I - Stato di attuazione della legge n. 675/1996 - Relazione 2001

Sorveglianza e sistemi biometrici

43. Videosorveglianza
Il tema della videosorveglianza è da annoverare tra i temi più significativi della recente attività del Garante: una conferma viene anche dalle risultanze delle attività, specie di tipo ispettivo, realizzate nel corso del 2001, che hanno confermato l´ampia diffusione del fenomeno e una costante crescita di attenzione al problema da parte di moltissimi cittadini.

Dal punto di vista del diritto positivo, il persistere della carenza di una specifica normativa in materia di utilizzo dei sistemi di videosorveglianza ha trovato un efficace elemento di contrasto nella messa a punto, prima, e nella diffusione poi, di un cd. decalogo, attraverso il quale il Garante ha enucleato dalla disciplina nazionale e comunitaria in materia di trattamento dei dati personali talune regole di fondo la cui osservanza consente di effettuare lecitamente il trattamento di immagini e suoni, nei casi in cui le apparecchiature che li rilevano permettano di identificare, in modo diretto o indiretto, un determinato soggetto.

Alla luce di tali indicazioni, è proseguita anche nel corso del 2001 la prassi di fattiva collaborazione tra l´Autorità e le amministrazioni pubbliche, specie locali, in particolare attraverso la tecnica dell´interpello preventivo con riferimento a programmate iniziative di controllo del territorio da realizzare attraverso l´impiego di dispositivi elettronici.

Peraltro, in un caso un cittadino ha promosso un ricorso concernente l´accesso a dati personali che lo riguardano dalla stessa trattati da una università statale, con specifico riferimento ad immagini riprese e temporaneamente registrate da una telecamera posizionata all´ingresso di un´aula collegata ad un sistema di allarme audio che si attiva al passaggio di un soggetto sensibile alla rilevazione. Con dichiarazione di non luogo a provvedere il Garante – nel ribadire che i dati raccolti mediante strumenti di videosorveglianza sono di carattere personale ai sensi dell´art. 1, comma 2, lettera c), della legge n. 675/1996, sicché nei confronti del relativo titolare si può proporre un´istanza ai sensi dell´art. 13 della medesima legge – ha rilevato che l´università ha dichiarato di non conservare dati dell´interessato, stante l´asserita, rapida cancellazione delle immagini quotidianamente eseguite dall´impianto, e che la condotta posta in essere non contrasterebbe, secondo l´ente, con le prescrizioni della legge n. 675/1996 dal punto di vista della logica e delle modalità del trattamento, non essendosi indicato nella notificazione il trattamento di dati mediante impianti di videosorveglianza, ma essendosi menzionate  la "raccolta di dati mediante impianti di videoregistrazione" e "l´impiego di supporti audiovisivi".

L´Autorità ha però avviato un autonomo procedimento in relazione a tali circostanze e agli aspetti relativi agli obblighi di informativa e agli incaricati del trattamento. (Provv. 19 dicembre 2001, in Bollettino n. 23, p. 40).

Da ultimo l´Autorità ha evidenziato, in risposta ad un esposto presentato da un´associazione per la tutela dei diritti dei consumatori, che dagli accertamenti effettuati in relazione alla presenza e all´utilizzo di impianti di videosorveglianza sul litorale di Ostia, non sono emerse specifiche violazioni dei principi in materia di trattamento di dati personali (Provv. 14 giugno 2001, Bollettino n. 21, p. 43).

Nonostante la presenza diffusa di telecamere riprendenti alcuni tratti di spiaggia installate sia da privati, a fini promozionali e pubblicitari o di informazione sulle condizioni meteorologiche, sull´affollamento delle spiagge o sulla disponibilità di impianti, sia dall´autorità regionale, per controllare il fenomeno dell´erosione delle spiagge, gli accertamenti svolti e le informazioni raccolte presso i gestori degli stabilimenti hanno consentito di stabilire che, in conformità al già citato decalogo redatto dal Garante, le stesse non consentivano l´individuazione dei soggetti ripresi: gli impianti sui quali sono stati condotti gli accertamenti risultavano invero privi della possibilità di utilizzare la funzione zoom, non consentivano il brandeggio ed erano in alcuni casi a bassa risoluzione o dislocate a lunga distanza dalla zona ripresa (20-25 mt.); analoga verifica, sempre con esito positivo, è stata effettuata sui siti web che riproducono le immagini in diretta o sulla base di periodici aggiornamenti.

