Molte amministrazioni comunali stanno valutando, o in molte occasioni hanno già acquistato e installato, le c.d. “telecamere intelligenti” tipicamente con funzione di riconoscimento targhe (OCR). Sono tecnologie automatizzate per il trattamento di dati personali su larga scala parecchio invasive dal punto di vista della privacy e che generalmente necessitano preventivamente di una valutazione d’impatto (DPIA), procedura che aiuterà a studiare l’opportuna configurazione in modo da ridurre al minimo gli eventuali rischi per i diritti e le libertà degli interessati.
Le telecamere OCR (Optical Character Recognition) non sono tutte uguali tra loro. In funzione dell’impiego (finalità del trattamento tipicamente per esigenze di sicurezza urbana o pubblica sicurezza) devono essere individuate prima di procedere all’acquisto in modo da poterle utilizzare rispettando anche il diritto alla protezione dei dati personali delle persone riprese.
In prima istanza bisognerà appurare se questi dispositivi fanno uso di cloud server, e se così fosse, bisognerebbe verificare che i server siano di fornitori qualificati Ag.Id (Agenzia Italia Digitale), e inoltre sarà necessario poi domandarsi se sono previsti trasferimenti di dati all’estero.
Le telecamere OCR
Molti produttori sfruttano diffusi sistemi di notifica (gratuiti) via app (es. Telegram) che implicano trasferimenti di dati su cloud o all’estero, che possono utilizzare “alert” via “chat”, e se non rispettassero la normativa vigente non dovrebbero essere utilizzati. Le telecamere OCR nascono con lo scopo di poter raccogliere dati per finalità di “pubblica sicurezza” tramite l’utilizzo della funzione “blacklist”, e il sistema invia un “alert” solo quando il veicolo inserito nella lista transita sotto la telecamera.
La funzione opposta si chiama “whitelist”, ed è tipicamente da utilizzarsi per le ZTL (zone a traffico limitato). In questo caso solo le targhe dei veicoli autorizzati saranno inserite nella lista, e di conseguenza i veicoli non autorizzati saranno ripresi e le immagini potranno essere conservate per successivi controlli.
Entrambi i sistemi basati su liste permettono di utilizzare la funzione di riconoscimento delle targhe nel rispetto del principio di “minimizzazione” del GDPR, in quanto si eviterebbe di ricadere in una situazione in cui il trattamento di dati risulterebbe eccedente, ed essendo limitato a un numero confinato di veicoli, per finalità di pubblica sicurezza sarebbe inoltre rispondente al principio di “proporzionalità” enunciato nella direttiva 2016/680 (direttiva polizia).
Caso differente è l’utilizzo di queste registrazioni per le attività di polizia giudiziaria e che merita di approfondimento. Le tecnologie OCR si dividono in due “famiglie” in funzione del momento in cui interviene l’algoritmo che permette il riconoscimento delle targhe:
- Sistemi LPR (License Plate Recognition) - catturano l’immagine della targa che è convertita in testo al momento in cui l’operatore inserisce la targa nell’apposito software per cui potrà visionare o estrarre le immagini riferite solo a quel veicolo;
- Sistemi ANPR (Automatic Number Plate Recognition) - Il software è integrato nella telecamera, scansiona e trasforma le immagini in testo e mediante l’utilizzo di “metadati”, l’algoritmo scrive il codice della targa elaborata in formato testuale direttamente nel file dell’immagine salvata.
I sistemi LPR conservano quindi solo le immagini delle targhe e dal punto di vista normativo si applicherebbero i tempi di conservazione come se fossero immagini di contesto. L’impiego di telecamere ANPR invece comporterebbe l’acquisizione sistematica e su larga scala delle immagini delle targhe di tutti i veicoli transitati e implicherebbe indubbiamente l’acquisizione sproporzionata e ingiustificata di dati personali eccedenti, situazione che potenzialmente potrebbe ricondurre ad una situazione di “controllo” di tutti gli spostamenti delle persone riprese; queste telecamere, fatte salve esigenze particolari, non dovrebbero essere configurate conservando le immagini, in quanto si tratterebbe di immagini ricche anche di altre informazioni, l’impiego nel rispetto della disciplina privacy dovrebbe prevedere solo l’utilizzo della funzione di riconoscimento delle targhe in tempo reale con blacklist oppure utilizzando nelle opportune circostanze la funzione whitelist.
(Articolo di Andrea Ciappesoni - Data Protection Officer specializzato nella Pubblica Amministrazione. Socio membro Federprivacy)
maggiori informazioni su:
www.federprivacy.org
Necessità e approcci per l'innovazione nelle infrastrutture critiche della città futura
Corsi in programmazione riconosciuti per il mantenimento e la preparazione alla certificazione TÜV Italia
WebinarLa cybersicurezza dei sistemi di videosorveglianza
Corso riconosciuto da TÜV Italia