g-docweb-display Portlet

Verifica preliminare. Sperimentazione di sistemi intelligenti per la sicurezza di filiali bancarie e la prevenzione di eventi criminosi - 9 maggio 2018 [8998311]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 8998311]

Verifica preliminare. Sperimentazione di sistemi intelligenti per la sicurezza di filiali bancarie e la prevenzione di eventi criminosi - 9 maggio 2018

Registro dei provvedimenti
n. 273 del 9 maggio 2018 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della dott.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il d.lgs. 30 giugno 2003, n. 196, recante il “Codice in materia di protezione dei dati personali” (di seguito “Codice”);

VISTO il provvedimento in materia di videosorveglianza dell’8 aprile 2010 (pubblicato in G.U. n. 99 del 29 aprile 2010 e in www.gpdp.it, doc. web n. 1712680);

VISTO il provvedimento del 22 maggio 2014 (doc. web n. 3230814)

VISTA la richiesta di verifica preliminare presentata da Banca Monte dei Paschi di Siena s.p.a., ai sensi dell’art. 17 del Codice;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Licia Califano;

PREMESSO

1. L’istanza della Società.

Banca Monte dei Paschi di Siena s.p.a., di seguito “la Banca”, con nota del 12 giugno 2017, ha presentato a questa Autorità un’istanza di verifica preliminare, ai sensi dell’art. 17 del Codice, relativa alla sperimentazione di soluzioni innovative per la sicurezza delle proprie filiali e la prevenzione degli eventi criminosi.

La Banca intende implementare sistemi intelligenti, basati sull’utilizzo di componenti audio e video integrati, che, in correlazione agli altri dispositivi già presenti nelle agenzie, consentano la gestione delle situazioni “anomale”.

Le segnalazioni ritenute critiche, che scaturiscono da tali correlazioni, verranno inviate alle control room (che   gestiscono a livello centrale la sicurezza) i cui operatori hanno il compito di verificarne la fondatezza attraverso l’utilizzo degli strumenti di videosorveglianza tradizionali e, in caso di necessità, di porre in essere le azioni idonee al tipo di evento in corso quali, ad esempio, l’allertamento delle forze dell’ordine e degli altri servizi di emergenza.

La sperimentazione di tale progetto interesserà inizialmente 5 agenzie per poi coprire successivamente tutta la rete MPS. 
A corredo dell'istanza la Banca ha allegato una copiosa documentazione contenente le specifiche tecniche di funzionamento del progetto e il verbale dell’accordo sottoscritto con le rappresentanze sindacali in relazione all’installazione di “impianti di videoregistrazione/videosorveglianza” all’interno delle proprie unità produttive.

2. Il progetto proposto

La richiesta di verifica preliminare presentata dalla Banca concerne l’utilizzo di soluzioni che si avvalgono delle tecnologie di videoanalisi e di audiosorveglianza per la protezione delle filiali e degli ATM (automated teller machine). Le soluzioni proposte possono essere raggruppate in 3 tipologie:

1. Sistemi di videoanalisi: sistemi di protezione composti da una serie di componenti gestiti da un software in grado di “elaborare la scena” e individuare comportamenti anomali sulla base di filtri preimpostati.
Tali software, congiuntamente alle altre applicazioni di sicurezza, permettono di rilevare una sequela di eventi “critici”: uomo a terra, penetrazione dal pavimento, scavalcamento del bancone, attraversamento di una linea di demarcazione in un verso non consentito, abbandono o rimozione di oggetti, etc.

Attraverso questi sistemi, le telecamere presenti in filiale possono eseguire in automatico l’analisi dei movimenti, comparando con un’immagine di riferimento standard le immagini successive, e ricercare un cambio della scena riconducibile ad uno degli scenari sopraindicati che potrebbero di volta in volta prospettarsi.

In tal caso il sistema invia una segnalazione alla control room che mette in atto le procedure attualmente in vigore di video ispezione tradizionale, di gestione evento e di chiamata delle forze dell’ordine.

2. Dispositivi integrati nell’ATM: sistemi che, utilizzando i sensori tridimensionali attraverso la tecnologia intel real sense, permettono, invece, di rilevare la presenza di persone nei pressi dello sportello automatico e di analizzare la scena in modo da intercettare precocemente i tentativi di attacco (Early Attack Detention). 

L’area inquadrata è solo quella dell’ATM e, nello specifico, quella della tastiera e della bocchetta di erogazione del denaro. Ciò, al fine di rilevare i movimenti di braccia e mani considerati difformi da quelli definiti standard (prelievo contanti). Il sistema, dunque, non inquadra la figura intera della persona presente di fronte allo sportello.

Le informazioni rilevate sono analizzate in tempo reale attraverso algoritmi che determinano i livelli di criticità dei gesti e le relative scale di rischio. I segnali vengono immediatamente processati  e sono memorizzati sotto forma di informazioni numeriche che vengono analizzate da un sistema di machine learning che dovrà classificare, sulla base delle dinamiche apprese in precedenza, il livello di criticità delle azioni in corso in base a una scala di severità.

In caso di movimento non classificato come standard vengono attivati dei segnali luminosi o acustici (messaggio preregistrato) diretti alla persona presente di fronte all’ATM e delle segnalazioni di allarme alla control room. Il personale di questa struttura si attiverà avviando la videosorveglianza remota di tipo tradizionale e, se necessario, dialogando con la persona presente davanti all’Atm attraverso i dispositivi installati (periferiche audio di input/autput).

In base all’esito della verifica effettuata, il personale della control room è in grado di attivare ogni presidio e risposta coerente con la situazione concreta rilevata.

3. sistemi di audio-sorveglianza: sono sistemi che si basano sull’analisi dei rumori della filiale acquisiti attraverso i microfoni installati in diversi punti dei locali (ad es. dove si trovano gli sportelli al pubblico e il caveau) e sono in grado di intercettare situazioni di minaccia o di potenziale anomalia all’interno della filiale.

I segnali audio vengono analizzati in tempo reale (si analizzano singole porzioni di audio della durata di 2-3 secondi) e da questi vengono estratte informazioni numeriche relative alla potenza e alla modulazione di frequenza che vengono elaborate dagli algoritmi di machine learning per rilevare eventuali situazioni anomale.

In caso di criticità, viene allertata la control room che mette in atto le consuete procedure consolidate di ispezione video, gestione evento, chiamata delle forze dell’ordine.  

I dati audio “non vengono salvati nella modalità operativa ma vengono processati in tempo reale ed eliminati immediatamente”.

Ciò, in quanto la finalità perseguita nel caso di specie, volta a tutelare il personale e i clienti, appare lecita alla luce della disciplina in materia di protezione dei dati personali, tenuto altresì in conto gli accorgimenti che il titolare del trattamento ha dichiarato di voler adottare. A tale ultimo proposito, si rileva che il sistema prevede una raccolta limitata di immagini al verificarsi di determinati eventi, senza procedere ad una raccolta sistematica e continuativa delle stesse, in ossequio al principio di minimizzazione nel trattamento dei dati personali (artt. 3 e 11 del Codice). In particolare, il  procedimento rende impossibile risalire all’audio ambientale nella sua completezza e quindi al riconoscimento da parte dell’udito umano di forme sonore quali il parlato. Infatti, anche invertendo il procedimento di analisi numerica, il segnale audio presenta delle interruzioni che non ne permettono la comprensione (sul punto ved. documento prodotto a supporto dell’istruttoria dal Laboratorio di Interaction Design – Mind Lab dell’Università di Siena).

3. Le valutazioni dell’Autorità. 

La richiesta di verifica preliminare presentata dalla Banca ha ad oggetto l’utilizzo, in via sperimentale, di un sistema integrato di sorveglianza realizzato attraverso tecniche di analisi delle immagini e dei suoni.

All’esito della sperimentazione, che coinvolgerà soltanto cinque agenzie, è intenzione della Banca implementare il sistema in esame in tutte le proprie filiali.

Il progetto descritto è finalizzato a consentire alla Banca di rilevare situazioni anomale e, dunque, di prevenire significativamente il rischio di eventi criminosi. 

Dall’esame della documentazione allegata all’istanza, il sistema, nelle sue tre articolazioni, risulta preordinato all'acquisizione dei dati strettamente necessari al perseguimento delle finalità di sicurezza. 

In relazione all’utilizzo del sistema di audio analisi, la raccolta dei suoni ambientali e la loro elaborazione non permettono il riconoscimento del “parlato” in quanto i suoni captati vengono trattati alla stregua dei rumori ambientali. 

Analogamente, in corrispondenza degli ATM, la rilevazione delle immagini non consente di visualizzare il volto di una persona, in ragione delle caratteristiche di installazione della telecamera.

Con riferimento alle videocamere posizionate all’interno delle filiali, l’acquisizione delle immagini è di tipo tradizionale.

L’attivazione della videosorveglianza da remoto è prevista solo in caso di rilevamento dell’evento anomalo. Il sistema sarà configurato in modalità “event based” in modo da non registrare alcun flusso video se non dopo il verificarsi di un evento anomalo o criminoso. In condizioni di riposo il sistema manterrà nella memoria RAM gli ultimi secondi di stream video. In tali condizioni l’operatore potrà visualizzare soltanto i flussi video in tempo reale. 

Il sistema in esame presenta indubbiamente caratteri di novità che impongono un’attenta considerazione degli esiti della sperimentazione iniziale che viene proposta, con specifico riguardo ai riflessi e alle possibili ripercussioni sui diritti e le libertà degli interessati.

Va peraltro considerato che tale fase di sperimentazione si svolgerà nella piena vigenza e applicabilità delle nuove disposizioni del Regolamento generale sulla protezione dei dati personali (Regolamento UE 2016/679).

Pertanto, se l’iniziale avvio della sperimentazione può essere autorizzata dal Garante, sulla base dell’istituto della verifica preliminare, i successivi sviluppi dell’iniziativa dovranno tenere conto del nuovo quadro regolatorio.

Al riguardo, alla luce della previsione di cui all’art. 35 del citato Regolamento, i trattamenti in questione, venendo posti in essere mediante l’utilizzo di tecniche innovative, quali, nello specifico, il machine learning, possono presentare senza dubbio un rischio elevato per i diritti e le libertà delle persone fisiche (ved. anche Opinion WP248 del Gruppo art. 29).

Al riguardo, in ossequio al principio di responsabilizzazione (art. 5, par. 2, del Regolamento) c che impone al titolare del trattamento l’adozione di un insieme di misure tecniche e organizzative adeguate e di comprovare il rispetto del Regolamento medesimo (art. 5, par. 2), nei casi in cui un trattamento possa appunto presentare un rischio elevato per i diritti e le libertà delle persone fisiche, è altresì necessario effettuare una “valutazione di impatto sulla protezione dei dati” (artt. 35 e 36).

Pertanto, la Banca, realizzando mediante i sistemi descritti un monitoraggio sistematico (nel caso di specie audio e video) di particolare delicatezza, dovrà, terminata la fase sperimentale del progetto, che comunque non potrà essere superiore a un anno, effettuare una valutazione di impatto sulla protezione dei dati al fine di individuare i rischi per i diritti e le libertà delle persone fisiche e le misure in grado di contenerli anche alla luce dell’esperienza maturata durante la fase sperimentale del progetto proposto.

Solo all’esito di siffatta valutazione la Banca potrà decidere se avviare in maniera generalizzata il trattamento, avendo adottato tutte le misure idonee a contrastare efficacemente i rischi, ovvero se consultare l’Autorità qualora persista un rischio elevato che non ritenga di aver pienamente individuato o di non essere in grado di gestire compiutamente con le misure tecniche e organizzative adottate. 

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 17 del Codice, accoglie, nei termini di cui in motivazione, la richiesta di verifica preliminare presentata da Banca Monte dei Paschi di Siena s.p.a. limitatamente alla fase sperimentale del progetto, che comunque non potrà essere superiore a un anno.

Ai sensi degli articoli 152 del Codice e 10 del decreto legislativo n. 150 del 2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 9 maggio 2018

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia