Diritti interna

Doveri interna

ricerca avanzata

Sistema di rilevazione dei dati biometrici. Verifica preliminare richiesta da Blindhouse s.r.l. - 17 aprile 2014 [3239985]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
3239985
Data:
17/04/14
Argomenti:
Biometria , RFID , Impronte digitali
Tipologia:
Verifica preliminare

[doc. web n. 3239985]

Sistema di rilevazione dei dati biometrici. Verifica preliminare richiesta da Blindhouse s.r.l. - 17 aprile 2014

Registro dei provvedimenti
n. 205 del 17 aprile 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il d.lgs. 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito "Codice");

VISTO il provvedimento del Garante del 9 marzo 2005, con cui sono state individuate le garanzie per l´uso delle c.d. "etichette intelligenti";

Viste le "Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati" adottate dal Garante con deliberazione n. 53 del 23 novembre 2006, pubblicate sulla G.U. 7 dicembre 2006, n. 285;

VISTA la richiesta di verifica preliminare presentata da Blindhouse s.r.l. ai sensi dell´art. 17 del Codice, nonché le successive comunicazioni inviate dalla società;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Licia Califano;

PREMESSO

1. L´istanza presentata dalla società.

1.1. Blindhouse s.r.l. –società con sede nel Comune di Napoli e deputata, tra l´altro, all´immagazzinaggio, alla conservazione e alla custodia di beni, merci e oggetti di valore, al servizio di contazione e selezione di banconote e monete metalliche per conto terzi, nonché all´acquisto, per la rivendita, di tappeti, quadri, opere d´arte, pellicce, mobili, oggetti di valore e preziosi in genere– ha presentato al Garante una richiesta di verifica preliminare ex art. 17 del Codice relativamente al trattamento di dati biometrici derivante dall´utilizzo di un sistema di rilevazione delle impronte digitali che la società avrebbe in animo di installare nei pressi dell´accesso ai propri "caveaux" (v. nota del 10 settembre 2013, successivamente regolarizzata con comunicazione del 30 novembre 2013). Infatti, tenuto conto del peculiare contesto in cui la società ha dichiarato di operare –caratterizzato da "particolari condizioni ambientali" e "da numerosi episodi di microcriminalità"–, quest´ultima ha sostenuto che un accertamento particolarmente rigoroso degli utenti che fanno ingresso nei propri locali presidiati costituisca un´efficace misura di contrasto contro eventuali eventi criminosi, potendo assicurare più elevati livelli di sicurezza e protezione alle persone e ai beni ivi custoditi; e ciò, soprattutto ove si consideri che la struttura che ospita i predetti caveaux, in ragione delle molteplici attività che si svolgono al suo interno, sarebbe liberamente accessibile da un elevato numero di soggetti (clienti; visitatori occasionali; partecipanti alle aste; addetti alla contazione; consulenti; fornitori; delegati; ecc.).

Pertanto, la società ha ritenuto di poter individuare la soluzione più confacente alle proprie esigenze nel sistema biometrico sottoposto all´attenzione dell´Autorità.

1.2. Attualmente, l´accesso dei clienti ai caveaux, dopo una prima identificazione (a mezzo documento di riconoscimento) al primo varco di ingresso alla struttura, sarebbe consentito solo previa nuova verifica della loro identità, della relativa firma autografa e del "titolo" di accesso (contratto; delega; ecc.) ad opera del personale preposto, che provvederebbe anche all´accompagnamento degli interessati all´interno dei locali (già presidiati da porte interbloccate), verificandone in seguito l´uscita.

In prossimità di dette porte la società avrebbe intenzione di installare un dispositivo (c.d. "reader") dotato di tecnologia rfid in grado di leggere i dati biometrici degli utenti precedentemente memorizzati (sotto forma di template) su smart card poste nell´esclusiva disponibilità degli interessati e di confrontarli con quelli rilevati, all´atto del singolo accesso, dall´apposito sensore. La procedura di verifica si concluderebbe positivamente –consentendo quindi l´ingresso– solo se il template memorizzato sulla smart card in dotazione agli utenti e quello generato in occasione dell´accesso risultassero, in sede di confronto, "sufficientemente somiglianti" (in tal senso, le caratteristiche tecniche dichiarate dal produttore rivelerebbero "una percentuale di impronte respinte inferiore all´1% e una percentuale di impronte false accettate inferiore allo 0,01%").

1.3. Durante la fase di enrollment, funzionale alla registrazione del template ricavato dalla lettura dell´impronta digitale sul dispositivo affidato agli interessati, il sistema, a mezzo di un apposito software, rileverebbe alcuni punti (c.d. "minuzie") della stessa convertendoli immediatamente, attraverso un "procedimento di crittazione unidirezionale", in un codice numerico cifrato non reversibile nell´impronta originaria; tali informazioni, temporaneamente conservate nella memoria di massa del lettore, sarebbero immediatamente e automaticamente cancellate dal sistema all´esito della procedura di registrazione del template sulla smart card. L´intera operazione –di durata complessivamente non superiore ai due minuti e interamente svolta alla presenza dell´utente– non comporterebbe alcuna archiviazione dei dati biometrici sui sistemi informativi della società e culminerebbe con la consegna all´interessato della tessera recante esteriormente, oltre al logo della stessa società, il solo codice numerico individuale assegnatogli all´atto della memorizzazione del template.

Nel corso delle singole operazioni di verifica, il sistema confronterebbe il template memorizzato all´interno della smart card (previamente accostata al reader, ad una distanza non superiore a cinque centimetri) con quello immediatamente ricavato dalla lettura dell´impronta rilevata dall´apposito sensore, permettendo l´ingresso all´interessato, come detto, solo in caso di esito positivo della "comparazione"; durante tale fase, il template generato in occasione dei singoli accessi "stazionerebbe" nella memoria volatile del rilevatore "per meno di un secondo".

1.4. Al fine di garantire la sicurezza dei dati registrati nella tessera, il sistema ordinerebbe i "byte" del file contenente il template secondo logiche non sequenziali, memorizzandoli con modalità tali da rendere estremamente difficile ("impossibile", secondo le dichiarazioni della società) l´individuazione precisa dell´"inizio" e della "fine" del file stesso; inoltre, ogni tessera (asseritamente leggibile "solo dai lettori presenti nello specifico sistema") verrebbe dotata di un serial number univoco, registrato in una zona di sola lettura del chip della smart card. Tra le ulteriori misure indicate dalla società a tutela dei dati e dei sistemi figurerebbero anche:

– l´"immediata cifratura ed irreversibilità del processo di cifratura dei modelli/template";

– le procedure per l´immediata disattivazione delle tessere eventualmente smarrite o sottratte;

– l´adozione di sistemi di accreditamento a protezione del software di cui si avvale il sistema biometrico;

–  l´"ubicazione del server che ospita la base di dati contenente l´anagrafica degli utenti in una struttura centrale permanentemente sorvegliata";

– la conservazione, presso le proprie strutture, delle certificazioni e omologazioni rilasciate dall´installatore dei dispositivi impiegati (reg. 25 dell´allegato "B").

1.5. Il trattamento in esame, secondo quanto riferito, sarebbe effettuato su base esclusivamente volontaria, essendo state previste anche modalità alternative di accesso (rilascio di un codice identificativo numerico e verifiche del personale a ciò preposto) nel caso in cui l´utente non potesse o non intendesse prestare il consenso al trattamento di tali dati; tale opportunità verrebbe adeguatamente evidenziata nell´informativa predisposta dalla società a beneficio degli interessati. Inoltre, il sistema, autonomo e non comunicante con altri sistemi informativi della società, non verrebbe utilizzato per scopi ulteriori rispetto a quelli dichiarati, essendo unicamente preordinato ad incrementare il grado di sicurezza e protezione di beni e persone, con esclusione, quindi, di qualsivoglia impiego per finalità di rilevazione delle presenze dei dipendenti e di vigilanza sull´attività lavorativa.

Il personale preposto alle operazioni di trattamento sarebbe designato per iscritto ai sensi dell´art. 30 del Codice e adeguatamente formato e istruito, anche in ordine alle procedure da seguire in caso di perdita o sottrazione delle tessere.

I dati relativi agli accessi ai caveaux ("data, ora, numero identificativo tessera, nome terminale, verso ingresso/uscita"), distinti e in alcun modo riconducibili a quelli biometrici (nemmeno conservati dalla società), verrebbero cancellati "attraverso un sistema di sovra registrazione ogni sette giorni", fatta salva la loro ulteriore utilizzabilità per l´eventuale tutela di un diritto in sede giudiziaria.

1.6. Il descritto trattamento, già ritenuto proporzionato in ragione del peculiare contesto di riferimento e della delicatezza delle attività svolte dalla società (anche in considerazione della natura dei beni custoditi all´interno dei caveaux), sarebbe ulteriormente giustificato, a detta di quest´ultima, dalla riferita inadeguatezza delle attuali modalità di identificazione degli interessati (rimesse al prudente apprezzamento degli incaricati di volta in volta addetti a tale compito), che non solo non garantirebbero da eventuali collusioni a danno della società (e, potenzialmente, degli stessi clienti), ma risulterebbero oltremodo farraginose e poco funzionali alle esigenze di entrambi. In tale prospettiva, il sistema biometrico rappresenterebbe una risposta ottimale anche alla necessità –pure rappresentata dalla società– di superare talune difficoltà legate alle operazioni di verifica della firma degli utenti (sovente soggetta a mutamenti nel tempo) e della loro identità (specie a fronte di casi, concretamente verificatisi, concernenti sopravvenute operazioni estetiche), producendo, al contempo, possibili benefici in capo agli interessati, anzitutto in termini di snellimento e velocizzazione delle procedure di accesso.

La società, infine, ha sostenuto che l´ubicazione della propria sede "nelle immediate vicinanze della tangenziale di Napoli" e il diretto collegamento del sito alla rete autostradale sarebbero circostanze tali da favorire un "immediato accesso a vie di fuga"; di qui la necessità di dotarsi di più stringenti misure di sicurezza, tra cui quella in esame.

1.7. A corredo dell´istanza presentata, Blindhouse s.r.l. ha prodotto documentazione relativa, tra l´altro, a: il proprio statuto; le specifiche tecniche del sistema che intenderebbe utilizzare; l´informativa predisposta a vantaggio degli interessati; la "relazione" sull´impatto della tecnologia rfid sulla vita privata degli utenti.

2. Le valutazioni dell´Autorità.

2.1. Il caso sottoposto all´attenzione dell´Autorità integra un´ipotesi di trattamento di dati personali. Infatti, tanto le impronte digitali che le informazioni da esse ricavate e successivamente utilizzate nelle procedure di autenticazione per le relative operazioni di verifica e raffronto costituiscono (in aderenza all´accezione accolta dall´art. 4, comma 1, lett. b) del Codice) dati personali riconducibili a soggetti identificati o identificabili, con conseguente applicabilità agli stessi della pertinente disciplina di legge (v., in proposito, documento di lavoro sulla biometria del 1° agosto 2003, WP 80; v. altresì il Parere 3/2012 sugli sviluppi nelle tecnologie biometriche del 27 aprile 2012, WP 193); ciò, anche nel caso in cui il dato biometrico sia raccolto, come nel caso in esame, ai soli fini del completamento della fase di enrollment e venga successivamente utilizzato (sotto forma di codice numerico) per le menzionate operazioni di verifica e raffronto (ex multis, Provv. 23 gennaio 2008 [doc. web n. 1487903]; Provv. 26 maggio 2011 [doc. web n. 1832558]; Provv. 16 febbraio 2012 [doc. web n. 1894570]). Conseguentemente, la legittimità (sotto il profilo della protezione dei dati personali) del sistema prescelto deve essere valutata sul piano della conformità dei relativi trattamenti alla disciplina del Codice, avuto particolare riguardo ai princìpi di necessità, liceità, finalità, proporzionalità (artt. 3 e 11 del d.lgs. n. 196/2003); tanto, muovendo anche dalla considerazione che il trattamento di tale delicata tipologia di dati personali può ritenersi giustificato, di norma (e con l´osservanza di adeguate garanzie), solo in presenza di specifiche circostanze oggettive, idonee a evidenziare una concreta situazione di elevato rischio (da valutare, comunque, caso per caso e con estrema cautela), avuto precipuo riguardo al perseguimento di finalità di innalzamento dei livelli di sicurezza e di protezione di beni e persone.

2.2. Alla luce degli elementi acquisiti, si può ritenere che il trattamento di dati biometrici oggetto dell´istanza presentata da Blindhouse s.r.l. sia configurabile in termini compatibili con i predetti princìpi; ciò, tenendo conto dell´effettiva delicatezza delle attività svolte dalla società e delle specifiche finalità perseguite (già in passato riconosciute meritevoli dal Garante: v. Provv. 10 giugno 2011 [doc. web n. 1835792]; Provv. 26 maggio 2011 [doc. web n. 1832558]; Provv. 15 aprile 2010 [doc. web n. 1719879]) nel peculiare contesto in cui la stessa è chiamata ad operare (in tal senso, v. anche Provv. 10 dicembre 2009 [doc. web n. 1689698]). Dalle dichiarazioni rese e dalla documentazione prodotta, infatti, appare evidente che l´attività svolta dalla società pone rilevanti problemi –accentuati dalle condizioni ambientali ritenute "difficili"– soprattutto con riferimento alle operazioni di custodia di beni, merci e preziosi di notevole valore, nonché di contazione del denaro (le quali, di per sé, già richiedono elevati standard di affidabilità e sicurezza), anche alla luce delle possibili ripercussioni negative –finanche in termini di responsabilità civile e di immagine– che potrebbero derivare alla stessa dal verificarsi di non improbabili eventi criminosi. In tale contesto, l´obiettiva necessità –data l´alta concentrazione, in un unico luogo adiacente ad agevoli vie di fuga, di beni considerati potenzialmente "a rischio"– di effettuare un accertamento particolarmente rigoroso degli utenti che fanno ingresso nei caveaux (peraltro ubicati in un sito suscettibile di libero accesso) rende ragionevole e proporzionato, nel caso di specie, l´impiego secondo le descritte modalità del sistema biometrico prescelto, anche in considerazione del circoscritto suo utilizzo per le sole (lecite) finalità dichiarate dalla società e rese previamente note agli interessati (art. 11, comma 1, lett. d) e b) del Codice).

Fermo restando che il trattamento dovrà essere effettuato anche nel rispetto dell´art. 3 del Codice –e, in tal senso, la memorizzazione dei template unicamente sulle smart card affidate agli interessati, come pure l´assenza su di esse di riferimenti esteriori immediatamente associabili a questi ultimi, risultano coerenti con il principio di necessità (in tale direzione, tra gli altri, Provv. 19 settembre 2013 [doc. web n. 2710934]; Provv. 14 febbraio 2013 [doc. web n. 2375735]; Provv. 23 febbraio 2006 [doc. web n. 1251535])– la società potrà memorizzare nel proprio sistema informativo, oltre alle registrazioni degli accessi ai locali presidiati (anzitutto data e orario, nonché identificativo del terminale), i soli dati personali (diversi dai template) che risultino strettamente necessari per la registrazione temporanea dell´identità degli utenti che fanno ingresso, di volta in volta, nei caveaux. Si prende atto, peraltro, che la società ha valutato come non esente da rischi l´impiego di sistemi alternativi per l´ingresso nei predetti locali, ritenendo l´utilizzo del prospettato sistema biometrico la risposta più idonea e concretamente efficace rispetto alle problematiche evidenziate all´Autorità (cfr. punto 1.6).

Nel quadro dei princìpi sopra richiamati, la società potrà trattare i dati biometrici degli utenti solo dopo avere acquisito il loro libero consenso, da ritenersi tale se –come dichiarato dalla stessa– verrà realmente assicurata agli interessati la possibilità di fruire di modalità alternative di accesso ai caveaux (artt. 11, comma 1, lett. a) e 23 del Codice).

Con riferimento, poi, all´utilizzo della tecnologia rfid per la trasmissione delle informazioni memorizzate nelle smart card, si osserva che, allo stato attuale, non sono ravvisabili specifici rischi in relazione ai dati personali trattati. La tecnologia impiegata, infatti, non caratterizza significativamente la modalità d´uso della tessera rispetto alle tradizionali smart card, anche in considerazione del fatto che la ridotta distanza di lettura dichiarata dalla società appare in concreto precludere l´acquisizione (finanche inconsapevole) dei dati ivi contenuti da parte di soggetti estranei al trattamento (v. anche gli artt. 31 e ss. del Codice). Inoltre, la società risulta aver regolarmente effettuato valutazioni (sia pur sintetiche) in ordine all´impatto sulla vita privata degli utenti connesso all´utilizzo, nell´ambito del sistema in esame, della tecnologia rfid (in argomento, v. la "Raccomandazione della Commissione europea del 12 maggio 2009 sull´applicazione dei princìpi di protezione della vita privata e dei dati personali nelle applicazioni basate sull´identificazione a radiofrequenza" e il successivo accordo "Quadro per la valutazione dell´impatto delle applicazioni RFID sulla protezione della vita privata e dei dati" del 6 aprile 2011).

Nulla da osservare, infine, sulle misure di sicurezza che Blindhouse s.r.l. ha dichiarato di voler adottare a protezione, anzitutto, dei dati e dei sistemi (v., in particolare, punti 1.4 e 1.5), da reputarsi, allo stato, adeguate (in tal senso, già Provv. 10 dicembre 2009, cit.). Resta comunque ferma, per quanto non espressamente indicato dalla società, l´eventuale necessità di adottare le ulteriori misure minime previste dagli artt. 33 e ss. del Codice e dal relativo allegato "B".

Ricorrendo i menzionati presupposti, la società potrà lecitamente trattare i dati biometrici degli utenti nei limiti delle finalità indicate, a condizione, tuttavia, che risultino soddisfatti anche gli ulteriori adempimenti di seguito richiamati.

3. Ulteriori adempimenti.

La società, prima dell´inizio del trattamento, dovrà provvedere alla relativa notificazione in conformità agli artt. 37 e 38 del Codice.

Inoltre, dovrà essere effettivamente garantito che i dati relativi agli accessi, opportunamente memorizzati per un periodo di tempo non superiore alla settimana (in tal senso, v. già Provv. 15 febbraio 2008 [doc. web n. 1497675]; Provv. 10 dicembre 2009, cit.), siano automaticamente e integralmente cancellati allo scadere del termine previsto (art. 11, comma 1, lett. e), del Codice), evitando prolungamenti surrettizi dei tempi di conservazione (ad esempio, attraverso la creazione di copie di sicurezza). La società, tuttavia, potrà assicurare l´ulteriore disponibilità dei dati, ma solo in presenza di una richiesta di accesso da parte dell´interessato, oppure di eventi criminosi verificatisi o, ancora, di una richiesta in tal senso da parte dell´autorità giudiziaria.

Per quanto riguarda l´informativa da rendere agli interessati (art. 13 del Codice), il modello prodotto non reca puntuali riferimenti in merito all´utilizzo della tecnologia rfid applicata al sistema in esame. La società, pertanto, dovrà provvedere alla sua integrazione, evidenziando opportunamente tutti gli elementi necessari per adeguarla (e adeguarsi) alle prescrizioni di cui al provvedimento generale del 9 marzo 2005 [doc. web n. 1109493]. In aggiunta, anche al fine di dare piena attuazione ai princìpi di correttezza e finalità (art. 11, comma 1, lett. a) e b), del Codice), il Garante reputa necessario che sia collocata presso gli appositi reader l´indicazione dell´utilizzo di sistemi di trasmissione basati su tecnologia rfid.

Le istruzioni impartite agli incaricati del trattamento dovranno riguardare anche il ciclo di utilizzazione dei dispositivi e le procedure per verificare il sistema e aggiornare, ove necessario, le tessere affidate agli interessati (nello stesso senso, già Provv. 15 febbraio 2008, cit.). Resta inteso che le operazioni sui dati ricavati dalle impronte digitali degli utenti che abbiano acconsentito al relativo trattamento potranno essere eseguite dai soli soggetti effettivamente legittimati in rapporto ai compiti assegnati e alle mansioni concretamente svolte all´interno della società (art. 30 del Codice).

TUTTO CIÒ PREMESSO, IL GARANTE

a conclusione della verifica preliminare richiesta da Blindhouse s.r.l. relativamente all´utilizzo di un sistema di rilevazione dei dati biometrici degli utenti per l´accesso ai propri caveaux, prende atto dei trattamenti oggetto dell´istanza presentata –da effettuarsi in stretta aderenza ai termini di cui in narrativa e nel rigoroso rispetto di quanto dichiarato ai sensi dell´art. 168 del Codice–, fermo restando, ai sensi dell´art. 17 del Codice, che la società dovrà:

1. notificare al Garante il trattamento dei dati biometrici prima che esso abbia inizio (artt. 37, comma 1, lett. a) e 38 del Codice);

2. provvedere all´effettiva cancellazione automatica e integrale dei dati relativi agli accessi allo scadere del periodo di riferimento (art. 11, comma 1, lett. e), del Codice);

3. integrare l´informativa da rendere agli utenti, anche a mezzo di indicazioni da collocare presso gli appositi reader, con specifico riferimento all´utilizzo di sistemi basati su tecnologia rfid (artt. 11, comma 1, lett. a) e b), e 13 del Codice);

4. impartire agli incaricati del trattamento istruzioni relative al ciclo di utilizzazione dei dispositivi, alle procedure di verifica del sistema e, ove necessario, per l´aggiornamento delle tessere affidate agli interessati;

5. assicurare che le operazioni di trattamento siano eseguite dai soli incaricati effettivamente legittimati in rapporto ai compiti loro assegnati e alle mansioni concretamente espletate all´interno dell´organizzazione (art. 30 del Codice);

6. adottare, ove necessario, le ulteriore misure minime previste dagli artt. 33 e ss. del Codice e dal relativo allegato "B".

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 17 aprile 2014

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia