Sto sviluppando un software che tramite telecamera può riconoscere le auto che inquadra. È legale?
Sto sviluppando un software che collegato a una telecamera è in grado di riconoscere marca e modello di un'automobile mediante intelligenza artificiale. Il sistema non conserva alcuna immagine ma si limita ad analizzare con un PC installato sul luogo l'immagine ripresa. Lo scopo di questo sistema dovrebbe essere quello di individuare di quale auto si tratta e mostrare di conseguenza su un cartellone una pubblicità targetizzata. Esempio: se auto è BMW -> Mostra pubblicità nuovo modello BMW. Una soluzione di questo tipo installata su suolo privato (es. stazioni di servizio) o su suolo pubblico (bordo strada) sarebbe legale? Mi stavo chiedendo inoltre se unitamente a questo sistema posso implementare anche la lettura targhe, tecnologia già utilizzata nei parcheggi privati o ai caselli autostradali. La lettura targhe permetterebbe il confronto con un database aziendale. Es. se auto con targa AA123ZZ risulta assicurata con compagnia X -> mostra promozione di X. E' legale?
Le tecnologie simili a quella descritta nel testo della domanda che state sviluppando e, in particolare, gli usi cd. diversi dei sistemi di videosorveglianza, sono stati oggetto di attenzione del Garante della privacy e anche delle Linee Guida pubblicate dall’European Data Protection Board (EDPB).
L’utilizzo di queste tecnologie, come evidenziato sia dal Garante e successivamente dalle Linee Guida, presenta alcune criticità.
In primo luogo, ai sensi delle Linee Guida, tali tipi di trattamento dovranno generalmente essere soggetti a una valutazione d’impatto preventiva. Si ricorda, inoltre, che il GDPR (General Data Protection Regulation – reg. eu n. 2016/679) in vari casi impone la nomina di un DPO.
L’impatto delle Linee Guida e del GDPR su tali sistemi è differente a seconda dei vari sistemi di videosorveglianza applicati, le tecnologie annesse e le finalità di trattamento.
L’utilizzo di un software, collegato a una telecamera, in grado di riconoscere marca e modello di un'automobile mediante intelligenza artificiale, a fini di marketing rientra sicuramente nel novero di un trattamento di dati personali mediante videosorveglianza.
Il fatto che il sistema non conservi alcuna immagine, ma si limiti ad analizzare con un PC installato sul luogo l'immagine ripresa, lo rende sicuramente meno invasivo, ma comunque rilevante ai fini delle Linee Guida e del GDPR. Tale trattamento per essere lecito, dunque, dovrà essere conforme alle disposizioni ivi contenute e, in ogni caso, gli interessati dovranno essere informati che stanno per accedere in una zona videosorvegliata.
Come evidenziato dal Garante della privacy sul tema, poi, una valutazione d’impatto preventiva è prevista se il trattamento, quando preveda in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per le persone fisiche. “Può essere il caso, ad esempio, dei sistemi integrati - sia pubblici che privati - che collegano telecamere tra soggetti diversi nonché dei sistemi intelligenti, capaci di analizzare le immagini ed elaborarle, ad esempio al fine di rilevare automaticamente comportamenti o eventi anomali, segnalarli, ed eventualmente registrarli. La valutazione d'impatto sulla protezione dei dati è sempre richiesta, in particolare, in caso di sorveglianza sistematica su larga scala di una zona accessibile al pubblico (art. 35, par. 3, lett. c) del Regolamento) e negli altri casi indicati dal Garante”.
Ritengo, invece, più critico un software di lettura targhe. I sistemi LPR generano alcuni problemi con il trattamento dei dati, nel rispetto del GDPR. Il numero identificativo dell’automezzo rientra tra le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica. L’accesso, poi, ad ulteriori dati legati alla targa di un’automobile (come ad esempio la Compagnia assicurativa che assicura l’autovettura), può essere lecito solo se sorretto da adeguata base giuridica e dal consenso dei soggetti interessati. Per come è pensato il funzionamento del software, ad una prima sommaria valutazione, non pare essere conforme alle norme vigenti in tema di privacy.