È illecita l’istallazione di telecamere a fianco alle opere d’arte di un museo per rilevare il gradimento degli utenti.
Per approfondire si consiglia il volume: I rapporti tra normativa privacy e Modello 231
1. I fatti
Un istituto per la trasparenza e i diritti umani digitali inviava una segnalazione al Garante per la protezione dei dati personali, con cui portava all’attenzione dell’autorità l’istallazione, da parte dell’agenzia nazionale per le nuove tecnologie (ENEA) e dell’istituzione Bologna musei, di un sistema finalizzato a misurare il gradimento degli utenti di un’opera d’arte e a rilevare il corretto utilizzo di mascherina e distanziamento sociale. In particolare, sosteneva il segnalante, che detto sistema (chiamato ShareArt), attraverso l’uso di telecamere posizionate accanto all’opera d’arte, rilevava automaticamente i volti delle persone che guardavano verso l’opera, acquisendo una serie di informazioni in ordine al comportamento dell’utente nell’osservazione dell’opera, il numero di persone che l’hanno guardata, il tempo e la distanza di osservazione, il genere, l’età e lo stato d’animo dell’osservatore (oltre all’uso della mascherina). Infine, il segnalante riferiva che c’era soltanto un cartello in biglietteria che indicava la presenza del suddetto sistema.
Preso atto della segnalazione il garante chiedeva chiarimenti ad Enea e al Comune di Bologna (cui l’istituzione museale era riferibile).
L’Enea dichiarava che il sistema ShareArt non comportava la raccolta e il trattamento di dati riferibili a persone fisiche identificate o identificabili e tanto meno la raccolta di dati biometrici e il suo uso era finalizzato ad un’attività di ricerca volta a fornire ai curatori dei musei un insieme di dati utili a studiare la modalità di fruizione delle opere d’arte da parte degli utenti, in modo che i curatori potessero ottimizzare l’esposizione delle opere.
Per quanto concerne, invece, il funzionamento del sistema, Enea affermava che lo stesso si basava su una tecnica di rilevamento del viso, che non era orientata ad identificare le persone, ma si limitava soltanto a rilevare la presenza di volti umani. In particolare, ad ogni volto individuato dalla telecamera, veniva applicato un numero di identificazione, in modo da individuare il suo spostamento all’interno dell’area inquadrata dalla telecamera, senza individuarne le caratteristiche geometriche (tant’è che, qualora la persona usciva dall’area di ripresa e ne rientrava immediatamente dopo, al suo volto veniva associato un nuovo numero identificativo). Inoltre, Enea riferiva che ogni immagine catturata dalla telecamera veniva memorizzata per soli circa 100 millisecondi all’interno di un server chiuso e che al termine dell’elaborazione sia l’immagine che il riquadro di ogni volto rilevato a seguito dell’elaborazione venivano cancellati. All’esito dell’elaborazione, quindi, venivano generati soltanto dei dati alfanumerici, anonimi, che riguardavano: 1) il numero di volti rilevati nel tempo; 2) la distanza dei volti rilevati nel tempo; 3) la distribuzione del tempo medio di osservazione; 4) la distribuzione della distanza media di osservazione; 5) la mappa in falsi colori della posizione degli osservatori rispetto all’opera; 6) la presenza o meno della mascherina nel volto rilevato; 7) la direzione dello sguardo; 8) la stima dell’età (variabile continua tra 18 e 75 anni); 9) la stima del genere (classificazione binaria maschio-femmina).
Pertanto, secondo Enea, partendo dai dati ricavati dal sistema, non è possibile risalire all’immagine acquisita dalla telecamera e quindi all’identità della persona fisica. Inoltre, i visitatori non venivano sottoposti ad alcuna decisione basata sulle informazioni acquisite e generate dal sistema (né ciò era possibile neanche potenzialmente).
Conseguentemente sia Enea che l’istituzione Bologna musei ritenevano che il sistema non comportasse alcun trattamento di dati personali e per tale ragione dette parti non avevano ritenuto di accordarsi per determinare i ruoli reciproci con riferimento al trattamento dei dati personali.
Per quanto concerne le finalità del progetto, Enea precisava che le stesse riguardavano il perseguimento di studi e ricerche scientifiche, in linea con le finalità istituzionali di detto istituto, e che i dati estratti dal sistema, già anonimizzati, venivano studiati solamente da Enea e dall’istituzione museale per le rispettive finalità del progetto, senza essere comunicati a terzi.
Il Comune di Bologna, invece, faceva presente che l’uso del sistema in questione era in fase sperimentale e che le attività di test erano state svolte soltanto su 10 opere, durante un periodo di ridotta presenza di pubblico nei musei dovuta alle frequenti chiusure a causa della pandemia.
In secondo luogo l’ente comunale evidenziava che l’istituzione museale non aveva assunto alcun ruolo nell’ideazione e nell’istallazione del sistema, né tanto meno nella gestione e nella conservazione del flusso dei dati acquisiti. In particolare, l’istituzione museale non aveva mai avuto accesso, né comunque aveva mai utilizzato, i dati trattati e elaborati dalla piattaforma (alla quale, tra l’altro, l’istituzione non poteva neanche accedere).
Potrebbero interessarti anche:
2. Le valutazioni del Garante
Preliminarmente, il Garante ha ricordato che, in base alla normativa in materia di privacy, dato personale è qualsiasi informazione che riguarda una persona fisica identificata o identificabile e che il legislatore europeo ha dato un’interpretazione molto estesa della nozione di dato personale, non limitata alle sole informazioni sensibili o di ordine privato, ma estesa a qualsiasi tipo di informazione che concerne una persona fisica. In altri termini, qualsiasi informazione connessa ad una determinata persona è un dato personale.
In considerazione di ciò, la corte di giustizia europea ha più volte ritenuto che, con riferimento al trattamento dei dati personali attraverso dispositivi video, l’immagine del volto di una persona costituisce un dato personale e che la registrazione di tale immagine comporta un trattamento di dati personali, senza che rilevi il fatto che il titolare del trattamento non conosca l’identità della persona cui si riferisce l’immagine del volto o non abbia ulteriori informazioni che possono consentirgli di identificarla. Ciò in quanto, per stabilire se una persona è identificabile o meno, non basta valutare le informazioni in possesso del titolare del trattamento, ma è necessario considerare tutti i mezzi di cui anche i soggetti terzi possono ragionevolmente avvalersi per identificare direttamente o indirettamente detta persona.
Nel caso di specie, quindi, il sistema ShareArt – così come descritto dalla stessa Enea – comporta un trattamento di dati personali, consistenti nell’immagine del volto dei visitatori del museo (nonostante esso non valorizzi permanentemente le caratteristiche facciali del volto individuato e non determini a chi appartenga detto volto). In ogni caso, secondo il garante, il sistema permette di acquisire altri dati personali relativi all’età, al genere e ad alcuni elementi emotivi dei volti individuati nelle immagini.
Pertanto, le attività di elaborazione delle immagini acquisite dalle telecamere, al fine di ricavare i dati di cui sopra, sostanziano un trattamento di dati personali, anche se per un tempo estremamente breve (infatti, l’immagine catturata rimane per circa 100 millisecondi nel sistema prima di essere soprascritta). In altri termini, il fatto che le immagini risiedono all’interno del sistema per un periodo di tempo, anche se molto breve, è sufficiente a mettere in atto un trattamento di dati personali dei soggetti i cui volti sono stati catturati dalla telecamera, senza che rilevi altresì il fatto che nessun soggetto facente parte dell’organizzazione del titolare del trattamento possa visualizzare le immagini memorizzate.
Posto che le attività compiute dal sistema in questione sostanziano un trattamento di dati personali, il garante ritiene che, in primo luogo, le parti avrebbero dovuto disciplinare, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal regolamento europeo per la protezione dei dati personali.
Infatti, stipulando l’accordo di collaborazione tra Enea e il Comune per l’installazione e l’uso del sistema ShareArt all’interno di alcuni musei civici, dette parti hanno determinato congiuntamente le finalità e i mezzi del trattamento di dati personali. Pertanto, entrambe dette parti debbono essere identificati come con-titolari del trattamento.
La mancata stipula dell’accordo in ordine alla disciplina delle rispettive responsabilità fra i due con-titolari, determina una violazione della normativa in materia di privacy.
In secondo luogo, il garante ha ritenuto che il trattamento in questione sia illecito anche in considerazione della mancanza di una base giuridica che lo legittimasse.
A tal proposito, l’autorità ha ricordato che i soggetti pubblici hanno la possibilità di effettuare i trattamenti di dati personali attraverso l’uso di dispositivi video, nel caso in cui il trattamento sia necessario per adempiere a un obbligo legale al quale è soggetto il titolare del trattamento o comunque per l’esecuzione di un compito di interesse pubblico. Anche in tale caso, tuttavia, il titolare del trattamento deve rispettare i principi previsti dal codice privacy di liceità, correttezza e trasparenza del trattamento nonché di minimizzazione dei dati.
La suddetta base giuridica, idonea a legittimare il trattamento dati effettuato per l’esecuzione di un compito di interesse pubblico, deve sostanziarsi in una norma di legge o, nei casi previsti dalla legge, di regolamento, che individui l’obiettivo di interesse pubblico da perseguire e che disciplini il trattamento con modalità proporzionate rispetto all’obiettivo perseguito.
Tuttavia, nel caso di specie, il Comune non ha provato che il trattamento in questione potesse considerarsi fondato su un’idonea base giuridica, infatti non ha dimostrato l’esistenza di alcuna norma di legge o di regolamento che prevedesse un trattamento di dati personali come quello in questione.
Analogamente, il garante ha ritenuto che non vi fosse alcuna base giuridica idonea a legittimare il trattamento compiuto da Enea.
In particolare, il garante ha ritenuto infondata la tesi sostenuta da Enea secondo cui il sistema sarebbe stato impiegato nel contesto di un programma di ricerca scientifica. Infatti, non è stato dimostrato che Enea abbia redatto uno specifico progetto di ricerca avente per oggetto la sperimentazione di tale sistema. Inoltre, non è stata comunque dimostrata l’acquisizione del consenso libero, specifico, informato e sempre irrevocabile di coloro i quali avrebbero aderito all’eventuale progetto di ricerca. Né è stata ritenuta accoglibile la tesi per cui il trattamento era necessario per adempiere alla missione istituzionale di Enea e quindi a raggiungere gli obiettivi di interesse pubblico sottes: stante la mancanza di una norma di legge o di regolamento che designasse il suddetto interesse pubblico.
Infine, il garante ha altresì accertato la violazione del principio di trasparenza del trattamento in questione.
Infatti, dall’istruttoria è emerso che il Comune e Enea si sono limitati ad affiggere, presso la biglietteria museale, un avviso per informare gli utenti circa l’uso del sistema, ma non hanno fornito ai visitatori un’informativa sul trattamento dei dati personali completa, così come prevista dal regolamento europeo, contenente i dati di contatto del titolare del trattamento e dei responsabili, l’indicazione della base giuridica del trattamento e del periodo di conservazione dei dati nonché dei diritti degli interessati.
3. La decisione del Garante
In considerazione di tutte le valutazioni di cui sopra, il Garante ha ritenuto che il trattamento di dati personali effettuato dal Comune e da Enea attraverso il sistema ShareArt è illecito, in quanto viola i principi fondamentali della normativa in materia di privacy sopra richiamati.
Tuttavia, nonostante detta illegittimità del trattamento, il Garante ha comunque ritenuto di non applicare una sanzione amministrativa pecuniaria a carico del Comune e di Enea, ma di limitarsi ad ammonirli entrambi, ritenendo che le violazioni in questione possono considerarsi “minori”.
Tale decisione è stata presa dal garante sulla scorta delle seguenti valutazioni:
- che il trattamento in questione non ha avuto ad oggetto dati biometrici o altri dati appartenenti a categorie particolari, ma è stato limitato soltanto ai dati personali;
- che le immagini dei volti dei visitatori sono state conservate nel sistema ShareArt per pochi millesimi di secondo;
- che la durata del trattamento è stata non troppo estesa e che il numero di visitatori è stato limitato in quanto il trattamento è avvenuto nei periodi di frequenti chiusure dovute alla pandemia;
- che sono state utilizzate soltanto due telecamere, per un numero limitato di sole 10 opere d’arte;
- che la violazione ha comunque avuto carattere colposo;
- che, nonostante le parti non abbia fornito un’idonea informativa sul trattamento dei dati personali, hanno comunque avvertito i visitatori in ordine all’uso del sistema in questione, attraverso appositi cartelli collocati in posizione tale che i visitatori li potessero vedere prima di entrare nell’area di video ripresa;
- che non vi erano precedenti specifici a carico delle parti.
Volume consigliato
I rapporti tra normativa privacy e Modello 231
Diventa ormai sempre più frequente il confronto tra la disciplina relativa al trattamento dei dati personali di cui al Regolamento UE 679/2016, e la disciplina della Responsabilità da reato ex d. lgs. 231/2001. Scopo del presente lavoro è quello di analizzare in parallelo le due normative, sottolineando ed approfondendo le similitudini tra il sistema di gestione ed organizzazione degli enti/società e le attività relative al trattamento dei dati personali. Se da un lato il modello 231 assicura la tracciabilità e trasparenza dei processi aziendali tramite apposite procedure e una mappatura dei rischi derivanti dai reati presupposto, dall’altro il GDPR richiede una serie di adempimenti tra cui la definizione di processi gestionali e l’individuazione di figure soggettive che fanno capo al Titolare del trattamento, che comportano specifici compiti ed obblighi con riferimento al trattamento dei dati personali.Michele Iaselli, Docente a contratto di diritto digitale e tutela dei dati alla LUISS e di informatica giuridica all’Università di Cassino. Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP) – settore IA e nuove tecnologie. Titolare del Centro studi “Innova JUS”. Coordinatore del Comitato scientifico di Federprivacy. Esperto Ufficio Generale Innovazione Difesa. Relatore di numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.Luigi Maria Rocca, Laurea in Economia e Commercio con il massimo dei voti, dottore Commercialista e Revisore dei Conti; Professore a contratto presso Università Suor Orsola Benincasa cattedra “Modelli Organizzativi ex d. lgs. 231/2001” anno accademico 2021 – 2022; Senior Partner di Finter.Ciro Santoriello, Magistrato presso la Procura di Torino. Ha conseguito l’Abilitazione Scientifica Nazionale alle funzioni di Professore Universitario di Seconda fascia di Procedura Penale, nonché il dottorato di ricerca in Diritto Costituzionale e Pubblico generate presso l’università degli Studi di Roma – La Sapienza. Relatore ed organizzatore di numerosi convegno sul tema della responsabilità amministrativa ex d. lgs. 231/2001.Gianpiero Uricchio, Dottore Commercialista esperto nelle attività relative al D. lgs.231/2001 e al Regolamento UE 679/2016 in materia di trattamento dei dati personali; Maestro della Protezione dei dati personali e Data Protection designer, iscritto all’albo dell’Istituto italiano Privacy; Cultore della materia della Protezione dei dati personali e reati informatici presso l’Università di Cassino; Membro della commissione 231 dell’ODCEC di Napoli.
Michele Iaselli, Luigi Maria Rocca, Ciro Santoriello, Gianpiero Uricchio | Maggioli Editore 2022
Scrivi un commento
Accedi per poter inserire un commento