Diritti interna

Doveri interna

ricerca avanzata

Vigilanza più "vigilata" negli aeroporti - 17 settembre 2009 [1655708]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
1655708
Data:
17/09/09
Argomenti:
Biometria , Lavoro , Impronte digitali , Template
Tipologia:
Verifica preliminare

[doc. web n. 1655708]

vedi anche
[newsletter]

[Linee guida del 23 novembre 2006]

[allegato B al Codice]
[doc. web n. 
1306530, 1318582, 13060981306523]
[doc. web n. 11506791571502]

Vigilanza più "vigilata" negli aeroporti - 17 settembre 2009

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Filippo Patroni Griffi, segretario generale;

Esaminata la richiesta di verifica preliminare presentata da ICTS Italia S.r.l., ai sensi dell´art. 17 del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196);

Visti gli atti d´ufficio;

Viste le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Mauro Paissan;

PREMESSO

1. Trattamento di dati personali biometrici di lavoratori con finalità di accesso ad aree riservate aeroportuali e di verifica della presenza dei dipendenti.

1.1. ICTS Italia S.r.l. – società che svolge attività di vigilanza e sicurezza in ambito aeroportuale (attività disciplinata dal Decreto ministeriale n. 85 del 29 gennaio 1999) – ha presentato a questa Autorità una richiesta di verifica preliminare ai sensi dell´art. 17 del Codice, relativa al trattamento di dati biometrici (ricavati dalla lettura delle impronte digitali) del personale operante presso l´aeroporto di Fiumicino. Il sistema verrebbe implementato sia per regolare l´accesso dei dipendenti della società alle aree dell´aeroporto in cui essa svolge la propria attività di vigilanza e sicurezza, sia per rilevare la presenza dei dipendenti, dovendosi per tale intendersi la semplice rilevazione, per finalità di sicurezza, della presenza o meno del dipendente, in un dato momento, nell´area sensibile, con esclusione del controllo sull´orario di lavoro.

Successivamente la società ha presentato altre richieste di verifica preliminare per l´utilizzo di analoghi sistemi di trattamento di dati biometrici relativi al personale dipendente operante presso: Aeroporto "Marco Polo" di Venezia; Aeroporto di Milano Linate; Aeroporto di Milano Malpensa; Aeroporto "Galileo Galilei" di Pisa.

I controlli pre-volo verrebbero svolti dalla società in aree aeroportuali il cui accesso è limitato a persone (passeggeri ed operatori aeroportuali di staff), bagagli (a mano e da stiva) e merci secondo i controlli previsti dalle Schede 1, 2, 3 e 5 del "Programma Nazionale di Sicurezza" elaborato in esecuzione dell´art. 10 del Regolamento (CE) 11 marzo 2008, n. 300/2008, dal CISA (Comitato interministeriale per la sicurezza dei trasporti aerei e degli aeroporti), di cui l´ENAC assume la Presidenza. I suddetti controlli sono ritenuti di fondamentale importanza ai fini della sicurezza, in quanto idonei a prevenire l´introduzione a bordo degli aeromobili di armi, ordigni esplosivi, articoli pericolosi e di ogni altro oggetto in grado di causare turbative al normale svolgimento del traffico aereo.

Le attività di controllo e sicurezza verrebbero, pertanto, effettuate in zone delimitate dell´area aeroportuale. La società ha dichiarato a tal fine che l´esigenza di adottare il sistema biometrico deriva dalla necessità di avere certezza assoluta relativamente all´identità dei propri dipendenti in ingresso nelle "aree sterili". Tali zone sono previste nel  citato Regolamento CE n. 300/2008 che, istituendo norme comuni per la sicurezza dell´aviazione civile, definisce nel modo seguente le aree ad accesso limitato presenti negli aeroporti: "area lato volo" ("airside") quale area di manovra di un aeroporto, terreni ed edifici adiacenti, o parti di essi, l´accesso ai quali è limitato; "aree sterili" ("security restricted area") come le parti di area lato volo ove, oltre alle limitazioni all´accesso, sono adottate ulteriori misure di sicurezza.

Il Regolamento citato prescrive, nell´ambito delle "Norme fondamentali comuni per la protezione dell´aviazione civile da atti di interferenza illecita" di cui all´art. 4 e all´Allegato, che l´accesso all´"area lato volo" e alle "aree sterili" "deve essere limitato in modo tale da impedire che persone e veicoli non autorizzati possano accedervi" e che "alle persone e ai veicoli può essere consentito l´accesso all´area lato volo e alle aree sterili solo se soddisfano le condizioni di sicurezza prescritte".

L´installazione del sistema di rilevazione biometrica contribuirebbe, secondo la società, a ridurre al minimo il rischio di accessi incontrollati, potenzialmente pericolosi per la sicurezza della collettività, mediante una maggiore affidabilità nel riconoscimento dell´identità del soggetto rispetto ai sistemi meccanici tradizionali, basati su badge, suscettibili di manipolazioni ed utilizzazioni fraudolente.

Il sistema biometrico sarebbe preordinato, oltre che alla regolazione dell´accesso dei dipendenti della società alle "aree sterili" dell´aeroporto, anche alla rilevazione della presenza dei dipendenti medesimi nelle aree in questione.

1.2. La società ha dichiarato che i lavoratori interessati alla rilevazione biometrica  sarebbero tutti i dipendenti della società (per un totale, relativo ai cinque aeroporti, di n. 518 persone), in quanto "[...] tutti i dipendenti della sede di […] operano all´interno delle aree sterili, nelle quali i controlli all´accesso devono essere severamente effettuati e tutti i medesimi dipendenti sono destinati all´espletamento di singole e specifiche mansioni di vigilanza e controllo […]".

1.3. Il sistema di verifica biometrica, sempre secondo quanto dichiarato dalla ICTS S.r.l., è costituito da dispositivi di lettura di impronte digitali non centralizzati, nonché da un software per la conversione dell´impronta rilevata in un insieme di dati caratteristici – c.d. template – dal quale non sarebbe possibile ricostruire inversamente l´impronta biometrica stessa. Il template viene memorizzato in una tessera identificativa (smart card) "unica, personale ed in esclusivo possesso del dipendente". La smart card contiene, oltre al template, solo un codice identificativo assegnato al dipendente nella fase di enrollment e non è dunque presente alcuna indicazione nominativa del dipendente né alcun dato che possa fornire informazioni circa l´identità del possessore della tessera.

Il sistema, fornito da una società esterna, prevede due diverse fasi di funzionamento: la prima di memorizzazione iniziale dell´impronta, o fase di iscrizione (enrollment), nel corso della quale, "alla presenza del dipendente che ha prestato preventivamente il proprio consenso", viene indicato il codice identificativo del dipendente, che rilascia l´impronta digitale sul sensore del terminale. Nella seconda fase l´impronta viene convertita in template e trasferita sulla tessera identificativa del dipendente, con contestuale immediata cancellazione dell´impronta e del template dalla memoria del sistema.

Nella fase di autenticazione, coincidente con il momento dell´accesso del dipendente, questi dovrebbe avvicinare la tessera al terminale e rilasciare l´impronta sul sensore ottico. Il sistema effettua quindi il confronto tra il template memorizzato sulla carta e quello acquisito e solo in caso di corrispondenza consente l´accesso. La procedura si conclude con la cancellazione delle informazioni personali e del template dalla memoria del terminale.

La ICTS S.r.l. ha precisato che l´installatore, al termine dell´intervento, ne fornirà una descrizione scritta, attestando la conformità alle disposizioni del Codice ed in particolare del disciplinare tecnico contenuto nell´allegato B) allo stesso.

2. I principi di necessità, liceità, finalità e pertinenza nel trattamento di dati biometrici dei lavoratori. Insussistenza di tali presupposti fuori delle "aree sterili".

2.1. La raccolta e la registrazione di impronte digitali e dei dati biometrici da esse ricavati e successivamente utilizzati per l´autenticazione degli interessati sono operazioni di trattamento di dati personali (art. 4, comma 1, lett. b), del Codice), alle quali trova applicazione la normativa contenuta nel Codice.

La liceità del sistema deve essere pertanto valutata sul piano della conformità ai principi di necessità, proporzionalità, finalità e correttezza (artt. 3 e 11 del Codice).

2.2. Gli elementi acquisiti nel caso di specie consentono di ritenere che, in relazione ai soli accessi alle "aree sterili", sia lecito e proporzionato il trattamento di dati biometrici consistente nell´identificazione (per quanto possibile) certa dei dipendenti della società medesima abilitati all´accesso.

Come già affermato da questa Autorità in diverse circostanze nonché con un provvedimento a carattere generale (Provv. 23 novembre 2006, in , doc. web n. 1364939), l´uso di dati biometrici può essere giustificato solo in casi particolari, tenuto conto delle finalità e del contesto in cui essi sono trattati e, in relazione ai luoghi di lavoro, per presidiare accessi ad "aree sensibili", considerata la natura delle attività ivi svolte: si pensi, ad esempio, a processi produttivi pericolosi  (cfr. Provv. 15 giugno 2006, doc. web n. 1306530) o sottoposti a segreti di varia natura (cfr. Provv. 23 novembre 2005, doc. web n. 1202254) o al fatto che particolari locali siano destinati alla custodia di beni, documenti segreti o riservati o oggetti di valore (cfr. Provv. 15 giugno 2006, doc. web n. 1306098), oppure per tutelare la sicurezza di terzi (cfr. Provv. 26 luglio 2006, doc. web n. 1318582).

Nel caso di specie, le zone dell´aeroporto situate all´interno delle "aree sterili" in cui la società svolge attività di vigilanza e sicurezza risultano allo stato richiedere l´adozione di standard di sicurezza specifici ed elevati, nonché di affidabili sistemi di identificazione dei soggetti deputati ad accedervi in conformità alle procedure previste dalla vigente normativa a garanzia della sicurezza di persone e cose (cfr. Regolamento CE n. 300/2008 dell´11 marzo 2008; D.M. n. 85 del 29 gennaio 1999).

Per quanto sopra esposto, non risulta quindi sproporzionato l´uso di dati biometrici tratti dalle impronte digitali nelle zone sopra indicate, tenendo conto anche del fatto che il template, memorizzato sulla smart card e protetto con un sistema di crittografia, è destinato a restare nell´esclusiva disponibilità dell´interessato.

2.3. Anche sotto il profilo della necessità si ritengono ragionevoli le affermazioni della società, per cui "l´adozione di un sistema diverso da quello di rilevazione dei dati biometrici dei dipendenti non sarebbe in grado di garantire il medesimo grado di certezza nell´accertamento dell´identità del personale qualificato della società e, come tale, autorizzato ad accedere alle aree sterili dell´aeroporto". La società rileva come il sistema meccanico fino ad ora utilizzato sia suscettibile di pericolose manipolazioni ed utilizzazioni fraudolente, come ad esempio nel caso di smarrimento del badge.

Pertanto, alla luce della peculiarità dell´attività di sicurezza in ambito aeroportuale svolta dalla società "in aree dell´aeroporto, dette sterili, nelle quali l´accesso deve essere concesso esclusivamente ai soggetti autorizzati allo svolgimento degli specifici compiti di controllo e vigilanza", si può ritenere che il trattamento di dati biometrici – effettuato per il controllo degli accessi alle "aree sterili" da parte del personale dipendente preposto alle attività di controllo e vigilanza – avvenga per finalità lecite e soddisfi i requisiti di necessità e proporzionalità.

2.4. La società ha dichiarato che tutti i dipendenti operano all´interno delle "aree sterili" dell´aeroporto e che tutti svolgono, a turno, mansioni rientranti nell´attività di vigilanza e sicurezza, per cui sarebbe giustificato l´utilizzo dei dati biometrici a fini di autenticazione all´accesso per il complesso del personale dipendente da ICTS Italia S.r.l. Sempre secondo le dichiarazioni rese dalla società, il sistema di autenticazione biometrica verrebbe impiegato esclusivamente per la "regolazione dell´accesso alle aree sterili dell´aeroporto e, dunque, per soli scopi di sicurezza e vigilanza".

Se ne deduce quindi che tale sistema non verrà utilizzato per finalità diverse quale, ad esempio, la verifica dell´osservanza dell´orario di lavoro. Tale precisazione assume centrale rilevanza, in quanto, per converso, la rilevazione a fini di osservanza dell´orario di lavoro, non è lecita, in quanto misura sproporzionata (cfr. Provv. 21 luglio 2005, doc. web n. 1150679; Provv. 15 giugno 2006, n. 1306523; da ultimo Provv. 2 ottobre 2008, doc. web n. 1571502).

La verifica dell´esatto adempimento della prestazione lavorativa può essere quindi legittimamente perseguita, nel caso di specie, senza ricorrere ad alcun trattamento di dati biometrici (nel rispetto dell´art. 3 del Codice), avvalendosi pertanto di altro idoneo sistema a tal fine predisposto.

3. Qualità dei dati e misure di sicurezza rispetto al trattamento dei dati biometrici, informativa agli interessati e notificazione del trattamento.

3.1. Nelle "aree sterili", e nella misura in cui il trattamento in esame risulti proporzionato nei termini predetti, occorre comunque avvalersi di un sistema efficace di verifica e di identificazione biometrica basato solo sulla lettura delle impronte digitali memorizzate, sotto forma di template cifrato, su un supporto posto nell´esclusiva disponibilità dell´interessato (smart card o dispositivo analogo), privo di indicazioni nominative, con impresso soltanto un codice individuale, sì che, pure in caso di smarrimento del supporto, siano remote le possibilità di abuso rispetto ai dati biometrici memorizzati.

3.2. Le misure di sicurezza che si intenderebbe predisporre a protezione dei dati sono conformi alle disposizioni fissate dal Codice, alla luce di quanto dichiarato dalla società con riguardo al fatto che: il sistema biometrico non memorizzerà alcun dato personale; né l´immagine dell´impronta né il template verranno conservati in memoria centrale o nel terminale e verranno immediatamente cancellati dalla memoria del sistema e del terminale dopo la fase di enrollment e dopo ogni fase di autenticazione; non verrà memorizzata l´impronta biometrica ma il solo template - cifrato, su una smart card posta nell´esclusiva disponibilità dell´interessato e priva di indicazioni nominative; verranno impartite tutte le necessarie direttive agli incaricati del trattamento, appositamente istruiti sulle incombenze loro affidate.

3.3. Si prende poi atto di quanto dichiarato dalla società circa il fatto che tutti i lavoratori interessati all´utilizzo del sistema in esame riceveranno – al momento dell´installazione del sistema (e comunque prima dell´avvio dello stesso) – un´informativa scritta specifica completa degli elementi previsti dal Codice (art. 13) rispetto al trattamento di dati biometrici che si intende porre in essere. In particolare, l´informativa conterrà la chiara indicazione delle finalità perseguite, del titolare, del responsabile e degli incaricati.

3.4. La società si è impegnata altresì a raccogliere il consenso specifico e scritto degli interessati (per l´utilizzo di dati biometrici). In relazione all´eventualità che alcuni lavoratori non possano o non intendano aderire alla rilevazione biometrica effettuata nei termini di cui in motivazione, la società dovrà comunque predisporre un sistema alternativo di identificazione, come, ad esempio, quello espressamente richiesto all´art. 5 dell´ordinanza n. 8/2006 dell´E.n.a.c. – Direzione aeroportuale Milano–Malpensa (che riconosce come facoltativo il sistema biometrico), consistente nell´utilizzo di un badge unitamente ad un codice individuale (P.I.N.). L´esistenza di tale sistema alternativo deve specificamente essere evidenziata nell´informativa agli interessati.

3.5. La società è tenuta a notificare al Garante il trattamento dei dati biometrici prima che abbiano inizio le operazioni di trattamento (art. 37, comma 1, lett. a), del Codice).

4. Conservazione dei dati

I dati personali necessari per realizzare il template potranno essere trattati, come specificato dalla società, esclusivamente durante la fase di enrollment e le fasi di autenticazione all´accesso.

La società non ha invece indicato, nella richiesta di verifica preliminare presentata, alcun termine per la conservazione dei dati relativi agli accessi da parte del personale dipendente alle "aree sterili".

I dati memorizzati relativi agli accessi dovranno essere accessibili al personale preposto al rispetto delle misure di sicurezza all´interno della società per l´esclusiva finalità dell´osservanza delle medesime; potranno essere inoltre conservati per il tempo massimo di sette giorni assicurando, oltre tale arco temporale, meccanismi di cancellazione automatica dei dati. Il medesimo intervallo temporale, in assenza di disposizioni di legge o di provvedimenti dell´autorità aeroportuale e, comunque, di più precise indicazioni da parte della società, appare ragionevole, tenendo conto delle necessità di accertare – anche a posteriori – l´eventuale accesso indebito di personale non autorizzato.

5. Conclusioni

La società potrà effettuare il trattamento di dati personali dichiarato qualora rispetti le misure e gli accorgimenti a garanzia degli interessati prescritti con il presente provvedimento in attuazione del Codice (art. 17), i quali vanno osservati affinché il medesimo trattamento sia lecito e corretto, richiamando le sanzioni amministrative (art. 161 e segg.) e penali (art. 167 e segg.) previste dal Codice in caso di violazione delle disposizioni.

TUTTO CIÒ PREMESSO IL GARANTE

preso atto del trattamento di dati biometrici da effettuarsi mediante un sistema di verifica – presso gli aeroporti di Fiumicino, Milano Malpensa, Milano Linate, Venezia e Pisa da parte di ICTS Italia S.r.l. nei confronti dei propri dipendenti che abbiano accesso alle "aree sterili" di cui in premessa – basato sul confronto tra le impronte digitali rilevate ad ogni accesso ed il template, memorizzato e cifrato su un supporto che resti nell´esclusiva disponibilità dei lavoratori interessati,

prescrive a ICTS Italia S.r.l., ai sensi degli artt. 17 e 154, comma 1, lett. c), del Codice, di adottare tutte le misure e gli accorgimenti a garanzia degli interessati nei termini di cui in motivazione fra cui, in particolare, di:

  • trattare, oltre ai dati biometrici estratti dall´analisi delle impronte digitali, i soli dati necessari al funzionamento del sistema biometrico: un codice identificativo individuale ed un eventuale codice assegnato al badge utilizzato;
  • indicare chiaramente nell´informativa resa agli interessati l´esistenza di modalità alternative di accesso e di identificazione, specificando inoltre la natura facoltativa del consenso al trattamento dei dati biometrici;
  • consentire l´accessibilità dei dati memorizzati al personale preposto al rispetto delle misure di sicurezza all´interno dell´ICTS Italia S.r.l., per l´esclusiva finalità della verifica della loro osservanza (rispettando peraltro la disciplina sul controllo a distanza dei lavoratori, richiamata dall´art. 114 del Codice);
  • conservare i dati relativi agli accessi alle "aree sterili" per il tempo massimo di sette giorni;
  • designare la persona preposta all´attivazione delle "smart card" quale incaricato delle relative operazioni di trattamento, impartendogli idonee istruzioni alle quali attenersi (art. 30 del Codice), con particolare riguardo al caso di perdita o sottrazione delle smart card. Analoghe istruzioni dovranno essere fornite agli interessati in caso di perdita o sottrazione delle smart card loro assegnate;
  • notificare al Garante il trattamento dei dati biometrici prima che abbiano inizio le operazioni di trattamento (art. 37, comma 1, lett. a), del Codice);
  • designazione per iscritto da parte di ICTS Italia S.r.l. della società esterna quale responsabile del trattamento fornendo precise istruzioni al riguardo, nel caso in cui fosse ad essa affidato il processo di enrollment e trattamento iniziale dei dati personali.

Roma, 17 settembre 2009

IL PRESIDENTE
Pizzetti

IL RELATORE
Paissan

IL SEGRETARIO GENERALE
Patroni Griffi