Totem pubblicitari e privacy: ecco come ti monitoro le reazioni dei passanti per fini pubblicitari. Si, ma è necessaria l’informativa

consulente privacy aziende

Il Garante della Privacy con un provvedimento del dicembre scorso è intervenuto in merito al nuovo sistema interattivo impiegato nel settore pubblicitario.

Si tratta nella sostanza dei nuovi videototem pubblicitari digitali che attraverso l’impiego di un software molto particolare consentono di rilevare, mediante “riconoscimento e tracciamento facciale” di coloro che si trovano davanti agli stessi, il tempo di permanenza di fronte alla pubblicità, il tempo di mantenimento di un certo volto nel campo visivo del sensore, permettendo all’impresa che gestisce i totem di ricevere alcune informazioni, approssimative e su base statistica – come sesso, fascia d’età, distanza dal totem, tempo di permanenza davanti al sensore, tempo di attenzione prestata – volte ad individuare il livello di gradimento da parte del pubblico dei diversi messaggi pubblicitari.

Questi totem pubblicitari, in base alle informazioni fornite al Garante dalla società che li gestisce sembrano essere un chiaro esempio di privacy by design, infatti sono costruiti in modo da non identificare le specifiche caratteristiche biometriche dei singoli volti, ma rilevare solo il fatto che si tratta approssimativamente di un volto umano e al più riconoscere l’espressione facciale suddivisa in 5 categorie generali (dal felice al triste); tra l’altro, i dati sono cifrati, quindi memorizzati centralmente, utilizzati solo per effettuare analisi di tipo statistico, riferite all’apprezzamento sui messaggi pubblicitari trasmessi. Le immagini vengono immagazzinate in una RAM centrale solo per il tempo necessario ad effettuare le analisi statistiche, pari a qualche decimo di secondo al massimo, venendo quindi cancellate perché immediatamente sovrascritte dalle immagini successive; non avviene alcuna trasmissione o comunicazione a terzi o ai server dove sono raccolti i contenuti pubblicitari; inoltre la società afferma di aver messo a punto una policy per la sicurezza fisica dei sistemi in cui i dati sono conservati, allo scopo di proteggere tali sistemi da accessi indesiderati, rendendo i devices (personal computer, periferiche, switch) chiusi alla vista potendo essere aperti esclusivamente mediante chiavi o codici da parte del personale addetto alla loro manutenzione. Tutto è protetto mediante protocolli SSL/TLS.

Un sistema così improntato, secondo il Garante, effettua comunque un trattamento di dati personali, in quanto  attraverso l’immagine del viso rileva tutta una serie di informazioni utilizzate per effettuare analisi pubblicitarie. In ogni caso, il Garante ritiene che il trattamento di dati venga svolto in maniera conforme ai principi della normativa in materia di privacy, considerando che la finalità perseguita dalla società consiste unicamente nell’analisi c.d. anonimizzata del pubblico e che il sistema risulta implementato affinché non siano messi a rischio i diritti e le libertà fondamentali, nonché la dignità e la riservatezza degli interessati e che il sistema cancella tutti i dati una volta terminata la finalità del trattamento.

Ad ogni modo, trattandosi pur sempre di trattamento di dati personali, il Garante, con il suo provvedimento, ha stabilito che:

– il titolare del trattamento deve fornire l’informativa in forma semplificata, ai sensi dell’art. 13, comma 3, del Codice, attraverso cartelli sintetici posizionati nelle vicinanze dei totem pubblicitari, utilizzando messaggi che dovranno comunque essere integrati da informative complete, rese agevolmente raggiungibili sul sito della società titolare, attraverso un QR code da posizionare sulla stessa vetrofania.

Per quanto concerne la richiesta di consenso, il Garante ha ritenuto che in tali circostanze esso sia impossibile da acquisire, pertanto facendo riferimento all’istituto del bilanciamento di interessi (art. 24 comma 1,lett. g Codice Privacy; si veda anche l’odierno regolamento n. 679 sul concetto di interesse legittimo) ammette che la rilevazione delle immagini avvenga senza consenso, ma alle condizioni e nei limiti precisati per la sola finalità di analisi anonima del pubblico interessato.

– il titolare è tenuto a curare particolarmente la custodia del sensore per la raccolta delle immagini (la webcam istallata su ogni apparato) e della memoria locale su cui vengono memorizzate temporaneamente le immagini degli interessati, in quanto elementi critici per la protezione dei dati; a tal proposito, prescrive che il titolare effettui ogni sei mesi un monitoraggio di tali apparati, al fine di rilevare eventuali malfunzionamenti, indisponibilità degli apparati o tentativi di accesso fraudolento, in considerazione del rischio specifico relativo ad un possibile utilizzo illegittimo dei dispositivi impiegati.

Si può dire che il presente caso sia un chiaro esempio di come dovrebbe essere impostato un sistema di trattamento dati personali per essere compliance con le disposizioni previste dal nuovo regolamento n. 679, al quale, lo ricordiamo, chiunque tratta dati personali dovrà adeguarsi entro il prossimo maggio 2018, in questo caso, infatti, si individuano come elementi fondamentali: l’informativa, la corretta valutazione degli interessi in gioco e il loro bilanciamento che consente di non chiedere il consenso agli interessati, l’utilizzo di misure tecniche e organizzative a tutela di privacy, la creazione di un sistema tecnologico impostato per proteggere i dati personali trattati, sin dalla fase della sua implementazione (privacy by design), utilizzo di crittografia, cancellazione dei dati, policy interne. Tutto ciò ha permesso all’impresa di proseguire, anche se con i dovuti accorgimenti imposti dal Garante, il trattamento di dati personali a norma.

Annalisa Spedicato – Avvocato Esperto in IP ICT e Privacy

RICHIEDI CONSULENZA

 

Autore Avvocato Spedicato IP ICT Privacy

Avvocato Esperto in IP ICT e Privacy

Privacy Preference Center

Cookies Preferenze

Questi cookie permettono al browser usato dall'utente di memorizzare informazioni che incidono sull'aspetto del sito visitato, come la lingua dell'utente o l'area geografica in cui si trova l'utente. I cookie possono anche aiutarti a modificare le dimensioni del testo, il tipo di carattere e altre parti personalizzabili delle pagine web.
La perdita delle informazioni memorizzate in un cookie delle preferenze potrebbe non consentirti di godere appieno o correttamente dell'esperienza sul sito web, ma non dovrebbe comprometterne il funzionamento.

NID