A fronte di ciò, l´Autorità si è  però riservata di disporre ulteriori accertamenti in presenza di circostanziate segnalazioni, e nell´ottica di piena collaborazione e di stimolo sopra menzionata, ha inviato copia del provvedimento anche alle autorità amministrative competenti in materia di occupazione di zone demaniali marittime, affinché valutassero la possibilità di indicare – nell´ambito del disciplinare di concessione – l´obbligo del gestore dello stabilimento di rispettare i vigenti principi in materia di trattamento di dati personali, anche per quanto riguarda l´installazione di telecamere.

44. Rilevazioni biometriche
Il tema delle tecniche biometriche ha occupato anch´esso un posto prioritario nell´agenda di lavoro del Garante anche per la continua evoluzione tecnologica che caratterizza tale problematica.

Come noto, l´analisi delle caratteristiche biometriche (geometria del volto, della mano, dell´iride, etc.), consente di porre a confronto le informazioni rilevate con quelle preventivamente memorizzate e viene di recente indicata come asserito fattore risolutivo di problemi di sicurezza, non sempre, peraltro, in termini rispettosi del principio di proporzionalità rispetto alle finalità perseguite. Al riguardo, l´Autorità, dopo accurate indagini è intervenuta disponendo la disattivazione dei sistemi di rilevazione delle impronte biometriche in precedenza installati – senza informativa  – presso alcuni istituti bancari oggetto di segnalazioni (Provv. 28 settembre 2001, in Bollettino n. 22, p. 82). Nel provvedimento si è escluso che l´utilizzazione dei sistemi di rilevazione cifrata delle impronte digitali possa farsi in forma generalizzata, dovendo viceversa riferirsi a situazioni di concreto rischio riconducibili a circostanze obiettive, rimesse alla valutazione del singolo istituto bancario: quest´ultimo deve quindi procedere con particolare cautela, tenendo conto anche di precedenti eventi e di concordanti valutazioni da parte degli organi locali competenti in materia di tutela dell´ordine e della sicurezza pubblica, ai quali occorre comunque dare comunicazione dei sistemi installati.

Il divieto di utilizzo generalizzato ed indiscriminato di tali sistemi non è invece consentito per una pluralità di ragioni: da un lato in quanto si pone in contrasto con il principio di proporzionalità tra strumenti impiegati e finalità perseguite, dovendosi ricorrere a mezzi che comportano minori problemi per la tutela dei diritti e della dignità delle persone interessate; d´altro canto perché un´attività indifferenziata (clienti e non) di raccolta di dati, quali quelli relativi alle impronte biometriche, non può ritenersi legittimata da una generica esigenza di sicurezza, richiedendo invece l´allegazione di specifici elementi che evidenzino una concreta situazione di rischio. In difetto, tale rilevazione finisce con il comportare un sacrificio sproporzionato della sfera di libertà e della dignità delle persone interessate.

Nell´ambito delle tecniche di rilevazione biometriche, infatti, quelle concernenti le impronte digitali richiedono per la loro stessa natura una protezione più elevata, di fronte al rischio di ipotetiche utilizzazioni abusive, tanto che persino quando la raccolta di questo genere di informazioni viene realizzata da parte di soggetti pubblici è circondata da particolari cautele, come dimostra il fatto che la raccolta delle impronte digitali da parte di organi di polizia o giudiziari si fonda su specifiche previsioni normative che ne circoscrivono la rilevazione alle sole persone qualificabili come "pericolose o sospette", o a coloro che non sono in grado o si rifiutano di provare la propria identità, oppure, ancora, in caso di identificazione di un indagato o di detenuti ed internati all´ingresso di un istituto penitenziario (art. 7 r.d. n. 635/1940; art. 349, comma 2, c.p.p.; ex artt. 23 e 26 d.P.R. n. 230/2000). Scelta, questa, che può risultare coerente con la Raccomandazione del Comitato dei Ministri del Consiglio d´Europa RN (87) 15 in materia di dati utilizzati a fini di pubblica sicurezza – che l´Italia si è impegnata ad attuare integralmente – la quale consente la raccolta di dati mediante dispositivi tecnici di sorveglianza o altri mezzi automatizzati solo se prevista da disposizioni specifiche (punto 2.3).

Ma anche al di fuori dell´ambito della pubblica sicurezza, con riguardo alle recenti disposizioni normative in materia di carta di identità elettronica, a fronte della possibilità di inserirvi dati biometrici è stata prevista una specifica base normativa, ancorché in termini insufficienti, allo scopo di tener conto dei diritti fondamentali delle persone interessate.

Il problema posto dall´uso delle tecniche biometriche di rilevazione delle impronte digitali assume, d´altra parte, speciale delicatezza in tutti i casi in cui, come accade per gli sportelli bancari, acconsentire o meno alla rilevazione dell´impronta può tradursi nell´alternativa tra fruizione o non fruizione dei servizi offerti nei locali cui si accede previa rilevazione. In gioco sono evidentemente, da un lato, il pericolo di "schedatura" da parte degli istituti di credito; da un altro lato, il rischio di privazione della libertà degli utenti degli sportelli bancari.

In proposito, con il già citato provvedimento il Garante, oltre a raccomandare l´osservanza degli obblighi di legge in materia di informativa e misure di sicurezza, ha non soltanto evidenziato che l´accesso agli sportelli bancari tramite i sistemi di rilevazione installati deve comunque avvenire su base volontaria e consensuale (cfr. artt. 11 e 12 l. n. 675/1996), evitando l´uso di meccanismi complicati ed ulteriori rispetto a quelli già ordinariamente adoperati, ma ha altresì puntualizzato che, a salvaguardia della libertà degli utenti, deve essere in ogni caso predisposto un meccanismo che, in caso di volontà contraria dell´utente, permetta a quest´ultimo di accedere egualmente all´istituto bancario, salva l´eventuale adozione – nei soli casi necessari – di misure non vessatorie di cautela, quale può essere la richiesta di esibizione di un documento di identità, rimesse alla ragionevole valutazione dei responsabili della filiale.

Inoltre, ove la rilevazione abbia avuto effettivamente luogo, soltanto l´autorità giudiziaria o di polizia, e con riferimento a specifiche attività investigative connesse alla commissione di reati, potrà decifrare ed avere accesso alle informazioni non nominative raccolte con i sistemi di rilevazione, con esclusione – in via assoluta – del personale di banca, fermo restando che i dati cifrati relativi alle impronte e alle eventuali immagini potranno essere conservati in file giornalieri per un periodo non superiore a una settimana, alla cui scadenza dovranno operare sistemi di integrale cancellazione automatica delle informazioni.

In conclusione l´Autorità, nel confermare l´orientamento manifestato in precedenza, ne ha sviluppato in senso propositivo alcuni principi che tengono conto della specifica situazione che la realtà bancaria poneva rispetto ad altri soggetti privati, ed ha prospettato alcune soluzioni che, temporanee e prodromiche rispetto ad un futuro intervento legislativo, hanno permesso di affrontare in un quadro di garanzie le particolari esigenze legate alla disponibilità presso gli istituti bancari di ingenti quantitativi di danaro contante per effetto dell´introduzione dell´euro.

45. Braccialetto elettronico
È proseguita l´attività di monitoraggio del Garante sul processo di introduzione e diffusione di forme di controllo a distanza – nella misura in cui implicano raccolta e trattamento di dati personali – dei soggetti sottoposti alla misura cautelare degli arresti domiciliari o alla detenzione domiciliare, in attuazione del d.m. del 2 febbraio 2001 recante "modalità di installazione ed uso e descrizione dei tipi e delle caratteristiche dei mezzi elettronici e degli altri strumenti tecnici destinati al controllo delle persone sottoposte alla misura cautelare degli arresti domiciliari nei casi previsti dall´art. 275-bis del codice di procedura penale e dei condannati nel caso previsto dall´art. 47-ter, comma 4-bis, della l. 26 luglio 1975, n. 354".

In particolare, si è seguita con attenzione la vicenda del cd. braccialetto elettronico, cioè dello strumento destinato al controllo delle persone sottoposte agli arresti o alla detenzione domiciliare che viene applicato all´interessato al fine di consentire all´autorità giudiziaria di localizzarlo. In questa prospettiva è proseguito il rapporto di collaborazione tra l´Autorità e i competenti uffici coinvolti nella vicenda normativa, allo scopo di conciliare le esigenze di sicurezza sempre più irrinunciabili con le forme elementari di rispetto della persona, ancorché responsabile di fatti di reato.

Nonostante il d.m. abbia recepito varie osservazioni dell´Autorità, restano da monitorare i rischi di possibile inosservanza nei casi concreti dei principi sanciti nell´art. 9 della l. n. 675/1996, specie per quanto concerne le finalità e la durata della conservazione dei dati raccolti, nonché i problemi relativi alla sicurezza delle informazioni personali (art. 15 l. n. 675/1996 e d.P.R. n. 318/1999).