Diritti interna

Doveri interna

ricerca avanzata

Dati biometrici: illecito raccogliere e utilizzare le impronte digitali degli iscritti per l'accesso ad una palestra - 29 marzo 2012 [1891999]

[doc. web n. 1891999]

Dati biometrici: illecito raccogliere e utilizzare le impronte digitali degli iscritti per l´accesso ad una palestra - 29 marzo 2012

Registro dei provvedimenti
n. 127 del 29 marzo 2012

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale;

VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali);

VISTA la segnalazione con cui è stata rappresentata l´avvenuta installazione, da parte dell´Associazione Sportiva Dilettantistica Sport Fashion, di un sistema di rilevazione dei dati biometrici degli utenti per finalità di accesso alle proprie strutture;

ESAMINATE le risultanze degli accertamenti ispettivi espletati presso la sede legale dell´associazione e la documentazione successivamente acquisita;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Mauro Paissan;

PREMESSO

1. La segnalazione e il seguente accertamento ispettivo.

1.1. È pervenuta presso l´Autorità una segnalazione con cui è stata lamentata l´avvenuta installazione, presso la palestra gestita dall´ Associazione Sportiva Dilettantistica Sport Fashion (di seguito, A.S.D. Sport Fashion), di un sistema di rilevazione dei dati biometrici degli utenti per finalità di accesso alla struttura. Al momento dell´iscrizione, secondo quanto riferito, verrebbe rilevata l´impronta digitale del richiedente "mediante lettore ottico/scanner collegato a personal computer situato presso la reception della palestra"; successivamente, l´impronta sarebbe utilizzata per consentire l´identificazione dell´interessato ai fini dell´accesso alla palestra, previa "apposizione del dito su un lettore ottico situato accanto ad un tornello" e conseguente "sblocco del cancello rotativo". Pertanto, secondo il segnalante, non essendo "rilasciate tessere o schede di alcun genere", l´acquisizione dell´impronta costituirebbe la "unica modalità di accesso alla palestra", con la conseguenza che il trattamento svolto sarebbe da considerarsi eccedente rispetto alla finalità perseguita, potendo il controllo dell´identità di coloro che accedono essere agevolmente effettuato con strumenti alternativi (ad esempio, i badge a banda magnetica o muniti di microchip, eventualmente incorporanti una fotografia) e non sussistendo motivi di sicurezza tali da giustificare il ricorso a detta tipologia di dati.

Infine, è stata lamentata anche l´inadeguatezza dell´informativa (peraltro resa, stando a quanto segnalato, solo "dietro richiesta esplicita" in tal senso), perché contenente soltanto un generico riferimento ai trattamenti di dati personali complessivamente effettuati dall´associazione, senza recare un´esplicita menzione (se non in forma indiretta e, comunque, generica) del trattamento dei dati biometrici degli utenti; a ciò andrebbero ad aggiungersi anche la mancata acquisizione dello specifico consenso e l´omessa notificazione al Garante ai sensi dell´art. 37 del Codice.

Alla luce di quanto rappresentato, è stato richiesto l´intervento dell´Autorità per le valutazioni del caso e per l´adozione degli eventuali provvedimenti consequenziali.

1.2. In occasione dell´accertamento ispettivo espletato presso la sede dell´associazione, il legale rappresentante ha dichiarato che i dati personali degli aderenti verrebbero raccolti dapprima in forma cartacea (all´atto della compilazione del modulo di iscrizione) e, successivamente, archiviati in forma elettronica, mentre gli interessati verrebbero informati verbalmente del trattamento connesso all´utilizzo –meramente eventuale– dei loro dati biometrici; secondo l´associazione, infatti, solo "qualora il socio acconsenta al rilascio del dato biometrico in occasione del primo accesso ai locali della palestra" si procederebbe "alla rilevazione ed alla registrazione dell´impronta parziale digitale", restando comunque in facoltà dell´interessato, ove contrario, di "accedere agli impianti mediante il rilascio di un tesserino cartaceo sul quale sono riportati i dati […] relativi a: nome e cognome, telefono e periodo di validità dell´iscrizione". Tale procedura alternativa di accesso sarebbe stata sempre garantita agli interessati e, comunque, la maggior parte degli associati non avrebbe "evidenziato alcuna perplessità riguardo al rilascio dell´impronta digitale".

La procedura di enrollment, preceduta dal richiamo della "scheda informatizzata [del cliente] presente su uno dei […] pc", prevederebbe "il contatto ripetuto per tre volte del dito della mano" dell´interessato; una volta registrato sotto forma di algoritmo matematico, il dato biometrico sarebbe associato ai dati personali anagrafici dell´aderente (unitamente alla data di scadenza dell´abbonamento), sì da consentirne l´identificazione univoca ad ogni accesso (con relativa memorizzazione sul server, di volta in volta, anche della data e dell´orario di ingresso alla struttura).

I dati verrebbero "memorizzati sul server ubicato in un apposito locale che si trova dietro la segreteria ed il cui accesso è autorizzato solo al personale adibito"; più precisamente, sarebbero conservati all´interno di un unico archivio informatico centralizzato sia gli algoritmi ricavati dalla lettura delle impronte digitali (che sarebbero "protetti" e non visualizzabili in alcun modo), sia i dati anagrafici degli interessati. A detta dell´associazione, peraltro, gli algoritmi utilizzati non potrebbero nemmeno essere qualificati come "dati biometrici", in quanto insuscettibili di essere impiegati -in ragione delle peculiarità tecniche del sistema utilizzato- per ricostruire l´impronta originaria degli interessati. In ogni caso, il sistema sarebbe configurato per cancellare automaticamente gli "algoritmi associati ai vari iscritti che risultano non attivi da più di quaranta giorni", rimanendo in tal caso presenti sul server (fino alla loro materiale cancellazione, coincidente di solito con la naturale scadenza del periodo associativo e in difetto del rinnovo dell´iscrizione) i soli dati anagrafici dell´associato.

Al momento dell´iscrizione, ai clienti sarebbe rilasciata (per il tramite dello stesso modulo di adesione) l´informativa concernente il trattamento (complessivo) dei loro dati personali, la quale verrebbe integrata oralmente dalle "collaboratrici addette alla reception" in relazione allo specifico trattamento dei dati biometrici e alle modalità alternative di accesso alla struttura; attraverso il medesimo modulo, che, tra le molteplici finalità perseguite "nell´ambito delle pratiche amministrative e sportive interne", prevede anche il "corretto svolgimento delle attività sportive a garanzia di controllo, sicurezza, gestione degli accessi" al centro sportivo (con riserva, in capo all´associazione, della facoltà di consentire l´ingresso agli utenti che si siano opposti al trattamento), verrebbe poi "raccolto il consenso dell´interessato attraverso la firma in calce allo stesso". Più precisamente, è prevista l´apposizione della sottoscrizione nell´apposito spazio contrassegnato dalla dicitura "firma", senza ulteriori specificazioni di sorta.

Tenuto conto che il sistema risulta oggetto di attività manutentive, l´associazione ha dichiarato di aver provveduto a designare quale responsabile del trattamento la società esterna all´uopo incaricata, nominando altresì incaricati del trattamento "le collaboratrici che operano presso la reception e la segreteria dell´associazione medesima"; a tale riguardo, l´associazione ha precisato di aver reso edotte le persone incaricate di trattare i dati biometrici circa la "particolarità dei trattamenti effettuati e [i] vari adempimenti da porre in essere nella normale attività cui [le stesse] sono preposte". Inoltre, l´associazione ha anche riferito di aver adottato specifiche misure di sicurezza a salvaguardia dei dati personali degli utenti (credenziali di autenticazione, profili di autorizzazione, ecc.).

Il sistema di rilevazione dei dati biometrici, "operativo da circa fine settembre 2003, periodo d´inizio attività dell´associazione", sarebbe stato installato per consentire una maggiore "rapidità e comodità delle operazioni di accesso dei soci", nonché per garantire "una più facile gestione delle scadenze dei periodi di iscrizione all´associazione", assicurando in pari tempo una "maggiore sicurezza riguardo all´effettivo diritto di accesso agli impianti della struttura". Infine, contrariamente a quanto indicato nella segnalazione, l´associazione ha dichiarato di aver regolarmente provveduto alla notificazione del trattamento –sia pure tardivamente al suo inizio (maggio 2004) in ragione, tra l´altro, di un "sovraccarico dei server dell´Autorità Garante"–, riservandosi di produrre in tempo utile idonea documentazione a sostegno delle proprie affermazioni.

2. Le ulteriori comunicazioni della associazione.

Con successive comunicazioni, l´associazione ha provveduto a far pervenire ulteriori osservazioni e documenti.

Con una prima nota, l´associazione, sciogliendo la riserva formulata in occasione dell´accertamento ispettivo, ha trasmesso copia della nota inviata dall´Autorità a seguito del primo tentativo di notificazione del trattamento; dall´esame di tale nota è stato possibile evincere che, diversamente da quanto dichiarato, il tentativo di notifica non si è concluso positivamente in ragione della mancata sottoscrizione dell´istanza con firma digitale qualificata.

Con una seconda comunicazione, l´associazione ha fatto pervenire ulteriori elementi di valutazione, precisando che:

– nel centro sportivo, che vanta annualmente circa 900 aderenti, "non si sono verificati episodi degni di menzione o particolarmente gravi";

– la "centralizzazione" dei template sarebbe stata adottata perché ritenuta "il metodo più efficace per garantire la totale protezione dei dati personali dei soggetti sottoposti a trattamento";

– il sistema sarebbe "stato scelto per evitare rischi di eventuali smarrimenti o furti di tessere contenenti indicazioni dei dati personali dei soggetti sottoposti a trattamento".

3. Profili di illiceità del trattamento.

3.1. Contrariamente a quanto ritenuto dall´associazione, la raccolta e l´utilizzo delle impronte digitali (e delle informazioni da esse ricavate) nelle procedure di autenticazione o di identificazione costituiscono operazioni di trattamento di dati personali riconducibili ai singoli interessati (art. 4, comma 1, lett. b) e i)), alle quali trova applicazione la normativa contenuta nel Codice (cfr., ex multis, Provv.  19 novembre 1999, doc. web n. 42058; Provv. 21 luglio 2005, doc. web n. 1150679; Provv. 23 novembre 2005, doc. web n. 1202254; Provv. 15 giugno 2006, doc. web n. 1306530; Provv. 1° febbraio 2007, doc. web n. 1381983; Provv. 19 giugno 2008, doc. web n. 1532480; Provv. 17 novembre 2010, doc. web n. 1779745; Provv. 26 maggio 2011, doc. web n. 1832558; doc. di lavoro sulla biometria del Gruppo Art. 29 dei garanti europei, Wp 80); ciò, anche nel caso in cui il dato biometrico sia raccolto ai soli fini del completamento della fase di enrollment e venga successivamente utilizzato (sotto forma di algoritmo matematico) per le menzionate operazioni di verifica e raffronto (Provv. 23 gennaio 2008, doc. web n. 1487903; Provv. 26 maggio 2011, cit.).
Inoltre, come già chiarito da questa Autorità (richiamando principi di portata tendenzialmente generale), l´uso di tali dati, specie se ricavati dalle impronte digitali, può risultare giustificato "solo in casi particolari, tenuto conto delle finalità e del contesto in cui essi sono trattati (cfr., per tutti, punto 4 del provvedimento del 23 novembre 2006, recante le Linee guida in materia di trattamento di dati personali di lavoratori per finalità di  gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati", doc. web n. 1364939); per contro, non può invece ritenersi lecito un impiego generalizzato e indiscriminato di dati biometrici, specie ove funzionale a soddisfare generiche esigenze di sicurezza, ovvero a perseguire finalità di natura essenzialmente amministrativa (cfr., sia pure in un contesto parzialmente diverso, Provv. 23 gennaio 2008, cit.; nello specifico, v. anche Provv. 16 febbraio 2012, di prossima pubblicazione).

Infatti, l´utilizzo di dati particolarmente delicati quali quelli relativi alle impronte digitali può ritenersi giustificato, come già anticipato, per soddisfare specifiche esigenze del titolare del trattamento (con  riferimento, in particolare, a quelle di sicurezza di beni e persone: Provv. 23 gennaio 2008, cit.; Provv. 15 aprile 2010, doc. web n. 1719879), soltanto laddove emergano, sulla base di obiettive e documentate circostanze, situazioni concrete di elevato rischio (Provv. 15 giugno 2006, cit.; Provv. 27 ottobre 2005, doc. web n. 1246675); peraltro, quand´anche ricorrano situazioni di elevato rischio, il titolare del trattamento è comunque tenuto a valutare con estrema cautela il ricorso a tale peculiare trattamento, dovendo a tal fine considerare (e privilegiare) tutte le possibili misure alternative ugualmente efficaci in rapporto alle finalità perseguite, tenendo anche conto dell´obbligo (legislativamente previsto) di configurare i sistemi informativi in modo da escludere il trattamento dei dati personali non necessari in rapporto alle medesime finalità (art. 3 del Codice).

Fermo restando il rispetto dei principi di necessità e proporzionalità (artt. 3 e 11, comma 1, lett. d), del Codice), deve essere poi assicurata l´osservanza del principio di liceità e correttezza del trattamento (art. 11, comma 1, lett. a), del Codice); ciò, con particolare riferimento all´acquisizione del consenso degli interessati, che risulta validamente  prestato solo se espresso in forma libera e specifica in riferimento a trattamenti chiaramente individuati (art. 23 del Codice).
Pertanto, la conformità del trattamento in esame alla disciplina di protezione dei dati deve essere valutata alla luce di tali premesse, tenendo anche presente quelli che sono i princìpi di necessità, liceità e proporzionalità stabiliti dal Codice.

3.2. Nel caso di specie, non risulta ricorrere alcuno dei presupposti sopra menzionati.

In primo luogo, anche alla luce della documentazione prodotta, le operazioni di accesso alla palestra non risultano connotate da un elevato grado di rischiosità per i beni o per le persone, tale da giustificare l´obiettiva necessità di effettuare un accertamento particolarmente rigoroso dei soggetti legittimati all´ingresso.

Inoltre, l´attività di raccolta dei dati biometrici risulta effettuata in difetto di adeguati presupposti giustificativi.

In primis, manca un regolare consenso degli interessati allo specifico trattamento, non potendo ritenersi validamente prestato a tal fine quello genericamente acquisito dall´associazione in relazione a una pluralità di trattamenti indifferenziati svolti "nell´ambito delle pratiche amministrative e sportive interne alla stessa", oltre che per "il corretto svolgimento delle attività sportive a garanzia di controllo, sicurezza, gestione degli accessi al centro"; peraltro, non risulta nemmeno con certezza che la firma apposta dal cliente sul modulo di iscrizione sia effettivamente e unicamente riconducibile al consenso di cui all´art. 23 del Codice, ben potendo tale firma essere apposta per "presa visione" dell´informativa, ovvero rilasciata in relazione a un distinto trattamento (ad es., in riferimento ai dati sensibili, pure trattati dall´associazione: cfr. l´art. 26 del Codice; v. anche il modulo di iscrizione, con specifico riferimento alla raccolta dei certificati medici degli utenti). Non può quindi ritenersi conforme a legge il consenso che si afferma acquisito in relazione al trattamento dei dati biometrici dei clienti, con conseguente violazione, pertanto, anche del richiamato principio di liceità e correttezza (artt. 11, comma 1, lett. a) e 23 del Codice).

In secondo luogo, il trattamento risulta sproporzionato rispetto al generico bisogno di regolare e controllare gli ingressi al centro sportivo e di agevolare la gestione degli abbonamenti, tenuto anche conto che non risulta nemmeno provata –e, ancor prima, addotta– l´insufficienza o l´inattuabilità di eventuali misure alternative, sicché si deve ritenere che l´adozione del sistema, anziché essere frutto di scelte attentamente ponderate, abbia risposto soltanto all´esigenza di privilegiare soluzioni poco costose e di rapida attuazione (art. 11, comma 1, lett. d) del Codice); a ciò, si aggiunga che il trattamento non risulta proporzionato neanche sotto il profilo delle specifiche modalità tecniche adottate dall´associazione (centralizzazione dei modelli matematici ricavati dall´acquisizione del dato biometrico), ben potendo trovare agevole attuazione anche nel caso in esame accorgimenti meno invasivi –ma parimenti efficaci– quale, ad esempio, la memorizzazione del c.d. template su supporti posti nell´esclusiva disponibilità degli interessati.

Alla luce di tali complessive considerazioni, riservata ogni ulteriore determinazione con riferimento all´applicabilità di eventuali sanzioni, deve ritenersi che il trattamento di dati biometrici degli utenti posto in essere da A.S.D. Sport Fashion per finalità di accesso alle proprie strutture non sia conforme alla disciplina in materia di protezione dei dati personali, nella misura in cui risultano violati i suddetti principi di liceità, necessità e proporzionalità (artt. 3 e 11, comma 1, lett. a) e d), e 23 del Codice); deve conseguentemente disporsi, nei confronti della stessa A.S.D. Sport Fashion, il divieto dell´ulteriore trattamento dei dati biometrici degli interessati per le menzionate finalità di accesso (artt. 143, comma 1, lett. c), 144 e 154, comma 1, lett. d), del Codice).

TUTTO CIÒ PREMESSO IL GARANTE

accertata l´illiceità del trattamento, vieta a A.S.D. Sport Fashion, ai sensi artt. 143, comma 1, lett. c), 144 e 154, comma 1, lett. d), del Codice, l´ulteriore trattamento dei dati biometrici dei clienti per finalità di accesso alle proprie strutture, perché in violazione dei principi di necessità, liceità e proporzionalità (artt. 3 e 11, comma 1, lett. a) e d) e 23 del Codice).

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 29 marzo 2012

IL PRESIDENTE
Pizzetti

IL RELATORE
Paissan

IL SEGRETARIO GENERALE
De Paoli