Diritti interna

Doveri interna

ricerca avanzata

Verifica preliminare. Trattamento di dati personali connesso all’installazione di un sistema di rilevazione di immagini, della posizione geografica ed altre informazioni nello svolgimento di una attività di trasporto pubblico locale - 25 febbraio 2016 [4807812]

VEDI ANCHE NEWSLETTER DEL  29 MARZO 2016

 

[doc. web n. 4807812]

Verifica preliminare. Trattamento di dati personali connesso all´installazione di un sistema di rilevazione di immagini, della posizione geografica ed altre informazioni nello svolgimento di una attività di trasporto pubblico locale - 25 febbraio 2016

Registro dei provvedimenti
n. 78 del 25 febbraio 2016

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito "Codice");

VISTO il provvedimento generale del Garante dell´8 aprile 2010, in materia di trattamento di dati personali effettuato tramite sistemi di videosorveglianza (G.U. n. 99 del 29 aprile 2010 e in www.garanteprivacy.it, doc. web n. 1712680);

ESAMINATA la richiesta di verifica preliminare presentata da Società Trasporti Provinciale Bari S.p.A. ai sensi dell´articolo 17 del Codice;

VISTI gli atti d´ufficio;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Augusta Iannini;

PREMESSO

1. Trattamento di dati personali connesso all´installazione di un sistema di rilevazione di immagini, della posizione geografica ed altre informazioni nello svolgimento di una attività di trasporto pubblico locale.

1.1. La Società Trasporti Provinciale Bari S.p.A. ha presentato una richiesta di verifica preliminare ai sensi dell´art. 17 del Codice, in relazione alla prospettata installazione – all´interno di 140 veicoli adibiti al servizio di trasporto pubblico locale – di un dispositivo (MDVR E-BUS TS610, del tipo "scatola nera") preordinato a "rilevare i parametri dinamici del veicolo (velocità, accelerazioni longitudinali e trasversali) e videoregistrare i momenti antecedenti e successivi all´impatto", "videoregistrare quanto accade a bordo", "geolocalizzare i dati registrati, con rilevamento automatico dei dati di servizio (linea corsa, autista, n. bus) della rete dei servizi gestita da STP" (cfr. istanza della società, p. 3).

L´installazione del sistema, secondo quanto rappresentato nell´istanza, sarebbe finalizzata "alla ricostruzione cinematica dei sinistri che coinvolgono gli autobus di proprietà"; "alla verifica di eventuali danni occorsi ai passeggeri, per accertare responsabilità e, conseguentemente, migliorare la difesa aziendale e la sinistrosità passiva"; a "ottimizzare la sicurezza personale degli autisti e dei passeggeri"; a costituire un "deterrente ai sempre più frequenti atti di vandalismo"; a consentire "alle forze dell´ordine di identificare eventuali aggressori o danneggiatori" (cfr. istanza cit., p. 8).

1.2. In vista del raggiungimento di tali obiettivi, il sistema consentirà la raccolta di immagini riferite allo spazio interno del veicolo ed alla sede stradale prospiciente – attraverso l´installazione di quattro telecamere (una rivolta all´esterno, tre collocate all´interno del mezzo, con modalità tali da escludere la postazione del conducente) – procedendo alla loro registrazione solo "al verificarsi di predeterminate condizioni – quali accelerazioni/decelerazioni o sobbalzi tali da far presumere che il veicolo possa essere coinvolto in un sinistro" (cfr. istanza cit., p. 3).

La registrazione delle immagini è prevista anche in caso di attivazione del sistema di allarme da parte dell´autista. L´allarme sarà rilevato dalla sala di controllo e "il personale accreditato potrà accedere alle immagini in live dell´evento".

Le immagini riguarderanno i 20 secondi precedenti e 20 secondi successivi all´evento (cfr. istanza cit., p. 4). Al verificarsi di eventi ritenuti rilevanti il sistema memorizzerà, oltre alle immagini, ulteriori informazioni quali "accelerazione/decelerazione, deviazione della direzione (destra-sinistra), accelerazione/decelerazione zenitale (sobbalzo), la velocità istantanea e la localizzazione del veicolo- funzioni G-sensor e GH-over speed".

Inoltre il GPS presente nel sistema permetterà di "memorizzare e visualizzare su mappa tutti gli itinerari percorsi dai mezzi, al fine di razionalizzare in modo più efficiente le corse" (cfr. istanza cit., p. 4).

Quanto alle modalità di trattamento a seguito del verificarsi di eventi rilevanti, la società ha precisato che "lo scarico dei dati memorizzati dal sistema avverrà attraverso comunicazione wi-fi da parte di operatori incaricati per iscritto". I dati trattati "verranno registrati dagli apparati di bordo e […] scaricati manualmente da personale accreditato [dalla società] per essere raccolti, catalogati e archiviati su un server centrale […]. Tali informazioni […] verranno automaticamente cancellate nel tempo"(cfr. istanza cit., p. 7).

In caso di sinistri le immagini e i dati relativi alla posizione geografica raccolti dal sistema saranno conservati per un periodo di tempo coincidente con il termine di prescrizione previsto dall´art. 2947, comma 2, del codice civile (cfr. istanza cit., p. 10).

Su ciascun veicolo verranno collocati cartelli informativi che, con modalità semplificata, indicheranno la presenza di un sistema di videosorveglianza associato ad un dispositivo per la ricostruzione degli incidenti.

1.3. La società ha altresì rappresentato di aver stipulato con le organizzazioni sindacali (in data 22 maggio 2013) un accordo relativo all´installazione del menzionato sistema, conformemente a quanto stabilito dalla disciplina di settore in materia di controlli a distanza dei dipendenti (cfr.  all. 1, istanza cit.).

1.4. A seguito di una richiesta di integrazioni e chiarimenti formulata dall´Autorità la società ha specificato che:

a. si è ritenuto necessario installare tre telecamere nello spazio interno di ciascun veicolo ("anteriore ingresso autista", "zona mediale, ingresso/uscita autobus", "panoramica vista posteriore"), posto che "nei momenti di affollamento, non è possibile controllare tutte le zone con una sola ottica";

b. il collegamento video con la "control room" può essere attivato solo dall´autista, al fine di consentire al personale ivi presente – in caso di necessità – l´eventuale attivazione delle forze di polizia oppure, in ipotesi di sinistro, l´intervento di mezzi di soccorso;

c. nel caso in cui si verifichino eventi rilevanti ("coinvolgimento in incidenti e/o segnalazioni di allarme da parte degli autisti") i dati raccolti "verranno estratti entro le 72 ore successive", ossia il tempo ritenuto necessario per effettuare le opportune verifiche; decorso tale termine i dati saranno cancellati.

2. Liceità del trattamento. Bilanciamento di interessi.

2.1. Il trattamento che la società intende effettuare (riguardante immagini, dati relativi alla posizione geografica e informazioni idonee a ricostruire lo stile di guida del conducente), finalizzato alla ricostruzione della dinamica di eventuali sinistri – anche in funzione di tutela dei diritti attraverso la precostituzione di elementi di prova –, al rafforzamento della sicurezza di dipendenti e utenti ed alla tutela di beni aziendali, nonché alla razionalizzazione del servizio, risulta in termini generali lecito (per un caso analogo, sebbene riferito ad un sistema configurato con caratteristiche in parte diverse da quelle sottoposte alla presente verifica preliminare, cfr. Provv. 29 novembre 2012, n. 368, doc. web n. 2257616).

Posto che il funzionamento del dispositivo in esame in occasione dello svolgimento del servizio di trasporto pubblico locale comporta il trattamento di dati personali riferiti ad una pluralità di soggetti (dipendenti, abbonati e utenti, conducenti di altri veicoli e passanti), si prende atto che la società ─ per quanto riguarda i trattamenti effettuati nell´ambito del rapporto di lavoro per finalità di sicurezza del lavoro, di tutela del patrimonio aziendale e per esigenze organizzative ─ ha provveduto a stipulare un accordo con le organizzazioni sindacali ai sensi dell´articolo 4 della legge 20 maggio 1970, n. 300, richiamato dall´articolo 114 del Codice. Ciò considerato si ritiene che i descritti trattamenti possano essere effettuati, nei confronti degli interessati, per effetto del presente provvedimento che, in applicazione della disciplina sul c.d. "bilanciamento di interessi" (ai sensi dell´articolo 24, comma 1, lett. g) del Codice), individua un legittimo interesse al trattamento di tale tipologia di dati (che non rientra nel novero dei dati sensibili) in relazione alle finalità rappresentate.

2.2. Parimenti, con riferimento ai dati trattati in caso di sinistri per finalità di tutela dei diritti, la società potrà comunicare i dati raccolti attraverso il dispositivo in esame all´istituto assicuratore per effetto del presente provvedimento che, in applicazione della predetta disciplina sul "bilanciamento di interessi", individua un legittimo interesse dell´assicuratore della responsabilità civile connessa alla circolazione dei veicoli (nei cui confronti possono essere fatti valere i diritti ai sensi degli articoli 144 e 149, decreto legislativo 7 settembre 2005, n. 209, "Codice delle assicurazioni private").

3. Principi di pertinenza e non eccedenza del trattamento.

3.1. I trattamenti descritti nell´istanza saranno trattati, secondo quanto prospettato, con modalità conformi al principio di pertinenza e non eccedenza rispetto alle finalità perseguite (cfr. art. 11. comma 1, lett. d) del Codice), considerato che i dati personali saranno raccolti e conservati solo al verificarsi di eventi predeterminati (ritenuti significativi e/o anomali), relativamente ad un periodo di tempo ritenuto congruo allo scopo di poter ricostruire la dinamica dei fatti accaduti (20 secondi precedenti e 20 secondi successivi all´evento). Il sistema, inoltre, è predisposto in modo tale da consentire il collegamento video da remoto con il personale autorizzato all´accesso nella "control room" solo in caso di emergenza (a seguito dell´attivazione del pulsante di emergenza da parte dall´autista), allo scopo di poter valutare tempestivamente la necessità di inviare soccorsi o di avvisare le forze di polizia.

Inoltre, con specifico riferimento ai dati riferiti ai dipendenti, la società intende adottare, in sede di raccolta delle immagini sulle autovetture, specifici accorgimenti volti a limitare l´angolo di ripresa delle telecamere in modo da escludere la postazione di guida.

3.2. In relazione alla prospettata conservazione per 72 ore dei dati raccolti in caso di eventi ritenuti rilevanti e/o anomali o di attivazione del sistema di allarme da parte degli autisti, si ritiene che tale termine non sia in contrasto con i principi di necessità e proporzionalità posti dal Codice (artt. 3 e 11 del Codice), considerato il tempo ordinariamente necessario ad effettuare gli opportuni accertamenti e verifiche. Ai sensi dell´art. 17 del Codice, la società dovrà predisporre meccanismi di cancellazione automatica delle informazioni allo scadere del termine previsto per la conservazione dei dati.

3.3. Infine, con riferimento alla rappresentata necessità di conservare in caso di sinistri i dati trattati conformemente al termine previsto dall´articolo 2947, comma 2, codice civile (ventiquattro mesi) allo scopo di far valere eventuali pretese connesse al verificarsi di danni prodotti dalla circolazione di veicoli, si ritiene che tale richiesta non si ponga in contrasto con i principi di necessità e proporzionalità posti dal Codice (artt. 3 e 11 del Codice). La società dovrà, ai sensi dell´art. 17 del Codice, predisporre meccanismi di cancellazione automatica delle informazioni allo scadere del termine previsto per la conservazione dei dati.

4. Misure ed accorgimenti posti a tutela dei diritti degli interessati.

Considerata la particolarità dei dati trattati ˗ in relazione a finalità distinte ˗ nei confronti di un´ampia platea di soggetti, a tutela dei diritti degli interessati (dipendenti e altri soggetti) la società è quindi tenuta ad adottare le misure di seguito indicate con riferimento, in particolare, alla predisposizione di idonei strumenti informativi e all´adozione di specifiche misure di sicurezza.

Le cautele dovranno essere adottate in relazione ai seguenti aspetti:

a. in caso di comunicazione a terzi dei dati raccolti in occasione di sinistri o di situazioni di emergenza, in vista del perseguimento delle legittime finalità rappresentate nell´istanza, la società dovrà predisporre misure tecniche idonee a non consentire l´identificazione dei soggetti non coinvolti negli eventi;

b. i dati relativi alla localizzazione trattati allo scopo di "razionalizzare in modo più efficiente le corse" dovranno essere anonimizzati ed utilizzati in forma aggregata;

c. la società provvederà a rendere un´adeguata informativa agli utenti del servizio e a chiunque potrà essere interessato dai trattamenti in esame. A tal fine il Garante ritiene che, ai sensi dell´articolo 13, comma 3, del Codice, possa essere utilizzato un modello semplificato di informativa:

- inglobato in un pittogramma o una stilizzazione, di esplicita e immediata comprensione, al fine di informare gli interessati che, in corrispondenza di un sinistro, le immagini sono registrate dal titolare del trattamento;

- collocato sui veicoli dotati del dispositivo in esame con formato e posizionamento, sia interno che esterno, tale da essere chiaramente visibile da parte degli interessati;

d. nei confronti di abbonati e utenti del servizio, l´informativa semplificata dovrà essere altresì integrata con specifici elementi informativi relativi al trattamento in esame da inserire anche nella documentazione contenente le condizioni generali di contratto mentre, nell´interesse della generalità degli interessati, sul sito web istituzionale della società dovrà essere pubblicata, con modalità tali da risultare chiaramente ed immediatamente visibile, una esaustiva descrizione dei trattamenti effettuati;

e. in sede di adozione delle misure di sicurezza previste dagli articoli 31 e seguenti del Codice, al fine di preservare l´integrità dei dati trattati e di prevenire l´accesso agli stessi da parte di soggetti non autorizzati anche in relazione al prospettato utilizzo per finalità di tutela dei diritti a seguito del verificarsi di eventi criminosi (aggressioni o danneggiamenti), la società dovrà configurare scrupolosamente i sistemi di autenticazione sui sistemi che consentono l´accesso alle registrazioni video; con riferimento alla trasmissione delle immagini live e dei video registrati tramite rete wireless 3G o WiFi (o anche via cavo), dovrà configurare attentamente tutte le componenti di rete allo scopo di impedire accessi non consentiti alle informazioni; con riferimento ai file video memorizzati sul dispositivo, la società dovrà predisporne la cifratura prima della trasposizione sui sistemi informativi di conservazione; la società dovrà dotare i sistemi informativi destinati ai trattamenti delle immagini video di un sistema di log che registri gli accessi e le operazioni sui dati, conservando i file di log per un periodo ritenuto congruo rispetto alle finalità perseguite; in base a quanto previsto dalla regola n. 25 del disciplinare tecnico in materia di misure minime di sicurezza (Allegato "B" al Codice), la società infine dovrà richiedere all´installatore uno specifico attestato di conformità del dispositivo utilizzato.

5. Adempimenti previsti dalla legge e cautele ulteriori.

5.1. Resta fermo che la società, prima dell´inizio dei descritti trattamenti, come del resto già rilevato nell´istanza, in base alla normativa vigente è tenuta a:

a.  effettuare la notificazione al Garante ai sensi dell´articolo 37, comma 1, lett. a), del Codice, considerato che il dispositivo che si intende installare comporta la localizzazione geografica dei veicoli;

b. fornire ai dipendenti della società, ed in particolare ai conducenti dei veicoli, un´informativa comprensiva di tutti gli elementi contenuti nell´articolo 13 del Codice (tipologia di dati, finalità e modalità del trattamento, anche in relazione ai tempi di conservazione), anche in conformità al principio di correttezza (articolo 11, comma 1, lett. a), del Codice) in base al quale il titolare è tenuto a rendere chiaramente riconoscibili agli interessati i trattamenti che intende effettuare;

c. predisporre misure al fine di garantire agli interessati l´esercizio dei diritti previsti dagli articoli 7 e seguenti del Codice.

Si ricorda che il mancato rispetto delle prescrizioni impartite ai sensi dell´art. 17 del Codice sono sanzionate amministrativamente dall´art. 162, comma 2-bis, del Codice.

5.2. Infine il Garante suggerisce che, prima che i trattamenti in esame abbiano inizio, la società predisponga un´adeguata campagna informativa, anche mediante il proprio servizio di comunicazione con il pubblico.

TUTTO CIÒ PREMESSO IL GARANTE

preso atto della richiesta di verifica preliminare presentata da Società Trasporti Provinciale Bari S.p.A.:

1. ai sensi dell´articolo 24, comma 1, lett. g), del Codice, stabilisce che il trattamento dei dati personali possa essere effettuato mediante il dispositivo MDVR E-BUS TS610 del tipo "scatola nera;

2. ai sensi dell´articolo 17 del Codice prescrive che la società, quali misure necessarie, dovrà:

a. predisporre meccanismi di cancellazione automatica delle informazioni allo scadere del termine previsto per la conservazione dei dati (punti 3.2 e 3.3);

b. in caso di comunicazione a terzi dei dati raccolti in occasione di sinistri o di situazioni di emergenza, predisporre misure tecniche idonee a non consentire l´identificazione dei soggetti non coinvolti negli eventi (punto 4, lett. a);

c. anonimizzare ed utilizzare in forma aggregata i dati relativi alla localizzazione trattati allo scopo di "razionalizzare in modo più efficiente le corse" (punto 4, lett. b);

d. rendere un´adeguata informativa agli utenti del servizio e a chiunque potrà essere interessato dai trattamenti in esame. A tal fine, ai sensi dell´articolo 13, comma 3, del Codice, possa essere utilizzato un modello semplificato di informativa con le modalità descritte in motivazione (punto 4, lett. c);

e. integrare, nei confronti di abbonati e utenti del servizio, l´informativa semplificata, dando conto del trattamento in esame nella documentazione contenente le condizioni generali di contratto nonché, nell´interesse della generalità degli interessati, pubblicare sul proprio sito web istituzionale, con modalità tali da risultare chiaramente ed immediatamente visibile, una esaustiva descrizione dei trattamenti effettuati mediante il dispositivo (punto 4, lett. d);

f. in sede di adozione delle misure di sicurezza previste dagli articoli 31 e seguenti del Codice, al fine di preservare l´integrità dei dati trattati e di prevenire l´accesso agli stessi da parte di soggetti non autorizzati, configurare scrupolosamente i sistemi di autenticazione sui sistemi che consentono l´accesso alle registrazioni video; con riferimento alla trasmissione delle immagini live e dei video registrati tramite rete wireless 3G o WiFi (o anche via cavo), configurare attentamente tutte le componenti di rete allo scopo di impedire accessi non consentiti alle informazioni; con riferimento ai file video memorizzati sul dispositivo, predisporne la cifratura prima della trasposizione sui sistemi informativi di conservazione; dotare i sistemi informativi destinati ai trattamenti delle immagini video di un sistema di log che registri gli accessi e le operazioni sui dati, conservando i file di log per un periodo ritenuto congruo rispetto alle finalità perseguite; in base a quanto previsto dalla regola n. 25 del disciplinare tecnico in materia di misure minime di sicurezza (Allegato "B" al Codice), la società dovrà inoltre richiedere all´installatore uno specifico attestato di conformità del dispositivo utilizzato (punto 4, lett. e);

3. rammenta la necessità di effettuare la notificazione al Garante ai sensi dell´articolo 37, comma 1, lett. a), del Codice, di fornire ai dipendenti un´informativa completa di tutti gli elementi previsti dall´articolo 13 del Codice, di predisporre misure al fine di garantire agli interessati l´esercizio dei diritti previsti dagli articoli 7 e seguenti del Codice (punto 5.1.).

Ai sensi degli articoli 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 25 febbraio 2016

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia