Se il continuo sviluppo della tecnologia utilizzabile nel contesto della videosorveglianza sembra consentire agli operatori del settore di abbandonarsi alle più maliose fantasticherie, cercando di conseguenza soluzioni sempre innovative (e possibilmente remunerative) occorre sempre tenere conto del relativo impatto sul contesto sociale e sui diritti dei singoli. Abbiamo più volte osservato che quando ci si riferisce alla videosorveglianza (o, più in generale, alla videoripresa) avente oggetto persone fisiche, questo di regola implica il trattamento di dati personali. Attività questa che può essere assolutamente lecita, a condizione tuttavia che siano rispettati i presìdi normativi posti dall’ordinamento. Ma vi sono alcune situazioni (per ora) di “frontiera” ove la valutazione in termini giuridici di tali trattamenti non appare sempre di facile ed immediata soluzione. E allora dobbiamo chiederci: nel mondo della videosorveglianza fin dove è consentito alzare l’asticella dell’innovazione?
UNA TRANQUILLA GIORNATA AL MUSEO. MA NON SIETE SOLI…
Un importante Comune italiano, tramite il proprio organismo strumentale per la gestione e il coordinamento del sistema museale cittadino, decide di avviare un progetto di ricerca e sviluppo, volto a fornire ai responsabili del museo un insieme di dati utili a studiare la modalità di fruizione delle opere d’arte, anche al fine di ottimizzarne l’esposizione.
In termini pratici, il sistema individuato consente, mediante l’utilizzo di apposite telecamere, di rilevare automaticamente i volti che guardano in direzione della singola opera d’arte esposta, acquisendo una serie di informazioni relative al comportamento degli osservatori (ad esempio, il percorso compiuto per avvicinarsi all’opera stessa, il numero di persone che l’hanno osservata, il tempo e la distanza di osservazione, il genere, la classe di età e lo stato d’animo dei visitatori che osservano). Uno degli aspetti maggiormente innovativi del sistema risiede nella possibilità di raccogliere elementi relativi alla variazione dell’umore del pubblico in funzione della singola opera osservata (potremmo azzardarci a sintetizzare: se l’opera piace o no) anche in funzione dell’età o del genere del visitatore.
Per essere in regola anche con la normativa, il museo posiziona presso la cassa un cartello che informa i visitatori della presenza del sistema di videoripresa. Ma anche così facendo, sarà veramente in regola?
Un sistema invasivo
A fronte delle contestazioni che pervengono con riferimento alla presunta violazione della privacy introdotta dal nuovo sistema, il museo sostiene la legittimità del proprio operato, sottolineando che il sistema per impostazione predefinita può trattare solo dati totalmente anonimizzati e che è dotato di misure di sicurezza che impediscono ad un eventuale intruso di assumere il controllo della telecamera o di intercettarne il flusso video e la memoria locale.
Con particolare riferimento al processo di anonimizzazione, in particolare, viene osservato che questo produrrebbe dati non riferibili – neppure indirettamente – a persone fisiche identificate o identificabili, in quanto avviene direttamente in tempo reale sui frame che non vengono visualizzati né memorizzati; bensì cancellati immediatamente; la presenza pertanto di dispositivi video non rileverebbe in modo specifico, mancando le due operazioni fondamentali di visualizzazione e la memorizzazione che determinano un trattamento di dati personali – giungendo pertanto ad escludere che si possa trattare di un sistema di videosorveglianza.
Tuttavia questo non soddisfa gli interessati contrari ad essere ripresi, i quali oltre ad eccepire la scarsità delle informazioni al pubblico e l’impossibilità di sottrarsi alla ripresa, contestano la finalità della stessa (non essendo relativa alla sicurezza delle opere) e la particolare invasività che l’intero programma ha nei confronti delle persone fisiche, potendone addirittura verificare il “gradimento” delle singole opere esposte.
E’ un trattamento di dati personali?
Per dare una soluzione al problema che qui si pone, occorre innanzitutto determinare se le attività sopra descritte implichino o meno un trattamento di dati personali. A tal fine, rammentiamo che ai sensi del GDPR (art. 4, par. 1, n. 1) per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile”. La locuzione “qualsiasi informazione” risulta avere interpretazione notevolmente ampia, essendo il fine della norma quello di proteggere interessato nel modo più efficace, ed è pertanto pacifico che l’immagine del volto di una persona costituisca un dato personale – con la conseguenza che la registrazione dell’immagine stessa comporta un trattamento di dati personali.
E’ importante sul punto rammentare l’irrilevanza del fatto che il titolare del trattamento non conosca l’identità della persona o comunque non disponga di informazioni che possano consentirgli di identificare nel dettaglio la medesima, restando comunque l’immagine un dato personale in quanto immediatamente idoneo a identificare una persona fisica.
Di conseguenza, le peculiarità tecniche del sistema sopra descritto non appaiono idonee a superare il fatto che l’impiego dello stesso comporta un trattamento di dati personali, consistenti nell’immagine del volto dei visitatori del museo.
Sebbene infatti il sistema utilizzi un algoritmo di face detection (e non di face recognition) tale da non memorizzare in modo permanente le caratteristiche facciali del volto individuato (tali sistemi infatti non sono finalizzanti a riconoscere persone determinate né sono connessi all’identificazione e al riconoscimento degli interessati) in ogni caso, risulta evidente che esso consenta di acquisire informazioni relative all’età, al genere e ad alcuni elementi emotivi dei volti individuati sui diversi fotogrammi. Il che vale a dire che gli algoritmi di face detection richiedono implicitamente l’elaborazione di dati personali, consistenti nelle immagini di volti di persone, posto che il dato di partenza utilizzato dall’algoritmo stesso è l’immagine del volto dell’interessato e pertanto con la conseguenza che – sebbene questo permanga nella RAM della scheda elettronica per un periodo misurabile in millisecondi prima di essere sovrascritto – vi sia effettivamente un trattamento di dati personali necessario all’individuazione dei volti e per l’estrazione delle altre informazioni rilevanti.
Anche se il periodo di tempo in cui i relativi frame risiedono sul sistema risulta estremamente breve, il medesimo è comunque sufficiente a mettere in atto un trattamento di dati personali finalizzato a desumere dall’immagine del viso una serie di informazioni poi utilizzate dal titolare.
A questo si aggiunga il fatto che i soggetti pubblici di regola possono trattare dati personali mediante dispositivi video solo se il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento o per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento (cfr. art. 6, parr. 1, lett. c) ed e), e 3 GDPR e art. 2-ter del Codice Privacy). Ora, posto che l’utilizzo del sistema descritto comporta un trattamento di dati personali, si pongono serie criticità in merito all’effettiva sussistenza di un’idonea base giuridica per il trattamento dei dati, che non appare giustificata né in termini di ricerca scientifica, (cfr. “Regole deontologiche per i trattamenti a fini statistici o di ricerca scientifica”, Allegato A.5 al Codice Privacy) né di acquisizione del consenso libero, specifico, informato e sempre revocabile degli interessati o abbia comunque di garanzia della volontarietà della adesione alla ricerca. Né vi sono elementi che possano comprovare la sussistenza di alcuna norma di legge o di regolamento che espressamente prevedesse un trattamento di dati personali come quello effettuato nel contesto del progetto descritto.
Una risposta decisamente affermativa
Sul punto è stato inoltre osservato che anche laddove sussistesse il requisito della eventuale necessità del trattamento da parte del titolare, questo deve essere interpretato in senso restrittivo e in conformità al principio di minimizzazione: in questo caso, invece, il Museo ha condizionato la fruizione di determinate opere d’arte al trattamento automatizzato dei dati personali relativi all’immagine di volti, non lasciando agli interessati la possibilità di poter fruire liberamente delle opere senza essere sottoposti al trattamento dei propri dati personali mediante dispositivi video collocati nell’immediata prossimità delle opere. Una completa compressione del diritto degli interessati che non appare certo proporzionata rispetto all’interesse del titolare di ottenere informazioni in merito alle modalità di interazione dei visitatori con le opere d’arte stesse – posto tra l’altro che il medesimo obiettivo avrebbe potuto essere conseguito con differenti modalità, tali da preservare i diritti e le libertà degli interessati.
Se ne deve concludere che in questo caso il trattamento dei dati personali è stato effettuato in maniera non conforme al principio di liceità, correttezza e trasparenza, e in assenza di base giuridica. E che pertanto il tema della videosorveglianza (anche intesa in un’accezione ampia, come in questo caso) deve essere sempre affrontato a partire dalla tutela delle persone e del rispetto della normativa applicabile, anche indipendentemente dalla (pur interessante) innovatività delle soluzioni tecnologiche disponibili.
APPROFONDIMENTI
Il caso è liberamente ispirato al Provvedimento n. 122 del 13 aprile 2023 del Garante per la Protezione dei Dati Personali.
(testo di avv. Tommaso E. Romolotti e avv. Laura Marretta)
