NORME E INDUSTRIA

Riconoscimento facciale e marketing: cosa si può fare (e cosa no)

L’adozione di software biometrico si sta rivelando determinante per una svolta 4.0 delle strategie di mercato. Ma serve orientarsi fra i vincoli previsti dal GDPR a difesa dei dati personali e identità digitale. Vediamo i passaggi cruciali in grado di scongiurare violazioni ottenendo vantaggi

Pubblicato il 21 Ago 2020

Ginevra Proia

Avvocato, Studio Previti Associazione Professionale

Foto di Gerd Altmann da Pixabay

Le tecnologie per il facial recognition rappresentano la vera sfida per marketing e retail. Consentono di ottenere vantaggi nell’aumentare l’efficacia della comunicazione commerciale realizzando attività tarate sul profilo dei destinatari.

Attraverso l’uso di tecnologie legate al riconoscimento facciale, ad esempio, è oggi possibile riconoscere un cliente abituale già fidelizzato, studiare il comportamento dei clienti, la frequenza di ritorno nel negozio, il grado di soddisfazione, persino misurare le emozioni per comprendere meglio il comportamento di acquisto e di consumo: anche le espressioni facciali sono infatti diventate uno dei canali attraverso cui è possibile misurare l’impatto emotivo di uno stimolo di marketing, si pensi all’analisi del volto di un individuo al passaggio di fronte ad una vetrina che pubblicizza un prodotto in fase di lancio.

Il GDPR  pone tuttavia paletti molto stringenti all’utilizzo di queste tecnologie.

Ai sensi dell’articolo 4 par. 14 del Regolamento (UE) 679/2016 (“GDPR”) i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici vengono definiti “dati biometrici”.

L’analisi di espressioni facciali tramite degli algoritmi emozionali che comporti un trattamento di dati personali che consentono l’identificazione della persona fisica a cui si riferiscono, fornendo informazioni specifiche sulla sua identità personale, le sue caratteristiche fisiche, fisiologiche e comportamentali, deve quindi rientrare nell’ambito del trattamento di particolari categorie di dati personali, la cui condizione legittimante, ai sensi dell’art. 9, par. § 2, lett. a) GDPR, è il consenso esplicito – libero, specifico, informato, inequivocabile, verificabile e revocabile – prestato dall’interessato per una o più finalità specifiche.

Quando serve il consenso informato

Il proprietario di un negozio che volesse installare un sistema di riconoscimento facciale per personalizzare la sua pubblicità verso i clienti dovrebbe ottenere il consenso esplicito e informato di tutti gli interessati prima di utilizzare questo sistema biometrico e di fornire un’inserzione pubblicitaria su misura. Il sistema sarebbe illegale se catturasse visitatori o passanti che non hanno acconsentito alla creazione del loro modello biometrico, anche se il loro modello venisse cancellato nel più breve tempo possibile. Si tratterebbe infatti di dati biometrici elaborati per identificare in modo univoco una persona che potrebbe non voler ricevere una pubblicità mirata (cfr. “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video”, adottate dalla European Data Protection Board).

Quando non si applica l’art. 9 del GDPR

Se lo scopo del trattamento fosse invece quello di distinguere una categoria di persone da un’altra, ma non identificare in modo univoco qualcuno, il trattamento non rientrerebbe nell’ambito dell’articolo 9 del GDPR. Le riprese video di una persona non possono di per sé essere considerate come dati biometrici se non sono state specificamente elaborate tecnicamente per contribuire alla sua identificazione: la semplice immagine digitale che contenga il volto di una persona deve essere considerata “dato personale”, come definito dall’art. 4 par. 1 GDPR.

Il trattamento del dato non rientrerebbe così nel campo di applicazione dell’articolo 9 (a meno che non vengano trattati altri tipi di categorie speciali di dati) nel caso in cui si volesse personalizzare la pubblicità in base alle caratteristiche di genere e di età del cliente, catturate da un sistema di videosorveglianza, se tale sistema non generasse modelli biometrici per identificare in modo univoco le persone, ma si limitasse a rilevare tali caratteristiche fisiche per classificare la persona.

Così pure – nel caso di mera ripresa del volto delle persone presenti davanti ai messaggi pubblicitari al fine di verificare la posizione del viso e analizzare l’attenzione prestata dal soggetto rispetto al messaggio pubblicitario – se tale attività venisse posta in essere utilizzando le telecamere come meri sensori, impiegando software di elaborazione in grado di estrapolare il dato statistico dalle immagini riprese in modo pressoché immediato, senza elaborazioni biometriche né registrazioni di immagini (cfr. Provvedimento n. 13 del 21 gennaio 2016 del Garante Privacy).

In questo caso, pur non essendo necessario il rilascio del consenso, il titolare avrebbe comunque l’onere di informare l’interessato dell’esistenza del trattamento e delle sue finalità e l’interessato il diritto di opporsi al trattamento in modo discrezionale.

Centralità delle “finalità di trattamento”

La sfida, oggi, sembra quindi essere quella di trovare un equilibrio nell’utilizzo delle tecnologie legate al riconoscimento facciale che tenga conto delle particolarità del dato biometrico.

L’uso della biometria pone infatti il problema della proporzionalità dei dati trattati alla luce delle finalità del trattamento. Nell’analisi della proporzionalità di un sistema biometrico, la prima considerazione da svolgere è se il sistema sia inevitabile per soddisfare la necessità accertata, ovvero se sia essenziale per soddisfare tale necessità o, piuttosto, è il più conveniente o quello più efficace sotto il profilo dei costi.

Occorre poi una gestione del rischio molto rigorosa: certamente una valutazione d’impatto che, ai sensi dell’art. 35 del GDPR, deve svolgersi quando un tipo di trattamento prevede l’uso di nuove tecnologie e, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, si può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, ma anche la implementazione di misure di sicurezza adeguate, in ossequio al principio di privacy by design.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 2