g-docweb-display Portlet

Verifica preliminare. Sistemi di rilevazione di persone ai fini di marketing - 21 gennaio 2016 [4806740]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 4806740]

Verifica preliminare. Sistemi di rilevazione di persone ai fini di marketing - 21 gennaio 2016

Registro dei provvedimenti
n. 13 del 21 gennaio 2016

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti, e del dott. Giuseppe Busia, segretario generale;

Esaminata la richiesta di verifica preliminare presentata da Banca Monte dei Paschi di Siena S.p.A. ai sensi dell´art. 17 del d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali);

Esaminata la documentazione acquisita agli atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore la prof.ssa Licia Califano.

PREMESSO

1. L´istanza della società.

In data 18 febbraio 2015, Banca Monte dei Paschi di Siena S.p.A., ha fatto pervenire un´istanza di verifica preliminare (art. 17 del Codice) –regolarizzata con nota datata 21 aprile 2015- relativa all´istallazione di impianti per la rilevazione di persone a fini di marketing presso la filiale di Piazza Tolomei a Siena.

La Società ha dichiarato che con l´istallazione di tali impianti si attiverebbe "un progetto pilota" allo scopo di valutare la possibilità di estendere ad altre filiali detta tipologia di sistemi, al fine di mettere a disposizione della clientela "una nuova customer experience attraverso nuove tecnologie", nonché "l´adozione di un layout innovativo e l´introduzione di nuovi format distributivi" (cfr. nota del 18 febbraio 2015).

In particolare, le soluzioni innovative che verrebbero istallate nell´indicata filiale sarebbero caratterizzate da un sistema di rilevazione del transito e della sosta di clienti e/o non clienti, costituito da tre componenti distinte che insieme avrebbero la funzione di elaborare profili di comportamento relativi alle abitudini, alle preferenze ed alle scelte di consumo delle persone che accedono alla filiale, in riferimento sia ai prodotti offerti, sia ai servizi maggiormente utilizzati. Ciò, con l´obiettivo di rendere una prestazione migliore nei confronti della clientela (cfr. nota del 20 aprile 2015).

Per ciò che riguarda le applicazioni specifiche, è stato precisato che si tratterebbe di tre sistemi di "analisi video" distinti. Il primo, chiamato "Heatmap", è pensato per "ottimizzare il layout del punto vendita", compresa la disposizione dei vari luoghi di erogazione dei servizi e la generazione di avvisi automatici, ad esempio, in caso di lunghe attese; il secondo, denominato "People counter", è costituito da un sistema di telecamere per il conteggio delle persone che si trovano a transitare all´interno dell´Agenzia; il terzo, qualificato "Dwell Time", sarebbe in grado di conteggiare gli individui "che guardano i monitor sulle vetrine" esterne della filiale e "sul totem interno", nonché di contabilizzare il tempo durante il quale il singolo si trattenga davanti al "messaggio pubblicitario" (cfr. nota del 18 febbraio 2015), con l´intento di valutarne l´attrattiva nei confronti del soggetto.

I citati sistemi complessivamente considerati consentirebbero di misurare adeguatamente gli accessi in filiale, nonché il percorso e l´eventuale attenzione ai messaggi promozionali, con l´obiettivo di rilevare il tasso di vendita dei prodotti rispetto al numero di visitatori nella singola Agenzia, di valutare il ritorno pubblicitario dei messaggi "che transitano sui monitor", nonché di gestire il personale in modo più puntuale e pianificare gli orari di apertura ottimali per la clientela (cfr. nota del 20 aprile 2015).

Infine, la Società ha specificato che pur richiedendo una verifica preliminare per tutti i succitati sistemi, per il momento la decisione relativa all´adozione dell´applicazione "Dwell Time" non è stata assunta.

2. Il funzionamento del sistema

I tre sistemi di "analisi video" di cui la Banca si vorrebbe avvalere sono tecnicamente strutturati nel modo seguente.

L´applicazione "Heatmap" è uno strumento software istallato su due telecamere utilizzate per fornire una "misurazione di attività di comportamento" all´interno dell´ambiente (cfr. nota del 18 febbraio 2015); il sistema avrebbe la funzione di elaborare "la variazione grafica della scena rispetto allo sfondo standard", senza riprendere i volti e, quindi, senza consentire un riconoscimento delle persone. In particolare, l´apparato si limiterebbe a rilevare, attraverso una gradazione di colori, le varie aree della filiale ove le persone transitano e sostano con maggiore frequenza e densità.

L´accesso ai video delle telecamere sarebbe consentito unicamente al personale tecnico, a seguito dell´inserimento di una password.

I dati delle immagini, elaborati direttamente dal software installato sulle telecamere, verrebbero inviati "in forma di dati statistici e immagini di sfondo a bassa risoluzione, verso un server configurato dal Consorzio Operativo e locato in cloud presso il data center della società Bassalichi S.p.A" (cfr. nota del 27 novembre 2015).

L´applicazione "people counter", invece, sarebbe istallata su una telecamera posta verticalmente sopra l´accesso che si intende presidiare, al fine di effettuare un conteggio puntuale dei transiti in entrata ed in uscita, senza riprendere (almeno nelle condizioni ordinarie) il volto dei passanti, considerata la sua allocazione, e senza effettuare alcuna elaborazione biometrica.

Il sistema, non avrebbe la possibilità di eseguire alcuna registrazione e nessuna esportazione di video verso l´esterno. L´accesso alle riprese sarebbe consentito anche in questo caso a personale tecnico dietro richiesta di password e i dati statistici in forma numerica verrebbero inviati come nel caso precedente "al server messo a disposizione in cloud da Bassilichi S.p.A.", che provvederebbe "alla loro storicizzazione, alla creazione della reportistica" e all´inoltro della stessa alle funzioni competenti.

L´applicazione "Dwell Time", infine, è basata su una tecnologia che permette di ottenere una reportistica numerica, simile a quella realizzata dai grafici del "people counter", in relazione però ai volti che si rivolgono alle vetrine dell´Agenzia e al totem interno.

In questo caso, le due telecamere sarebbero posizionate sopra i monitor che proiettano un determinato messaggio pubblicitario, rispettivamente all´interno e all´esterno della filiale, permettendo di rilevare i volti delle persone che stazionano di fronte a detti schermi ed il relativo tempo di permanenza.

Le immagini riprese verrebbero inviate ad un server della Banca, che elaborerebbe le scene a fini statistici, consentendo di contare appunto il numero dei volti rilevati ed il tempo di sosta. Le stesse, pertanto, non sarebbero accessibili al personale della Filiale né ad altri soggetti.

Ai fini dell´efficacia di detto sistema, la ripresa dei volti è considerata essenziale per poter accertare che "il soggetto posizionato davanti al monitor stia effettivamente guardando il messaggio pubblicitario che vi transita" (cfr. nota del 20 aprile 2015).

Quanto alle inquadrature è stato precisato che le stesse sono predisposte per riprendere entro un raggio di azione di pochi metri dallo schermo.

Rispetto alle misure di sicurezza, l´accesso ai sistemi, come accennato sopra, sarebbe consentito esclusivamente in modalità live "al personale del Consorzio Operativo del Gruppo Montepaschi", designato incaricato del trattamento, il quale avrebbe il compito di accedere al server per ragioni di manutenzione esclusivamente negli orari di chiusura dell´Agenzia, proprio al fine di evitare comunque l´eventuale ripresa dei clienti che accedono ai locali.

Al riguardo, la Banca ha precisato di aver predisposto un sistema di regole che prevede precisi limiti, compresa una password di 8 caratteri, custodita dal Responsabile del Settore Fleet Management del servizio Data Channels del predetto Consorzio, nominato responsabile del trattamento esterno dalla Banca ai sensi dell´art. 29 del Codice, che la rigenerebbe ad ogni utilizzo.

Infine, per quanto riguarda l´obbligo di rendere l´informativa, la Banca, titolare del trattamento dei dati, ha dichiarato, producendone copia, di aver predisposto una specifica informativa minima da apporre presso la struttura (anche vicino alla vetrina esterna), con la quale gli interessati sarebbero informati che "l´area è dotata di un sistema di telecamere per il conteggio, con finalità di marketing, delle persone che vi accedono o si trovano a transitare in prossimità delle vetrine della filiale", aggiungendo che le rilevazioni sono effettuate dalla stessa Banca "in qualità di titolare autonomo del trattamento". (cfr. nota del 18 febbraio 2015). Ogni interessato può poi consultare il testo completo dell´informativa, sia all´interno degli Uffici, sia all´interno della sezione privacy del sito internet, oppure attraverso la lettura del QR code presente sulla stessa vetrofania.

3. Presupposti di liceità del trattamento

Va anzitutto precisato che tutti i tre sistemi oggetto di verifica preliminare comportano un trattamento di dati personali, atteso che il complesso di telecamere utilizzate può rilevare dati personali riconducibili a persone fisiche identificate o identificabili. Ciò è evidente nell´applicativo denominato Dwell Time ma può avvenire, seppure in misura marginale e occasionale, anche in relazione agli altri sistemi. Deve pertanto essere verificato il rispetto dei principi di necessità, proporzionalità, finalità e correttezza posti dal Codice (artt. 3 e 11), in ordine al funzionamento di tali apparati.

Per quanto concerne il sistema informatizzato per la rilevazione del passaggio di persone e per la loro sosta in specifiche aree (componenti Heatmap e People Counter), che la Banca Monte dei Paschi di Siena S.p.A. ha intenzione di adottare presso la filiale di Piazza Tolomei, vale rilevare in primo luogo che benché la finalità non sia in alcun modo riconducibile ad esigenze di sicurezza, quali quelle contemplate dal provvedimento generale in materia di videosorveglianza dell´8 aprile 2010, essa appare lecita, in relazione al fatto che, ai sensi del citato art. 3 del Codice, le telecamere impiegate per la realizzazione dei predetti sistemi sono utilizzate sostanzialmente quali meri sensori (cfr. nota del dipartimento tecnologie digitali e sicurezza informatica del 8 ottobre 2015), senza registrare le immagini relative ai passaggi e alla presenza delle persone e senza identificare, ove possibile, i volti delle stesse (cfr. in proposito le applicazioni Heatmap e People Counter).

Per ciò che riguarda, invece, la soluzione tecnologica "Dwell Time" è stato precisato che la ripresa del volto delle persone presenti davanti ai messaggi pubblicitari risulterebbe necessaria per l´efficacia del risultato atteso, in quanto proprio la posizione del viso verso il monitor darebbe prova dell´attenzione prestata dal soggetto rispetto al messaggio pubblicitario.

Dal punto di vista tecnologico, al riguardo, è emerso che le immagini, elaborate a fini statistici dal server, non solo non verrebbero registrate, ma, durante l´orario di apertura al pubblico, non potrebbero essere visionate da alcun soggetto, neanche in tempo reale, per l´esistenza di misure di sicurezza, ritenute idonee rispetto ai trattamenti effettuati (cfr. nota del dipartimento tecnologie digitali e sicurezza informatica del 8 ottobre 2015). In caso di interventi di manutenzione, inoltre, gli addetti, designati incaricati del trattamento, avrebbero la possibilità di accedere al sistema solamente in orario di chiusura della filiale, in assenza perciò di clienti all´interno della banca.

Ad avviso di questa Autorità, all´esito dell´istruttoria sono emersi elementi che inducono a ritenere che la richiesta della società sia conforme ai principi posti dagli artt. 3 e 11 del Codice.

In particolare, la specifica attenzione posta rispetto all´utilizzo delle telecamere come meri sensori, l´impiego di software di elaborazione in grado di estrapolare il dato statistico dalle immagini riprese in modo pressoché immediato, senza elaborazioni biometriche né registrazioni di immagini, né accessi in live, valgono a far ritenere che siano previste adeguate cautele affinché non siano messi a rischio i diritti e le libertà fondamentali, nonché la dignità e la riservatezza degli interessati.

Vanno però più specificatamente verificati i requisiti di liceità di cui agli artt. 13 e 23 del Codice.

A questo proposito, sulla base delle prospettazioni fornite dalla Banca, può essere consentita la possibilità per il titolare del trattamento di fornire l´informativa in forma semplificata, ai sensi dell´art. 13, comma 3, del Codice, attraverso i già indicati cartelli sintetici di cui alla comunicazione del 21 aprile 2015 che dovranno essere integrati dalle più complete informative disponibili all´interno della filiale, reperibili sul sito internet o attraverso il QR code presente sulla stessa vetrofania.

Al riguardo si prescrive, ai sensi dell´art. 17 del Codice, che tali informative siano integrate, con riferimento alla rilevazione (per quanto anonimizzata) delle persone tramite l´applicazione Heatmap che dovrà essere contemplata nei citati cartelli unitamente alle altre soluzioni prospettate.

Per quanto concerne il requisito del consenso, analogamente a quanto disposto nel provvedimento generale sulla videosorveglianza dell´8 aprile 2010 con riguardo alle finalità di sicurezza e di tutela del patrimonio, può essere individuato un requisito alternativo nell´istituto del bilanciamento di interessi, ai sensi dell´art. 24, comma 1, lett. g) del Codice, quando la rilevazione delle immagini sia effettuata dalla Banca Monte dei Paschi di Siena S.p.A. alle condizioni e nei limiti precisati in questo stesso provvedimento con riferimento alle rappresentate finalità di marketing.

In conclusione, alla luce delle dichiarazioni rese (della cui veridicità la Banca Monte dei Paschi di Siena S.p.A. ha assunto ogni responsabilità - anche penale - ai sensi dell´art. 168 del Codice) e, segnatamente, delle illustrate modalità di funzionamento delle applicazioni, volte alla rilevazione di persone ai fini di marketing, con l´obiettivo di rendere una prestazione migliore nei confronti della clientela, questa Autorità ritiene che la richiesta di verifica preliminare possa essere accolta nei termini sopra precisati. Tali applicazioni potranno essere attivate presso l´indicata filiale di Piazza Tolomei a Siena ed eventualmente, alle medesime condizioni, presso altre dipendenza della banca.

Resta inteso che il trattamento effettuato dal sistema nel suo complesso debba essere svolto escludendo la registrazione delle immagini e limitandone la visualizzazione in tempo reale ai soli incaricati del trattamento addetti alla manutenzione degli apparati, secondo le misure tecnico-organizzative sopra descritte.

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell´art. 17 del Codice, a conclusione della verifica preliminare, ammette l´utilizzo da parte di Banca Monte dei Paschi di Siena S.p.A. dei sistemi di rilevazione di persone ai fini di marketing con l´obiettivo di rendere una prestazione migliore nei confronti della clientela, secondo le modalità prospettate in premessa e prescrive che il modello di informativa semplificata indicato dalla banca sia integrato con riferimento anche alla rilevazione delle persone presenti all´interno della filiale, mediante l´applicazione Heatmap;

b) individua nei termini di cui in motivazione, ai sensi dell´art. 24, comma 1, lett. g) del Codice, le applicazioni per finalità di marketing prospettate dalla Banca Monte dei Paschi di Siena S.p.A. quali casi nei quali il trattamento dei dati degli interessati può essere effettuato senza richiederne il consenso.

Roma, 21 gennaio 2016

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia

Scheda

Doc-Web
4806740
Data
21/01/16

Tipologie

Verifica preliminare