g-docweb-display Portlet

Videosorveglianza e biometria per esigenze di sicurezza: impiego non conforme - 4 giugno 2009 [1629975]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 1629975]

[vedi Videosorveglianza - provvedimento generale]

[vedi doc. web n. 1381983]
[vedi Newsletter]

Videosorveglianza e biometria per esigenze di sicurezza: impiego non conforme - 4 giugno 2009

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA RIUNIONE ODIERNA, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Filippo Patroni Griffi, segretario generale;

VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali);

VISTO il provvedimento del Garante datato 29 aprile 2004, in , doc. web n. 1003482, in materia di trattamento di dati personali effettuati mediante sistemi di videosorveglianza;

VISTE le risultanze degli accertamenti ispettivi svolti il 25 settembre 2008 dal Comando compagnia di Marcianise della Guardia di finanza su delega di questa Autorità presso il "Il Tarì s.c.p.a.", società operante nel settore della promozione, programmazione e gestione, nell´interesse dei soci, di centri attrezzati per la produzione ed il commercio all´ingrosso di preziosi ed affini, cui è rimessa la gestione del centro orafo sito in Marcianise (Caserta);

VISTI gli accertamenti effettuati e le dichiarazioni rese dalla società (rilevanti ai sensi dell´art. 168 del Codice) dalle quali è risultato che rispetto al trattamento di dati personali effettuato tramite il sistema di videosorveglianza – composto complessivamente di 140 telecamere, parte delle quali brandeggiabili e dotate di zoom, e installato per finalità di "sicurezza del centro orafo" (v. verbale di operazioni compiute del 25 settembre 2008, punto 32 del questionario allegato) – non è stato adempiuto l´obbligo di rendere l´informativa prevista dall´art. 13 del Codice, né sono state osservate al riguardo le prescrizioni contenute nel menzionato provvedimento del 29 aprile 2004; rilevato, altresì, che le immagini risultano conservate, senza che ne sia stata fornita specifica giustificazione, per un periodo "superiore a una settimana" (v. verbale 25 settembre 2008, cit., p. 3);

RILEVATA la contestazione, in data 26 settembre 2008, della violazione amministrativa concernente l´omessa e inidonea informativa (artt. 13, comma 4, e 161 del Codice);

RILEVATO, conseguentemente, che il predetto trattamento di dati personali non risulta, allo stato degli atti, conforme alla disciplina in materia di protezione dei dati personali;

RITENUTO, pertanto, di dover prescrivere, ai sensi dell´art. 154, comma 1, lett. c), del Codice, a "Il Tarì s.c.p.a." in relazione al menzionato trattamento di dati effettuato presso il centro orafo sito in Marcianise e al fine di renderlo conforme alla disciplina in materia di protezione dei dati personali, l´adozione di necessarie misure a garanzia degli interessati, e segnatamente:

a. di fornire l´informativa agli interessati, nelle forme (semplificate) previste dal modello allegato al provvedimento del 29 aprile 2004, con riguardo a tutte le aree interessate dal sistema di videosorveglianza installato a presidio del centro orafo, nonché di integrare tali informazioni, per le aree diverse da quelle esterne, con avvisi circostanziati (che riportino gli elementi di cui all´art. 13 del Codice) collocati presso i varchi d´accesso al centro orafo;

b. di commisurare il tempo di conservazione delle immagini alle effettive necessità della raccolta, e comunque, considerata l´area geografica ad alto tasso di criminalità nella quale è stabilito il centro orafo e la natura dei beni ivi commercializzati, per un intervallo temporale che non può superare la settimana (cfr. Provv. 29 aprile 2004, cit., punto 3.4.);

VISTE altresì le comunicazioni del 24 settembre 2008 e del 27 novembre 2008, con le quali Ettore Capriola e Raffaele Mastrobuono hanno segnalato l´impiego presso il centro orafo "Il Tarì s.c.p.a." di un sistema di rilevazione biometrico basato sulla elaborazione di template derivanti dal trattamento di informazioni personali ricavate dalla lettura delle impronte digitali di diverse categorie di interessati, unitamente al sistema di videosorveglianza;

ESAMINATE le risultanze istruttorie relative a tale profilo dalle quali risulta che la società, in considerazione del numero elevato di imprese operanti nel settore di preziosi insediate nel centro orafo (pari a circa quattrocento), della natura dei beni ivi prodotti e/o commercializzati e dalla zona ad alto tasso di criminalità ove il centro ha sede, ha predisposto distinti sistemi di accesso, uno dei quali dotato di sistema biometrico "riservato ai soci e agli operatori del settore accreditati presso il Centro" al fine di "agevolare l´accesso al Centro ai titolari delle aziende insediate e agli operatori del settore accreditati" (v. nota 4 dicembre 2008);

RILEVATO che il sistema di verifica biometrica installato è costituito da un server dedicato sul quale sono registrati in forma centralizzata i modelli (template) ricavati dalla lettura dell´impronta digitale degli interessati (quindi cifrati) che "dialoga esclusivamente con i lettori biometrici ubicati nelle bussole [di accesso al centro]" (v. nota 4 dicembre 2008);

CONSIDERATO che questa Autorità ha già indicato, in più decisioni, le condizioni di liceità del trattamento di dati biometrici ricavati dalle impronte digitali, precisando che gli stessi possono essere utilizzati solo in casi particolari, tenuto conto delle finalità perseguite e del contesto del trattamento – e, con riguardo ai luoghi di lavoro, per presidiare l´accesso ad "aree sensibili" in considerazione della natura delle attività ivi espletate – e che, nei casi in cui l´uso dei dati biometrici è consentito, la centralizzazione in una banca dati delle informazioni personali trattate nell´ambito del procedimento di riconoscimento biometrico risulta di regola sproporzionata e non necessaria (sul punto v. Provv. 1° febbraio 2007, doc. web n. 1381983, relativo ad altro centro orafo operante nella stessa area geografica; nello stesso senso cfr. altresì Deliberazione n. 53 del 23 novembre 2006, Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di soggetti privati, punto 4.2., doc. web n. 1364099; Provv. 21 luglio 2005, doc. web n. 1150679; Provv. 23 novembre 2005, doc. web n. 1202254; Provv. 15 giugno 2006, docc. web nn. 1306098130652313065301306551; Provv. 26 luglio 2006, doc. web n. 1318582);

RILEVATO che "Il Tarì s.c.p.a." non ha addotto ragioni specifiche volte a chiarire la necessità della memorizzazione in un sistema centralizzato dei menzionati template e che, pertanto, tale misura deve, allo stato, considerarsi sproporzionata, ben potendosi adottare – in conformità ai principi stabiliti negli artt. 3 e 11, comma 1, lett. d), del Codice – misure meno invasive a tutela degli interessati (quali, ad esempio, sistemi biometrici nei quali il template ricavato dalle impronte digitali risiede su una smart card posta nell´esclusiva disponibilità del detentore o basati sulla lettura del contorno della mano: in questo senso v. l´esito della verifica preliminare condotta su un caso analogo nel Provv. 1° febbraio 2007, doc. web n. 1381983);

RITENUTO che, allo stato degli atti, il trattamento di dati biometrici effettuato da "Il Tarì s.c.p.a." non è, per le precisate ragioni, conforme ai principi di necessità e proporzionalità (artt. 3 e 11, comma 1, lett. d), del Codice);

CONSIDERATO che "Il Tarì s.c.p.a." ha altresì dichiarato, ai sensi e per gli effetti dell´art. 168 del Codice, che il trattamento  di tali dati personali è effettuato previa informativa scritta resa a ciascun interessato "prima che fornisca i dati […] redatta secondo quanto prescritto dall´art. 13 [del Codice] e sottoscritta dall´interessato" ed "è assistito da un complesso di misure di sicurezza racchiuse e puntualmente descritte nel documento programmatico sulla sicurezza de Il Tarì che come per legge viene aggiornato ogni anno entro il 31 marzo" (v. nota 4 dicembre 2008);

VISTA la documentazione inviata dalla società in riscontro alla richiesta dell´Autorità (v. nota 26 febbraio 2009 e relativi allegati);

RILEVATO che il trattamento di dati personali, anche biometrici, effettuato dalla società si pone in violazione della regola 19 dell´Allegato B) al Codice, in quanto il documento programmatico sulla sicurezza è aggiornato al 30 marzo 2007, profilo che verrà segnalato all´Autorità giudiziaria competente in relazione al´inosservanza delle misure minime di sicurezza, ai sensi dell´art. 169 del Codice e rispetto al quale il Garante si riserva di avviare il procedimento prescrizionale di cui all´art. 169, comma 2, del Codice;

RILEVATO inoltre che, considerata la documentazione in atti, la società effettua altresì trattamenti di dati personali per finalità di marketing;

CONSIDERATO che in ordine a tale trattamento i dati personali sono raccolti mediante una scheda denominata "autorizzazione al trattamento di dati personali" (cfr. sia quella utilizzata per i segnalanti e datata 4 luglio 2006, sia quella contenuta nel modello recante la data del 27 febbraio 2009);

CONSIDERATO che rispetto a tale trattamento il consenso degli interessati non è prestato autonomamente rispetto a quello richiesto per i dati raccolti in vista dell´accesso all´infrastruttura del centro orafo e che la mancata accettazione delle condizioni relative al trattamento dei dati personali (nell´indicata formula onnicomprensiva) precluderebbe lo stesso accesso al centro orafo. Ne deriva che il consenso al trattamento dei dati per finalità di marketing non soddisfa i requisiti posti dalla legge, in base ai quali esso "è validamente prestato solo se è espresso liberamente" (art. 23, comma 3, del Codice). In casi come quello in esame, come già rilevato da questa Autorità (Provv. 12 ottobre 2005, in , doc. web n. 1179604; Provv. 3 novembre 2005, doc. web n. 1195215), non può definirsi libero, e risulta indebitamente necessitato, il consenso al trattamento dei dati personali che l´interessato deve prestare, accettando (nel caso di specie quale condizione per accedere al centro orafo) l´utilizzo di propri dati personali conferiti ad altri scopi per l´invio di comunicazioni pubblicitarie. Gli interessati debbono essere invece messi in grado di esprimere (consapevolmente e) liberamente le proprie scelte in ordine al trattamento dei dati che li riguardano, manifestando il proprio consenso (per dir così, "modulare") per ciascuna distinta finalità perseguita dal titolare (cfr. Provv. 24 febbraio 2005, punto 7). Tale capacità di autodeterminazione non è infatti assicurata quando si raccoglie il consenso in modo indifferenziato per perseguire distinte finalità qual è l´invio alla medesima di comunicazioni commerciali (marketing), ben potendo essere ciascuna di esse perseguita singolarmente in presenza di un´autonoma valutazione e determinazione dell´interessato;

RITENUTA altresì inidonea l´informativa contenuta nel nuovo modello di "autorizzazione al trattamento dei dati personali" (contrassegnato con la data 27 febbraio 2009), in quanto priva delle indicazioni prescritte dall´art. 13, comma 1, lett. c) e d), essendo i terzi a cui i dati possono essere comunicati non identificabili, neanche per categorie;

CONSIDERATO inoltre che solo nella nuova modulistica viene raccolto liberamente il consenso degli interessati in relazione al trattamento di dati biometrici per finalità di accesso al centro orafo (unitamente all´introduzione di modalità alternative di accesso consistenti nell´attribuzione a ciascun interessato di un apposito Pin giornaliero), mentre tali condizioni non sono state rispettate nei modelli sottoscritti dai segnalanti (v. nuovo modello cit., punto 5);

RITENUTA quindi l´inutilizzabilità dei dati raccolti per la menzionata finalità di marketing (art. 11, comma 2 del Codice) oltre che per il trattamento dei dati biometrici raccolti secondo modalità difformi da quelle risultanti dal modello datato 27 febbraio 2009, qualora la società intenda intraprendere nuovi trattamenti di dati personali per dette finalità, dovrà provvedere a predisporre modelli di raccolta del consenso della clientela che consentano autonome manifestazioni di consenso da parte dell´interessato in presenza di distinte finalità del trattamento, nel caso di specie relative all´utilizzo di dati biometrici per l´accesso al centro commerciale e dei dati personali anagrafici per l´effettuazione di attività di marketing. Inoltre, in relazione all´inidonea informativa, la società dovrà integrare la modulistica con gli elementi mancanti (art. 13 del Codice);

RILEVATO altresì che "Il Tarì s.c.p.a." non ha adempiuto all´obbligo di notificare al Garante il trattamento di dati biometrici a norma degli articoli 37 e 38 del Codice;

RISERVATA, con autonomo provvedimento, la verifica dei presupposti per la contestazione della violazione amministrativa concernente l´omessa e inidonea informativa (artt. 13 e 161 del Codice) oltre che dell´omessa notificazione al Garante del trattamento dei dati in esame (artt. 37 e 163 del Codice);

CONSIDERATO che il Garante, ai sensi dell´art. 154, comma 1, lett. d) del Codice, può, anche d´ufficio, vietare il trattamento illecito o non corretto dei dati personali;

RITENUTO, pertanto, di dover disporre nei confronti de "Il Tarì s.c.p.a.", allo stato, il divieto dell´ulteriore trattamento, in forma centralizzata, dei dati biometrici tratti dalle impronte digitali degli interessati;

RILEVATO che, in caso di inosservanza del presente provvedimento, si renderanno applicabili le sanzioni di cui agli artt. 162, comma 2-ter e 170 del Codice;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Giuseppe Chiaravalloti;

TUTTO CIÒ PREMESSO IL GARANTE

1. ai sensi dell´art. 154, comma 1, lett. c), del Codice, prescrive a "Il Tarì s.c.p.a.", al fine di rendere il trattamento di dati personali effettuato mediante il sistema di videosorveglianza conforme alla disciplina in materia di protezione dei dati personali, l´adozione di necessarie misure e accorgimenti a garanzia degli interessati, e segnatamente:

a. di fornire l´informativa agli interessati, nelle forme (semplificate) previste dal modello allegato al provvedimento del 29 aprile 2004, con riguardo a tutte le aree interessate dal sistema di videosorveglianza installato a presidio del centro orafo, nonché di integrare tali informazioni, per le aree diverse da quelle esterne, con avvisi circostanziati (che riportino gli elementi di cui all´art. 13 del Codice) collocati presso i varchi d´accesso al centro orafo;

b. di commisurare il tempo di conservazione delle immagini alle effettive necessità della raccolta, e comunque, considerata l´area geografica ad alto tasso di criminalità nella quale è stabilito il centro orafo e la natura dei beni ivi commercializzati, per un intervallo temporale che non può superare la settimana;

2. ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, vieta a "Il Tarì s.c.p.a." il trattamento, in forma centralizzata, dei dati biometrici tratti dalle impronte digitali di soci ed operatori del settore accreditati presso il centro orafo al fine di agevolare l´accesso al medesimo;

3. ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice, prescrive quale misura necessaria a "Il Tarì s.c.p.a.", qualora la società intenda intraprendere nuovi trattamenti di dati personali per dette finalità, di predisporre modelli di raccolta del consenso della clientela che consentano autonome manifestazioni di consenso da parte dell´interessato in presenza di distinte finalità del trattamento, con particolare riferimento all´utilizzo di dati biometrici per l´accesso al centro commerciale e dei dati personali anagrafici per l´effettuazione di attività di marketing, integrando comunque l´informativa fornita nella modulistica con gli elementi mancanti (art. 13 del Codice);

4. ai sensi dell´art. 157 del Codice, prescrive a "Il Tarì s.c.p.a." di dare tempestivo e documentato riscontro a questa Autorità, entro e non oltre il 30 settembre 2009, delle misure adottate per conformare i trattamenti effettuati alle prescrizioni del presente provvedimento, fornendo ogni informazione utile al riguardo.

Roma, 4 giugno 2009

IL PRESIDENTE
Pizzetti

IL RELATORE
Chiaravalloti

IL SEGRETARIO GENERALE
Patroni Griffi