g-docweb-display Portlet

Provvedimento del 13 aprile 2023 [9896808]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9896808]

Provvedimento del 13 aprile 2023

Registro dei provvedimenti
n. 123 del 13 aprile 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Introduzione.

Il Centro Hermes per la Trasparenza e i Diritti umani digitali ha presentato al Garante una segnalazione in relazione “al sistema ShareArt sviluppato da ENEA, Agenzia nazionale per le nuove tecnologie, l'energia e lo sviluppo economico sostenibile [di seguito, l’”Agenzia” o l’”Enea”), in collaborazione con l'Istituzione Bologna Musei” [organismo strumentale del Comune di Bologna – di seguito, il “Comune” – privo di personalità giuridica], il cui scopo sarebbe “di misurare “il gradimento di un’opera d’arte” e rilevare il corretto utilizzo di mascherina e distanziamento”.

In particolare, “attraverso una telecamera il sistema ShareArt rileva automaticamente i volti che guardano in direzione dell’opera, acquisendo contestualmente una serie di informazioni relative al comportamento nell'osservazione delle opere d’arte, come il percorso compiuto per avvicinarsi all'opera, il numero di persone che l'hanno osservata, il tempo e la distanza di osservazione, il genere, la classe di età e lo stato d'animo dei visitatori che osservano”.

Con riguardo alle informazioni relative al genere, nella segnalazione si rappresenta che “la classificazione in base al genere rischia di confondere il sesso biologico con il genere, producendo classificazioni sbagliate e discriminando tutti i soggetti transgender o che non si identificano nel binarismo di genere”.

Secondo quanto riportato in un documento tecnico dell’Agenzia, allegato alla segnalazione, il sistema in questione utilizzerebbe un “nuovo algoritmo di rilevamento dei volti, basato su reti neurali convoluzionali (CNN) che prevede anche una funzione di tracking dell’osservatore”. Quando l’osservatore entra nel campo visivo della telecamera sarebbe, infatti, “assegnato un id numerico e viene seguito, indipendentemente che stia o meno osservando in direzione dell’opera, in modo che il numero di volti che osservano l’opera rilevato dal sistema sia riferito allo specifico id e dunque ad ogni singolo visitatore”.

Il sistema sarebbe in grado di “ottenere informazioni quali ad esempio il tempo medio o la distanza di osservazione suddivisi per genere e per classe d’età, i punti di osservazione dell’opera preferiti dai bambini o dalle persone più anziane, i percorsi preferiti dagli uomini e quelli preferiti dalle donne”. Inoltre, “il sistema ShareArt prevede, quando non sarà più obbligatorio indossare la mascherina ed il dato sarà attendibile, [la raccolta di] informazioni “su come varia l’umore del pubblico in base all’opera osservata o su come un’opera susciti emozioni diverse su osservatori di età diversa”, considerato che “la valutazione dello stato d’animo degli osservatori [...] permetterebbe di affinare ulteriormente la profilazione e soddisferebbe un’altra richiesta avanzata dai curatori dei musei.”

Infine, con riguardo agli obblighi  di trasparenza, nella segnalazione si afferma che “[ci sono] ben pochi segnali a indicare che il sistema fosse attivo, al di là delle piccole telecamere nere attaccate alle pareti e un disclaimer alla biglietteria”.

2. L’attività istruttoria.

Con nota del XX (prot. n. XX), l’Enea, in risposta a una richiesta d’informazioni dell’Autorità (prot. n. XX del XX), ha dichiarato, in particolare, che:

“lo scopo dell’attività di ricerca è di fornire ai curatori di collezioni museali, mostre, esposizioni, un insieme di dati utili a studiare la modalità di fruizione delle opere d’arte, al fine di evidenziare punti di forza, criticità, miglioramenti per ottimizzare l’esposizione delle opere stesse”;

“il sistema non comporta la raccolta e il trattamento di dati riferibili a persone fisiche identificate o identificabili e, a fortiori, di dati biometrici […]”;

“per ogni frame prodotto dalla telecamera […] sono generati i seguenti dati:1) data e ora della rilevazione (gg/mm/aaaa hh:mm:ss), 2) tempo trascorso dal momento di accensione del Dispositivo a quello della rilevazione, 3) coordinate, in pixel, del riquadro circoscrivente il volto, 4) larghezza, in pixel, del riquadro del volto, 5) altezza, in pixel del riquadro del volto, 6) numero di identificazione (ID),7) presenza o meno della mascherina”;

“[…] la rete neurale impiegata applica una tecnica di face detection che, contrariamente alla face recognition, orientata all’identificazione delle persone, si limita a rilevare la presenza di volti umani. Ne consegue che il numero di identificazione (ID) si riferisce al riquadro del volto come figura geometrica e non alle caratteristiche biometriche della persona e serve per individuare il suo spostamento all’interno dell’area inquadrata dalla telecamera. Qualora la persona uscisse dall’area ripresa e ne rientrasse immediatamente dopo, al riquadro del suo volto rilevato sarebbe associato un nuovo ID che non ha riferimenti con quello precedente. Infatti, l’ID non è relativo ai dati biometrici, ma a un algoritmo di “centroid object tracking”;

“[…] non è possibile risalire all’immagine acquisita dalla telecamera e, di conseguenza, all’identità della persona fisica a cui tale immagine è associata, a partire dai dati ricavati dall’elaboratore direttamente sui supporti locali e immediatamente inviati ai database di ENEA dopo essere stati tradotti in forma numerica”;

“[…] viene acquisito dal sistema il numero dei volti nell’immagine (frame), coordinate e dimensione all’interno del frame. Il frame viene elaborato dall’algoritmo (CNN) in una scheda elettronica SBC (Single Board Computer), in una memoria dedicata interna volatile (RAM) e quindi il frame non è accessibile da altri sistemi e il contenuto non viene conservato. Di conseguenza l’immagine in questo caso non può essere considerato “dato personale” in quanto non può essere ricondotta al volto della persona fisica (i dati che transitano, per pochi millesimi di secondo, nella memoria volatile del SBC sono informazioni interne al frame, non coincidenti con l’immagine del volto del visitatore)”;

“le reti neurali impiegate sono di tipo convoluzionale (CNN) e, come noto dalla letteratura scientifica, non funzionano in base all’estrazione di dati biometrici, ma effettuano la classificazione grazie ad un addestramento effettuato con un training set d’immagini”;

“al termine di questa elaborazione, che dura circa 100 millisecondi, il frame e il riquadro di ogni volto rilevato dall’elaborazione sono cancellati dalla memoria RAM della scheda elettronica SBC e sovrascritti da un nuovo frame”;

“i dati generati sono inviati tramite il protocollo “mqtt” al SERVER, costituto da una macchina virtuale dell’infrastruttura ENEA Grid installata nella sala calcolo del Centro Ricerche ENEA di Bologna, protetta con alti standard di sicurezza informatica”;

“[…] il Dispositivo può essere considerato come una “black box” che cattura in tempo reale le immagini e, senza memorizzarle né trasferirle, genera in uscita dati alfanumerici”;

“ciascun Dispositivo […] agisce come un sistema isolato e il volto di un visitatore catturato da un Dispositivo non può in alcun modo essere associato allo stesso nel caso in cui si soffermi di fronte ad un altro Dispositivo o, una volta uscito dal campo di ripresa del primo, vi rientri”;

“[…] non è possibile risalire al numero di visitatori, anche stimato, in quanto le rilevazioni effettuate dal sistema potrebbero essere riferite, in ipotesi, a uno stesso soggetto transitato in diverse sale espositive o più volte davanti alla stessa opera, così come a visitatori diversi, non identificabili, né numericamente definibili”;

“[…] visualizzare il volto di un visitatore, anche se solo istantaneamente, rappresenta un evento la cui possibilità di verificarsi è puramente ipotetica (che potrebbe derivare, ad esempio, da un accesso abusivo al sistema, dovuto ad un’azione intenzionale esterna: tale eventualità sarebbe, tuttavia, estremamente remota nella pratica, considerate le misure di sicurezza tecniche integrate, by design, nel sistema al fine di impedire accessi non autorizzati allo stesso e le misure di sicurezza organizzative messe in atto dall’Istituzione Bologna Musei, in quanto le telecamere sono installate in un ambiente che prevede già un'attività di sorveglianza per la salvaguardia del patrimonio artistico esposto)”;

“pure a voler ipotizzare […] l’esecuzione di attività di manutenzione tecnica del sistema durante il suo impiego (occorrenza, come detto, ad oggi mai verificata e che non è assolutamente prevista), ogni eventuale accesso al fotogramma del volto dei visitatori, nella frazione di secondo in cui lo stesso viene raccolto ed elaborato dall’algoritmo, sarebbe puramente accidentale e, comunque, il tempo estremamente ridotto del processo di elaborazione renderebbe estremamente remota, in pratica, la possibilità che l’operatore incaricato delle operazioni di manutenzione, personale ricercatore dell’ENEA, possa percepirlo come volto associabile a una persona fisica identificata o identificabile”;

“[…] ENEA ha prestato la massima attenzione […] all’adozione di misure adeguate al fine di prevenire l’accesso, anche solo accidentale, all’immagine del volto del visitatore, la cui elaborazione (pari a pochi millesimi di secondo) si svolge esclusivamente all’interno della memoria RAM della scheda elettronica installata in sede museale, senza alcuna possibilità di connessione con altre reti di comunicazione esterne”;

“è stata prevista una rete dedicata interna, con l’installazione di 18 punti WiFi ai quali solo gli stessi Dispositivi si possono connettere, in modo da evitare rischi derivanti da eventuali connessioni esterne (causate, ad esempio, da attacchi hacker) da e verso la rete Wifi del Museo”;

“in ogni caso, in data XX, il sistema è stato disattivato in via cautelativa, fino alla definizione della questione oggetto di segnalazione”;

“anche a voler immaginare possibili usi discriminatori del sistema, non sarebbe stato, di fatto, possibile per ENEA adottare decisioni potenzialmente sperequative nei confronti delle persone di genere non binario”;

“in ordine ai ruoli rispettivamente assunti da ENEA e da Istituzione Bologna Musei, […] si è ritenuto che, escluso l’ambito di applicazione materiale ai sensi dell’art. 2 del [Regolamento], non ne è possibile la formalizzazione […]. Si ritiene, invece, che l’utilizzo del sistema ShareArt comporti attività di trattamento di dati elettronici diversi dai dati personali, ricadente nell’ambito di applicazione del Regolamento (UE) 2018/1807 del 14 novembre 2018 […], in quanto i risultati della sperimentazione vengono forniti all’Istituzione Bologna Musei, che ne usufruisce come un servizio finalizzato all’analisi delle modalità di fruizione delle opere esposte e alla conseguente ottimizzazione delle modalità di esposizione”.

Con riguardo alla medesima richiesta d’informazioni, il Comune, con nota prot. n.XX, ha dichiarato, in particolare, che:

“l’Istituzione Bologna Musei, è stata costituita dal Comune di Bologna […,] [è un] organismo strumentale del Comune senza personalità giuridica […] creat[o] per la gestione e il coordinamento del sistema museale comunale”, essendo “assoggettata al potere di indirizzo e controllo del Comune stesso […] Essa, pertanto, rientra nel perimetro di titolarità del Comune”;

“nei primi mesi del XX ENEA ha presentato all’Istituzione Bologna Musei le attività di ricerca e sviluppo afferenti ad un sistema, denominato “ShareArt””;

l’“Ente, in aderenza ad un approccio di favore all’innovazione e alla ricerca, ha quindi accolto la proposta di Accordo di collaborazione ricevuta da ENEA, in attuazione del quale il Comune ha reso disponibile all’Ente di ricerca gli ambienti ove lo Stesso potesse perseguire la missione istituzionale di cui alla L. 221/2015, ovvero le attività di sperimentazione del sistema “ShareArt”;

“dal punto di vista organizzativo, stante comunque l’opportunità di informare i visitatori della presenza dei dispositivi del sistema “ShareArt”, è stato posizionato un cartello presso la cassa del Museo; ENEA ha inoltre posizionato ogni dispositivo in modo ben visibile accanto all’opera interessata”.

In riscontro a una successiva richiesta d’informazioni dell’Autorità (nota prot. n. XX del XX), l’Enea, con nota prot. n. XX, ha dichiarato, in particolare, che:

“la base giuridica del trattamento dei ritenuti dati personali (immagini dei visitatori) [si può] individuare nell’art. 6, p. 1, lett. e) del Regolamento (UE) 2016/679”;

l’Enea “è un Ente di diritto pubblico finalizzato alla ricerca ed all’innovazione tecnologica, nonché alla prestazione di servizi avanzati alle imprese, alla pubblica amministrazione ed ai cittadini nei settori dell’energia, dell’ambiente e dello sviluppo economico”;

l’art. 2 dello statuto dell’Ente prevede che “l’ENEA opera nei settori dell’energia, dell’ambiente e dello sviluppo economico sostenibile, e mette a disposizione del sistema Paese competenze multidisciplinari e esperienza consolidata nella gestione di progetti complessi”, essendo l’Enea “definito come un ente finalizzato alla ricerca, all’innovazione tecnologica e alla prestazione di servizi avanzati verso le imprese, la pubblica amministrazione e i cittadini”;

l’art. 3, comma 2, lett. g), dello statuto dell’Ente prevede che lo stesso “realizza e fornisce a soggetti pubblici e privati studi, ricerche, analisi dei dati, misure, prove e valutazioni nei settori di competenza”;

nell’ambito del Dipartimento TERIN, Dipartimento Tecnologie Energetiche e Fonti Rinnovabili dell’Ente, “la Divisione per lo Sviluppo Sistemi per l’informatica e l’ICT (TERIN ICT) svolge attività di ricerca, innovazione tecnologica e prestazione di servizi avanzati nei settori dell’energia e dello sviluppo economico sostenibile, attraverso l’implementazione delle ICT, con particolare riguardo, tra l’altro, […] allo sviluppo dell’ICT per i beni artistici, con lo sviluppo di sistemi di acquisizione e rappresentazione di dati per i Beni Culturali”;

“in relazione all’attività istituzionale dell’Agenzia di supporto al sistema della produzione e dei servizi, la Conservazione dei beni culturali è, infatti, uno dei settori di intervento dell’ENEA […]”;

“in tale ambito di elaborazione di soluzioni e tecnologie innovative per il monitoraggio e conservazione dei beni artistici e culturali e la valorizzazione delle realtà territoriali, è stato sviluppato […] il sistema ShareArt”;

“l’attività di ricerca […] ha per scopo di fornire ai curatori di collezioni museali, mostre, esposizioni, un insieme di dati utili a studiare la modalità di fruizione delle opere d’arte, al fine di evidenziare punti di forza, criticità, miglioramenti per ottimizzare l’esposizione delle opere stesse”;

“in particolare, il sistema ShareArt è stato applicato nell’ambito delle attività di ricerca e sviluppo legate alle metodologie informatiche basate su applicazioni IoT/BigData e delle reti neurali. In relazione, dunque, alle finalità del progetto, appare utile precisare che queste attengono esclusivamente al perseguimento di studi e ricerche scientifiche, in linea con quanto espressamente disposto dal richiamato art. 2 dello Statuto dell’ENEA, e in ossequio alle finalità istituzionali di ricerca scientifica il cui perseguimento è affidato a ENEA direttamente dalla richiamata normativa, quale compito di interesse pubblico”;

“i dati, già anonimizzati, vengono studiati solamente da ENEA e ISTBO per le rispettive finalità del progetto e non sono comunicati a terzi. Eventualmente potrebbero essere pubblicati, esclusivamente in forma aggregata, per la sola finalità di divulgazione dei risultati della ricerca scientifica”;

“i Dispositivi del sistema ShareArt in esercizio non generano alcun flusso video “intercettabile” dall’esterno e […] non è possibile risalire all’immagine acquisita dalla telecamera e, di conseguenza, all’identità della persona fisica a cui tale immagine è associata, a partire dai dati ricavati dall’elaboratore direttamente sui supporti locali e immediatamente inviati ai database di ENEA dopo essere stati tradotti in forma numerica; i dati generati dal sistema sono del tutto anonimi e sono archiviati presso database dedicati accessibili al solo personale autorizzato di ENEA, per esclusive finalità di analisi tecnico-scientifica ed aggregazione statistica”;

“il sistema ShareArt, pertanto, è stato impostato al fine di trattare solo dati totalmente anonimizzati”;

“in ogni caso, grazie alle misure di sicurezza adottate […], un’ipotetica intrusione nel dispositivo non consentirebbe né il controllo della telecamera, né l’intercettazione del flusso video e della memoria locale senza che ciò possa comportare anche l’interruzione dell’esecuzione dell’applicativo ShareArt. In effetti, l’applicazione ShareArt, in esecuzione in ciascun dispositivo, assume il controllo esclusivo della telecamera presente sul dispositivo stesso, impedendo a qualsiasi altro processo l’accesso alla medesima telecamera: un’ipotetica interruzione/intrusione nel dispositivo, dunque, sarebbe rilevata in tempo reale dal server del Centro ENEA, poiché si interromperebbe anche l’invio periodico del segnale di controllo (heartbeat), generato dal programma ShareArt stesso in costanza di esecuzione su ogni dispositivo”.

Con riguardo alla medesima richiesta d’informazioni, il Comune, con nota prot. n. XX, ha dichiarato, in particolare, che:

“l’adesione all’iniziativa da parte del Museo inerisce ad un quadro normativo ed istituzionale - cui afferisce l’Istituzione - di assoluto favore verso iniziative, anche tecnologicamente innovative, che possano produrre effetti positivi in ordine alla valorizzazione del patrimonio culturale pubblico”;

“l’Istituzione, stante la natura assolutamente sperimentale dell’iniziativa “Share Art”, ha consentito che ENEA potesse condurre le attività di test ed analisi su circa 10 opere (su 24.000 opere presenti negli 11 musei civici gestiti) e previa garanzia da parte di ENEA della conformità del progetto alla normativa applicabile in materia. Per di più, si evidenzia che la sperimentazione è stata condotta da ENEA in coincidenza con il periodo di ridotta presenza di pubblico a causa dei frequenti periodi di chiusura del Museo a causa della pandemia”;

“l’Istituzione Bologna Musei:

non ha assunto alcun ruolo nell’ideazione, nell’implementazione, nella gestione, nella conservazione del flusso dei dati;

non ha mai avuto accesso né ha fruito dei dati trattati ed elaborati dalla piattaforma applicativa (se non a numero tre elaborati di alcuni dati statistici ed aggregati, trasmessi da ENEA a scopo meramente dimostrativo e presentati in occasione della conferenza stampa del XX);

non ha utenze di accesso alla piattaforma applicativa.”

“i dispositivi “Share Art” non hanno accesso alla rete dell’Ente”;

“l’ideazione, l’implementazione, la gestione, la conservazione, lo studio, l’analisi e la fruizione delle informazioni elaborate dalla piattaforma, sono stati di esclusiva pertinenza di ENEA, la quale, conseguentemente, fornirà le informazioni richieste dall’Autorità in ordine a base giuridica del trattamento e misure di sicurezza”;
In riscontro a una terza richiesta d’informazioni dell’Autorità (nota prot. n. XX del XX), rivolta esclusivamente all’Enea, quest’ultima, con nota prot. n. XX, ha dichiarato, in particolare, che:

“il sistema ShareArt non comporta la raccolta e il trattamento di dati riferibili a persone fisiche identificate o identificabili”;

“viene utilizzato un algoritmo che non riconosce il volto. Infatti, viene acquisito dal sistema esclusivamente il numero dei volti nell’immagine (frame). L’immagine in questo caso non può essere considerata “dato personale” in quanto non può essere ricondotta al volto della persona fisica (i dati che transitano, per pochi millesimi di secondo, nella memoria volatile del SBC sono informazioni interne al frame, non coincidenti con l’immagine del volto del visitatore, in ogni caso non idonei a identificare lo stesso”;

“i Dispositivi del sistema ShareArt in esercizio non generano alcun flusso video e […] non è possibile risalire al frame acquisito dalla telecamera”;

“i dati generati dal sistema […] sono archiviati presso database dedicati accessibili al solo personale autorizzato di ENEA, per esclusive finalità di analisi tecnico-scientifica ed aggregazione statistica inerenti al progetto”;

“il sistema ShareArt, pertanto, è stato impostato al fine di trattare – sin dalla iniziale fase di acquisizione – solo dati anonimi”;

“non si è [, pertanto,] ritenuto dover procedere con quanto prescritto dalle “Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica”, compresa la realizzazione del progetto ai sensi dell’art.3”;

“i trattamenti dei dati, laddove dovessero essere considerati dati personali ai sensi del [Regolamento], si ritiene potrebbero essere svolti dall’ENEA in base all’art. 6, p. 1, lett. e) del [Regolamento]”;

infatti, “nell’ambito del Dipartimento TERIN, la Divisione per lo Sviluppo Sistemi per l’informatica e l’ICT (TERIN ICT) svolge attività di ricerca, innovazione tecnologica e prestazione di servizi avanzati nei settori dell’energia e dello sviluppo economico sostenibile, attraverso l’implementazione delle ICT, con particolare riguardo, tra l’altro, al calcolo scientifico, alle reti ad alte prestazioni, al cloud computing ed allo sviluppo dell’ICT per i beni artistici, con lo sviluppo di sistemi di acquisizione e rappresentazione di dati per i Beni Culturali”;

“in tale ambito è stato stipulato il Protocollo d’intesa tra il Ministero dei beni e delle attività culturali e del Turismo MiBACT e l’ENEA “Per L’Efficienza energetica, l’innovazione, la prevenzione e la sicurezza del patrimonio culturale”, prot. n. XX, N. XX […]; l’art. 2 “Oggetto” prevede che le parti si impegnano a collaborare per la predisposizione e realizzazione di progetti di interesse nazionale riguardanti le seguenti aree tematiche…Applicazioni di tecnologie ICT per l’efficientamento energetico, la diagnosi, la sicurezza e la virtualizzazione del patrimonio Culturale”;

“l’attività di ricerca […] ha per scopo di fornire ai curatori di collezioni museali, mostre, esposizioni, un insieme di dati aggregati utili a studiare la modalità di fruizione delle opere d’arte, al fine di evidenziare punti di forza, criticità, miglioramenti per ottimizzare l’esposizione delle opere stesse. In particolare, il sistema ShareArt è stato applicato nell’ambito delle attività di ricerca e sviluppo legate alle metodologie informatiche basate su applicazioni IoT/BigData e delle reti neurali”;

tra il XX e il XX il sistema ShareArt è stato sperimentato in due occasioni; al tempo tale sistema era basato “su un algoritmo di elaborazioni immagini che si chiama “haar cascade” che si fonda sulla ricerca di un “archetipo” di volto, fornito dalle librerie di elaborazione immagini, all’interno dell’immagine acquisita dalla telecamera. Al fine di individuare i volti posti più o meno lontano dalla telecamera a infrarossi, l’algoritmo di ricerca scala l’archetipo a varie grandezze e associa un intervallo di confidenza alla rilevazione, che indica la bontà della verosimiglianza. Questa procedura consente solamente la rilevazione (“detection”, in inglese) della presenza di un volto e non consente il riconoscimento (“recognition”, in inglese)” [e consentiva di ottenere dati come:] 1) numero di volti rilevati nel tempo; 2) distanza dei volti rilevati nel tempo; 3) distribuzione del tempo medio di osservazione; 4) distribuzione della distanza media di osservazione; 5) mappa in falsi colori della posizione degli osservatori rispetto all’opera”;

dopo tali sperimentazioni, “la possibilità di utilizzare un prodotto più performante, la Raspberry Pi4 Model B+, ha consentito il miglioramento della “face detection” che è passata dal classificatore “Haar Cascade” all’impiego di reti neurali convoluzionali”;

“il ricorso alle reti neurali ha consentito di acquisire nuovi dati [, quali]:1) presenza o meno della mascherina nel volto rilevato; 2) direzione dello sguardo, 3) stima dell’età (variabile continua tra 18 e 75 anni), 4) stima del genere (classificazione binaria maschio-femmina)”;

“contemporaneamente allo sviluppo tecnico del dispositivo è stato concluso un Accordo di Collaborazione con l’Istituzione Bologna Musei (IstBO) […], visto il comune interesse scientifico a sperimentare nuovi sistemi basati sull’applicazione di metodiche IoT/Big Data al fine di poter quantificare grandezze utili a definire il grado di fruizione di opere d’arte esposte nei musei”;

“in base al citato Accordo, l’Istituzione Bologna Musei (IstBO) ha messo a disposizione, per la durata di due anni, i suoi musei con la finalità di applicare il sistema ShareArt in due fasi. Nella prima, per la quale era stato previsto l’impiego di 5 dispositivi, erano attesi risultati di sperimentazione statistici e sociologici; qualora tali risultati fossero stati ritenuti dalle parti utili e scientificamente validi, si sarebbe passati alla fase due impiegando il sistema lungo un intero percorso museale, nell’ambito complessivo di una mostra o di un’esposizione permanente per studiare le modalità di fruizione delle opere da parte dei visitatori”;

“poiché la finalità del sistema ShareArt è fornire ai curatori dei musei e delle loro esposizioni, un sistema (tecnologia, metodo e algoritmo) per ottenere dati oggettivi sulla fruizione delle opere d’arte all’interno di un museo affinché si possa comprendere lo stato attuale e migliorare le esposizioni, i dati sono acquisiti in forma anonima, quindi analizzati sempre in maniera aggregata. L’intento della ricerca con ShareArt, infatti, non è focalizzato sul singolo visitatore, ma sulla totalità del pubblico”;

“tutti i dati acquisisti non consentono di risalire al singolo visitatore né tantomeno consentono di prendere decisioni e compiere azioni anche solo potenzialmente idonee a discriminare in alcun modo un visitatore dall’altro”;

"i visitatori i cui volti sono rilevati dal sistema, non vengono assolutamente, neppure potenzialmente, sottoposti a decisioni basate sulle informazioni acquisite e generate da tale sistema, né possono essere prese decisioni idonee anche solo potenzialmente a impattare sui diritti e sulle libertà di tali soggetti, proprio perché il sistema non è in grado di associare i dati estrapolati a persone fisiche direttamente o indirettamente individuabili”;

a seguito della pandemia, “il team di ricercatori impegnati sul progetto ShareArt ha posto attenzione ad un’ulteriore possibile utilità del sistema, rappresentata dallo studio dei dati relativi all’uso della mascherina e al distanziamento sociale che sono stati introdotti nella seconda versione del sistema ShareArt che, come descritto in precedenza, impiega l’uso delle reti neurali convoluzionali”;

“infatti, è scopo di ricerca con ShareArt studiare se l’introduzione della normativa che ha regolamentato l’uso della mascherina all’interno dei musei avesse potuto modificare le normali modalità con cui si visita il museo e si guardano le opere. Questa informazione è ottenibile incrociando l’istogramma del tempo medio di osservazione con il dato di percentuale di presenza della mascherina sui volti degli osservatori. Confrontando per una medesima opera il tempo medio di osservazione, in condizioni di presenza di mascherina che in assenza, quando la normativa lo consentirà, si potrà capire se l’obbligo di indossare la mascherina ha avuto un qualche impatto sulla modalità di fruizione delle opere”;

“analogamente, acquisire il dato di rispetto del distanziamento sociale come imposto dalla normativa, potrebbe fornire l’informazione sul cambiamento della distanza media di osservazione e sul tempo medio di osservazione se confrontato con i dati acquisiti in assenza della normativa che impone il distanziamento. Inoltre, si può studiare se questa normativa ha cambiato la modalità con cui le persone visitano il museo analizzando se ci sono gruppi di 2, 3 o più persone davanti all’opera”;

“il fatto di informare i visitatori posti davanti all’opera del mancato rispetto delle indicazioni della normativa (mascherina e distanziamento sociale) tramite un discreto segnale visivo è stato fornito a vantaggio della sicurezza di tutti i visitatori del museo e a vantaggio della discrezione della segnalazione”;

“anche qui, dunque, non vi è trattamento di dati personali ai sensi del [Regolamento] in quanto il sistema non consente di identificare, direttamente o indirettamente, i visitatori che non indossano la mascherina”;

“l’obiettivo della sperimentazione è la messa a punto di un metodo e di un sistema non invasivo del modo in cui i visitatori si approcciano alle opere artistiche, in grado di dare utili – e anonime – informazioni ai curatori di musei e mostre espositive. Si tratta quindi della sperimentazione di un prototipo che, da un lato, mette a punto le tecniche di conteggio e rilevazione e, dall’altro, serve a scoprire e identificare le informazioni utili al miglioramento della fruizione dei beni artistici e culturali. Solo al termine di questa prima fase propedeutica, sarà possibile impiegare “in produzione” il sistema anche a fini statistici”.

Con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato al Comune, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni degli artt. 5, par. 1, lett. a), 6, 12, 13 e 26 del Regolamento, nonché 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139), per aver posto in essere un trattamento di dati personali in maniera non conforme al principio di “liceità, correttezza e trasparenza”, in assenza di un idoneo presupposto normativo e in assenza di un’adeguata informativa sul trattamento dei dati personali, nonché senza aver previamente stipulato un accordo di contitolarità del trattamento con l’Enea.

Con la medesima nota, il Comune è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).
Con nota del XX (prot. n. XX), il Comune ha presentato la propria memoria difensiva, dichiarando, in particolare, che:

- “[…] ENEA, ente finalizzato alla ricerca e all’innovazione tecnologica, nonché alla prestazione di servizi avanzati a supporto dello sviluppo economico sostenibile, ha sviluppato una piattaforma denominata “ShareArt”, che consente, applicando una telecamera in prossimità dell’opera d’arte che si intende monitorare, di stimare una serie di informazioni relative a come gli osservatori fruiscono dell’opera”;

- “l’accordo con il Comune prevedeva due distinte fasi, come espressamente rappresentato all’art. 5 dello stesso: “La sperimentazione sarà svolta su due fasi: la prima finalizzata ad ottimizzare il sistema proposto da ENEA con l'ampliamento delle sue potenzialità. Per questa prima fase l'Istituzione Bologna Musei consentirà al personale coinvolto di poter verificare direttamente sul campo, all'interno del museo individuato per il test, l'efficacia delle modifiche apportate al sistema creando così un "laboratorio sul campo" per la durata dell'accordo. Al termine della prima fase, solo se le parti reputeranno i risultati utili e scientificamente validi, si procederà a sviluppare un progetto che coinvolga l’ambito complessivo di una mostra o di una esposizione permanente, concordando le finalità specifiche e le modalità””;

- “nell’Allegato tecnico veniva, altresì, rappresentato che “Prima fase - Gli interventi di ottimizzazione dei singoli dispositivi della prima fase saranno finalizzati a rendere la rilevazione del pubblico più rapida, affidabile e particolareggiata” “Seconda fase - procederà a sviluppare un progetto che coinvolga l’ambito complessivo di una mostra o di una esposizione permanente, concordando le finalità specifiche, le modalità e la sostenibilità. In particolare l’interesse di ENEA è di poter sperimentare del sistema “ShareArt” in una mostra temporanea e/o permanente”;

- “a seguito dell’istruttoria aperta dall’Autorità Garante il progetto è stato interrotto in costanza della prima fase”;

- “l’art. 3 dell’accordo rubricato “Impegni delle Parti” riporta che “ENEA – Dipartimento Tecnologie Energetiche - Divisione per lo sviluppo Sistemi per l’Informatica e l’ICT (DTE-ICT) metterà a disposizione le competenze del proprio personale nonché le attrezzature presenti nei Laboratori di Ricerca di Bologna, che siano necessarie alla realizzazione dell’oggetto del presente Accordo”. “L’Istituzione Bologna Musei metterà a disposizione proprio personale e/o propri incaricati nonché attrezzature presenti presso i propri laboratori e i materiali di consumo occorrenti alla esecuzione della ricerca di cui al presente Accordo impegnandosi a sviluppare il Progetto esclusivamente con ENEA””;

- “la finalità sottesa al citato accordo è quindi quella di sviluppare e mettere a punto metodologie informatiche basate su applicazioni IoT/Big Data e di rilevazione dati, da utilizzare per una “quantificazione” del modo di fruizione delle opere in una mostra permanente e/o temporanea al fine di ottimizzare le modalità di esposizione”;

- “la collaborazione scientifica tra l’Istituzione Bologna Musei ed ENEA avrebbe dovuto sviluppare ulteriormente (rispetto alle precedenti esperienze di ENEA) il sistema “ShareArt” e di effettuarne una sperimentazione su “larga scala””;

- “[…] tale ampia finalità avrebbe dovuto essere svolta in due distinte fasi: nella prima la finalità precipua era stata definita nel senso di apporre “gli interventi di ottimizzazione dei singoli dispositivi al fine di rendere la rilevazione del pubblico più rapida affidabile e particolareggiata. In quest’ottica si propone l’implementazione di un algoritmo di “tracking” dell’osservatore, che consente di rendere il rilevamento dei singoli osservatori più preciso e di migliorare la definizione del percorso seguito da ognuno nello spazio antistante l’opera. Inoltre, verrà introdotta, con l’uso di reti neurali appositamente addestrate, la profilazione di ogni osservatore rilevato stimandone l’età e il genere. Compatibilmente con i tempi di sviluppo e con le tecnologie a disposizione, non si esclude la possibilità di affinare ulteriormente la profilazione con una valutazione dello stato d’animo degli osservatori””;

- “le descritte attività non potevano che essere svolte da ENEA nella sua qualità di owner dello “strumento” e di soggetto depositario di competenze che certamente non possiede il Comune di Bologna e l’Istituzione Musei”;

- “la prima fase ricomprendeva attività di incrementale rilevanza che andavano dall’ottimizzazione dei dispositivi all’implementazione di “un’applicazione di gestione e presentazione dei dati generati dai singoli dispositivi”. La collaborazione è stata interrotta in costanza della fase di ottimizzazione dei dispositivi”;

- “in sintesi, ENEA, nella sua prima fase, avrebbe dovuto sviluppare lo strumento e “nella seconda fase solo se le parti reputeranno i risultati utili e scientificamente validi, si procederà a sviluppare un progetto che coinvolga l’ambito complessivo di una mostra o di una esposizione permanente, concordando le finalità specifiche, le modalità e la sostenibilità””;

- “[…] il “Progetto” si trovava al suo primo stadio della prima fase, nella quale il Comune di Bologna non avrebbe potuto (e non ha potuto) esercitare alcuna influenza in ordine alla finalità del trattamento, poiché in tale prima fase le finalità avevano i tratti essenziali della ricerca e della sperimentazione”;

- “tali finalità costituiscono elementi inconferenti e non pertinenti al perimetro di competenze istituzionalmente previste in capo all’Istituzione Musei”;

- “sul punto, anche giurisprudenza della CGUE […] causa […] C-40/17 […] al punto 74 riporta che: «Per contro, e fatta salva un’eventuale responsabilità civile prevista dal diritto nazionale a tal riguardo, tale persona fisica o giuridica non può essere considerata responsabile, ai sensi di detta disposizione, delle operazioni anteriori o successive della catena di trattamento di cui essa non determina né le finalità né gli strumenti””;

- “il piano di analisi muta profondamente considerando la seconda fase. Emerge che, in tale ambito, la ripartizione dei ruoli in ordine alla disciplina in materia di protezione dei dati personali afferenti alla seconda fase debba essere intesa nelle forme ampiamente rappresentate dall’Autorità Garante, ovvero in regime di contitolarità tra ENEA ed il Comune di Bologna. Seconda fase, si sottolinea, solo eventuale, ovvero subordinata all’ottenimento di risultati scientificamente utili derivanti dalla suddetta attività di ricerca e sperimentazione. Difatti, solo in tale seconda fase avrebbe trovato conferma la sussistenza per il Comune e per ENEA di “un vantaggio reciproco derivante dalla medesima operazione di trattamento (…a condizione che ciascuno dei soggetti coinvolti partecipi alla determinazione delle finalità e dei mezzi del trattamento in questione)” di cui al par. 60 delle citate Linee guida  [del Comitato europeo per la protezione dei dati]”;

- “d’altra parte, solo nella seconda fase, ovvero alla luce degli approdi correlati alla fase di ricerca e sperimentazione compiute da ENEA, l’Istituzione Musei sarebbe stata nella condizione di scegliere di utilizzare per le proprie finalità (quelle di migliorare l’analisi della fruizione delle opere per una migliore somministrazione) uno strumento o un altro sistema sviluppato da altri per il trattamento di dati personali che, come rappresenta il par. 67 delle Linee Guida, avrebbe costituito probabilmente una decisione congiunta sui mezzi di tale trattamento da parte dei soggetti in questione”;

- con riguardo agli elementi in relazione ai quali l’art. 26 del Regolamento richiede ai contitolari di determinare e ripartire le proprie responsabilità, il Comune “non potrebbe esercitare alcun dominio o governo [su tali elementi] non avendo contezza delle logiche di elaborazione algoritmica e di puntuale funzionamento del sistema con effetti consistenti in ordine alle tutele degli interessati”;

- in ogni caso “l’Ente ha infatti agito nella convinzione, suffragata dalle rassicurazioni di ENEA, della liceità della propria condotta, che, con specifico riferimento alle operazioni ed elaborazioni compiute, non presentava alcun rischio di danno per gli interessati” e “la buona fede assurge ad elemento esimente”, dovendosi intendere “per buona fede […] “errore sulla liceità del fatto””;

- si eccepisce “l’impossibilità da parte del Comune di esperire una compiuta valutazione della conformità alla normativa in materia di protezione dei dati personali su sistemi di elaborazione avanzata che non sono nella propria disponibilità e per i quali sarebbe necessario un know-how che è oggettivamente inverosimile individuare in una struttura che gestisce il patrimonio culturale della città”;

- “il progetto si è svolto in periodo di pandemia con un numero ridotto di giorni di apertura dei musei e un basso numero di visitatori per giorno anche a causa dei contingentamenti e dei vari obblighi e limitazioni per l’accesso. Dal XX al XX - solo 4 gg a settimana con orario ridotto per totali 52 gg. apertura; dal XX al XX chiusura totale; dal XX al XX, apertura per totali 12 gg, a orario ridotto; dal XX di nuovo chiusura dei musei fino al XX; dal XX al XX apertura per 60 gg. ad orario ridotto. Inoltre la sperimentazione è avvenuta tutta a pandemia in corso e per tutto il periodo sia il pubblico che gli operatori museali hanno avuto l’obbligo di indossare la mascherina. Per la più parte del periodo (100 gg) le telecamere sono state due, per 18 gg sono state 9 e per 6 gg sono state 14. Soprattutto nel periodo XX - fine XX, le 2 telecamere non risultavano sempre attive in quanto erano in corso le prove di installazione con personale ENEA. La piena funzionalità ci risulta essere stata attivata dalla fine di maggio”;

- il Comune “non ha contribuito in alcun modo alla stesura della proposta tecnica di ENEA, né ha contribuito a stabilire mezzi e finalità della stessa. Inoltre non ha ricevuto né utilizzato alcun dato: ha solo ricevuto tre elaborati di dati statistici in forma di grafici trasmessi da ENEA a puro scopo dimostrativo in occasione di una conferenza stampa in data XX”;

- “a partire dall'XX, nel corso degli incontri preliminari alla stipula dell’accordo proposto da ENEA, avvenuta in data XX, e poi ancora all'avvio del progetto (citiamo ad esempio l'incontro avvenuto in data XX, il Comune ha chiesto espressamente e ottenuto rassicurazioni da parte di ENEA circa la compatibilità con quanto normato dal regolamento GDPR. L’Istituzione ha pertanto agito in buona fede, basandosi sulle rassicurazioni di ENEA, espressione di un alto livello di competenze specialistiche”;

- "alla prima notifica ricevuta dal Garante vi è stata l’immediata sospensione della sperimentazione. Non è stato necessario adottare ulteriori misure perché l’Istituzione Musei non ha mai avuto accesso e nemmeno ha fruito di dati elaborati dalla piattaforma informatica”;

- “la sperimentazione si è comunque svolta all’interno di locali sorvegliati”;

- “per tutto il periodo interessato sia il pubblico che gli operatori museali hanno avuto l’obbligo di indossare la mascherina, il che li ha comunque resi non riconoscibili”;

In occasione dell’audizione, richiesta ai sensi dell’art. 166, comma 6, del Codice e tenutasi in data XX (verbale prot. n. XX dell’XX), il Comune ha dichiarato, in particolare, che:

“dall’accordo stipulato con ENEA emerge in maniera netta che né finalità né tantomeno mezzi del trattamento sono stati definiti dall’Ente”;

- occorre considerare la “distinzione in due fasi delle attività di sperimentazione. La prima relativa al test di ShareArt, l’altra di definizioni di nuove collaborazioni sulla scorta degli esiti della sperimentazione [, atteso che] l’istruttoria del Garante e la conseguente interruzione delle attività è intervenuta in costanza di prima fase, allorquando il “Progetto” si trovava al suo primo stadio della fase inziale, nella quale il Comune di Bologna non avrebbe potuto (e non ha potuto) esercitare alcuna influenza in ordine alla finalità delle attività, poiché in tale prima fase le finalità avevano i tratti essenziali della ricerca e della sperimentazione”;

- “tali finalità costituiscono elementi inconferenti e non pertinenti al perimetro di competenze istituzionalmente previste in capo all’Istituzione Musei”.

3. Esito dell’attività istruttoria.

3.1 Il trattamento di dati personali effettuato mediante il sistema ShareArt

Il Regolamento definisce il “dato personale” come “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)” (art. 4, par. 1, n. 1).

L’uso dell’espressione “qualsiasi informazione”, utilizzata anche nell’analoga definizione di cui all’art. 2, lett. a), della Direttiva 95/46, “riflette l’obiettivo del legislatore dell’Unione di attribuire un’accezione estesa a tale nozione, che non è limitata alle informazioni sensibili o di ordine privato, ma comprende potenzialmente ogni tipo di informazioni, tanto oggettive quanto soggettive […] a condizione che esse siano «concernenti» la persona interessata. Per quanto riguarda tale ultima condizione, essa è soddisfatta qualora, in ragione del suo contenuto, della sua finalità o del suo effetto, l’informazione sia connessa a una determinata persona” (Corte di giustizia dell’Unione europea, sentenza del 20 dicembre 2017, C-434/16, Nowak, punto 34).

Sulla base della giurisprudenza della Corte di giustizia dell’Unione europea in materia di trattamento di dati personali mediante dispositivi video, è pacifico che l’immagine del volto di una persona costituisca un dato personale e che la registrazione di tale immagine comporti un trattamento di dati personali (v. sentenze del 20 ottobre 2022, Koalitsia "Demokratichna Bulgaria - Obedinenie", C‑306/21, punto 32, 14 febbraio 2019, C 345/17, Buivids, punti 31 e 32 e dell’11 dicembre 2014, C‑212/13,  Ryneš, punti 22 e 25), essendo del tutto irrilevante la circostanza che il titolare del trattamento non conosca l’identità della persona in questione o non disponga in proprio di informazioni che possano consentirgli di identificare la stessa (cfr. cons. 26 del Regolamento, ove si precisa che, per stabilire l’identificabilità di una persona, è opportuno considerare tutti i mezzi di cui non solo il titolare del trattamento ma anche un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente; in giurisprudenza, v. Cass. Civ., sent. n. 17440 del 2 settembre 2015, ove si afferma che “non appare possibile dubitare del fatto che l'immagine costituisca dato personale […] trattandosi di dato immediatamente idoneo a identificare una persona, a prescindere dalla sua notorietà”). È, infatti, astrattamente possibile risalire all’identità di una persona, a partire dall’immagine del volto, in particolare utilizzando informazioni che sono in possesso di terzi (ad esempio, banche dati pubbliche o private) o pubblicamente disponibili (ad esempio, reti sociali), dovendosi considerare che “affinché un dato possa essere qualificato come «dato personale» […] non si richiede che tutte le informazioni che consentono di identificare la persona interessata siano in possesso di una sola persona” (C‑434/16, Nowak, cit., punto 31; v. anche sentenza del 19 ottobre 2016, Breyer, C‑582/14, punto 43).

Ciò trova, peraltro, implicita conferma anche nel cons. 51 del Regolamento, allorquando si afferma che “il trattamento di fotografie non dovrebbe costituire sistematicamente un trattamento di categorie particolari di dati personali, poiché esse rientrano nella definizione di dati biometrici soltanto quando saranno trattate attraverso un dispositivo tecnico specifico che consente l'identificazione univoca o l'autenticazione di una persona fisica”, da cui discende che l’immagine di una persona, come quella ritratta in una fotografia o in video, costituisce un dato personale, pur non essendo di per sé e in maniera sistematica un dato personale relativo a categorie particolari di cui all’art. 9 del Regolamento.

Ciò premesso, gli argomenti difensivi del Comune e dell’Enea, volti a illustrare in dettaglio il funzionamento, sotto il profilo tecnico, dei dispositivi video impiegati nel contesto del progetto ShareArt, non consentono di superare i rilievi mossi con riguardo alla circostanza che l’impiego dei predetti dispositivi comporta un trattamento di dati personali, consistenti nell’immagine del volto dei visitatori del museo.

Come, infatti, emerge dalla documentazione tecnica depositata agli atti dall’Enea nell’ambito del medesimo procedimento, il sistema in esame utilizza un algoritmo di face detection al fine di individuare i volti dei visitatori all’interno delle immagini riprese dalle telecamere – o meglio all’interno del singolo frame che può contenere uno o più volti - pur senza necessità di determinare quale sia e a chi appartenga il volto nell'inquadratura. L’algoritmo di face detection utilizzato non memorizza permanentemente le caratteristiche facciali del volto individuato tanto che, se il software rileva un volto di una determinata persona nell'inquadratura e successivamente trova lo stesso volto su un'altra immagine, non determinerà che il volto appartiene alla stessa persona, conteggiando per due volte il volto nelle inquadrature. Al contrario dei sistemi di face recognition, i sistemi di face detection non sono, infatti, finalizzanti a riconoscere determinate persone e non sono connessi all'identificazione e al riconoscimento degli interessati. In ogni caso, il sistema utilizzato permette di acquisire informazioni relative all'età, al genere e ad alcuni elementi emotivi dei volti individuati sui diversi fotogrammi.

L’algoritmo di face detection utilizzato nell’ambito del sistema ShareArt è basato su reti neurali convoluzionali (Convolutional Neural Networks - CNN) per rilevare i volti nelle immagini. In tale contesto, l’individuazione dei volti avviene in generale attraverso le seguenti fasi:

• preprocessing: l'immagine viene elaborata per migliorare la qualità dell'immagine e rimuovere il rumore;

• scansione dell'immagine: l'immagine viene suddivisa in piccole regioni o finestre che scorrono lungo l'immagine;

• estrazione delle caratteristiche: a ogni finestra viene applicata una serie di filtri per estrarre le caratteristiche dell'immagine, come bordi, texture, linee, angoli, ecc;

• classificazione: le caratteristiche estratte vengono poi passate attraverso la rete neurale convoluzionale per determinare se la finestra contiene un volto o meno;

• fusione: le finestre contenenti volti vengono fuse insieme per formare un'immagine finale con i volti rilevati;

In sintesi, un frame nei sistemi di facial detection si riferisce ad una singola immagine digitale catturata da una telecamera o da una sorgente video che contiene uno o più volti umani. L'elaborazione di ogni frame è essenziale per individuare e riconoscere i volti presenti e può richiedere diverse operazioni di elaborazione, come la segmentazione dell'immagine, l'applicazione di un classificatore e l'estrazione delle caratteristiche facciali.

Alla luce di quanto rappresentato, non si può che ritenere che gli algoritmi di face detection richiedono l'elaborazione di dati personali, consistenti nelle immagini di volti di persone.

È, infatti, innegabile che il dato di partenza utilizzato dall’algoritmo è l’immagine del volto dell’interessato, di fronte all’opera d’arte. Tale dato, presente nei frame catturati e successivamente processati, a detta di Enea, risiede per circa 100 millisecondi nella RAM della scheda elettronica SBC, per essere poi sovrascritto dal successivo frame. Questa operazione comporta un trattamento di dati personali, seppure per un tempo molto breve, necessario all’individuazione, da parte della CNN, dei volti e per l’estrazione delle altre informazioni rilevanti.

Sebbene, perciò, il sistema descritto non preveda un trattamento delle immagini del volto dei visitatori, finalizzato al riconoscimento e all’identificazione di tipo biometrico, è innegabile che il funzionamento del sistema sia basato su un’iniziale acquisizione di immagini contenenti il volto dei visitatori, successivamente elaborate proprio al fine di individuare, all’interno di esse, i visi. I frame risiedono sul sistema per un periodo molto breve, ma comunque sufficiente a mettere in atto un trattamento di dati personali da parte dei soggetti coinvolti (v. provv. 21 dicembre 2017, n. 551, doc. web n. 7496252, relativo a un caso sostanzialmente analogo, in cui “seppur per un breve lasso di tempo, pari a qualche decimo di secondo, il sistema installato [dal titolare del trattamento] comporta[va] un trattamento di dati personali, consistenti nelle immagini del volto degli interessati, finalizzato a desumere dall’immagine del viso una serie di informazioni utilizzate per effettuare analisi dell’audience pubblicitaria”).

Né può assumere rilevanza la circostanza che nessun membro dell’organizzazione del titolare del trattamento possa visualizzare le immagini memorizzate per tale breve intervallo temporale, atteso che la qualificazione di un’informazione quale dato personale, ai fini del Regolamento, non può dipendere - anche a tutela degli interessati - dalla circostanza che il titolare del trattamento effettivamente si conformi a limitazioni tecnico-organizzative da esso stesso predisposte al fine di limitare o impedire l’accessibilità ai dati, potendo le stesse essere in qualsiasi momento essere disattese da membri dell’organizzazione del titolare, oppure rese inefficaci per effetto di attacchi informatici messi in atto da terzi. 

D’altra parte, nello stesso accordo di collaborazione stipulato tra il Comune e l’Enea (allegato n. 10 alla nota di Enea prot. n. XX, acquisita nell’ambito del medesimo procedimento) si dava per assodato che l’esecuzione del progetto avrebbe comportato il trattamento di dati personali dei visitatori, sebbene non riconducibili alle categorie particolari di cui all’art. 9 del Regolamento (“è importante sottolineare come la tecnologia impiegata nei dispositivi di rilevazione del sistema “ShareArt” sia completamente compatibile con quanto normato dal [R]egolamento […] in merito [al] rispetto della privacy del pubblico del museo. Infatti, negli algoritmi di rilevazione delle facce, della profilazione (genere ed età) e del tracking dell’osservatore dell’opera non vi è alcuna acquisizione e immagazzinamento di dati genetici, biometrici intesi a identificare in modo univoco un persona fisica […] Tuttavia, vale la pena notare che il trattamento di fotografie, caso assimilabile a quanto avviene nei dispositivi di acquisizione “ShareArt”, non costituisce sistematicamente un trattamento di categorie particolari di dati personali”).

Alla luce delle considerazioni che precedono, occorre concludere, diversamente da quanto sostenuto dal Comune e dell’Enea nel corso dell’istruttoria, che il sistema ShareArt comporta un trattamento di dati personali, consistente nell’acquisizione e temporanea memorizzazione dell’immagine del volto dei visitatori del museo, ancorché per una ridotta frazione temporale.

3.2 Il rapporto di contitolarità tra il Comune e l’Enea

Ai sensi dell’art. 4, par. 1, n. 7), del Regolamento, il titolare del trattamento è “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri”.

Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, “essi sono contitolari del trattamento” e devono “determina[re] in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all'osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all'esercizio dei diritti dell'interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell'Unione o dello Stato membro cui i titolari del trattamento sono soggetti. Tale accordo può designare un punto di contatto per gli interessati” (art. 26, par. 1, del Regolamento). L'accordo tra i contitolari “riflette adeguatamente i rispettivi ruoli e i rapporti dei contitolari con gli interessati” e il “contenuto essenziale dell'accordo [deve essere] messo a disposizione dell'interessato” (art. 26, par. 2, del Regolamento).

Nel caso di specie, stipulando l’accordo di collaborazione, sopra menzionato, e attuando il progetto “ShareArt” presso le Collezioni Comunali d’Arte di Palazzo D’Accursio in Bologna, al fine di ottenere informazioni aggregate sulle caratteristiche soggettive dei visitatori e sulle modalità con le quali gli stessi hanno interagito con alcune opere d’arte, il Comune e l’Enea hanno determinato congiuntamente le finalità e i mezzi del trattamento.

Come, infatti, chiarito dal Comitato europeo per la protezione dei dati, “il criterio generale per la sussistenza della contitolarità di trattamento è la partecipazione congiunta di due o più soggetti nella definizione delle finalità e dei mezzi di un’operazione di trattamento. La partecipazione congiunta può assumere la forma di una decisione comune, presa da due o più soggetti […]” (“Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, adottate il 7 luglio 2021, par. 53). A tal fine, “un criterio importante è che il trattamento non sarebbe possibile senza la partecipazione di entrambi i soggetti, nel senso che i trattamenti svolti da ciascun soggetto sono tra loro indissociabili, ovverosia indissolubilmente legati”.

Con tale accordo le parti si sono date reciprocamente atto del fatto che “è interesse di ENEA e dell’Istituzione Bologna Musei sperimentare nuovi sistemi basata sull’applicazione di metodiche IoT/BigData al fine di poter quantificare grandezze utili a definire il grado di fruizione di opere d’arte esposte nei musei” e che “una collaborazione in questo senso tra l’Istituzione Bologna Musei ed Enea costituisce una concreta opportunità per sviluppare soluzioni e tecnologie innovative per la fruizione dei beni culturali e la valorizzazione delle loro realtà territoriali”.

A tal fine, le Parti hanno “me[sso] a disposizione e a supporto del progetto le proprie competenze tecniche e scientifiche e risorse, in funzione [dei predetti] obiettivi” e hanno concordato in dettaglio “la descrizione delle attività, il programma e le risorse impiegate” (v. l’allegato tecnico all’accordo), pattuendo di sopportare i costi del progetto, ognuno per quanto di propria competenza.

I risultati del progetto, in termini di dati aggregati sulle modalità di fruizione delle opere d’arte, arrecano benefici sia al Comune sia all’Enea, atteso che, come dichiarato dall’Enea, “i dati, già anonimizzati, vengono studiati solamente da ENEA e ISTBO per le rispettive finalità del progetto” e che le parti hanno espressamente convenuto, con il predetto accordo, di diventare comproprietari degli eventuali risultati, ovvero di diritti di proprietà intellettuale, conseguiti all’esito dell’esecuzione del progetto, nonché di attribuirsi il diritto di “pubblicare e/o rendere noti i risultati delle attività” (cfr. le “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, cit., par. 60, ove si afferma che “[…] la contitolarità del trattamento può configurarsi anche qualora i soggetti perseguano finalità strettamente collegate o complementari. Ciò può verificarsi, ad esempio, quando esiste un vantaggio reciproco derivante dalla medesima operazione di trattamento […]”).

Non trova, pertanto, riscontro negli accordi contrattuali la circostanza che il Comune si sia limitato a rendere disponibile all’Enea gli ambienti “ove lo Stesso potesse perseguire la missione istituzionale di cui alla L. 221/2015, ovvero le attività di sperimentazione del sistema “ShareArt””. In ogni caso, anche soltanto mettendo tali ambienti a disposizione dell’Enea, autorizzando l’installazione e l’utilizzo dei dispositivi video ai fini del progetto e consentendo l’acquisizione delle immagini dei visitatori di un proprio museo, il Comune ha reso possibile il trattamento di dati personali in questione, che, in assenza di una sua collaborazione con l’Enea, non avrebbe potuto aver luogo.

Giova a tal riguardo evidenziare che, come chiarito dalla Corte di giustizia dell’Unione europea, l’esistenza di una responsabilità congiunta non implica necessariamente una responsabilità equivalente, per un medesimo trattamento di dati personali, dei diversi soggetti che vi partecipano. Al contrario, tali soggetti possono essere coinvolti in fasi diverse di tale trattamento e a diversi livelli, di modo che il grado di responsabilità di ciascuno di essi deve essere valutato tenendo conto di tutte le circostanze rilevanti nello specifico contesto (sentenza C-40/17, Fashion ID GmbH & Co.KG contro Verbraucherzentrale NRW eV, del 29 luglio 2019: v. anche sentenza C-210/16, Wirtschaftsakademie Schleswig-Holstein, 5 giugno 2018; cfr. le “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, cit., par. 58). Non è, inoltre, necessario che la determinazione delle finalità e dei mezzi del trattamento debba essere effettuata mediante istruzioni scritte o incarichi da parte del titolare del trattamento. Può, quindi, essere considerata titolare del trattamento una persona fisica o giuridica che, per scopi che le sono propri, influisca sul trattamento di dati personali e partecipi, pertanto, alla determinazione delle finalità e dei mezzi di tale trattamento (v. Corte di giustizia dell’Unione europea, sent. C-25/17, Jehovan todistajat, del 10 luglio 2018; cfr. le “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, cit., parr. 57 e 58).

La circostanza che il Comune non avesse accesso alle immagini raccolte mediante i dispositivi video è, a tal riguardo, ininfluente. Ciò in quanto, sempre richiamando la giurisprudenza della Corte di giustizia dell’Unione europea, “la responsabilità congiunta di vari soggetti per un medesimo trattamento, ai sensi di tale disposizione, non presuppone che ciascuno di essi abbia accesso ai dati personali di cui trattasi” (sent. C-40/17, cit.; v. anche sent. C‑25/17, Jehovan todistajat, del 10 luglio 2018 e C‑210/16, Wirtschaftsakademie Schleswig-Holstein, del 5 giugno 2018; v. anche le “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, cit., par. 56).

Alla luce delle considerazioni che precedono, il trattamento dei dati personali, consistenti nelle immagini dei visitatori del museo, mediante dispositivi video, è stato effettuato dal Comune e dall’Enea in qualità di contitolari del trattamento, non avendo, tuttavia, gli stessi previamente stipulato un accordo di contitolarità del trattamento, in violazione dell’art. 26 del Regolamento.

3.3 La mancanza di base giuridica del trattamento

I soggetti pubblici possono, di regola, trattare dati personali mediante dispositivi video se il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento o per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento (art. 6, parr. 1, lett. c) ed e), e 3, del Regolamento, nonché 2-ter del Codice; cfr. le “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video” del Comitato europeo per la protezione dei dati, adottate il 29 gennaio 2020, par. 41).

Il titolare del trattamento è tenuto, in ogni caso, a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione dei dati”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato”, nonché “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del Regolamento).

Chiarito che l’utilizzo del sistema ShareArt comporta un trattamento di dati personali (v. precedente par. 3.1), si osserva che, nel corso dell’istruttoria, il Comune non ha comprovato che il trattamento in questione potesse considerarsi fondato su un’idonea base giuridica, essendosi il Comune limitato a sostenere che dall’impiego di tale sistema non derivasse alcun trattamento di dati personali.  

Deve, al tal riguardo, in generale, rammentarsi che, ai sensi degli artt. 6, par. 3, del Regolamento e 2-ter, comma 1, del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, vigente al tempo dei fatti oggetto dell’istruttoria), la base giuridica consistente nella necessità di effettuare un trattamento di dati personali “per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. e), del Regolamento) poteva essere “costituita esclusivamente da una norma di legge o, nei casi previsti dalla legge, di regolamento”, fermo restando, in ogni caso, che la base giuridica su cui si fonda il trattamento deve perseguire un obiettivo di interesse pubblico, deve essere proporzionata all'obiettivo legittimo perseguito e deve soddisfare i requisiti di qualità in termini di puntuale disciplina del trattamento previsto (v. art. 6, par. 3, ultimo periodo, del Regolamento). Tenuto conto che tali requisiti “costituiscono espressione di quelli derivanti dall’articolo 52, paragrafo 1, della Carta [dei diritti fondamentali dell’Unione europea], essi devono essere interpretati alla luce di tale disposizione” e, pertanto, limitazioni ai diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali (v. artt. 8 della Convenzione europea dei diritti dell’uomo e 7 e 8 della Carta dei diritti fondamentali dell’Unione europea) “possono […] essere apportate, a condizione che, conformemente all’articolo 52, paragrafo 1, della Carta, esse siano previste dalla legge e che rispettino il contenuto essenziale dei diritti fondamentali nonché il principio di proporzionalità. In virtù di tale principio, possono essere apportate limitazioni solo laddove siano necessarie e rispondano effettivamente a obiettivi di interesse generale riconosciuti dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui. Esse devono operare nei limiti dello stretto necessario e la normativa che comporta l’ingerenza deve prevedere norme chiare e precise che disciplinano la portata e l’applicazione della misura in questione” (sentenza del 1° agosto 2022, C-184/20, Vyriausioji tarnybinės etikos komisija, par. 64).

In particolare, “per soddisfare il requisito di proporzionalità, che trova espressione nell’articolo 5, paragrafo 1, lettera c), del regolamento […] la normativa su cui si fonda il trattamento deve prevedere regole chiare e precise che disciplinino la portata e l’applicazione della misura [prevista] e impongano requisiti minimi in modo che le persone i cui dati personali sono interessati dispongano di garanzie sufficienti che permettano di proteggere efficacemente [i] dati contro il rischio di abusi. Tale normativa dev’essere giuridicamente vincolante nell’ambito dell’ordinamento nazionale e, in particolare, indicare in quali circostanze e a quali condizioni una misura che preveda il trattamento di tali dati possa essere adottata, garantendo così che l’ingerenza sia limitata allo stretto necessario” (sentenza del 24 febbraio 2022, C-175/20, Valsts ieņēmumu dienests, par. 83).

Nel caso di specie, il Comune non ha comprovato la sussistenza di alcuna norma di legge o, nei casi previsti dalla legge, di regolamento che espressamente prevedesse un trattamento di dati personali come quello effettuato nel contesto del progetto ShareArt.
Deve, pertanto, concludersi che lo stesso è stato effettuato in maniera non conforme al principio di liceità, correttezza e trasparenza, e in assenza di base giuridica, in violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. e), del Regolamento e 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139).

3.4 L’insufficiente trasparenza del trattamento

Risulta accertato, e non è controverso, che il Comune e l’Enea non hanno fornito ai visitatori del museo un’informativa completa sul trattamento dei dati personali, pur avendo affisso un avviso per rendere edotti gli utenti dell’utilizzo del sistema ShareArt, nel quale veniva specificato, in particolare che “ai fini della tutela della privacy dei visitatori, è stato implementato un algoritmo di rilevazione che non implica un riconoscimento dei volti. Inoltre, il sistema acquisisce dati senza registrare le immagini: l’informazione utile, infatti, è il numero di persone che stanno guardando l’opera e non chi lo sta facendo”.

Tale avviso non contiene tutti gli elementi previsti dall’art. 13 del Regolamento, con particolare riguardo ai dati di contatto dei contitolari del trattamento, ai dati di contatto dei rispettivi responsabili della protezione dei dati, alla base giuridica del trattamento, al periodo di conservazione dei dati (o ai criteri per determinare tale periodo) e ai diritti degli interessati di cui agli artt. 15-22 del Regolamento.

Il trattamento dei dati personali in questione è, pertanto, avvenuto in maniera non conforme al principio di liceità, correttezza e trasparenza, in violazione degli artt. 5, par. 1, lett. a), 12 e 13 del Regolamento.

3.5 I lamentati effetti discriminatori del sistema

Con riguardo, invece, a quanto sostenuto nella segnalazione in merito alla circostanza che “la classificazione in base al genere rischia di confondere il sesso biologico con il genere, producendo classificazioni sbagliate e discriminando tutti i soggetti transgender o che non si identificano nel binarismo di genere”, si osserva che, sulla base di quanto è emerso nel corso dell’istruttoria, il sistema ShareArt non può concretizzare tale rischio, atteso che nessun tipo di decisione, basata sul genere, che potesse avere un impatto diretto sugli interessati, è stata assunta mediante tale sistema.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal Comune nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune mediate il sistema ShareArt, per aver trattato i dati personali dei visitatori del museo in assenza di base giuridica, fornendo loro un’inidonea informativa sul trattamento dei dati personali e omettendo di stipulare un accordo di contitolarità del trattamento con l’Enea, in violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. e), 12, 13 e 26 del Regolamento, nonché 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139).

Ciò premesso, tenuto conto che:

il trattamento non ha avuto ad oggetto dati biometrici o altri dati appartenenti a categorie particolari (cfr. art. 9 del Regolamento);

le immagini dei volti dei visitatori sono state conservate nel sistema ShareArt per pochi millesimi di secondo;

il complessivo trattamento ha avuto luogo per un lasso temporale non troppo esteso e nel contesto dell’emergenza pandemica da SARS-CoV-2, in cui il numero dei visitatori del museo era comunque limitato, essendo stati, peraltro, impiegati, per la più parte di tale periodo, soltanto due dispositivi (v. la memoria difensiva del Comune nel connesso procedimento, in atti, ove si afferma che “il progetto si è svolto in periodo di pandemia con un numero ridotto di giorni di apertura dei musei e un basso numero di visitatori per giorno anche a causa dei contingentamenti e dei vari obblighi e limitazioni per l’accesso. Dal XX - solo 4 gg a settimana con orario ridotto per totali 52 gg. apertura; dal XX al XX chiusura totale; dal XX al XX, apertura per totali 12 gg, a orario ridotto; dal XX di nuovo chiusura dei musei fino al XX; dal XX al XX apertura per 60 gg. ad orario ridotto […] Per la più parte del periodo (100 gg) le telecamere sono state due, per 18 gg sono state 9 e per 6 gg sono state 14. Soprattutto nel periodo XX - fine XX, le 2 telecamere non risultavano sempre attive in quanto erano in corso le prove di installazione con personale ENEA”);

i dispositivi sono stati impiegati su un numero limitate di opere d’arte (circa 10 a fronte di 24.000 opere presenti negli 11 musei civici gestiti dal Comune);

la violazione ha carattere colposo, avendo il Comune agito in buona fede, nell’erroneo convincimento, maturato anche sulla base di specifici approfondimenti (effettuati dall’Enea prima di procedere al trattamento e, pertanto, comunque meritori) che l’utilizzo del sistema ShareArt non comportasse un trattamento di dati personali; ciò tenuto, altresì, conto che le valutazioni che l’Ente era chiamato a effettuare nell’ambito del progetto ShareArt erano caratterizzate da un elevato grado di complessità tecnica e giuridica;

sebbene i visitatori del museo abbiano potuto subire un condizionamento nel contesto della fruizione delle opere d’arte (considerato il particolare livello di sofisticatezza tecnologica dei dispositivi impiegati, la loro collocazione in stretta prossimità delle opere e l’impossibilità di opporsi al trattamento), il trattamento è comunque avvenuto in un luogo pubblico, quale un museo, in cui gli interessati non possono vantare una completa aspettativa di riservatezza, stante anche il possibile impiego di tradizionali dispositivi di videosorveglianza, ancorché per il perseguimento della diversa finalità di tutela del patrimonio artistico (cfr. art. 1 del d.l. 14 novembre 1992, n. 433);

sebbene non sia stata fornita un’idonea informativa sul trattamento dei dati personali, i visitatori erano stati comunque avvertiti dell’impiego del sistema ShareArt mediante appositi cartelli, collocati prima dell’area espositiva;

il Comune ha collaborato in maniera soddisfacente con l’Autorità nel corso dell’istruttoria;

non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento;

le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi del cons. 148 del Regolamento e delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’”Endorsement 1/2018” del 25 maggio 2018.

Alla luce di tutto quanto sopra rappresentato, e dei termini complessivi della vicenda in esame, si ritiene, pertanto, sufficiente ammonire il titolare del trattamento per la violazione delle disposizioni sopraindicate, ai sensi dell’art. 58, par. 2, lett. b), del Regolamento (cfr. anche cons. 148 del Regolamento).

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

a) dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento dei dati personali effettuato dal Comune di Bologna, in persona del legale rappresentante pro-tempore, con sede legale in Piazza Maggiore 6 - 40121 Bologna (BO), C.F. 01232710374, per violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. e), 12, 13 e 26 del Regolamento, nonché 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139), nei termini di cui in motivazione;

b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce il Comune di Bologna, quale titolare del trattamento in questione, per aver violato gli artt. 5, par. 1, lett. a), 6, par. 1, lett. e), 12, 13 e 26 del Regolamento, nonché 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139), come sopra descritto;

c) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 13 aprile 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei