Diritti interna

Doveri interna

ricerca avanzata

Verifica preliminare. Raccolta, analisi ed elaborazione di dati, attraverso l’installazione di apparecchiature, per finalità di marketing e ricerche di mercato - 22 maggio 2018 [9022068]

[doc. web n. 9022068]

Verifica preliminare. Raccolta, analisi ed elaborazione di dati, attraverso l’installazione di apparecchiature, per finalità di marketing e ricerche di mercato - 22 maggio 2018

Registro dei provvedimenti
n. 360 del 22 maggio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito “Codice”);

VISTO il Regolamento (UE) n. 679/2016 sulla protezione dei dati personali  del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito “Regolamento”);

VISTA la direttiva 2002/58/CE del 12 luglio 2002, del Parlamento europeo e del Consiglio, relativa al trattamento dei dati personali e della tutela della cita privata nel settore delle comunicazioni elettroniche come da ultimo modificata dalla direttiva 2009/136/CE del 25 novembre 2009;

ESAMINATA la richiesta di verifica preliminare ai sensi dell’art. 17 del Codice pervenuta da Ors S.r.l. (di seguito “Ors”) e Taggalo S.r.l. (di seguito “Taggalo”) concernente il progetto da parte di Ors, di offrire ai propri clienti servizi di raccolta, analisi ed elaborazione di dati, attraverso l’installazione di apparecchiature (in particolare di un device fornito da Taggalo) per finalità di marketing e ricerche di mercato;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

PREMESSO 

Le società Ors S.r.l., con sede in Alba (CN), piazza Prunotto 9 e Taggalo S.r.l. con sede in Milano, vicolo San Giovanni sul Muro, 9 (in prosieguo anche “le Società”) hanno presentato una istanza di verifica preliminare ai sensi dell’art. 17 del Codice al fine di verificare la possibilità per Ors di offrire ai propri clienti servizi di raccolta, analisi ed elaborazione di dati asseritamente anonimi, attraverso l’installazione di apparecchiature (in particolare di un device fornito da Taggalo) da posizionarsi sul soffitto di un locale o in prossimità della vetrina di un negozio. Ciò allo scopo di consentire la rilevazione, con riguardo al transito ed alla sosta delle persone, sia di immagini e comportamenti delle stesse, sia della presenza dei relativi dispositivi mobili, per finalità di marketing e ricerche di mercato. 

A tal fine nel luogo di installazione del device verrebbe apposta un’apposita segnaletica recante l’indicazione che nel locale “sono in uso sensori per la raccolta di dati anonimi” per le dichiarate finalità di marketing e ricerche di mercato, mentre un’informativa più completa sarebbe fornita agli interessati anche avuto riguardo all’esercizio dei relativi diritti.

Esaminata l’istanza e la documentazione presentata dalle Società, effettuati i necessari approfondimenti, anche di carattere tecnico, si svolgono le seguenti considerazioni.

Dalla descrizione del sistema è emerso che la videocamera del device consentirebbe l’acquisizione delle immagini ed il loro temporaneo deposito in una memoria volatile, con la conseguente trasformazione in valori numerici che, una volta confrontati con vettori numerici di riferimento descrittivi di classi di genere, età ed etnia, ne consentirebbero “l’elaborazione in forma anonima” in tempo reale, senza alcuna memorizzazione permanente dell’immagine video. Quest’ultima, infatti, verrebbe contestualmente cancellata dalla memoria volatile del device stesso.

Il sistema consentirebbe inoltre la rilevazione, sempre prospettata dalle istanti come anonima, di alcuni comportamenti “come per esempio il passaggio di persone e/o oggetti attraverso linee virtuali, tracciate nei luoghi del campo di ripresa” per  il conteggio del numero dei passanti o del tempo di permanenza in una determinata area del luogo monitorato dal device.

Nella richiesta è stata anche rappresentata la funzionalità del sistema volta alla rilevazione dei dispositivi mobili delle persone, con servizio wi-fi attivo, presenti nelle vicinanze del device, nonché la rilevazione del relativo Mac address, che verrebbe comunque successivamente “crittografato in modo irreversibile”. Il device consentirebbe infatti il tracciamento dei movimenti dei predetti dispositivi mobili, il tempo di permanenza degli stessi in un determinato luogo e la frequenza con la quale i detentori ritornano nell’area monitorata. Lo stesso sarebbe inoltre in grado di riconoscere il medesimo Mac address crittografato nel caso  di successivi passaggi in sua prossimità. 

Pertanto, posto che il device Taggalo rileverebbe i dati “in forma anonima e in forma di vettori numerici” (tanto che non risulterebbe consentita la visione in diretta delle immagini raccolte, le quali sarebbero solo temporaneamente memorizzate nella memoria volatile) e che il Mac address sarebbe sottoposto ad una procedura di crittografia immediata ed irreversibile, le società istanti hanno chiesto conferma all’Autorità che “gli accorgimenti assunti, il device e i software relativi tutelino effettivamente  i diritti e le libertà fondamentali e la dignità dei soggetti interessati (…)”. 

In tal senso è stato anche assicurato il rispetto dei principi di necessità, liceità e correttezza ai sensi del d.lg. n. 196/2003, come pure il principio di minimizzazione in linea con le più recenti disposizioni del Regolamento europeo 679/2016 di prossima piena applicazione.

Orbene, sulla base di quanto rappresentato nell’istanza e nella documentazione ad essa allegata, occorre rilevare, in primo luogo, che i dati coinvolti nel sistema di rilevamento da parte del device Taggalo sono dati personali che includono, seppure per un breve arco temporale, le immagini (compreso il volto) dei passanti e i loro comportamenti.

Inoltre, è da considerarsi dato personale anche il Mac address relativo ai  dispositivi mobili detenuti dai soggetti rilevati.

In tal senso bisogna infatti ricordare che il Mac address, come il Garante ha avuto modo di evidenziare in precedenti provvedimenti (cfr. provv. n. 144 del 12 marzo 2015 doc web 3881392 e provv. n. 241 del 23 aprile 2015 doc web 4015426), ma come anche richiamato nella stessa istanza in esame, riveste il carattere di dato personale in ragione della sua “univocità” che permane anche dopo l’applicazione di meccanismi crittografici.

Inoltre, da quanto emerge dalla documentazione tecnica presentata dalle Società, il descritto passaggio di persone e oggetti attraverso linee virtuali tracciate nei luoghi del campo di ripresa, nonostante l’asserita funzionalità di conteggio, si profila piuttosto come un vero e proprio tracciamento di mobilità stante la possibilità (peraltro anche prefigurata nell’istanza) di seguire, proprio attraverso le telecamere, la traiettoria delle immagini nell’area monitorata o i movimenti dei dispositivi mobili detenuti dalle persone.

Un siffatto trattamento, tuttavia, non può che svolgersi previo rilascio di un consenso informato da parte dei soggetti interessati.

In tal senso opera non solo il disposto dell’art. 122 del Codice con riguardo all’accesso ad informazioni archiviate nell’apparecchio terminale di un contraente o di utente, possibile solo a condizione che ne sia stato acquisto il consenso informato, ma anche quanto emerge dal recente parere 1/2017 del Gruppo ex art. 29  relativo alla proposta di regolamento sulla vita privata e le comunicazioni elettroniche (2002/58/CE) adottato il 4 aprile 2017.

In quest’ultimo, infatti, nel richiamo alla conformità degli obblighi previsti dall’emanando “Regolamento e-privacy” per il tracciamento dell’ubicazione delle apparecchiature terminali ai requisisti del Regolamento, è evidenziato che il tracciamento dell’ubicazione delle apparecchiature terminali  per tenere traccia degli spostamenti fisici delle persone (ad esempio tracciamento “WiFi” o tracciamento “Bluetooth”) non potrebbe essere effettuato, tenendo conto delle circostanze e delle finalità della raccolta dei dati (posto che “gli indirizzi Mac sono dati personali e lo restano anche dopo l’adozione di misure di sicurezza quali l’hashing”), senza il consenso dell’interessato, ovvero previa anonimizzazione dei dati raccolti.

Peraltro, nel parere è specificamente richiamata, tra le ipotesi in cui sarebbe necessario ottenere il consenso degli interessati, quella della raccolta e conservazione di indirizzi Mac, indirettamente identificabili (WiFi o Bluetooth) dei dispostivi, così come del calcolo dell’ubicazione dell’utente “al fine di tenere traccia della sua posizione nel corso del tempo, ad esempio nel contesto di più negozi”. Nondimeno, nell’ambito di spazi pubblici, è pure espressamente rilevato che “gli utenti fanno affidamento legittimamente sul fatto di non essere identificati o tracciati e invece si raccolgono gli indirizzi MAC dei passanti”.

Ma anche ove il trattamento descritto nell’istanza venisse limitato ad una mera operazione di conteggio, senza alcuna operazione di tracciamento di mobilità e fosse possibile in tal caso legittimare, come peraltro emerso in altri provvedimenti dell’Autorità che hanno riguardato casi in parte analoghi (cfr. provv. n. 13 del 21.01.2016 , doc. web n. 4806740 e provv. n. 551 del 21.12.207, doc. web n. 7496252), il ricorso  ad un’altra base giuridica (stante l’oggettiva difficoltà di acquisire il consenso dei soggetti interessati), a ciò osterebbe la stessa prospettazione dell’istanza.

Questa non consente infatti di richiamare la sussistenza di un  legittimo interesse del titolare o di un terzo destinatario dei dati, così come previsto, in particolare, dall’art. 24, comma 1, lett. g) del Codice. 

Da quanto rappresentato, infatti, non solo non è  dato individuare l’eventuale terzo destinatario dei dati  con riguardo alle rappresentate finalità di marketing e di indagine di mercato cui è subordinato l’uso delle descritte apparecchiature di rilevazione (presumibilmente i diversi soggetti ai quali sarebbero forniti i servizi del device Taggalo), ma non ne è stato in alcun modo rappresentato neanche il legittimo interesse, così da consentire il bilanciamento di interessi che la citata norma richiama, delineando i casi nei quali il trattamento può essere effettuato appunto senza consenso degli interessati, previo intervento dell’Autorità.

Da ultimo, anche un possibile richiamo (presente non senza contraddizioni nell’istanza) all’uso di dati anonimi/anonimizzati comporterebbe che il trattamento descritto, o le operazioni isolatamente previste, non potrebbero formare oggetto di valutazione preliminare ai sensi dell’art. 17 del Codice, in quanto, in tal caso, non troverebbe applicazione la stessa disciplina in materia di protezione dei dati personali.

Pertanto, la presente istanza di verifica preliminare, sulla base della documentazione presentata e alla luce delle considerazioni sopra esposte, non può essere accolta.

Alla luce di quanto evidenziato ed  in considerazione della prossima scadenza del 25 maggio 2018 che vedrà pienamente operativo il citato Regolamento 679/2016, si ritiene tuttavia opportuno aggiungere quanto segue.

Tenuto conto che, come è noto, l’istituto della verifica preliminare di cui al menzionato art. 17 del Codice non rientrerà nel nuovo quadro regolamentare, spetterà al titolare del trattamento effettuare una “valutazione di impatto” sulla protezione dei dati   rispetto ad ogni tipologia di trattamento che possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche (cfr. art. 35 Reg.), così come pure nelle specifiche ipotesi, previste dal legislatore, con riguardo a trattamenti che implicano la valutazione di comportamenti o l’impiego di sistemi di sorveglianza sistematica in aree accessibili al pubblico.
In tal senso si evidenzia che sarà proprio nel suddetto ambito che le valutazioni anticipate in questa sede potranno essere prese in considerazione dalle società istanti, nel rispetto dei principi sanciti dall’art. 5 del Regolamento ed in particolare del principio di accountability, come pure del richiamato principio di privacy by design (cfr. art. 25 Reg.).

Ciò ferma restando la possibilità di ricorrere all’Autorità in sede di consultazione preventiva laddove dovessero ricorrere i presupposti pure indicati nel successivo art. 36 del Regolamento.

TUTTO CIÒ PREMESSO IL GARANTE

rigetta, per le suesposte motivazioni, la richiesta di verifica preliminare presentata da Ors S.r.l. e Taggalo S.r.l. con riguardo al progetto connesso alla raccolta, analisi ed elaborazione di dati, attraverso l’installazione di apparecchiature, per finalità di marketing e ricerche di mercato.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 22 maggio 2018

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia