Diritti interna

Doveri interna

ricerca avanzata

Verifica preliminare. Riconoscimento via webcam dei partecipanti a corsi di formazione in diretta streaming - 26 luglio 2017 [6826368]

VEDI ANCHE Newsletter del 15 settembre 2017

 

[doc. web n. 6826368]

Verifica preliminare. Riconoscimento via webcam dei partecipanti a corsi di formazione in diretta streaming - 26 luglio 2017

Registro dei provvedimenti
n. 345 del 26 luglio 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

Visto il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito "Codice");

Esaminata la richiesta di verifica preliminare presentata da Studio Immigrazione s.r.l. (ora Jusweb s.r.l.)  ai sensi dell´art. 17 del Codice;

Visti gli atti d´ufficio;

Esaminata la documentazione acquisita agli atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

PREMESSO

1. L´istanza pervenuta

1.1 Jusweb s.r.l. (già Studio immigrazione s.r.l., di seguito la società), ha presentato una richiesta di verifica preliminare ai sensi dell´art. 17 del Codice in relazione al trattamento di dati personali connessi all´installazione di una applicazione informatica che, nell´ambito dell´erogazione in diretta streaming di corsi di formazione professionale per avvocati, consentirebbe di verificare l´effettiva corrispondenza tra l´identità del professionista iscritto al corso e quella della persona connessa in diretta streaming (ovvero presente alla postazione informatica) tramite la periodica acquisizione dell´immagine fotografica del volto via webcam.

In particolare, il predetto sistema "di controllo" descritto dalla società, necessario per l´attribuzione dei crediti formativi ai professionisti che abbiano effettivamente fruito degli eventi di formazione a distanza e, quindi, finalizzato ad evitare che alcuni partecipanti pongano in essere comportamenti sleali (quale, ad esempio, la sostituzione di persona), sarebbe idoneo a verificare l´identità del partecipante assicurando un grado di attendibilità più elevato rispetto alla procedura di verifica attualmente stabilita nel "Regolamento per la formazione professionale continua" adottato il 16 luglio 2014 dal Consiglio nazionale forense e, più specificamente, nella "nota tecnica relativa all´accreditamento delle attività di formazione a distanza" (che, al par. 2.2 prevede che siano poste al partecipante due domande "a sorpresa" durante ogni ora di lezione).

Secondo quanto rappresentato dalla società, la predetta verifica sarebbe infatti effettuata acquisendo, durante lo svolgimento del corso ("due volte ogni ora di lezione"), a intervalli casuali (tramite un avviso che comparirebbe sullo schermo: "clicca qui per trasmettere l´immagine del tuo volto"), la fotografia dei partecipanti in diretta streaming web mediante la webcam del pc di ciascun professionista;  al termine dell´evento, le immagini acquisite verrebbero inserite all´interno di schede personali (con l´indicazione ora/minuti/secondi) insieme al c.d. "diagramma di connessione". Seguirebbe quindi l´operazione di verifica dell´identità dei professionisti, tramite il confronto tra le fotografie degli stessi - quali risultanti nelle copie dei documenti di identità raccolte in fase di iscrizione - e le foto dei medesimi acquisite durante la fruizione del corso.

La piattaforma informatica in esame consentirebbe ai partecipanti al corso di provvedere direttamente al caricamento delle fotografie scattate via webcam (in un arco temporale che non può superare i 120´´), avvalendosi di una funzione di upload su canale web cifrato (https) e inserite dal software  temporaneamente nelle schede dei partecipanti medesimi. Al termine del corso le predette schede, corredate delle foto probatorie, verrebbero trasferite dal server su una memoria esterna cifrata e custodita in un armadio chiuso a chiave. A tale documentazione accederebbe, in seguito, solo il personale a ciò specificatamente incaricato (in qualità di responsabile o di incaricato del trattamento ai sensi degli artt. 29 e 30 del Codice).

1.2 A seguito di alcune richieste di chiarimenti e integrazioni formulate dall´Autorità, Jusweb s.r.l. ha specificato che:

a) ciascun partecipante al corso, al momento dell´iscrizione, sarà soggetto ad una procedura di registrazione e di autenticazione in base alla quale potrà accedere - tramite un codice identificativo e una password - alle diverse funzionalità dell´applicativo (tra cui l´accesso alla scheda personale);

b) la piattaforma informatica che consente l´acquisizione delle fotografie è fornita da We-Com s.r.l., azienda fornitrice di servizi tecnologici;

c) le operazioni di confronto delle immagini fotografiche e di controllo dei diagrammi di connessione saranno effettuate da uno o più soggetti che Jusweb s.r.l., in qualità di titolare del trattamento, provvederà a designare  quale "responsabile"  o "incaricato" del trattamento ai sensi degli artt. 29 e 30 del Codice; sul punto la società ha peraltro precisato che tali operazioni, che si sostanziano in una mera comparazione di immagini fotografiche eseguita da un operatore, non comportano alcun trattamento di dati biometrici;

d) l´espressione "diagramma di connessione" indica la rappresentazione grafica degli accessi all´aula virtuale e delle eventuali interruzioni nel collegamento di ciascun partecipante;

e) con riferimento ai tempi di conservazione dei dati raccolti (dati identificativi degli interessati contenuti nei documenti di identità acquisiti al momento dell´iscrizione con relativo file grafico (foto) e foto acquisite tramite webcam), la società ha rappresentato che, in mancanza di alcuna indicazione da parte del Consiglio nazionale forense (sia nel citato "Regolamento per la formazione professionale continua" adottato il 16 luglio 2014 sia nella conseguente "nota tecnica relativa all´accreditamento delle attività di formazione a distanza"), intenderebbe fare riferimento al termine fissato nei regolamenti per la formazione continua adottati da alcuni Consigli territoriali di Ordini forensi; ciò in quanto tali regolamenti prevedono, come onere a carico degli enti accreditati, la conservazione per cinque anni di tutta la documentazione relativa ai singoli eventi, al fine di consentire agli Ordini territoriali medesimi eventuali accertamenti sulle operazioni di rilascio dei crediti formativi. Al termine del quinquennio i dati saranno eliminati definitivamente con una procedura multipla di sovrascrittura e cancellazione a basso livello che ne impedisce il ripristino.

2. Presupposti di liceità del trattamento

2.1 Il trattamento dei dati personali degli avvocati che la società intende effettuare tramite il sistema in esame, in quanto finalizzato a verificare l´identità del fruitore del corso a distanza ai fini dell´attribuzione dei crediti formativi agli stessi, appare lecito e lo stesso dovrà essere effettuato nel rispetto del principio di necessità di cui all´art. 3 del Codice e in conformità all´art.11, comma 1, lett. a) e d) del medesimo Codice; non è invece necessaria l´adozione di quelle particolari cautele che sono previste per il trattamento dei dati biometrici (cfr. provv. del 12 novembre 2014, n. 513 reperibile in www.garanteprivacy.it , doc. web nn. 3556992 e 3563006), in quanto, alla luce degli elementi acquisiti nel corso dell´istruttoria, non possono essere considerati tali i dati del volto degli interessati acquisiti mediante foto, secondo le modalità anzi descritte. In particolare, nel caso del riconoscimento facciale, il presupposto perché il trattamento delle immagini possa essere qualificato come trattamento biometrico è che i confronti finalizzati al riconoscimento dell´individuo (verifica dell´identità, nel caso in esame) siano automatizzati mediante l´ausilio di appositi strumenti software o hardware (che non sussistono nel caso di specie).

Al riguardo, si deve richiamare la definizione di riconoscimento facciale elaborata dal Gruppo Art. 29 nella Opinion 02/2012 "on facial recognition in online and mobile services" adottata il 22 marzo 2012, secondo cui "il riconoscimento facciale è il trattamento automatizzato di immagini digitali contenenti i volti degli individui allo scopo di identificarli, verificarne l´identità o categorizzarli".

2.3 In applicazione del principio di correttezza (art. 11, comma 1, lett. a) del Codice) i trattamenti di dati personali connessi all´adozione del sistema in esame dovranno essere oggetto di una specifica e articolata informativa che, unitamente agli elementi previsti dall´art. 13 del Codice, espliciti le finalità e le modalità del trattamento, fornisca agli interessati una descrizione sufficientemente chiara delle caratteristiche tecniche del sistema medesimo ed evidenzi i tempi di conservazione dei dati personali.

Inoltre, la società dovrà chiedere agli interessati, ai sensi dell´art. 23 del Codice, uno specifico consenso informato in relazione alle particolari modalità di rilevazione delle presenze effettuata tramite la periodica acquisizione via webcam dell´immagine fotografica del volto dei partecipanti ai corsi di formazione professionale.

2.4 Relativamente alle modalità e ai termini di conservazione dei dati personali degli interessati (fotografie e diagramma di connessione), gli stessi devono essere valutati alla luce dei princìpi di necessità e di proporzionalità stabiliti dagli artt. 3 e 11 del Codice, in base ai quali i sistemi informativi devono essere configurati in modo da ridurre al minimo l´utilizzazione dei dati e i tempi di conservazione devono essere commisurati alle finalità perseguite.

Al riguardo, considerato che l´acquisizione dei dati personali degli interessati durante la frequentazione del corso ha una finalità meramente probatoria, propedeutica cioè all´erogazione dei crediti formativi, questa Autorità ritiene che:

a. il diagramma di connessione dovrà essere circoscritto alla registrazione del solo istante in cui il partecipante attiva la trasmissione in streaming e non dovranno essere conservati dati di connessione quali l´indirizzo IP nonché l´attività svolta dagli utenti durante la fruizione del corso;

b. i dati medesimi (fotografie e diagramma di connessione) potranno essere conservati per il termine quinquennale proposto dalla società; ciò in quanto, in mancanza di indicazioni da parte del Consiglio nazionale forense e nelle more di un intervento in tal senso, si è ritenuto opportuno assumere come riferimento quanto previsto nei "regolamenti attuativi per la formazione continua" adottati dagli Ordini territoriali forensi, competenti – eventualmente - a verificare la regolarità delle procedure di rilascio dei crediti formativi agli interessati.

TUTTO CIO´ PREMESSO IL GARANTE

ai sensi dell´art. 17 del Codice, preso atto della richiesta di verifica preliminare presentata da Jusweb s.r.l. in relazione al trattamento dei dati personali degli avvocati che partecipano ai corsi di formazione in diretta streaming secondo le modalità sopra illustrate, ritiene ammissibile il trattamento nei termini di cui in motivazione, fermo restando che la società dovrà:

1) chiedere agli interessati, ai sensi dell´art. 23 del Codice, uno specifico consenso informato in relazione alle particolari modalità di rilevazione delle presenze effettuata tramite la periodica acquisizione via webcam dell´immagine fotografica del volto dei partecipanti ai corsi di formazione professionale, come specificato al par. 2.3;

2) configurare il sistema in modo tale che i dati personali degli interessati (fotografie e diagrammi di connessione) siano trattati nel rispetto dei principi di proporzionalità e di necessità di cui agli artt. 3 e 11 del Codice, come specificato al par. 2.4;

3) rendere agli interessati una specifica e articolata informativa che, unitamente agli elementi previsti dall´art. 13 del Codice, espliciti le finalità e le modalità del trattamento, fornisca agli stessi una descrizione sufficientemente chiara delle caratteristiche tecniche del sistema adottato ed evidenzi i tempi di conservazione dei dati personali.

Si ricorda, altresì, che, ai sensi della disciplina vigente, la società è tenuta a:

a) consentire l´accesso ai dati trattati ai soli soggetti designati "responsabili" "incaricati" del trattamento ex artt. 29 e 30 del Codice i quali, in ragione delle mansioni svolte o degli incarichi affidati, possono prenderne legittimamente conoscenza, impartendo loro le necessarie istruzioni in ordine all´utilizzo legittimo dei dati raccolti, e determinando le tipologie di dati da trattare, le modalità e i tempi della loro conservazione;

b) adottare le misure di sicurezza previste dagli artt. 31 e ss. del Codice al fine di preservare l´integrità dei dati trattati e prevenire l´accesso agli stessi da parte di soggetti non autorizzati;

c) consentire agli interessati l´esercizio dei diritti di cui agli artt. 7 e ss. del Codice in relazione ai dati personali che li riguardano acquisiti tramite il sistema oggetto della presente verifica.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 26 luglio 2017

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia