesa a tale nozione, che non è limitata alle informazioni sensibili o di ordine privato, ma comprende potenzialmente ogni tipo di informazioni, tanto oggettive quanto soggettive […] a condizione che esse siano «concernenti» la persona interessata. Per quanto riguarda tale ultima condizione, essa è soddisfatta qualora, in ragione del suo contenuto, della sua finalità o del suo effetto, l’informazione sia connessa a una determinata persona” (Corte di giustizia dell’Unione europea, sentenza del 20 dicembre 2017, C-434/16, Nowak, punto 34).

Sulla base della giurisprudenza della Corte di giustizia dell’Unione europea in materia di trattamento di dati personali mediante dispositivi video, è pacifico che l’immagine del volto di una persona costituisca un dato personale e che la registrazione di tale immagine comporti un trattamento di dati personali (v. sentenze del 20 ottobre 2022, Koalitsia "Demokratichna Bulgaria - Obedinenie", C‑306/21, punto 32, 14 febbraio 2019, C 345/17, Buivids, punti 31 e 32 e dell’11 dicembre 2014, C‑212/13,  Ryneš, punti 22 e 25), essendo del tutto irrilevante la circostanza che il titolare del trattamento non conosca l’identità della persona in questione o non disponga in proprio di informazioni che possano consentirgli di identificare la stessa (cfr. cons. 26 del Regolamento, ove si precisa che, per stabilire l’identificabilità di una persona, è opportuno considerare tutti i mezzi di cui non solo il titolare del trattamento ma anche un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente; in giurisprudenza, v. Cass. Civ., sent. n. 17440 del 2 settembre 2015, ove si afferma che “non appare possibile dubitare del fatto che l'immagine costituisca dato personale […] trattandosi di dato immediatamente idoneo a identificare una persona, a prescindere dalla sua notorietà”). È, infatti, astrattamente possibile risalire all’identità di una persona, a partire dall’immagine del volto, in particolare utilizzando informazioni che sono in possesso di terzi (ad esempio, banche dati pubbliche o private) o pubblicamente disponibili (ad esempio, reti sociali), dovendosi considerare che “affinché un dato possa essere qualificato come «dato personale» […] non si richiede che tutte le informazioni che consentono di identificare la persona interessata siano in possesso di una sola persona” (C‑434/16, Nowak, cit., punto 31; v. anche sentenza del 19 ottobre 2016, Breyer, C‑582/14, punto 43).

Ciò trova, peraltro, implicita conferma anche nel cons. 51 del Regolamento, allorquando si afferma che “il trattamento di fotografie non dovrebbe costituire sistematicamente un trattamento di categorie particolari di dati personali, poiché esse rientrano nella definizione di dati biometrici soltanto quando saranno trattate attraverso un dispositivo tecnico specifico che consente l'identificazione univoca o l'autenticazione di una persona fisica”, da cui discende che l’immagine di una persona, come quella ritratta in una fotografia o in video, costituisce un dato personale, pur non essendo di per sé e in maniera sistematica un dato personale relativo a categorie particolari di cui all’art. 9 del Regolamento.

Ciò premesso, gli argomenti difensivi dell’Enea e del Comune, volti a illustrare in dettaglio il funzionamento, sotto il profilo tecnico, dei dispositivi video impiegati nel contesto del progetto ShareArt, non consentono di superare i rilievi mossi con riguardo alla circostanza che l’impiego dei predetti dispositivi comporta un trattamento di dati personali, consistenti nell’immagine del volto dei visitatori del museo.

Come, infatti, emerge dalla documentazione tecnica depositata agli atti dall’Enea, il sistema in esame utilizza un algoritmo di face detection al fine di individuare i volti dei visitatori all’interno delle immagini riprese dalle telecamere – o meglio all’interno del singolo frame che può contenere uno o più volti - pur senza necessità di determinare quale sia e a chi appartenga il volto nell'inquadratura. L’algoritmo di face detection utilizzato non memorizza permanentemente le caratteristiche facciali del volto individuato tanto che, se il software rileva un volto di una determinata persona nell'inquadratura e successivamente trova lo stesso volto su un'altra immagine, non determinerà che il volto appartiene alla stessa persona, conteggiando per due volte il volto nelle inquadrature. Al contrario dei sistemi di face recognition, i sistemi di face detection non sono, infatti, finalizzanti a riconoscere determinate persone e non sono connessi all'identificazione e al riconoscimento degli interessati. In ogni caso, il sistema utilizzato permette di acquisire informazioni relative all'età, al genere e ad alcuni elementi emotivi dei volti individuati sui diversi fotogrammi.

L’algoritmo di face detection utilizzato nell’ambito del sistema ShareArt è basato su reti neurali convoluzionali (Convolutional Neural Networks - CNN) per rilevare i volti nelle immagini. In tale contesto, l’individuazione dei volti avviene in generale attraverso le seguenti fasi:

• preprocessing: l'immagine viene elaborata per migliorare la qualità dell'immagine e rimuovere il rumore;

• scansione dell'immagine: l'immagine viene suddivisa in piccole regioni o finestre che scorrono lungo l'immagine;

• estrazione delle caratteristiche: a ogni finestra viene applicata una serie di filtri per estrarre le caratteristiche dell'immagine, come bordi, texture, linee, angoli, ecc;

• classificazione: le caratteristiche estratte vengono poi passate attraverso la rete neurale convoluzionale per determinare se la finestra contiene un volto o meno;

• fusione: le finestre contenenti volti vengono fuse insieme per formare un'immagine finale con i volti rilevati;

In sintesi, un frame nei sistemi di facial detection si riferisce ad una singola immagine digitale catturata da una telecamera o da una sorgente video che contiene uno o più volti umani. L'elaborazione di ogni frame è essenziale per individuare e riconoscere i volti presenti e può richiedere diverse operazioni di elaborazione, come la segmentazione dell'immagine, l'applicazione di un classificatore e l'estrazione delle caratteristiche facciali.

Alla luce di quanto rappresentato, non si può che ritenere che gli algoritmi di face detection richiedono l'elaborazione di dati personali, consistenti nelle immagini di volti di persone.

È, infatti, innegabile che il dato di partenza utilizzato dall’algoritmo è l’immagine del volto dell’interessato, di fronte all’opera d’arte. Tale dato, presente nei frame catturati e successivamente processati, a detta di Enea, risiede per circa 100 millisecondi nella RAM della scheda elettronica SBC, per essere poi sovrascritto dal successivo frame. Questa operazione comporta un trattamento di dati personali, seppure per un tempo molto breve, necessario all’individuazione, da parte della CNN, dei volti e per l’estrazione delle altre informazioni rilevanti.

Sebbene, perciò, il sistema descritto non preveda un trattamento delle immagini del volto dei visitatori, finalizzato al riconoscimento e all’identificazione di tipo biometrico, è innegabile che il funzionamento del sistema sia basato su un’iniziale acquisizione di immagini del volto dei visitatori, successivamente elaborate proprio al fine di individuare, all’interno di esse, i visi. I frame risiedono sul sistema per un periodo molto breve, ma comunque sufficiente a mettere in atto un trattamento di dati personali da parte dei soggetti coinvolti (v. provv. 21 dicembre 2017, n. 551, doc. web n. 7496252, relativo a un caso sostanzialmente analogo, in cui “seppur per un breve lasso di tempo, pari a qualche decimo di secondo, il sistema installato [dal titolare del trattamento] comporta[va] un trattamento di dati personali, consistenti nelle immagini del volto degli interessati, finalizzato a desumere dall’immagine del viso una serie di informazioni utilizzate per effettuare analisi dell’audience pubblicitaria”).

Né può assumere rilevanza la circostanza che nessun membro dell’organizzazione del titolare del trattamento possa visualizzare le immagini memorizzate per tale breve intervallo temporale, atteso che la qualificazione di un’informazione quale dato personale, ai fini del Regolamento, non può dipendere - anche a tutela degli interessati - dalla circostanza che il titolare del trattamento effettivamente si conformi a limitazioni tecnico-organizzative da esso stesso predisposte al fine di limitare o impedire l’accessibilità ai dati, potendo le stesse essere in qualsiasi momento essere disattese da membri dell’organizzazione del titolare, oppure rese inefficaci per effetto di attacchi informatici messi in atto da terzi. 

D’altra parte, nello stesso accordo di collaborazione stipulato tra l’Enea e il Comune (allegato n. XX alla nota prot. n. XX) si dava per assodato che l’esecuzione del progetto avrebbe comportato il trattamento di dati personali dei visitatori, sebbene non riconducibili alle categorie particolari di cui all’art. 9 del Regolamento (“è importante sottolineare come la tecnologia impiegata nei dispositivi di rilevazione del sistema “ShareArt” sia completamente compatibile con quanto normato dal [R]egolamento […] in merito [al] rispetto della privacy del pubblico del museo. Infatti, negli algoritmi di rilevazione delle facce, della profilazione (genere ed età) e del tracking dell’osservatore dell’opera non vi è alcuna acquisizione e immagazzinamento di dati genetici, biometrici intesi a identificare in modo univoco un persona fisica […] Tuttavia, vale la pena notare che il trattamento di fotografie, caso assimilabile a quanto avviene nei dispositivi di acquisizione “ShareArt”, non costituisce sistematicamente un trattamento di categorie particolari di dati personali”).

Alla luce delle considerazioni che precedono, occorre concludere, diversamente da quanto sostenuto dall’Enea e dal Comune nel corso dell’istruttoria, che il sistema ShareArt comporta un trattamento di dati personali, consistente nell’acquisizione e temporanea memorizzazione dell’immagine del volto dei visitatori del museo, ancorché per una ridotta frazione temporale.

3.2 Il rapporto di contitolarità tra l’Enea e il Comune

Ai sensi dell’art. 4, par. 1, n. 7), del Regolamento, il titolare del trattamento è “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri”.

Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, “essi sono contitolari del trattamento” e devono “determina[re] in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all'osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all'esercizio dei diritti dell'interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell'Unione o dello Stato membro cui i titolari del trattamento sono soggetti. Tale accordo può designare un punto di contatto per gli interessati” (art. 26, par. 1, del Regolamento). L'accordo tra i contitolari “riflette adeguatamente i rispettivi ruoli e i rapporti dei contitolari con gli interessati” e il “contenuto essenziale dell'accordo [deve essere] messo a disposizione dell'interessato” (art. 26, par. 2, del Regolamento).

Nel caso di specie, stipulando l’accordo di collaborazione, sopra menzionato, e attuando il progetto “ShareArt” presso le Collezioni Comunali d’Arte di Palazzo D’Accursio in Bologna, al fine di ottenere informazioni aggregate sulle caratteristiche soggettive dei visitatori e sulle modalità con le quali gli stessi hanno interagito con alcune opere d’arte, l’Enea e il Comune hanno determinato congiuntamente le finalità e i mezzi del trattamento.

Come, infatti, chiarito dal Comitato europeo per la protezione dei dati, “il criterio generale per la sussistenza della contitolarità di trattamento è la partecipazione congiunta di due o più soggetti nella definizione delle finalità e dei mezzi di un’operazione di trattamento. La partecipazione congiunta può assumere la forma di una decisione comune, presa da due o più soggetti […]” (“Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, adottate il 7 luglio 2021, par. 53). A tal fine, “un criterio importante è che il trattamento non sarebbe possibile senza la partecipazione di entrambi i soggetti, nel senso che i trattamenti svolti da ciascun soggetto sono tra loro indissociabili, ovverosia indissolubilmente legati”.

Con tale accordo le parti si sono date reciprocamente atto del fatto che “è interesse di ENEA e dell’Istituzione Bologna Musei sperimentare nuovi sistemi basata sull’applicazione di metodiche IoT/BigData al fine di poter quantificare grandezze utili a definire il grado di fruizione di opere d’arte esposte nei musei” e che “una collaborazione in questo senso tra l’Istituzione Bologna Musei ed Enea costituisce una concreta opportunità per sviluppare soluzioni e tecnologie innovative per la fruizione dei beni culturali e la valorizzazione delle loro realtà territoriali”.

A tal fine, le Parti hanno “me[sso] a disposizione e a supporto del progetto le proprie competenze tecniche e scientifiche e risorse, in funzione [dei predetti] obiettivi” e hanno concordato in dettaglio “la descrizione delle attività, il programma e le risorse impiegate” (v. l’allegato tecnico all’accordo), pattuendo di sopportare i costi del progetto, ognuno per quanto di propria competenza.

I risultati del progetto, in termini di dati aggregati sulle modalità di fruizione delle opere d’arte, arrecano benefici sia all’Enea sia al Comune, atteso che, come dichiarato dall’Enea, “i dati, già anonimizzati, vengono studiati solamente da ENEA e ISTBO per le rispettive finalità del progetto” e che le parti hanno espressamente convenuto, con il predetto accordo, di diventare comproprietari degli eventuali risultati, ovvero di diritti di proprietà intellettuale, conseguiti all’esito dell’esecuzione del progetto, nonché di attribuirsi il diritto di “pubblicare e/o rendere noti i risultati delle attività” (cfr. le “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, cit., par. 60, ove si afferma che “[…] la contitolarità del trattamento può configurarsi anche qualora i soggetti perseguano finalità strettamente collegate o complementari. Ciò può verificarsi, ad esempio, quando esiste un vantaggio reciproco derivante dalla medesima operazione di trattamento […]”).

Non trova, pertanto, riscontro negli accordi contrattuali la circostanza che il Comune si sia limitato a rendere disponibile all’Enea gli ambienti “ove lo Stesso potesse perseguire la missione istituzionale di cui alla L. 221/2015, ovvero le attività di sperimentazione del sistema “ShareArt””. In ogni caso, anche soltanto mettendo tali ambienti a disposizione dell’Enea, autorizzando l’installazione e l’utilizzo dei dispositivi video ai fini del progetto e consentendo l’acquisizione delle immagini dei visitatori di un proprio museo, il Comune ha reso possibile il trattamento di dati personali in questione, che, in assenza di una sua collaborazione con l’Enea, non avrebbe potuto aver luogo.

Giova a tal riguardo evidenziare che, come chiarito dalla Corte di giustizia dell’Unione europea, l’esistenza di una responsabilità congiunta non implica necessariamente una responsabilità equivalente, per un medesimo trattamento di dati personali, dei diversi soggetti che vi partecipano. Al contrario, tali soggetti possono essere coinvolti in fasi diverse di tale trattamento e a diversi livelli, di modo che il grado di responsabilità di ciascuno di essi deve essere valutato tenendo conto di tutte le circostanze rilevanti nello specifico contesto (sentenza C-40/17, Fashion ID GmbH & Co.KG contro Verbraucherzentrale NRW eV, del 29 luglio 2019: v. anche sentenza C-210/16, Wirtschaftsakademie Schleswig-Holstein, 5 giugno 2018; cfr. le “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, cit., par. 58). Non è, inoltre, necessario che la determinazione delle finalità e dei mezzi del trattamento debba essere effettuata mediante istruzioni scritte o incarichi da parte del titolare del trattamento. Può, quindi, essere considerata titolare del trattamento una persona fisica o giuridica che, per scopi che le sono propri, influisca sul trattamento di dati personali e partecipi, pertanto, alla determinazione delle finalità e dei mezzi di tale trattamento (v. Corte di giustizia dell’Unione europea, sent. C-25/17, Jehovan todistajat, del 10 luglio 2018; cfr. le “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, cit., parr. 57 e 58).

La circostanza che il Comune non avesse accesso alle immagini raccolte mediante i dispositivi video è, a tal riguardo, ininfluente. Ciò in quanto, sempre richiamando la giurisprudenza della Corte di giustizia dell’Unione europea, “la responsabilità congiunta di vari soggetti per un medesimo trattamento, ai sensi di tale disposizione, non presuppone che ciascuno di essi abbia accesso ai dati personali di cui trattasi” (sent. C-40/17, cit.; v. anche sent. C‑25/17, Jehovan todistajat, del 10 luglio 2018 e C‑210/16, Wirtschaftsakademie Schleswig-Holstein, del 5 giugno 2018; v. anche le “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, cit., par. 56).

Alla luce delle considerazioni che precedono, il trattamento dei dati personali, consistenti nelle immagini dei visitatori del museo, mediante dispositivi video, è stato effettuato dall’Enea e dal Comune in qualità di contitolari del trattamento, non avendo, tuttavia, gli stessi previamente stipulato un accordo di contitolarità del trattamento, in violazione dell’art. 26 del Regolamento.

3.3 La mancanza di base giuridica del trattamento

I soggetti pubblici possono, di regola, trattare dati personali mediante dispositivi video se il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento o per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento (art. 6, parr. 1, lett. c) ed e), e 3, del Regolamento, nonché 2-ter del Codice; cfr. le “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video” del Comitato europeo per la protezione dei dati, adottate il 29 gennaio 2020, par. 41).

Il titolare del trattamento è tenuto, in ogni caso, a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione dei dati”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato”, nonché “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del Regolamento).

Chiarito che l’utilizzo del sistema ShareArt comporta un trattamento di dati personali (v. precedente par. 3.1), si osserva che, nel corso dell’istruttoria, l’Enea non ha comprovato che il trattamento in questione potesse considerarsi fondato su un’idonea base giuridica.

Quanto, infatti, alla tesi per cui il sistema “ShareArt” sarebbe stato impiegato nel contesto di un programma di ricerca scientifica, occorre evidenziare che, dalla documentazione in atti, non risulta che l’Enea abbia redatto uno specifico progetto di ricerca avente ad oggetto la sperimentazione di tale sistema (cfr. art. 3, comma 2, delle “Regole deontologiche per i trattamenti a fini statistici o di ricerca scientifica”, Allegato A.5 al Codice, doc. web n. 9069637; v. anche art. 89 del Regolamento e artt. 104 ss. del Codice). Inoltre, non risulta che l’Enea abbia previsto, ai fini della partecipazione a tale ipotetico progetto di ricerca, l’acquisizione del consenso libero, specifico, informato e sempre revocabile degli interessati (cfr. artt. 5, 6, 7, e 13 del Regolamento) o abbia comunque garantito la volontarietà della adesione alla ricerca. Più in generale, la finalità di trattamento in concreto perseguita mediante il progetto “ShareArt”, sulla base degli accordi stipulati tra l’Enea e il Comune, sembra, invero, potersi ricondurre alla generica missione istituzionale di Enea, volta alla ricerca e all'innovazione tecnologica in senso strumentale rispetto alle esigenze dell’ente gestore del museo, più che a uno specifico progetto di ricerca in senso tecnico, finalizzato ad acquisire nuove conoscenze scientifiche (cfr. Garante europeo della protezione dei dati, “A Preliminary Opinion on data protection and scientific research”, del 6 gennaio 2020).

Ciò chiarito, non può comunque essere accolta le tesi secondo la quale il trattamento in questione si rendeva necessario, sul piano generale, per adempiere alla missione istituzionale dell’Agenzia e conseguire gli obiettivi di interessi pubblico sottesi alla stessa (ricerca, innovazione tecnologica e prestazione di servizi avanzati alla pubblica amministrazione e ai cittadini).

Deve, a tal riguardo, rammentarsi che, ai sensi degli artt. 6, par. 3, del Regolamento e 2-ter, comma 1, del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, vigente al tempo dei fatti oggetto dell’istruttoria), la base giuridica consistente nella necessità di effettuare un trattamento di dati personali “per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. e), del Regolamento) poteva essere “costituita esclusivamente da una norma di legge o, nei casi previsti dalla legge, di regolamento”, fermo restando, in ogni caso, che la base giuridica su cui si fonda il trattamento deve perseguire un obiettivo di interesse pubblico, deve essere proporzionata all'obiettivo legittimo perseguito e deve soddisfare i requisiti di qualità in termini di puntuale disciplina del trattamento previsto (v. art. 6, par. 3, ultimo periodo, del Regolamento). Tenuto conto che tali requisiti “costituiscono espressione di quelli derivanti dall’articolo 52, paragrafo 1, della Carta [dei diritti fondamentali dell’Unione europea], essi devono essere interpretati alla luce di tale disposizione” e, pertanto, limitazioni ai diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali (v. artt. 8 della Convenzione europea dei diritti dell’uomo e 7 e 8 della Carta dei diritti fondamentali dell’Unione europea) “possono […] essere apportate, a condizione che, conformemente all’articolo 52, paragrafo 1, della Carta, esse siano previste dalla legge e che rispettino il contenuto essenziale dei diritti fondamentali nonché il principio di proporzionalità. In virtù di tale principio, possono essere apportate limitazioni solo laddove siano necessarie e rispondano effettivamente a obiettivi di interesse generale riconosciuti dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui. Esse devono operare nei limiti dello stretto necessario e la normativa che comporta l’ingerenza deve prevedere norme chiare e precise che disciplinano la portata e l’applicazione della misura in questione” (sentenza del 1° agosto 2022, C-184/20, Vyriausioji tarnybinės etikos komisija, par. 64).

In particolare, “per soddisfare il requisito di proporzionalità, che trova espressione nell’articolo 5, paragrafo 1, lettera c), del regolamento […] la normativa su cui si fonda il trattamento deve prevedere regole chiare e precise che disciplinino la portata e l’applicazione della misura [prevista] e impongano requisiti minimi in modo che le persone i cui dati personali sono interessati dispongano di garanzie sufficienti che permettano di proteggere efficacemente [i] dati contro il rischio di abusi. Tale normativa dev’essere giuridicamente vincolante nell’ambito dell’ordinamento nazionale e, in particolare, indicare in quali circostanze e a quali condizioni una misura che preveda il trattamento di tali dati possa essere adottata, garantendo così che l’ingerenza sia limitata allo stretto necessario” (sentenza del 24 febbraio 2022, C-175/20, Valsts ieņēmumu dienests, par. 83).

Nel caso di specie, l’Enea non ha comprovato la sussistenza di alcuna norma di legge o, nei casi previsti dalla legge, di regolamento che espressamente prevedesse un trattamento di dati personali come quello effettuato nel contesto del progetto ShareArt.

Le disposizioni dell’ordinamento invocate dall’Enea (v. art. 4, comma 2, della l. 28 dicembre 2015, n. 221) si limitano, infatti, a individuare la missione istituzionale di Enea in termini del tutto generici, senza disciplinare in alcun modo il trattamento di dati personali in questione.

Deve, altresì, osservarsi che, nel caso di specie, il trattamento dei dati personali relativi al volto dei visitatori non poteva considerarsi neppure necessario anche per il dichiarato fine di sviluppare “un prodotto di ricerca”, nell’ambito della generica missione istituzionale dell’Ente.

Il requisito della necessità del trattamento deve, infatti, essere interpretato in senso restrittivo e in conformità al principio di minimizzazione (cfr. art. 5, par. 1, lett. c), del Regolamento), atteso che la tutela del diritto fondamentale al rispetto della vita privata a livello dell’Unione esige che le deroghe e le restrizioni alla tutela dei dati personali intervengano solo entro i limiti dello stretto necessario. Come evidenziato dal cons. 39 del Regolamento, tale requisito di necessità non è soddisfatto quando l’obiettivo di interesse generale considerato può ragionevolmente essere raggiunto in modo altrettanto efficace mediante altri mezzi meno pregiudizievoli per i diritti fondamentali degli interessati.

Nel caso di specie, l’Enea e il Comune hanno, infatti, condizionato la fruizione di talune opere d’arte, esposte in un museo pubblico, al trattamento automatizzato dei dati personali relativi all’immagine di volti, non lasciando agli interessati la possibilità di poter fruire liberamente delle opere senza essere sottoposti al trattamento dei propri dati personali mediante dispositivi video collocati nell’immediata prossimità delle opere.

La completa compressione di tale diritto non può ritenersi proporzionata rispetto all’interesse dei contitolari del trattamento di ottenere informazioni in merito alle modalità di interazione dei visitatori con le opere d’arte in questione. Ciò anche tenuto conto del fatto che sarebbe stato comunque possibile conseguire il medesimo obiettivo con modalità tali da preservare i diritti e le libertà degli interessati (ad esempio, attivando il sistema solo in specifiche sale ad accesso limitato e volontario, con riguardo ad opere non facenti parti dell’esposizione permanente del museo; oppure attivando il sistema in specifiche sale del museo, anche ospitanti l’esposizione permanente, ma solo in limitate finestre temporali, con congruo preavviso e previa informativa ai visitatori, in maniera tale da consentire agli stessi di decidere se partecipare volontariamente al progetto oppure se visitare dette sale solo dopo la disattivazione dei dispositivi video, senza essere sottoposti alle riprese).

Alla luce delle considerazioni che precedono, non avendo l’Enea comprovato la sussistenza di una norma di legge o, nei casi previsti dalla legge, di regolamento che espressamente prevedesse il trattamento dei dati personali in questione, deve concludersi che lo stesso è stato effettuato in maniera non conforme al principio di liceità, correttezza e trasparenza, e in assenza di base giuridica, in violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. e), del Regolamento e 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139).

3.4 L’insufficiente trasparenza del trattamento

Risulta accertato, e non è controverso, che l’Enea e il Comune non hanno fornito ai visitatori del museo un’informativa completa sul trattamento dei dati personali, pur avendo affisso un avviso per rendere edotti gli utenti dell’utilizzo del sistema ShareArt, nel quale veniva specificato, in particolare che “ai fini della tutela della privacy dei visitatori, è stato implementato un algoritmo di rilevazione che non implica un riconoscimento dei volti. Inoltre, il sistema acquisisce dati senza registrare le immagini: l’informazione utile, infatti, è il numero di persone che stanno guardando l’opera e non chi lo sta facendo”.

Tale avviso non contiene tutti gli elementi previsti dall’art. 13 del Regolamento, con particolare riguardo, oltre alla circostanza che è in atto un trattamento di dati personali, ai dati di contatto dei contitolari del trattamento, ai dati di contatto dei rispettivi responsabili della protezione dei dati, alla base giuridica del trattamento, al periodo di conservazione dei dati (o ai criteri per determinare tale periodo) e ai diritti degli interessati di cui agli artt. 15-22 del Regolamento.
Il trattamento dei dati personali in questione è, pertanto, avvenuto in maniera non conforme al principio di liceità, correttezza e trasparenza, in violazione degli artt. 5, par. 1, lett. a), 12 e 13 del Regolamento.

3.5 I lamentati effetti discriminatori del sistema

Con riguardo, invece, a quanto sostenuto nella segnalazione in merito alla circostanza che “la classificazione in base al genere rischia di confondere il sesso biologico con il genere, producendo classificazioni sbagliate e discriminando tutti i soggetti transgender o che non si identificano nel binarismo di genere”, si osserva che, sulla base di quanto è emerso nel corso dell’istruttoria, il sistema ShareArt non può concretizzare tale rischio, atteso che nessun tipo di decisione, basata sul genere, che potesse avere un impatto diretto sugli interessati, è stata assunta mediante tale sistema.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dall’Enea nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Enea mediate il sistema ShareArt, per aver trattato i dati personali dei visitatori del museo in assenza di base giuridica, fornendo loro un’inidonea informativa sul trattamento dei dati personali e omettendo di stipulare un accordo di contitolarità del trattamento con il Comune, in violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. e), 12, 13 e 26 del Regolamento, nonché 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139).

Ciò premesso, tenuto conto che:

il trattamento non ha avuto ad oggetto dati biometrici o altri dati appartenenti a categorie particolari (cfr. art. 9 del Regolamento);

le immagini dei volti dei visitatori sono state conservate nel sistema ShareArt per circa 100 millesimi di secondo;

il complessivo trattamento ha avuto luogo per un lasso temporale non troppo esteso e nel contesto dell’emergenza pandemica da SARS-CoV-2, in cui il numero dei visitatori del museo era comunque limitato, essendo stati, peraltro, impiegati, per la più parte di tale periodo, soltanto due dispositivi (v. la memoria difensiva del Comune nel medesimo procedimento, in atti, ove si afferma che “il progetto si è svolto in periodo di pandemia con un numero ridotto di giorni di apertura dei musei e un basso numero di visitatori per giorno anche a causa dei contingentamenti e dei vari obblighi e limitazioni per l’accesso. Dal XX al XX - solo 4 gg a settimana con orario ridotto per totali 52 gg. apertura; dal XX al XX chiusura totale; dal XX al XX apertura per totali 12 gg, a orario ridotto; dal XX di nuovo chiusura dei musei fino al XX; dal XX al XX apertura per 60 gg. ad orario ridotto […] Per la più parte del periodo (100 gg) le telecamere sono state due, per 18 gg sono state 9 e per 6 gg sono state 14. Soprattutto nel periodo XX - XX, le 2 telecamere non risultavano sempre attive in quanto erano in corso le prove di installazione con personale ENEA”);

i dispositivi sono stati impiegati su un numero limitate di opere d’arte (circa 10 a fronte di 24.000 opere presenti negli 11 musei civici gestiti dal Comune);

la violazione ha carattere colposo, avendo l’Enea agito in buona fede, nell’erroneo convincimento, maturato anche sulla base di specifici approfondimenti (effettuati prima di procedere al trattamento e, pertanto, comunque meritori) che l’utilizzo del sistema ShareArt non comportasse un trattamento di dati personali; ciò tenuto, altresì, conto che le valutazioni che l’Ente era chiamato a effettuare nell’ambito del progetto ShareArt erano caratterizzate da un elevato grado di complessità tecnica e giuridica;

sebbene i visitatori del museo abbiano potuto subire un condizionamento nel contesto della fruizione delle opere d’arte (considerato il particolare livello di sofisticatezza tecnologica dei dispositivi impiegati, la loro collocazione in stretta prossimità delle opere e l’impossibilità di opporsi al trattamento), il trattamento è comunque avvenuto in un luogo pubblico, quale un museo, in cui gli interessati non possono vantare una completa aspettativa di riservatezza, stante anche il possibile impiego di tradizionali dispositivi di videosorveglianza, ancorché per il perseguimento della diversa finalità di tutela del patrimonio artistico (cfr. art. 1 del d.l. 14 novembre 1992, n. 433);

sebbene non sia stata fornita un’idonea informativa sul trattamento dei dati personali, i visitatori erano stati comunque avvertiti dell’impiego del sistema ShareArt mediante appositi cartelli, collocati prima dell’area espositiva;

l’Enea ha collaborato in maniera leale e proattiva con l’Autorità nel corso dell’istruttoria, fornendo un apprezzabile contributo all’analisi del caso anche sotto il profilo tecnico;

non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento;

le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi del cons. 148 del Regolamento e delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’”Endorsement 1/2018” del 25 maggio 2018.

Alla luce di tutto quanto sopra rappresentato, e dei termini complessivi della vicenda in esame, si ritiene, pertanto, sufficiente ammonire il titolare del trattamento per la violazione delle disposizioni sopraindicate, ai sensi dell’art. 58, par. 2, lett. b), del Regolamento (cfr. anche cons. 148 del Regolamento).

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

a) dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento dei dati personali effettuato dall’Enea (Agenzia nazionale per le nuove tecnologie, l'energia e lo sviluppo economico sostenibile), in persona del legale rappresentante pro-tempore, con sede legale in Lungotevere Thaon Di Revel, 76 - 00196 Roma (RM), C.F. 01320740580, per violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. e), 12, 13 e 26 del Regolamento, nonché 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139), nei termini di cui in motivazione;

b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce l’Enea, quale titolare del trattamento in questione, per aver violato gli artt. 5, par. 1, lett. a), 6, par. 1, lett. e), 12, 13 e 26 del Regolamento, nonché 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139), come sopra descritto;

c) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 13 aprile 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei