Riconoscimento facciale e marketing: cosa si può fare (e cosa no) | Agenda Digitale

NORME E INDUSTRIA

Riconoscimento facciale e marketing: cosa si può fare (e cosa no)

L’adozione di software biometrico si sta rivelando determinante per una svolta 4.0 delle strategie di mercato. Ma serve orientarsi fra i vincoli previsti dal GDPR a difesa dei dati personali e identità digitale. Vediamo i passaggi cruciali in grado di scongiurare violazioni ottenendo vantaggi

21 Ago 2020
Ginevra Proia

Avvocato, Studio Previti Associazione Professionale

Foto di Gerd Altmann da Pixabay

Le tecnologie per il facial recognition rappresentano la vera sfida per marketing e retail. Consentono di ottenere vantaggi nell’aumentare l’efficacia della comunicazione commerciale realizzando attività tarate sul profilo dei destinatari.

Attraverso l’uso di tecnologie legate al riconoscimento facciale, ad esempio, è oggi possibile riconoscere un cliente abituale già fidelizzato, studiare il comportamento dei clienti, la frequenza di ritorno nel negozio, il grado di soddisfazione, persino misurare le emozioni per comprendere meglio il comportamento di acquisto e di consumo: anche le espressioni facciali sono infatti diventate uno dei canali attraverso cui è possibile misurare l’impatto emotivo di uno stimolo di marketing, si pensi all’analisi del volto di un individuo al passaggio di fronte ad una vetrina che pubblicizza un prodotto in fase di lancio.

Il GDPR  pone tuttavia paletti molto stringenti all’utilizzo di queste tecnologie.

Ai sensi dell’articolo 4 par. 14 del Regolamento (UE) 679/2016 (“GDPR”) i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici vengono definiti “dati biometrici”.

L’analisi di espressioni facciali tramite degli algoritmi emozionali che comporti un trattamento di dati personali che consentono l’identificazione della persona fisica a cui si riferiscono, fornendo informazioni specifiche sulla sua identità personale, le sue caratteristiche fisiche, fisiologiche e comportamentali, deve quindi rientrare nell’ambito del trattamento di particolari categorie di dati personali, la cui condizione legittimante, ai sensi dell’art. 9, par. § 2, lett. a) GDPR, è il consenso esplicito – libero, specifico, informato, inequivocabile, verificabile e revocabile – prestato dall’interessato per una o più finalità specifiche.

Quando serve il consenso informato

Il proprietario di un negozio che volesse installare un sistema di riconoscimento facciale per personalizzare la sua pubblicità verso i clienti dovrebbe ottenere il consenso esplicito e informato di tutti gli interessati prima di utilizzare questo sistema biometrico e di fornire un’inserzione pubblicitaria su misura. Il sistema sarebbe illegale se catturasse visitatori o passanti che non hanno acconsentito alla creazione del loro modello biometrico, anche se il loro modello venisse cancellato nel più breve tempo possibile. Si tratterebbe infatti di dati biometrici elaborati per identificare in modo univoco una persona che potrebbe non voler ricevere una pubblicità mirata (cfr. “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video”, adottate dalla European Data Protection Board).

Quando non si applica l’art. 9 del GDPR

Se lo scopo del trattamento fosse invece quello di distinguere una categoria di persone da un’altra, ma non identificare in modo univoco qualcuno, il trattamento non rientrerebbe nell’ambito dell’articolo 9 del GDPR. Le riprese video di una persona non possono di per sé essere considerate come dati biometrici se non sono state specificamente elaborate tecnicamente per contribuire alla sua identificazione: la semplice immagine digitale che contenga il volto di una persona deve essere considerata “dato personale”, come definito dall’art. 4 par. 1 GDPR.

Il trattamento del dato non rientrerebbe così nel campo di applicazione dell’articolo 9 (a meno che non vengano trattati altri tipi di categorie speciali di dati) nel caso in cui si volesse personalizzare la pubblicità in base alle caratteristiche di genere e di età del cliente, catturate da un sistema di videosorveglianza, se tale sistema non generasse modelli biometrici per identificare in modo univoco le persone, ma si limitasse a rilevare tali caratteristiche fisiche per classificare la persona.

WEBCAST
Come sviluppare una sicurezza personalizzata per le esigenze di ogni settore di attività?
Sicurezza

Così pure – nel caso di mera ripresa del volto delle persone presenti davanti ai messaggi pubblicitari al fine di verificare la posizione del viso e analizzare l’attenzione prestata dal soggetto rispetto al messaggio pubblicitario – se tale attività venisse posta in essere utilizzando le telecamere come meri sensori, impiegando software di elaborazione in grado di estrapolare il dato statistico dalle immagini riprese in modo pressoché immediato, senza elaborazioni biometriche né registrazioni di immagini (cfr. Provvedimento n. 13 del 21 gennaio 2016 del Garante Privacy).

In questo caso, pur non essendo necessario il rilascio del consenso, il titolare avrebbe comunque l’onere di informare l’interessato dell’esistenza del trattamento e delle sue finalità e l’interessato il diritto di opporsi al trattamento in modo discrezionale.

Centralità delle “finalità di trattamento”

La sfida, oggi, sembra quindi essere quella di trovare un equilibrio nell’utilizzo delle tecnologie legate al riconoscimento facciale che tenga conto delle particolarità del dato biometrico.

L’uso della biometria pone infatti il problema della proporzionalità dei dati trattati alla luce delle finalità del trattamento. Nell’analisi della proporzionalità di un sistema biometrico, la prima considerazione da svolgere è se il sistema sia inevitabile per soddisfare la necessità accertata, ovvero se sia essenziale per soddisfare tale necessità o, piuttosto, è il più conveniente o quello più efficace sotto il profilo dei costi.

Occorre poi una gestione del rischio molto rigorosa: certamente una valutazione d’impatto che, ai sensi dell’art. 35 del GDPR, deve svolgersi quando un tipo di trattamento prevede l’uso di nuove tecnologie e, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, si può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, ma anche la implementazione di misure di sicurezza adeguate, in ossequio al principio di privacy by design.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4