Diritti interna

Doveri interna

ricerca avanzata

Verifica preliminare. Conservazione fino a 90 giorni di immagini registrate mediante gli impianti di videosorveglianza - 8 marzo 2018 [8763222]

[doc. web n. 8763222]

Verifica preliminare. Conservazione fino a 90 giorni di immagini registrate mediante gli impianti di videosorveglianza - 8 marzo 2018

Registro dei provvedimenti
n. 141 dell´8 marzo 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti, e del dott. Giuseppe Busia, segretario generale;

Esaminata la richiesta di verifica preliminare presentata da Aruba S.p.A. ai sensi dell´art. 17 del d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito "Codice");

Visto il provvedimento generale in materia di videosorveglianza dell´8 aprile 2010 (pubblicato in G.U. n. 99 del 29 aprile 2010, e in www.gpdp.it, doc. web n. 1712680), con particolare riferimento ai punti 3.2. e 3.4;

Esaminata la documentazione acquisita agli atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore la dott.ssa Giovanna Bianchi Clerici;

PREMESSO

1. L´istanza della società

In data 14 giugno 2017, Aruba S.p.A. ha formulato un´istanza di verifica preliminare (art. 17 del Codice), regolarizzata poi in data 8 agosto 2017, al fine di poter conservare per 90 giorni le immagini registrate attraverso i sistemi di videosorveglianza presenti presso le due sedi operative di Arezzo e presso la sede legale ed il connesso Data Center di Ponte San Pietro (BG).

Aruba S.p.A., società capogruppo del Gruppo Aruba.it, opera nel settore delle comunicazioni elettroniche, svolgendo, tra l´altro, l´attività di Internet Service Provider, su concessione del Ministero delle Comunicazioni, "occupandosi della vendita di servizi di hosting e domini, cloud e data center".

La Società ha altresì specificato di erogare anche servizi di E-security (tutti oggetto di certificazioni specifiche), "quali posta elettronica certificata, servizi di certificazione digitale, conservazione a norma di documenti informatici e SPID (Sistema pubblico per la gestione dell´ identità digitale)", nei confronti di una clientela molto varia, che oltre alla Pubblica Amministrazione comprende anche grandi clienti internazionali, Istituti bancari ed altri enti pubblici (cfr. note del 14 giugno 2017 e 26 settembre 2017).

I siti in questione, ubicati in prossimità di vie di fuga facilmente raggiungibili, sono stati realizzati per offrire sistemi di protezione tali da assicurare la continuità operativa in caso di qualsiasi tipo di criticità, attraverso un´architettura in grado di garantire "business continuity" e "disaster recovery" (cfr. nota del 26 settembre 2017).

Inoltre, la Società ha sottolineato che un´intrusione clandestina all´interno delle reti di comunicazione elettronica (classificate come infrastrutture critiche, a norma di quanto previsto dalla direttiva 2008/114 CE), sempre più bersaglio di "attacchi criminali", oltre a mettere in pericolo i dati e le informazioni ivi trattate, potrebbe avere ripercussioni anche sull´attività degli stessi clienti.

Stante, perciò, l´elevata quantità e la delicatezza delle informazioni ospitate in particolare all´interno dei Data Center, al cui interno  avviene la memorizzazione ed elaborazione di una rilevante e significativa massa di informazioni e dati personali, la Società ha scelto di dotarsi già da tempo di impianti di videosorveglianza in grado di riprendere sia il perimetro, sia gli ingressi della struttura, sia gli ambienti interni, ove sono allocati i server mediante cui sono erogati i servizi.

Ciò premesso, è stato specificato in relazione alle finalità perseguite (art. 11, comma 1, lett. a, del Codice), che, allo scopo di rendere veramente efficace detti impianti di videosorveglianza, sarebbe necessario poter contare sulla conservazione delle relative immagini per un periodo maggiore di una settimana e specificatamente per 90 giorni o per il diverso termine ritenuto congruo dall´Autorità. Ciò, in considerazione sia della particolare "rischiosità" insita nella natura dei servizi erogati, sia perché l´accertamento di fatti illeciti potrebbe necessitare l´utilizzo di immagini registrate molto tempo prima dell´evento, per verificare comportamenti sospetti da parte di soggetti che, in una fase antecedente, abbiano effettuato un´attività di sopralluogo, simulazione e/o altra attività propedeutica all´eventuale illecito (cfr. nota del 26 settembre 2017).

A corredo della propria istanza la Società ha affermato:

- di aver conseguito varie certificazioni tra cui la certificazione ISO 9001, standard di riferimento internazionalmente riconosciuto per la gestione della qualità e perciò anche della sicurezza, la certificazione ISO 27001, considerato lo standard internazionale principale per quanto riguarda i sistemi di gestione della sicurezza informatica, nonché di aver conseguito l´accreditamento come Gestore di posta elettronica certificata, come conservatore di documenti informatici e Gestore dell´identità digitale (SPID);

- di aver provveduto ad espletare le procedure previste presso gli ispettorati territoriale del lavoro di Arezzo e Bergamo, ottenendo i provvedimenti autorizzativi ad hoc.

2. Le modalità di funzionamento del sistema

Gli impianti di videosorveglianza che la Società ha implementato nelle sedi citate sono basati su un software denominato Honeywell Digital Video Manager, in grado di visualizzare e registrare attraverso precise regole i flussi di ripresa delle varie telecamere.

Tale applicativo è parte integrante di un più ampio apparato di sicurezza a protezione del personale e dei beni materiali ed immateriali, che oltre a fare affidamento sulla presenza  di personale di vigilanza,   fa capo ad un software (Enterprise Building Integrator) di raccolta e visualizzazione degli eventi ed allarmi provenienti sia dai sistemi di controllo accessi che da quelli antintrusione e di rilevamento incendi o allagamenti.

Le telecamere, presenti in numero variabile, sono di tipo fisso, senza alcuna possibilità di regolazione da remoto e dislocate sia all´esterno delle sedi, per il controllo del perimetro esterno dei fabbricati e "dell´adiacente resede privata", che all´interno  delle sale dati, dei locali tecnici e degli spazi comuni (cfr. Allegato 5 nota del 25 luglio 2017).

Le immagini raccolte 24 ore su 24, sono al momento memorizzate  per 24 ore da videoregistratori digitali posizionati all´interno di appositi armadi rack chiusi a chiave, posti in locali ad accesso controllato mediante sistema di controllo accessi e altresì protetti da un sistema antintrusione basato su sistemi di rilevazione volumetrici.

Il sistema di sicurezza così congegnato permette agli operatori di non dover fissare inutilmente i monitor, venendo le immagini automaticamente presentate solamente "in corrispondenza a possibili situazioni anomale o di pericolo" (cfr. Relazione tecnica allegata all´istanza del 14 giugno 2017).

Quando necessario, perciò, le immagini sono rese disponibili in locale mediante schermi situati all´interno di locali specifici (cfr. all. 3, all. 4 e all. 5 alla nota del 25 luglio 2017), con accesso riservato ad incaricati del trattamento, appositamente designati, che a seconda della tipologia di incarico sottoscritto possono accedere solamente in "live" o solamente alle immagini registrate, attraverso proprie credenziali di autenticazione.

Per quanto concerne l´obbligo di rendere l´informativa di cui all´art. 13 del Codice, Aruba S.p.A. ha specificato di aver affisso dei cartelli in prossimità delle aree videosorvegliate.

3. Le valutazioni dell´Autorità

L´odierna richiesta di poter allungare il termine di conservazione delle immagini videoregistrate presso le sedi operative e la sede legale di Aruba S.p.A. deve essere valutata alla luce dei principi di necessità, proporzionalità, finalità e correttezza (artt. 3 e 11 del Codice), espressamente richiamati anche nel Provvedimento generale in materia di videosorveglianza dell´8 aprile 2010. In particolare, secondo tale provvedimento l´allungamento dei tempi di conservazione dei dati oltre i sette giorni, giustificabile solo in casi eccezionali, deve essere adeguatamente motivato "con riferimento ad una specifica esigenza di sicurezza perseguita, in relazione a concrete situazioni di rischio riguardanti eventi realmente incombenti e per il periodo di tempo in cui venga confermata tale eccezionale necessità.

In ragione di ciò, si ritiene che sia importante tenere in debito conto la finalità sottesa all´istallazione del predetto sistema consistente non solamente nell´esigenza di tutela del patrimonio aziendale, ma anche nella tutela del personale e dei dati dei clienti da possibili azioni di sabotaggio e da possibili "attacchi criminali". In proposito, data l´estrema delicatezza dei servizi gestiti, in particolare, all´interno dei Data Center, una loro eventuale manomissione potrebbe non solo arrecare grave danno al patrimonio aziendale, ma sarebbe anche in grado di mettere in pericolo la gestione e messa in sicurezza di dati, di informazioni e di contenuti fondamentali per la continuità dello svolgimento delle attività degli stessi clienti. Infatti, in alcuni casi, eventuali condotte illecite, compromettendo l´operatività dei clienti, determinerebbero un impatto dannoso anche su alcune rilevanti attività economiche italiane.

Tali obiettive circostanze già permettono di ritenere che i siti in questione siano caratterizzati da specificità che giustificano l´adozione di standard di sicurezza di livello superiore alla media. L´implementazione di un sistema come quello sopra descritto avrebbe l´importante funzione di innalzare i livelli di sicurezza del sito.

La Società ha dichiarato che una conservazione delle immagini superiore alla settimana e, possibilmente, di 90 giorni sarebbe collegata alla necessità di appurare eventuali condotte criminose e soprattutto di prevenirle, verificando comportamenti sospetti da parte di soggetti che in una fase prodromica effettuassero attività di sopralluogo e studio dei locali. Al riguardo, infatti, è stato anche ipotizzato che visto l´elevato livello di sicurezza presente nei fabbricati, un eventuale illecito avrebbe bisogno di un lungo tempo di pianificazione (cfr. nota del 26 settembre 2017).

Ad avviso di questa Autorità, all´esito dell´istruttoria sono emersi elementi che inducono a ritenere che, nel rispetto dei principi posti dagli artt. 3 e 11 del Codice, la richiesta della Società possa essere accolta.

In particolare, l´ubicazione del sito, la notevole massa di dati raccolti, l´estrema delicatezza di larga parte delle informazioni ivi custodite, vale a giustificare l´adozione di un sistema di sicurezza finalizzato a ridurre significativamente il rischio di condotte criminose e/o di manomissioni dei sistemi informatici, da cui potrebbero derivare anche gravi disservizi.

Pertanto, alla luce delle dichiarazioni rese (sulla cui veridicità la società ha assunto ogni responsabilità ai sensi dell´art. 168 del Codice) e, segnatamente, delle illustrate modalità di funzionamento degli impianti, volti a tutelare il patrimonio aziendale, il personale e i dati dei clienti, questa Autorità ritiene che la richiesta di verifica preliminare avanzata da Aruba S.p.A., volta all´allungamento dei tempi di conservazione delle immagini registrate dai sistemi di videosorveglianza istallati nelle sedi predette vada accolta, potendosi ritenere che eventuali ingerenze nella sfera di riservatezza degli interessati trovino giustificazione nelle ragioni sopra illustrate.

TUTTO CIÒ PREMESSO, IL GARANTE,

ai sensi dell´art. 17 del Codice, a conclusione della verifica preliminare, ammette la conservazione fino a 90 giorni di tutte le immagini registrate da Aruba S.p.A. mediante gli impianti di videosorveglianza attualmente in uso presso le due sedi operative di Arezzo e presso la sede legale ed il connesso Data Center di Ponte San Pietro con le modalità indicate in atti, al solo fine dell´accertamento di eventuali illeciti e dell´individuazione, da parte dell´Autorità giudiziaria, dei possibili responsabili.

L´accesso alle immagini registrate potrà essere effettuato solo nel caso in cui vengano ravvisati o segnalati eventuali illeciti, oppure allorché pervenga una richiesta in tal senso da parte dell´Autorità giudiziaria.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 8 marzo 2018

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia