L’installazione e l’utilizzo di dispositivi beacon pone rilevanti problemi in relazione alla protezione dei dati personali degli interessati alla luce del GDPR. L’installazione, infatti, può avvenire anche tramite apposite app, consentendo potenzialmente la geolocalizzazione del fruitore del servizio, mentre gli interessati sono tipicamente i possessori di uno smartphone. Una questione complessa sollevata già da tempo: a proposito di questi dispositivi, anche il Garante della privacy italiano è intervenuto in due occasioni.
Indice degli argomenti
La tecnologia dei dispositivi beacon
I dispositivi beacon si basano sul sistema di trasmissione Bluetooth, consentendo ai device dotati, appunto, di tale tecnologia (di fatto, qualsiasi smartphone e prodotto wearable) di trasmettere e ricevere piccoli messaggi entro brevi distanze.
Il procedimento di comunicazione avviene attraverso un cosiddetto “presentatore” (il dispositivo beacon), che si pubblicizza inviando all’esterno un messaggio di identificazione (“sono qui, il mio IP è…”); a questo punto, il “ricevitore” (ad esempio, un’app per smartphone) rileva il dispositivo beacon e svolge il compito assegnatogli in base alla sua programmazione una volta entrato nel raggio d’azione del presentatore (ad esempio, invia un avviso, offre degli sconti, accende o spegne le luci ecc.).
Questa caratteristica dei beacon li assimila a dei piccoli fari ripetitori, tant’è vero che l’icona con cui viene, di norma, indicata la loro presenza, richiama, appunto, la sagoma di un faro.
Gli interventi del Garante
L’utilizzo dei beacon non è, di per sé, una novità ed anche il nostro Garante della privacy se ne è occupato in due occasioni. Con il provvedimento del 25 gennaio 2018 (verifica preliminare) il Garante è stato chiamato ad esprimersi in merito alla possibilità di utilizzo di questa tecnologia per monitorare pazienti anziani in una casa di cura.
Il sistema proposto era basato su sistemi di localizzazione e videosorveglianza, che avrebbero consentito al personale sanitario di controllare, anche a distanza, in particolari situazioni, i pazienti ospiti della residenza sanitario-assistenziale in condizione di totale non autosufficienza.
In particolare, il sistema prevedeva che il paziente indossasse un bracciale o una cavigliera, contenente un dispositivo beacon basato su tecnologia Bluetooth a bassa emissione di energia, nonché un misuratore di frequenza cardiaca. La localizzazione del soggetto sarebbe avvenuta soltanto in caso di specifici eventi, al verificarsi dei quali sarebbe risultato necessario conoscere la posizione esatta del soggetto monitorato: ad esempio, in caso di allontanamento del paziente dal reparto o di accesso ad aree precluse (come la farmacia della struttura) o in caso di rilevazione di un’alterazione della frequenza cardiaca.
In quest’ultimo caso, oltre alla localizzazione, si sarebbe attivata anche la “telecamera di zona”, ossia la telecamera più vicina alla posizione del paziente, con registrazione delle immagini per circa 30 minuti e con invio di un messaggio di allerta al personale, al fine di consentirgli di valutare la necessità di un pronto intervento. Analogamente, nel caso in cui il paziente si fosse allontanato dal reparto o fosse entrato in aree allo stesso precluse, la localizzazione del paziente tramite il beacon avrebbe consentirebbe al personale sanitario, allertato da un allarme trasmesso alla postazione nella guardiola, di raggiungerlo e di intervenire a garanzia della sua incolumità.
Con il provvedimento del 22 maggio 2018 (anche in questo caso, una verifica preliminare), è stato esaminato l’utilizzo di un dispositivo beacon di sicurezza, in grado di rilevare, in caso di attivazione di un segnale d’allarme, la posizione dei lavoratori operanti in solitaria.
In questo caso, il progetto prevedeva l’utilizzo di un dispositivo indossabile dotato di tecnologia GPS e collegato ad una piattaforma web di localizzazione e gestione di allarmi attraverso una specifica applicazione, da utilizzare all’interno di uno stabilimento multipiano dove il titolare del trattamento aveva realizzato l’installazione di una rete di localizzazione interna aggiuntiva, costituita da dispositivi fissi beacon posizionati in punti prestabiliti ai vari piani dello stabilimento – a cui, di volta in volta, si sarebbe collegato il dispositivo indossato dal lavoratore – in modo da consentire una rapida e più precisa localizzazione del lavoratore in caso di emergenza.
Il dispositivo sarebbe stato indossato dal lavoratore ogni qual volta, per esigenze di carattere operativo, quest’ultimo si fosse recato ad operare in solitaria in aree site all’interno degli edifici non frequentate da altri lavoratori dello stabilimento e non monitorate da sistemi di videosorveglianza.
Gli obblighi di informativa
Per i titolari del trattamento che intendono utilizzare la tecnologia beacon, occorrerà prestare molta attenzione all’obbligo di informare, in modo chiaro, conciso e facilmente visibile, i propri utenti/clienti del fatto che, nell’area, sono installati questi dispositivi, specificando, altresì, quali sono le modalità per non essere geolocalizzati/profilati/tracciati.
Occorrerà, in particolare, descrivere in modo chiaro come poter neutralizzare il rilevamento, se non desiderato: il più delle volte si tratterà di disattivare il Bluetooth, benché ciò potrebbe risultare, in alcuni casi, non facile quando il device dell’utente utilizza questa tecnologia anche per interagire con altri oggetti, come auricolari o smartwatch.
Misure a tutela dei dati degli interessati
In aggiunta all’informativa (chiara, sintetica e completa) in merito all’utilizzo dei dati da parte dell’applicazione collegata al beacon, il titolare del trattamento dovrà anche individuare ed attuare adeguate misure tecniche ed organizzative, idonee a minimizzare il rischio connesso al trattamento dei dati rilevati, progettando sistemi che, fin dall’origine, abbiano caratteristiche che garantiscano gli interessati circa il trattamento lecito dei loro dati, nel rispetto dei principi di “privacy by design and by default”. Nel caso, poi, che i dati raccolti siano di tale entità da rientrare nell’ipotesi di trattamento “su larga scala”, potrebbe anche rendersi necessaria – od opportuna – la nomina di un Data Protection Officer e ciò, soprattutto, se sia previsto il rilevamento dei dati in luoghi aperti al pubblico o quando la natura dei dati rilevati possa costituire un rischio elevato per i diritti degli individui.
Qualora, poi, i dati personali siano raccolti tramite l’utilizzo di “beacon app” (cioè applicazioni appositamente studiate per l’analisi e l’elaborazione dei dati rilevati dai beacon), si potrebbe ricadere nell’ipotesi di uso di una tecnologia da considerarsi “innovativa” (o per “usi innovativi”), le cui implicazioni non sono ancora del tutto chiare o non siano state sufficientemente testate: in questi casi, si renderà necessario, prima di procedere al trattamento, effettuare una valutazione d’impatto sulla protezione dei dati personali (DPIA), con eventuali fasi di riesame periodico.
Infine, nell’ipotesi in cui, anche una volta effettuata la DPIA, il titolare del trattamento non sia certo di poter assicurare misure sufficienti per ridurre il rischio ad un livello accettabile, potrebbe rendersi necessario consultare preventivamente il Garante per ottenere maggiori indicazioni su come gestire il rischio residuale, come previsto dall’art. 36 GDPR. All’esito di tale esame, quindi, il Garante potrebbe indicare misure ulteriori eventualmente da implementare a cura del titolare del trattamento, così come potrebbe anche chiedere di adottare misure correttive al trattamento, fino a giungere all’ipotesi estrema di vietare il trattamento dei dati.
Le valutazioni che, per il principio di accountabilty, lo sviluppatore di una tecnologia basata sui beacon dovrà compiere in merito alle concrete misure da adottare ed agli adempimenti da porre in essere sono, quindi, molto delicate e richiedono di essere attentamente ponderate.
L’attuale stato dell’arte per l’utilizzo di beacon
Pur dovendo valutare caso per caso la liceità dell’utilizzo dei dati tramite la tecnologia beacon, possiamo, comunque, fin da ora tenere conto di quanto prescrive il Garante in merito. Secondo la nostra Autorità di vigilanza, l’utilizzo dei beacon:
- è lecito per la tutela della salute e dell’incolumità delle persone, sulla base di un rigoroso bilanciamento degli interessi in gioco;
- deve essere preceduto dal consenso dell’interessato, previa idonea informativa;
- deve sottostare ad una rigorosa applicazione del principio di proporzionalità del trattamento, evitando, ad esempio, di esporre gli interessati ad una localizzazione sistematica e continua;
- deve rispettare il principio secondo cui le informazioni acquisite non devono essere memorizzate se non per il tempo strettamente necessario a fornire il servizio all’interessato, senza conservazione degli eventi storici;
- richiede un riesame costante della validità della tecnologia e della sua compatibilità con i diritti e le libertà degli interessati;
- non deve permettere l’identificabilità degli individui che utilizzano questa tecnologia.
Alla luce di questi principi, è, quindi, evidente che chiunque intenderà cimentarsi nello sviluppo di tecnologie basate su reti di beacon dovrà necessariamente compiere delicate e ponderate valutazioni, anche tecniche, per garantire (e dimostrare, in base al principio di accountability) il rispetto della tutela dei diritti e delle libertà di ciascun interessato, pena l’applicazione di sanzioni che, com’è noto, possono essere estremamente elevate.
Questa tecnologia, già oggi presente in molte situazioni, ma meno nota di altre e ancora foriera di sviluppi ed implicazioni interessanti, può considerarsi come un piccolo banco di prova delle sfide alla libertà degli individui che saremo inevitabilmente costretti ad affrontare (e risolvere) con l’introduzione dell’ormai imminente tecnologia 5G.
