[doc. web n. 2475774]

Installazione di un sistema di videosorveglianza "intelligente" presso sedi aziendali. Verifica preliminare richiesta da Saipem S.p.A. - 18 aprile 2013

Registro dei provvedimenti
n. 202 del 18 aprile 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

Esaminata la richiesta di verifica preliminare presentata da Saipem S.p.A. ai sensi dell´art. 17 del d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito "Codice");

Visti gli atti d´ufficio;

Esaminata la documentazione acquisita agli atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore la prof.ssa Licia Califano;

PREMESSO

1. L´istanza della società.

Con comunicazione datata 9 febbraio 2012, la società Saipem S.p.A., in ossequio a quanto prescritto nel provvedimento in materia di videosorveglianza dell´8 aprile 2010, ha presentato una richiesta di verifica preliminare (art. 17 del Codice) in vista dell´istallazione di un sistema di videosorveglianza c.d. intelligente presso le proprie sedi direzionali ubicate in San Donato Milanese, in vista della realizzazione di un "progetto Sistema Integrato di Security" (SIS).

La società, in via preliminare, ha dichiarato di operare "nel settore dei servizi per l´industria petrolifera onshore e offshore" e di essere "soggetta all´attività di direzione e coordinamento di Eni S.p.A., che ne detiene il 43% delle quote azionarie".

Inoltre, la società ha evidenziato che, costituendo l´energia uno dei settori di maggiore rilevanza strategica sia per le politiche nazionali che nell´ambito delle relazioni internazionali, le infrastrutture delle compagnie operanti nel settore "oil & gas" sarebbero attualmente degli obiettivi primari per tutte le forme di minaccia non convenzionale, tra cui, segnatamente, possibili azioni terroristiche e di sabotaggio. Pertanto, tale rischio incomberebbe anche su Saipem S.p.A., che, pur non essendo "una vera e propria oil company", costituisce comunque un´infrastruttura di riferimento di Eni S.p.A., tanto da essere ubicata presso il "sito Eni" di San Donato Milanese e da riportare sui propri "palazzi uffici" il caratteristico logo del "cane a sei zampe" della controllante.

In particolare, i "palazzi uffici" di Saipem S.p.A. in San Donato Milanese, in quanto siti direzionali ospitanti i vertici aziendali, costituirebbero i centri nevralgici dell´azienda dal punto di vista gestionale-operativo, istituzionale e simbolico, sicché anche alla luce del clima di latente minaccia cui sono attualmente esposte in questo momento storico le compagnie del settore energetico in generale e le società del gruppo Eni in particolare, sussisterebbe il concreto pericolo di divenire bersaglio di azioni criminose (danneggiamenti, minacce, attentati), con gravi rischi per l´incolumità dei dipendenti e per il patrimonio della società.

Perciò, al fine di salvaguardare le proprie risorse, la gestione e lo sviluppo delle proprie attività di business e di prevenire i rischi incombenti, Saipem S.p.A. avrebbe deciso di dotarsi di strutture fisiche e strumenti tecnologici ed organizzativi in grado di garantire un livello di sicurezza adeguato e, comunque, in linea con quanto richiesto dalla controllante Eni S.p.A., che pretende che le società del gruppo adottino "i suoi stessi standard di sicurezza in tema di security" (cfr. nota datata 15 giugno 2012).

Pertanto, la società, a seguito di alcune mirate attività di studio e di verifica sulla tenuta del proprio sistema globale di sicurezza (Risk Assessment), avrebbe rilevato gravi carenze nell´organizzazione della security aziendale(cfr. all. 1 e 2 alla nota Saipem del 3 aprile 2013).

In particolare, la società ha riferito che le uniche difese di cui essa attualmente si avvale per prevenire indebiti accessi all´interno dei propri edifici sono costituite da alcune ridotte barriere metalliche e vegetali, da un impianto di illuminazione perimetrale, da un sistema antintrusione e da un impianto di videosorveglianza, provvisto di telecamere poste in corrispondenza degli accessi al sito e ai punti di ingresso ai "palazzi uffici" di Saipem S.p.A..

Ciò premesso, la società ha evidenziato che tale sistema  presenterebbe vulnerabilità tali da compromettere l´efficacia dell´attività di controllo, sicché recentemente, anche a seguito dell´avvenuta sottrazione di alcuni beni di proprietà aziendale custoditi presso i propri uffici, ha ritenuto necessario aumentare il livello di sicurezza dei propri edifici attraverso l´implementazione di un sistema integrato di security, che comprenderebbe un impianto di videosorveglianza perimetrale provvisto di motion detection e di "remotizzazione e registrazione delle immagini presso la guardiola, per il controllo del perimetro esterno e dei punti sensibili degli immobili" (quali uscite di emergenza, locali ricevimento posta e merci, ingressi dei parcheggi, ingressi pedonali- cfr. all. 2 nota Saipem del 3 aprile 2013), il quale, interagendo anche con gli altri sistemi antintrusione previsti nel progetto, si attiverebbe in caso di allarme per agevolare ed accelerare la risposta da parte del servizio di vigilanza (cfr. nota Saipem del 3 aprile 2013).

In sostanza, ai dispositivi di ripresa esistenti verrebbero abbinati software di "analisi della scena" o "motion detection", in grado di "facilita(re) e rende(re) effettivo il mantenimento della sicurezza" a fronte di un "innalzamento del livello di minaccia", "costituendo anche un valido supporto per le Forze di Polizia che dovessero essere chiamate ad intervenire" (cfr. nota Saipem del 9 febbraio 2012).

2. Le modalità di funzionamento del sistema.

Come riferito in precedenza, il sistema di sicurezza di cui attualmente si avvalgono le sedi di Saipem S.p.A. è costituito da un sistema antintrusione, alcuni impianti di illuminazione perimetrali e da un impianto di videosorveglianza (cfr. nota Saipem del 3 aprile 2013). Più esattamente, ciascun palazzo è dotato di un sistema di TVCC: presso il 3° palazzo, sono presenti 10 telecamere fisse installate all´interno della sola  zona verde; il 4° palazzo si avvale di altre 10 telecamere, di cui sette posizionate nei punti di accesso ai palazzi e lungo il perimetro esterno, due all´ingresso dei dipendenti e dei visitatori ed una interna al locale server (C.E.D.) (cfr. all. 1 e 2 nota Saipem del 3 aprile 2013).

A supporto di tale impianto di videosorveglianza, Saipem intenderebbe attivare un sistema automatico di rilevazione delle intrusioni basato su attività di video-analisi, il quale sarebbe in grado di supportare fino a dieci funzioni contemporanee per ogni telecamera, inviando, contemporaneamente, lo streaming video ai server di registrazione posti all´interno della sala appositamente predisposta per ospitare gli encoder.

In altri termini, le telecamere ad inseguimento (speed dome) eseguirebbero, in situazione di normalità, una scansione panoramica della zona di competenza e, grazie alla modalità di video-analisi, in caso di intrusione, si orienterebbero verso la zona interessata per seguire e registrare l´evento. Tra le funzionalità che verrebbero configurate, vi sarebbero, in particolare, le seguenti: object classification, che permetterebbe di distinguere, all´interno di un´immagine, persone, veicoli, animali e altri oggetti che non appartengono propriamente alla struttura della scena; single-multi tripwire event detection, che consentirebbe di rilevare il superamento, da parte di un oggetto in movimento, di una linea virtuale precedentemente definita all´interno del campo visivo della telecamera; enter-exit event detection, che sarebbe in grado di  rilevare il momento in cui un particolare tipo di oggetto, proveniente da una qualunque direzione all´interno del campo visivo della telecamera, entrasse o uscisse da una zona di interesse precedentemente individuata.

Alle predette funzioni di video-analisi corrisponderebbero una serie di azioni/risposte automatizzate.

Dal punto di vista tecnico, la funzione di video-analisi associata al sistema di videosorveglianza renderebbe possibile discriminare diversi tipi di evento, generando, nel caso in cui vi fosse un tentativo di effrazione, un messaggio di allarme. Tale messaggio sarebbe interpretato dal sistema TVCC che, immediatamente, porrebbe il personale di sorveglianza in grado di visualizzare le immagini della zona interessata dall´evento e di seguirne l´evoluzione.

Il sistema verrebbe predisposto per il controllo del perimetro esterno e dei punti sensibili degli immobili (uscite d´emergenza, centrale elettrica, centrale telefonica, portineria, sala d´attesa locali ricevimento posta e merci, ingressi dei parcheggi e ingressi pedonali) e consentirebbe la visione delle immagini real time e la visione dell´ultimo minuto di registrazione antecedente al verificarsi di un evento di allarme originato dal sistema anti-intrusione o dal sistema di motion detection collegato al sistema di videosorveglianza (cfr. nota Saipem del 3 aprile 2013).

Su alcune telecamere – che potrebbero riprendere immagini di dipendenti sul luogo di lavoro o in aree pubbliche - verrebbero applicati dei "dispositivi di mascheramento" che, in caso di ripresa di aree non pertinenti all´area di controllo (luoghi di lavoro e aree esterne al perimetro dei palazzi Saipem), sarebbero in grado di oscurare le immagini relative a tali zone applicando una maschera grigia su di esse e impedendo, quindi, agli operatori la loro visione.

Il sistema di videosorveglianza sarebbe costruito in modo da registrare tutte le immagini rilevate su supporti digitali attraverso apparecchiature informatiche denominate Digital Video Recorder (DVR); le registrazioni sarebbero conservate per un periodo non superiore a sette giorni, trascorso il quale verrebbero cancellate automaticamente.

La società ha dichiarato che i sistemi di registrazione digitale delle immagini (DVR) saranno custoditi in locali a ciò appositamente adibiti, ai quali potrà accedere solo personale in possesso di una chiave fisica e di un documento di riconoscimento aziendale (DRA) da sottoporre ad apposito lettore. Le chiavi delle serrature saranno custodite dal personale di vigilanza che traccerà manualmente, su apposito registro, tutti gli accessi, annotando il nome, il cognome, la data, l´ora di prelievo e di consegna delle immagini, nonché la firma del personale preventivamente autorizzato che abbia fatto esplicita richiesta di utilizzo delle stesse.

Per accedere alle immagini occorrerà la presenza di almeno due persone dotate di specifiche credenziali (username e password).

Per quanto riguarda l´informativa, la società ha dichiarato che verranno utilizzati cartelli che, per formato e posizionamento, risulteranno chiaramente visibili prima che gli interessati entrino nel raggio di azione delle telecamere e in ogni condizione di illuminazione ambientale.

Infine, Saipem S.p.A. ha dichiarato che verranno nominate "responsabili del trattamento" le società di servizi esterne che svolgeranno  - sulla base di accordi quadro che Eni s.p.a ha già stipulato anche per le società del gruppo – le attività di portierato, guardiania e videosorveglianza.

I dipendenti di Saipem S.p.A. e il personale esterno della società di vigilanza saranno designati per iscritto "incaricati" dai rispettivi responsabili del trattamento.

Per la manutenzione degli impianti TVCC, la società ha dichiarato di avvalersi dell´accordo quadro già in essere tra "Eniservizi e la società I&S", le quali saranno nominate responsabili esterni del trattamento per le attività relative (cfr. nota Saipem del 4 aprile 2013).

3. Presupposti di liceità del trattamento.

Il sistema c.d. intelligente che Saipem S.p.A intende adottare deve essere valutato alla luce dei principi di necessità, proporzionalità, finalità e correttezza posti dal Codice (artt. 3 e 11 del Codice), espressamente richiamati anche nel Provvedimento generale in materia di videosorveglianza dell´8 aprile 2010.

In particolare, secondo tale provvedimento "in linea di massima tali sistemi devono considerarsi eccedenti rispetto alla normale attività di videosorveglianza, in quanto possono determinare effetti particolarmente invasivi sulla sfera di autodeterminazione dell´interessato e, conseguentemente, sul suo comportamento. Il relativo utilizzo risulta comunque giustificato solo in casi particolari, tenendo conto delle finalità e del contesto in cui essi sono trattati, da verificare caso per caso sul piano della conformità ai principi" posti dagli artt. 3 e 11 del Codice.

In ragione di ciò, è importante tenere conto del fatto che, attualmente, le infrastrutture delle compagnie operanti nel settore energetico –tra cui le sedi di Saipem S.p.A. – costituiscono concreti obiettivi per azioni di sabotaggio e di terrorismo.

Tale considerazione, del resto, è frutto di un´attenta analisi effettuata non solo a livello legislativo (vedi il decreto legislativo 11 aprile 2011, n. 61, attuativo della direttiva 2008/114/CE, che ha individuato nelle infrastrutture del settore energetico una potenziale "criticità", anche di rilievo comunitario), ma anche amministrativo: in tal senso è la previsione di cui al Decreto del Ministero dell´Interno 1 dicembre 2010, n. 269, Allegato D, sez. III, punto 3.b.1, che definisce "obiettivi sensibili" le aziende pubbliche o private del settore energetico, nonché la nota del Prefetto di Milano (prot. n. 12b2/09007582 N.C. Div. Gab., all. C) alla nota di Saipem S.p.A. del 15 giugno 2013), che ha rilevato, a fronte di un incremento qualitativo e quantitativo degli eventi pericolosi avvenuti nelle sedi di San Donato Milanese, l´urgente necessità di dotare il sito stesso di adeguati sistemi di protezione, comprensivi anche di impianti di videosorveglianza intelligente. A ciò aggiungasi che anche il Prefetto di Milano, rilevando che gli assets di Eni S.p.A. "costituiscono potenziale obiettivo del terrorismo internazionale" e, in genere, di iniziative ostili, ha ravvisato la necessità di proteggere adeguatamente quelli più sensibili, imponendo ad Eni S.p.A. di dotarsi, tra l´altro, di "strumenti idonei a contenere il livello di rischio", di validi sistemi di protezione perimetrale e di "sistemi di videosorveglianza intelligente che consentano l´analisi della scena anche a supporto delle stesse Forze di polizia"(prot. 12b2/09007582 N.C. Div. Gab. del 26/03/2011).

Ciò premesso, è possibile ritenere che il 3° e 4° palazzo di Saipem S.p.A. di San Donato Milanese, proprio perché ubicati nel sito di Eni S.p.A. e destinati ad ospitare il cuore operativo ed istituzionale dell´azienda, siano  anch´essi esposti al concreto rischio di soggiacere a possibili azioni dimostrative da parte di gruppi terroristici.

Per quanto concerne la possibilità di ricorrere, presso detti siti, ad idonee misure organizzative alternative ai sistemi c.d. intelligenti, Saipem S.p.A. ha rappresentato che le attuali forme di protezione poste a loro difesa presentano alcuni limiti obiettivi che rischiano di compromettere l´efficacia della vigilanza (circostanza, questa, asseverata dalla serie di furti subiti "in loco"), con conseguente necessità di aumentare il livello di sicurezza, sviluppando un sistema di video-analisi in grado di rilevare le intrusioni automaticamente.

Ad avviso di questa Autorità, la delicatezza del settore produttivo in cui Saipem S.p.A. si trova ad operare ( in quanto infrastruttura di riferimento di Eni S.p.A.), unitamente alle concrete situazioni di rischio esistenti presso i palazzi uffici di San Donato Milanese, espressamente acclarate a più riprese dagli organi istituzionalmente preposti, permette di ravvisare una situazione assai peculiare che giustifica l´adozione di standard di sicurezza di livello superiore alla media.

Circa le caratteristiche tecniche dell´impianto che la società intenderebbe adottare, le telecamere, grazie alla possibilità di discriminare diversi tipi di evento, riuscirebbero a rilevare automaticamente comportamenti o eventi anomali, orientandosi verso la zona interessata per seguire e registrare l´evento. In concreto, grazie all´interconnessione tra il sistema TVCC, il sistema anti-intrusione ed il sistema di controllo degli accessi, ad ogni tentativo di effrazione si genererebbe un messaggio di allarme, che metterebbe il personale di sorveglianza, posizionato presso la sala di controllo locale, in grado di visualizzare le immagini della zona interessata dall´evento e di seguirne l´evoluzione.

Il personale esterno della società incaricata della vigilanza visionerebbe le immagini in real time attraverso terminali video situati in appositi locali a ciò dedicati e non esposti alla visione di terzi.

L´accesso alle postazioni da cui risulterebbe possibile vedere le immagini in diretta e accedere alle registrazioni sarebbe permesso solo a soggetti dotati di una credenziale di accesso individuale (chiave fisica e DRA per l´accesso ai locali, username e password in caso di accesso alla visualizzazione dei DVR). Inoltre, le operazioni di visualizzazione delle registrazioni e/o di manutenzione del sistema non potrebbero essere svolte da una sola persona.

La durata della conservazione delle immagini sarebbe limitata ad una sola settimana, con successiva loro cancellazione automatica una volta trascorso il predetto periodo.

Infine, Saipem S.p.A., in relazione alle possibili implicazioni inerenti il controllo a distanza dei lavoratori, ha prodotto copia di uno specifico accordo sindacale sottoscritto in data 3 agosto 2011, dal quale emerge che le "RSU Saipem", poste a conoscenza dalla società della "gap analysis" esistente "tra le condizioni di security [attualmente] operative e la struttura del progetto SIS ipotizzata in divenire", hanno espresso il loro assenso all´introduzione delle innovazioni ivi descritte, al fine di "massimizzare la sicurezza per la tutela delle proprietà materiali ed immateriali, nonché la protezione degli individui, sia all´interno del 3° e 4° Palazzo Uffici che nelle aree esterne considerate". 

Ciò premesso, si ritiene che all´esito dell´istruttoria siano emersi elementi che inducono a considerare il trattamento effettuato attraverso l´impianto di videosorveglianza intelligente come conforme ai principi posti dagli artt. 3 e 11 del Codice.

In particolare, l´innalzamento del livello della minaccia, la vulnerabilità dei siti in questione e la ridotta efficacia delle protezioni e dei sistemi di sicurezza esistenti valgono a giustificare l´attivazione di un sistema di video-analisi a supporto dei dispositivi di ripresa attualmente in uso che, consentendo una rilevazione automatica delle intrusioni, risulti effettivamente in grado di prevenire accessi non autorizzati alla struttura e, quindi, di scongiurare – o, quantomeno, di ridurre significativamente - il rischio di atti vandalici, attentati o danneggiamenti in grado di porre in grave pericolo la sicurezza dei palazzi 3° e 4° di San Donato Milanese e l´incolumità del personale ivi impiegato.

In tal senso, del resto, depongono anche le riferite valutazioni provenienti dagli organi istituzionali che, nel corso degli ultimi anni, hanno constatato a più riprese il permanere di esigenze di sicurezza presso i siti in questione, sollecitando la società ad adottare efficaci strumenti di protezione (quali quello oggetto della presente verifica preliminare) in grado di consentire una migliore analisi della scena anche a supporto delle forze dell´ordine.

Pertanto, alla luce degli elementi acquisiti e delle dichiarazioni rese (sulla cui veridicità la società ha assunto ogni responsabilità ai sensi dell´art. 168 del Codice) e delle specifiche modalità di funzionamento dell´impianto, volto a tutelare il patrimonio aziendale e la sicurezza dei dipendenti all´interno dei palazzi uffici (3° e 4°) di San Donato Milanese, questa Autorità ritiene che la richiesta di verifica preliminare avanzata da Saipem S.p.A. possa essere accolta a condizione che:

a) il trattamento delle immagini si mantenga aderente alle finalità di tutela del patrimonio aziendale e della sicurezza dei dipendenti e si svolga nel rispetto delle modalità indicate da Saipem S.p.A. con note del 9 febbraio, 18 aprile e 15 giugno 2012, 3 e 4 aprile 2013;

b) l´impresa di vigilanza esterna sia preventivamente nominata responsabile del trattamento e questa, a sua volta, nomini incaricati del trattamento i  propri dipendenti;

c) l´impresa addetta alla manutenzione dell´impianto TVCC venga nominata responsabile esterna del trattamento e questa, a sua volta, nomini incaricati del trattamento i  propri dipendenti;

d) le utenze per l´accesso alle immagini siano individualmente assegnate agli incaricati del trattamento specificamente nominati da Saipem S.p.A. e dalla società di vigilanza (cfr. Disciplinare tecnico in materia di misure di sicurezza, punto 3, all. B) del Codice);

e) l´informativa agli interessati venga resa attraverso supporti che, per formato e posizionamento, siano chiaramente visibili prima che gli interessati entrino nel raggio d´azione delle telecamere.

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi dell´art. 17 del Codice, a conclusione della verifica preliminare relativa all´utilizzo del sistema di videosorveglianza c.d. "intelligente" che Saipem S.p.A. intende adottare, per finalità connesse alla tutela del patrimonio aziendale e della sicurezza dei lavoratori, presso i palazzi 3° e 4° di San Donato Milanese, prende atto delle modalità del trattamento dei dati personali ad esso connesso, prescrivendo che:

a) il trattamento delle immagini si mantenga aderente alle finalità di tutela del patrimonio aziendale e della sicurezza dei dipendenti e si svolga nel rispetto delle modalità indicate da Saipem S.p.A. con note del 9 febbraio, 18 aprile e 15 giugno 2012, 3 e 4 aprile 2013;

b) l´impresa di vigilanza esterna sia nominata responsabile del trattamento e questa, a sua volta, nomini, incaricati del trattamento, i  propri dipendenti;

c) l´impresa addetta alla manutenzione dell´impianto TVCC venga nominata responsabile esterna del trattamento e questa, a sua volta, nomini incaricati del trattamento i  propri dipendenti;

d) le utenze per l´accesso alle immagini siano individualmente assegnate agli incaricati specificamente nominati da Saipem S.p.A. e dalla società di vigilanza (cfr. – Disciplinare tecnico in materia di misure di sicurezza, punto 3 all. B) del Codice);

e) l´informativa agli interessati venga resa attraverso supporti che, per formato e posizionamento, siano chiaramente visibili prima che gli interessati entrino nel raggio d´azione delle telecamere.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 18 aprile 2013

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia