Diritti interna

Doveri interna

advanced search

Verifica preliminare. Sistema di rilevazione delle immagini dotato di un software che permette il riconoscimento della persona (morfologia del volto) - 15 marzo 2018 [8789277]

[doc. web n. 8789277]

Verifica preliminare. Sistema di rilevazione delle immagini dotato di un software che permette il riconoscimento della persona (morfologia del volto) - 15 marzo 2018

Registro dei provvedimenti
n. 155 del 15 marzo 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della dott.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il d.lgs. 30 giugno 2003, n. 196, recante il "Codice in materia di protezione dei dati personali" (di seguito "Codice");

VISTO il provvedimento generale prescrittivo in tema di biometria e le relative linee guida del 12 novembre 2014, nonché il provvedimento del 15 gennaio 2015 (pubblicati, rispettivamente, in G.U. n. 280 del 2 dicembre 2014 e in G.U. 34 dell´11 febbraio 2015, reperibili in www.gpdp.it, doc. web n. 3556992 e n. 3701432);

VISTO il provvedimento generale in materia di videosorveglianza dell´8 aprile 2010 (pubblicato in G.U. n. 99 del 29 aprile 2010, e in www.gpdp.it, doc. web n. 1712680);

ESAMINATA la richiesta di verifica preliminare presentata da Aeroporti di Roma S.p.A., ai sensi dell´art. 17 del Codice, e le successive comunicazioni inviate dalla Società;

VISTI gli atti d´ufficio;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Augusta Iannini;

PREMESSO

1. L´istanza della Società

Aeroporti di Roma S.p.a, di seguito "la Società", con la nota del 20 settembre 2016, regolarizzata in data 8 novembre 2016, ha presentato all´Autorità, ai sensi dell´art. 17 del Codice, una richiesta di verifica preliminare per l´istallazione, presso l´Aeroporto di Fiumicino, di un sistema di rilevazione delle immagini dotato di un software che permetta il riconoscimento della persona (morfologia del volto) tramite confronto con le immagini rilevate in due punti successivi.

Tale sistema verrebbe utilizzato "per monitorare il numero dei passeggeri transitanti presso punti critici" dell´aeroporto, quali in primo luogo le aree relative al controllo dei passaporti, cui, in un secondo tempo si aggiungerebbero anche le aree controllo di sicurezza, le aree di imbarco, le aree check-in; tutte zone in cui l´impiego di altri sistemi di controllo continuo non risulterebbe idoneo al raggiungimento della finalità prefissata.

Si tratterebbe, più specificamente, di un impianto di "monitoraggio code", attraverso il calcolo dei tempi di percorrenza ed attesa, realizzato allo scopo di migliorare quei "servizi al pubblico volti ad accrescere la sicurezza degli utenti", così come richiesto dagli "standard internazionali di qualità indicati dall´Airport Council International".

In particolare, detto monitoraggio, effettuando un controllo della "densità istantanea dei passeggeri in coda e del loro afflusso e deflusso" permetterebbe anche di migliorare la gestione delle emergenze, della sicurezza e della prevenzione antincendio, in accordo con gli standard di sicurezza indicati dall´Airport Council International, con l´ulteriore obiettivo di agevolare un confronto con la Polizia di frontiera per eventuali interventi operativi, organizzativi e strutturali (cfr. nota del 20 settembre 2016).

La Società ha altresì riferito che nessun sistema alternativo alla predetta soluzione tecnologica è risultato idoneo a conseguire le finalità prefissate.

Con riferimento all´aspetto tecnico del sistema è stato precisato che l´impianto di videosorveglianza sarebbe dotato di un software di riconoscimento facciale capace di: 1) codificare le immagini immediatamente dopo la loro acquisizione tramite la creazione di un template biometrico "non riconducibile alla persona"; 2) criptare le immagini con algoritmi di cifratura avanzati; 3) registrare il predetto template in un database di storage, senza alcuna possibile associazione con i nominativi dei passeggeri o con la loro carta d´imbarco.

Al riguardo, è stato precisato che il sistema sarebbe in grado di effettuare la cancellazione automatica delle immagini, immediatamente dopo la generazione del template, conservato invece per il tempo medio di permanenza in coda del singolo passeggero, con la conseguenza di utilizzare, allo scopo, dati relativi a persone non identificabili (cfr. nota del 8 novembre 2016).

A sostegno della presente richiesta, la Società ha evidenziato che il sistema progettato avrebbe il pregio di monitorare in modo efficace i tempi di coda, permettendo "di seguire (anonimamente) il singolo passeggero" dall´entrata all´uscita del percorso scelto (ad esempio ai controlli passaporti) e calcolare così il "tempo di attraversamento della coda".

2. Il funzionamento del sistema

Il sistema che la Società intende installare non prevede la memorizzazione delle immagini dei volti durante la fase di enrollement.

Per ogni fila sarebbero predisposte due telecamere di riconoscimento facciale, ad inizio e a fine di ogni singolo percorso, in modo tale che al termine del tratto da percorrere sia possibile effettuare il match tra i dati rilevati.

Le immagini acquisite tramite la telecamera verrebbero conservate per gli istanti strettamente necessari (near real time) alla loro codifica in template biometrico, il quale non sarebbe più riconducibile a dati personali.

Il template, dunque, estrapolerebbe solamente i "tratti salienti del volto" e, inoltre, non permetterebbe la ricostruzione di quest´ultimo partendo dal codice numerico.

Questo procedimento avrebbe luogo sia all´inizio del percorso che alla fine di esso.

Una volta effettuata la codifica dell´immagine del volto acquisita dalla videocamera ad inizio coda e completato l´enrollment con la generazione e memorizzazione del primo template biometrico relativo al passeggero, il sistema conserverebbe il dato generato fino al momento in cui il passeggero, a fine coda, verrebbe ripreso da una seconda videocamera dotata del medesimo software di riconoscimento facciale che effettuerebbe una seconda codifica dell´immagine generando un secondo template biometrico.

Il confronto dei due template permetterebbe di calcolare il tempo medio di percorrenza del passeggero tra i due estremi "del percorso di coda" (cfr. nota del 25 gennaio 2017).

In particolare, il sistema, comparando i due codici alfanumerici corrispondenti ai template generati ad inizio e fine coda, calcolerebbe la percentuale di match positivi tra di essi che, qualora superiore ad una certa soglia (ad es. 80%), determinerebbe "la cd. identificazione del singolo passeggero". Tale informazione verrebbe utilizzata dal sistema per integrare automaticamente il "calcolo degli indici di monitoraggio" (conteggio e tempo di attesa), alimentando l´algoritmo di calcolo del tempo di coda. Nel caso in cui un template acquisito in ingresso non trovasse riscontro con nessun template acquisito nell´altro punto, verrebbe ugualmente cancellato  dopo un tempo massimo di persistenza, calcolato a seconda del tempo di attesa previsto.

La conservazione dei template sarebbe mediamente di 45 minuti, corrispondente al tempo medio di percorrenza della coda da parte di un passeggero, e, comunque, gli stessi sarebbero cancellati dopo un´ora e trenta minuti, in caso di mancato match positivo.

L´accesso al sistema centrale per il monitoraggio dello stato di affollamento code sarebbe in capo ad un vigilatore dei dati, in qualità di amministratore di sistema, che autorizzerebbe personale specifico di Aeroporti di Roma ad accedervi con credenziali personali, senza tuttavia che gli stessi possano avere alcuna visibilità sulle immagini e sui template in quanto già eliminati; mentre, solamente gli "amministratori tecnici" avrebbero accesso, a fini manutentivi, alle immagini e ai dati biometrici.

Per quanto riguarda l´obbligo di rendere preventivamente l´informativa di cui all´art. 13 del Codice agli interessati la società ha previsto l´adozione di un modello semplificato di "informativa minima", fornito delle informazioni relative alle finalità ed alla presenza di registrazione di immagini rimandando ad una informativa più completa sul sito web della Società.

3. Le valutazioni dell´Autorità

La raccolta e la registrazione di dati biometrici, ricavati dalle caratteristiche fisiche o comportamentali della persona a seguito di un apposito procedimento e poi risultanti in un modello di riferimento utilizzato per verifiche e raffronti nelle procedure di autenticazione o di identificazione, costituiscono operazioni di trattamento di dati personali alle quali devono applicarsi i principi contenuti nel Codice e richiamati nelle "Linee guida in materia di riconoscimento biometrico e firma grafometrica" allegate al provvedimento del Garante del 12 novembre 2014.

La liceità del sistema deve essere valutata sul piano della conformità ai princìpi di necessità, proporzionalità, finalità e correttezza (artt. 3 e 11 del Codice), tenendo conto della peculiarità dell´attività svolta dalla Società nel sito in questione.

Dall´istruttoria condotta, dall´esame della documentazione acquisita agli atti e dalle valutazione tecniche svolte, risulta che il trattamento oggetto dell´istanza, ove svolto nei termini e con le modalità indicate, oltre che nel rispetto delle prescrizioni di seguito formulate, può ritenersi lecito.

Stando alle dichiarazioni rese, infatti, il trattamento che la Società intende svolgere per la (sola) finalità dichiarata e legittima –resa nota previamente agli interessati a mezzo di una seppur sintetica informativa (artt. 11, comma 1, lett. b), e 13 del Codice)– vuole effettivamente contribuire a migliorare quei "servizi al pubblico volti ad accrescere la sicurezza degli utenti", permettendo anche di migliorare la gestione delle emergenze, della sicurezza e della prevenzione antincendio e di agevolare un confronto con la Polizia di frontiera per eventuali interventi operativi, organizzativi e strutturali presso l´Aeroporto di Roma.

Il sistema appare conforme al principio di necessità, che impone, sul piano generale, di configurare i sistemi informativi riducendo al minimo l´utilizzo di dati personali e identificativi (art. 3 del Codice).

Al riguardo, vale osservare che il sistema previsto, non è destinato all´identificazione dei passeggeri, ma ad un mero raffronto di volti, con l´obiettivo di individuare lo stesso passeggero che transita in due punti successivi di osservazione al fine di misurare l´afflusso di passeggeri provvedendo al loro conteggio nelle fasi di accodamento in aerostazione. Ciò viene realizzato con modalità tali da minimizzare l´utilizzo dei dati personali, essendo le immagini conservate per gli istanti strettamente necessari alla loro codifica in template biometrico, e senza che sia effettuato alcun incrocio con altri dati identificativi (es. nome e cognome) dei soggetti, con la conseguenza di un trattamento di dati ridotto al minimo.

Rispettando tali presupposti, il trattamento non può altresì essere considerato sproporzionato (art. 11, comma 1, lett. d), del Codice), anche alla luce delle dichiarazioni rese dalla società in relazione alla non idoneità di strumenti alternativi in termini di risultato (secondo quanto documentato in atti dall´istante).

Inoltre, il limitato periodo di tempo previsto in relazione alla conservazione delle immagini in fase di enrollment (near real time) e successivamente a quella del template biometrico (mediamente 45 minuti, fino ad un massimo di un´ora e trenta minuti, in caso di mancato match positivo), inducono a confermare che il trattamento di dati in esame sia effettuato secondo i principi dettati dall´art. 11 del Codice, anche rispetto alla sua pertinenza e non eccedenza.

Per quanto attiene alla protezione dei dati, le misure di sicurezza indicate dalla Società, alla luce della documentazione trasmessa, risultano adeguate ai sensi degli artt. 31 e ss. del Codice. La medesima società, tuttavia, dovrà osservare scrupolosamente le prescrizioni di cui al provvedimento del Garante sugli amministratori di sistema, nonché adottare idonei accorgimenti informatici volti a scongiurare l´accesso abusivo o l´azione di malware, tra cui la puntuale e tempestiva applicazione delle patch di sicurezza per il software adoperato nella realizzazione del sistema di monitoraggio nel suo insieme.

Resta inteso che i dati biometrici ricavati dalle caratteristiche facciali dei viaggiatori non potranno essere utilizzati in operazioni di trattamento incompatibili con le finalità originarie della raccolta (art. 11, comma 1, lett. b), del Codice, cit.).

La società dovrà infine notificare il trattamento al Garante, ai sensi del vigente art. 37 del Codice, qualora il trattamento abbia effettivamente inizio prima del 25 maggio 2018 (tenendo conto che tale adempimento non sarà più dovuto in data successiva al 25 maggio p.v.)

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell´art. 17 del Codice, accoglie allo stato la richiesta di verifica preliminare presentata da Aeroporti di Roma s.p.a., nei termini di cui in motivazione e a tal fine prescrive alla Società l´adozione delle misure di sicurezza di cui al presente provvedimento.

Avverso il presente provvedimento può essere proposta opposizione ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150 del 2011 con ricorso dinanzi all´autorità giudiziaria ordinaria, da presentarsi entro il termine di trenta giorni dalla data della sua comunicazione ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 15 marzo 2018

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia