Sistemi di localizzazione di persone

I sistemi di localizzazione di persone si stanno diffondendo. Essi vengono impiegati ad esempio per ottimizzare i flussi del traffico e delle persone, oppure per analizzare il comportamento dei clienti a scopi di marketing o altro. In taluni casi questi sistemi permettono il rilevamento di dati personali degni di particolare protezione e la creazione di profili della personalità. Per questa ragione ne va fatto un uso accorto. Qui di seguito vengono illustrati i principali aspetti riguardanti, in quest'ambito, la protezione dei dati.

Trattamento di dati personali attraverso sistemi di localizzazione di persone

Gli spostamenti (p. es. di persone o di veicoli) possono essere rilevati essenzialmente in due modi: una possibilità è di registrare i movimenti di una determinata persona o di un oggetto seguendolo ovunque vada; l'altra possibilità è di rilevare determinate sue caratteristiche in un luogo preciso (p.es. all'ingresso di un centro commerciale o di un'autostrada), in modo da poterlo riconoscerlo quando transiterà ai successivi punti di controllo e ricostruire in tal modo i movimenti effettuati. La prima variante è molto dispendiosa, soprattutto in caso di progetti su vasta scala, ed è quindi poco praticata; in commercio si trovano perciò sempre più sistemi che applicano la seconda variante.

L'analisi di alcuni di questi sistemi ci ha permesso di identificare due modelli fondamentali:

  1. i sistemi riferiti al primo modello rilevano direttamente  dati di persone come i dati biometrici del volto o la targa dell‘automobile, che permetteranno di riconoscere quella persona o quel veicolo al momento in cui transiterà a uno dei punti di controllo. Spesso questi sistemi permettono anche di suddividere le persone identificate in categorie quali l'età, il sesso o l'appartenenza etnica. Il loro utilizzo comporta senza dubbio il trattamento di dati personali;
     
  2. i sistemi riferiti al secondo modello utilizzano invece i segnali emessi dal telefono mobile delle persone in movimento (numeri IMSI e TMSI o indirizzi Mac) e in tal modo riescono a rilevarne gli spostamenti. Nel caso di questi sistemi, molti sono dell'idea che non venga rilevato alcun dato personale e che pertanto la legge federale sulla protezione dei dati non debba applicarsi.
    Questa interpretazione però non convince: è vero che gli operatori di questi sistemi non sono ancora in grado di identificare una persona direttamente sulla base dei numeri IMSI e TMSI o dell'indirizzo Mac, ma potrebbero riuscirci, a talune condizioni, nel caso in cui vengano allestiti dei profili di spostamento. Potrebbe essere il caso, ad esempio, dei profili di spostamento del personale di un negozio, che sono di regola molto diversi da quelli dei clienti. Se il negozio è piccolo, sarà infatti relativamente facile attribuire un profilo di spostamento a un determinato collaboratore. Senza contare che la combinazione dei dati raccolti e dei profili allestiti con dati di altro tipo (p. es. le immagini riprese dalle telecamere di sicurezza oppure i dati relativi agli incassi) può anch'essa permettere un'attribuzione in tal senso. Se ne può dunque dedurre che anche questi sistemi trattano dati di persone, ragion per cui il loro impiego deve avvenire nel rispetto dei principi stabiliti dalla legge federale sulla protezione dei dati.

Entrambi i modelli prevedono quindi il trattamento di dati personali. Per questa ragione, l'impiego dei sistemi di localizzazione di persone deve sempre essere legittimato da un motivo giustificativo. Tale motivo può essere dato da un interesse preponderante privato o pubblico oppure consistere nel consenso delle persone interessate.

Consenso degli interessati

Nella pratica è spesso difficile ottenere un consenso (legalmente valido) dalle persone interessate, perché ciò presuppone che esse siano precedentemente e debitamente informate sul rilevamento e sull'elaborazione dei dati in questione (in proposito si veda anche il capitolo «Informazione degli interessati»). Nei luoghi molto frequentati, con la gente in continuo movimento, è difficile dare informazioni di questo tipo e soprattutto in modo tale che gli interessati possano farsene un'idea. Sul piano legale un consenso ottenuto senza un'informazione preliminare dell‘interessato, e senza che quest'ultimo ne conosca o ne possa valutare la portata, non è valido.

Inoltre, il consenso deve essere espresso liberamente: il consenso è libero solo se l'interessato dispone di un'alternativa equivalente, ad esempio se ha la possibilità di spostarsi nel centro commerciale sorvegliato senza che sia registrato dai sistemi di localizzazione. Se la sola alternativa è quella di non entrare nel centro commerciale, non vi è libertà di scelta e il consenso così ottenuto non è giuridicamente valido. Per contro, si potrebbe prevedere l'impiego di una cosiddetta «white list» (elenco, che può essere letto dal sistema, che riporta le persone o i telefoni mobili che il sistema non è autorizzato a localizzare) atta a impedire che il sistema di localizzazione rilevi gli spostamenti delle persone che non hanno dato il loro consenso.

Una persona può revocare in ogni momento il consenso dato. Bisogna quindi fare in modo che i dati raccolti su di essa possano essere successivamente cancellati. Occorre pertanto definire delle procedure di cancellazione e designare delle persone responsabili in tal senso.

Interesse preponderante privato o pubblico

Laddove non è possibile ottenere un consenso legalmente valido, l'esercizio di un sistema di localizzazione di persone deve essere giustificato da un interesse preponderante privato o pubblico. Di regola, un tale interesse sussiste se i dati personali sono trattati per scopi impersonali (art. 13 cpv. 2 lett. e LPD). Un interesse preponderante viene presunto nei casi in cui un sistema di localizzazione è impiegato, ad esempio, per analizzare i flussi delle persone nell'intento di migliorare la sicurezza in un aeroporto o in una stazione, a condizione che non venga però analizzato anche il comportamento di individui specifici. Lo stesso vale per l'analisi dei flussi del traffico sulle autostrade per evitare il formarsi di code.

Un interesse preponderante privato può, ad esempio, essere fatto valere se un sistema viene impiegato per rilevare la frequenza dei clienti o per analizzare il comportamento medio di talune categorie di clienti. Il motivo giustificativo, invece, di regola non è dato nei casi in cui viene valutato il comportamento individuale di determinate persone (non per forza conosciute per nome) alle quali, per esempio, si intende successivamente inviare della pubblicità mirata.

Quando la localizzazione viene eseguita per scopi impersonali si deve in ogni caso osservare quanto segue:

  • i dati di carattere personale devono essere cancellati o anonimizzati al più presto. Non si dovrebbero allestire profili per un periodo di tempo prolungato;
  • La valutazione deve essere categoriale, in modo che non sia possibile identificare le singole persone. Un'identificazione è però sempre possibile quando in una categoria, o da una determinata combinazione di categorie, risulta una sola persona: in questi casi i dati dovranno essere aggregati in modo da rendere impossibile ogni riferimento a una specifica persona;
  • I dati non dovrebbero essere combinati con altri dati. Questo vale sia per i dati che provengono dallo stesso ambito (p. es. la combinazione di un profilo di spostamento con immagini riprese dalle telecamere di sicurezza o con i dati degli incassi registrati in un negozio sorvegliato) sia per dati provenienti da altre fonti (p. es. la combinazione dei dati raccolti nel centro commerciale A il giorno X con i dati raccolti nel centro commerciale B il giorno Y): ad ogni combinazione di dati aumentano infatti le possibilità di identificazione.

Informazione degli interessati

Indipendentemente dal fatto che l'impiego di un sistema di localizzazione di persone è giustificato da un interesse preponderante o dal consenso della persona interessata, è necessario che quest'ultima sia precedentemente e debitamente informata sul trattamento dei dati raccolti con questo sistema. In questo caso devono essere soddisfatti i seguenti requisiti:

  • prima di entrare in uno spazio sorvegliato le persone interessate devono essere informate che su tale spazio è in funzione un sistema di localizzazione. Il modo migliore per farlo è collocare dei cartelli ben visibili che segnalano la presenza di un tale sistema. Questi cartelli dovrebbero avvisare almeno del fatto che le persone che entrano in quello spazio verranno registrate nei loro spostamenti;
  • agli interessati deve essere messo a disposizione del materiale informativo che spieghi loro i principali aspetti riguardanti il sistema e il relativo trattamento di dati personali. Il materiale deve essere immediatamente disponibile e consegnato a chi ne fa richiesta, e in tutti i casi a coloro che hanno dato il loro consenso;
  • è necessario definire le procedure per la concessione del diritto d'accesso e di un eventuale diritto alla cancellazione; devono inoltre essere designate le persone responsabili in tal senso. Occorre fare in modo che le persone interessate possano esercitare i loro diritti d'accesso e di cancellazione in modo rapido, non burocratico e gratuito.

Misure supplementari da adottare in caso di utilizzo di dati biometrici

In alcuni sistemi di localizzazione vengono utilizzati dati biometrici che permettono di identificare determinate persone e registrarne gli spostamenti (riconoscimento facciale). Il trattamento di questi dati comporta un elevato rischio di violazione della personalità, dato che essi sono collegati in modo diretto e permanente a una persona, al punto che in caso di abuso potrebbero venire modificati o cancellati solo con grande difficoltà. Per questa ragione ne va fatto un uso estremamente accorto (cfr. anche la nostra Guida ai sistemi di riconoscimento biometrico[BS1] ).

Nel caso in cui i sistemi di localizzazione di persone utilizzino dati biometrici, valgono le seguenti prescrizioni:

  • è vietato utilizzare dati biometrici grezzi. Per la localizzazione di persone è sufficiente impiegare campioni di riferimento (template), che essenzialmente contengono molte meno informazioni sulle persone interessate e comportano quindi un rischio di abuso ridotto: in tali condizioni l'utilizzo di dati grezzi sarebbe sproporzionato. Alcuni dei sistemi da noi esaminati hanno dimostrato che non è necessario che i template utilizzati si presentino in una forma generalmente leggibile. È necessario quindi che vengano trasformati al più presto in un valore hash, in modo che sia ancora più difficile risalire alle caratteristiche di una determinata persona;
  • i dati devono essere cancellati o anonimizzati al più presto possibile. Siccome è vietato allestire profili di spostamento per un periodo di tempo prolungato, anche la registrazione di dati biometrici per un periodo analogo risulterebbe sproporzionata. Anche nel caso in cui i dati biometrici vengano utilizzati in relazione a una white list, occorre fissare un termine entro il quale dovranno essere cancellati in modo definitivo;
  • se i dati biometrici sono archiviati in modo centralizzato si deve impedire qualsiasi riferimento ad ulteriori dati riguardanti una determinata persona (nemmeno sulla base di uno pseudonimo, come p. es. un numero di collaboratore). Inoltre, la memoria deve essere concepita in modo che i dati biometrici non possano essere combinati con altre informazioni né prelevati dal sistema per essere utilizzati in altro modo;
  • il risultato scaturito dal trattamento dei dati non deve contenere alcuna indicazione biometrica.

Applicazioni non ammesse in ambito privato

In linea generale, sono escluse le seguenti applicazioni:

  • la sorveglianza di persone identificabili, a meno che non abbiano dato il loro consenso. Una sorveglianza di questo tipo non è giustificata da alcun interesse preponderante e costituisce pertanto una violazione illecita della personalità.
  • la compilazione di profili della personalità senza il consenso esplicito degli interessati (vale anche per profili di spostamento dettagliati di singoli individui). I profili della personalità godono, come i dati personali degni di particolare protezione, di un'elevata protezione legale, al punto che il loro allestimento non è possibile all'insaputa e senza il consenso esplicito dell'interessato. Anche in questo caso non si può invocare alcun interesse preponderante.
  • La sorveglianza dei collaboratori di un'azienda. In base all'articolo 26 dell'ordinanza 3 concernente la legge sul lavoro (Igiene, OLL 3), l'applicazione di sistemi di sorveglianza e di controllo del comportamento dei lavoratori sul posto di lavoro è vietata, ragion per cui una tale misura sarebbe illecita anche qualora vi fosse il consenso degli interessati.
https://www.edoeb.admin.ch/content/edoeb/it/home/protezione-dei-dati/technologien/sistemi-di-localizzazione-di-persone.html