Ad aprile dello scorso anno scoppiò lo scandalo dei totem-spia installati presso la Stazione Centrale di Milano. Adesso dopo una lunga indagine del Garante della Privacy si è fatta chiarezza sulla questione e i milanesi potranno "tirare un sospiro di sollievo".
Ai tempi Giovanni Pellerano, fondatore e responsabile dell'ufficio tecnico di Hermes, centro per la trasparenza e i diritti umani digitali, aveva scoperto che i totem pubblicitari sfruttavano fotocamere e un software specifico per rilevare sesso, età e livello di attenzione generato dalle campagne.
I dati sarebbero stati poi usati dalle agenzie di marketing per verificare il livello di successo di una campagna pubblicitaria e svilupparne di nuove e più efficaci. Il problema è che tutto stava avvenendo all'insaputa dei passanti e inoltre non vi era certezza sul trattamento anonimo dei dati personali in tempo reale.
La società francese che aveva installato i totem, Quividi, aveva in realtà richiesto un parere in merito a una soluzione simile nel 2011, tramite la società italiana Dialogica. Ai tempi il Garante diede l'ok, ma non vi erano state verifiche successive: in 6 anni è lecito aspettarsi aggiornamenti.
Installazioni di questo tipo - per altro molto diffuse - infatti prevedono un iter specifico, con richiesta esplicita o dimostrazione di verifica preliminare da parte del Garante.
Grazie all'ultimo provvedimento del Garante inerente le installazioni di apparati promozionali del tipo "digital signage" (definiti anche Totem) sappiamo che il riconoscimento e tracciamento facciale avveniva (e avviene) in forma anonima. Grandi Stazioni Retail S.p.A., titolare del diritto di sfruttamento commerciale degli spazi pubblicitari presenti nei complessi immobiliari delle maggiori stazioni ferroviarie italiane, "ha riferito che il sistema, realizzato per finalità di analisi dell'audience pubblicitaria" è affidato a Dialogica S.r.l. - che gestisce 500 apparati prevedendo di arrivare ad un numero, a regime, pari a 750 unità.
"Le colonnine, connesse alla rete di Grandi Stazioni Retail, sono dotate di uno schermo, sul quale vengono trasmessi messaggi pubblicitari ed informazioni, di un apparato pc/media player (che invia allo schermo i contenuti digitali da visualizzare) e di sensori in grado di effettuare la raccolta di dati di audience per valutare l'efficacia della comunicazione pubblicitaria trasmessa", ha spiegato Grandi Stazioni.
L'applicazione VidiReports, realizzata dalla società Quividi, è in grado di analizzare le immagini raccolte dal sensore video installato sulla colonnina (in genere una webcam) al fine di:
- determinare la presenza di un volto umano nell'area ripresa;
- rilevare il tempo di permanenza di fronte alla pubblicità, ovvero il tempo di persistenza di un certo volto nel campo visivo del sensore;
- fornire alcune informazioni (per quanto con un certo grado di approssimazione) desunte dalle caratteristiche del volto quali: sesso, fascia d'età, distanza dalla colonnina;
- effettuare analisi statistiche volte ad individuare il livello di gradimento dei diversi messaggi pubblicitari.
Dopodiché la tecnologia impiegata è di face detection e non di face recognition, quindi viene rilevata (genericamente) la presenza di un volto umano senza però identificarlo attraverso le sue caratteristiche biometriche specifiche.
"In particolare, è stato chiarito che, nel caso in cui una persona si trovi a passare più volte di fronte al sensore, il suo passaggio sarebbe comunque "dimenticato" dal programma non appena lasciato il cono di visibilità del sensore e poi nuovamente contato al successivo passaggio", prosegue il documento
Inoltre sebbene le diverse colonnine siano fornite dello stesso tipo di software queste non dialogano vicendevolmente. Per ciò che riguarda il programma, VidiReports memorizzerebbe, per ogni volto individuato di fronte allo schermo, un set di dati contenente le seguenti informazioni:
- numero sequenziale per il pacchetto di dati;
- identificativo dell'apparato che ha prodotto il pacchetto di dati;
- data e ora di arrivo dello spettatore;
- tempo di presenza dello spettatore;
- tempo di attenzione prestata dallo spettatore;
- sesso dello spettatore [opzionale];
- fascia d'età dello spettatore [opzionale];
- distanza media dello spettatore dal punto di misura;
- stima dell'espressione facciale, quantificata in 5 livelli da felice a triste [opzionale].
"Tali dati sarebbero cifrati e quindi memorizzati centralmente per effettuare analisi di tipo statistico, riferite al gradimento dei messaggi pubblicitari trasmessi".
Infine le immagini relative ai passanti non vengono salvate localmente nell'apparato né trasmesse ad alcun sistema della società, ma solo sulla RAM degli apparati locali per il solo tempo necessario ad effettuare le analisi indicate, pari a qualche decimo di secondo al massimo.
"Rispetto ai contenuti multimediali trasmessi attraverso la colonnina - news, previsioni meteo e contenuti pubblicitari dinamici - non sarebbe consentita l'esecuzione di real time streaming, o l'accesso a sorgenti e server esterni. I contenuti sarebbero raccolti da un server di sincronizzazione, validati e quindi distribuiti in modalità pull, con tecnologie SSL/TLS, agli apparati, che ne controllano la correttezza prima della riproduzione locale".
Il Garante della Privacy ha deciso quindi sulla base della documentazione prodotta e i riscontri che sono rispettate le norme e chiesto che nelle vicinanza dei totem vengano posizionati cartelli informativi per gli utenti.
"Messaggi che dovranno comunque essere integrati da più complete informative, rese agevolmente disponibili sul sito della Società titolare, nonché attraverso un QR code da posizionare sulla stessa vetrofania".
Inoltre dovranno essere adottate misure per implementare un monitoraggio periodico dello stato dei dispositivi, per evidenziare eventuali malfunzionamenti, indisponibilità degli apparati o tentativi di accesso fraudolento.