Garante per la protezione
    dei dati personali


Sistema di rilevazione dei datibiometrici. Verifica preliminare richiesta da Blindhouse s.r.l.

PROVVEDIMENTO DEL 17 APRILE 2014

Registro dei provvedimenti
 n. 205 del 17 aprile 2014

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti, e del dott. GiuseppeBusia, segretario generale;

VISTOil d.lgs. 30 giugno 2003, n. 196, recante il Codice in materia di protezionedei dati personali (di seguito "Codice");

VISTOil provvedimento del Garante del 9 marzo 2005, con cui sono state individuatele garanzie per l'uso delle c.d. "etichette intelligenti";

Vistele "Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze didatori di lavoro privati" adottate dal Garante condeliberazione n. 53 del 23 novembre 2006, pubblicate sulla G.U. 7 dicembre2006, n. 285;

VISTAla richiesta di verifica preliminare presentata da Blindhouse s.r.l. ai sensidell'art. 17 del Codice, nonché le successive comunicazioni inviate dallasocietà;

ESAMINATAla documentazione in atti;

VISTEle osservazioni formulate dal segretario generale ai sensi dell'art. 15 delregolamento del Garante n. 1/2000;

RELATOREla prof.ssa Licia Califano;

PREMESSO

1. L'istanza presentata dalla società.

1.1.Blindhouse s.r.l. –società con sede nel Comune di Napoli e deputata, tral'altro, all'immagazzinaggio, alla conservazione e alla custodia di beni, mercie oggetti di valore, al servizio di contazione e selezione di banconote emonete metalliche per conto terzi, nonché all'acquisto, per la rivendita, ditappeti, quadri, opere d'arte, pellicce, mobili, oggetti di valore e preziosiin genere– ha presentato al Garante una richiesta di verifica preliminareex art. 17 del Codice relativamente al trattamento di dati biometrici derivantedall'utilizzo di un sistema di rilevazione delle impronte digitali che lasocietà avrebbe in animo di installare nei pressi dell'accesso ai propri"caveaux" (v. nota del 10 settembre 2013, successivamente regolarizzatacon comunicazione del 30 novembre 2013). Infatti, tenuto conto del peculiarecontesto in cui la società ha dichiarato di operare –caratterizzato da"particolari condizioni ambientali" e "da numerosi episodi dimicrocriminalità"–, quest'ultima ha sostenuto che un accertamentoparticolarmente rigoroso degli utenti che fanno ingresso nei propri localipresidiati costituisca un'efficace misura di contrasto contro eventuali eventicriminosi, potendo assicurare più elevati livelli di sicurezza e protezionealle persone e ai beni ivi custoditi; e ciò, soprattutto ove si consideri chela struttura che ospita i predetti caveaux, in ragione delle molteplici attivitàche si svolgono al suo interno, sarebbe liberamente accessibile da un elevatonumero di soggetti (clienti; visitatori occasionali; partecipanti alle aste;addetti alla contazione; consulenti; fornitori; delegati; ecc.).

Pertanto,la società ha ritenuto di poter individuare la soluzione più confacente alleproprie esigenze nel sistema biometrico sottoposto all'attenzione dell'Autorità.

1.2.Attualmente, l'accesso dei clienti ai caveaux, dopo una prima identificazione(a mezzo documento di riconoscimento) al primo varco di ingresso allastruttura, sarebbe consentito solo previa nuova verifica della loro identità,della relativa firma autografa e del "titolo" di accesso (contratto;delega; ecc.) ad opera del personale preposto, che provvederebbe ancheall'accompagnamento degli interessati all'interno dei locali (già presidiati daporte interbloccate), verificandone in seguito l'uscita.

Inprossimità di dette porte la società avrebbe intenzione di installare undispositivo (c.d. "reader") dotato di tecnologia rfid in grado dileggere i dati biometrici degli utenti precedentemente memorizzati (sotto formadi template) su smart card poste nell'esclusiva disponibilità degli interessatie di confrontarli con quelli rilevati, all'atto del singolo accesso,dall'apposito sensore. La procedura di verifica si concluderebbe positivamente –consentendoquindi l'ingresso– solo se il template memorizzato sulla smart card indotazione agli utenti e quello generato in occasione dell'accesso risultassero,in sede di confronto, "sufficientemente somiglianti" (in tal senso,le caratteristiche tecniche dichiarate dal produttore rivelerebbero "unapercentuale di impronte respinte inferiore all'1% e una percentuale di improntefalse accettate inferiore allo 0,01%").

1.3.Durante la fase di enrollment, funzionale alla registrazione del templatericavato dalla lettura dell'impronta digitale sul dispositivo affidato agliinteressati, il sistema, a mezzo di un apposito software, rileverebbe alcunipunti (c.d. "minuzie") della stessa convertendoli immediatamente,attraverso un "procedimento di crittazione unidirezionale", in uncodice numerico cifrato non reversibile nell'impronta originaria; taliinformazioni, temporaneamente conservate nella memoria di massa del lettore,sarebbero immediatamente e automaticamente cancellate dal sistema all'esitodella procedura di registrazione del template sulla smart card. L'interaoperazione –di durata complessivamente non superiore ai due minuti einteramente svolta alla presenza dell'utente– non comporterebbe alcunaarchiviazione dei dati biometrici sui sistemi informativi della società eculminerebbe con la consegna all'interessato della tessera recanteesteriormente, oltre al logo della stessa società, il solo codice numericoindividuale assegnatogli all'atto della memorizzazione del template.

Nelcorso delle singole operazioni di verifica, il sistema confronterebbe iltemplate memorizzato all'interno della smart card (previamente accostata alreader, ad una distanza non superiore a cinque centimetri) con quelloimmediatamente ricavato dalla lettura dell'impronta rilevata dall'appositosensore, permettendo l'ingresso all'interessato, come detto, solo in caso diesito positivo della "comparazione"; durante tale fase, il templategenerato in occasione dei singoli accessi "stazionerebbe" nellamemoria volatile del rilevatore "per meno di un secondo".

1.4.Al fine di garantire la sicurezza dei dati registrati nella tessera, il sistemaordinerebbe i "byte" del file contenente il template secondo logichenon sequenziali, memorizzandoli con modalità tali da rendere estremamentedifficile ("impossibile", secondo le dichiarazioni della società)l'individuazione precisa dell'"inizio" e della "fine" delfile stesso; inoltre, ogni tessera (asseritamente leggibile "solo dailettori presenti nello specifico sistema") verrebbe dotata di un serialnumber univoco, registrato in una zona di sola lettura del chip della smartcard. Tra le ulteriori misure indicate dalla società a tutela dei dati e deisistemi figurerebbero anche:

–l'"immediata cifratura ed irreversibilità del processo di cifratura deimodelli/template";

–le procedure per l'immediata disattivazione delle tessere eventualmentesmarrite o sottratte;

–l'adozione di sistemi di accreditamento a protezione del software di cui siavvale il sistema biometrico;

– l'"ubicazione del server che ospita la base di dati contenentel'anagrafica degli utenti in una struttura centrale permanentementesorvegliata";

–la conservazione, presso le proprie strutture, delle certificazioni eomologazioni rilasciate dall'installatore dei dispositivi impiegati (reg. 25dell'allegato "B").

1.5.Il trattamento in esame, secondo quanto riferito, sarebbe effettuato su baseesclusivamente volontaria, essendo state previste anche modalità alternative diaccesso (rilascio di un codice identificativo numerico e verifiche delpersonale a ciò preposto) nel caso in cui l'utente non potesse o non intendesseprestare il consenso al trattamento di tali dati; tale opportunità verrebbeadeguatamente evidenziata nell'informativa predisposta dalla società abeneficio degli interessati. Inoltre, il sistema, autonomo e non comunicantecon altri sistemi informativi della società, non verrebbe utilizzato per scopiulteriori rispetto a quelli dichiarati, essendo unicamente preordinato adincrementare il grado di sicurezza e protezione di beni e persone, conesclusione, quindi, di qualsivoglia impiego per finalità di rilevazione dellepresenze dei dipendenti e di vigilanza sull'attività lavorativa.

Ilpersonale preposto alle operazioni di trattamento sarebbe designato periscritto ai sensi dell'art. 30 del Codice e adeguatamente formato e istruito,anche in ordine alle procedure da seguire in caso di perdita o sottrazionedelle tessere.

Idati relativi agli accessi ai caveaux ("data, ora, numero identificativotessera, nome terminale, verso ingresso/uscita"), distinti e in alcun modoriconducibili a quelli biometrici (nemmeno conservati dalla società), verrebberocancellati "attraverso un sistema di sovra registrazione ogni settegiorni", fatta salva la loro ulteriore utilizzabilità per l'eventualetutela di un diritto in sede giudiziaria.

1.6.Il descritto trattamento, già ritenuto proporzionato in ragione del peculiarecontesto di riferimento e della delicatezza delle attività svolte dalla società(anche in considerazione della natura dei beni custoditi all'interno deicaveaux), sarebbe ulteriormente giustificato, a detta di quest'ultima, dallariferita inadeguatezza delle attuali modalità di identificazione degliinteressati (rimesse al prudente apprezzamento degli incaricati di volta involta addetti a tale compito), che non solo non garantirebbero da eventualicollusioni a danno della società (e, potenzialmente, degli stessi clienti), marisulterebbero oltremodo farraginose e poco funzionali alle esigenze dientrambi. In tale prospettiva, il sistema biometrico rappresenterebbe unarisposta ottimale anche alla necessità –pure rappresentata dalla società–di superare talune difficoltà legate alle operazioni di verifica della firmadegli utenti (sovente soggetta a mutamenti nel tempo) e della loro identità(specie a fronte di casi, concretamente verificatisi, concernenti sopravvenuteoperazioni estetiche), producendo, al contempo, possibili benefici in capo agliinteressati, anzitutto in termini di snellimento e velocizzazione delleprocedure di accesso.

Lasocietà, infine, ha sostenuto che l'ubicazione della propria sede "nelleimmediate vicinanze della tangenziale di Napoli" e il diretto collegamentodel sito alla rete autostradale sarebbero circostanze tali da favorire un"immediato accesso a vie di fuga"; di qui la necessità di dotarsi dipiù stringenti misure di sicurezza, tra cui quella in esame.

1.7.A corredo dell'istanza presentata, Blindhouse s.r.l. ha prodotto documentazionerelativa, tra l'altro, a: il proprio statuto; le specifiche tecniche delsistema che intenderebbe utilizzare; l'informativa predisposta a vantaggiodegli interessati; la "relazione" sull'impatto della tecnologia rfidsulla vita privata degli utenti.

2. Le valutazioni dell'Autorità.

2.1.Il caso sottoposto all'attenzione dell'Autorità integra un'ipotesi ditrattamento di dati personali. Infatti, tanto le impronte digitali che le informazionida esse ricavate e successivamente utilizzate nelle procedure di autenticazioneper le relative operazioni di verifica e raffronto costituiscono (in aderenzaall'accezione accolta dall'art. 4, comma 1, lett. b) del Codice) dati personaliriconducibili a soggetti identificati o identificabili, con conseguenteapplicabilità agli stessi della pertinente disciplina di legge (v., inproposito, documento di lavoro sulla biometria del 1 agosto 2003, WP 80; v.altresì il Parere 3/2012 sugli sviluppi nelle tecnologie biometriche del 27 aprile 2012, WP 193); ciò, anche nel caso in cui il dato biometrico siaraccolto, come nel caso in esame, ai soli fini del completamento della fase dienrollment e venga successivamente utilizzato (sotto forma di codice numerico)per le menzionate operazioni di verifica e raffronto (ex multis, Provv. 23gennaio 2008; Provv. 26 maggio 2011; Provv. 16 febbraio 2012). Conseguentemente, la legittimità (sotto il profilodella protezione dei dati personali) del sistema prescelto deve essere valutatasul piano della conformità dei relativi trattamenti alla disciplina del Codice,avuto particolare riguardo ai princìpi di necessità, liceità, finalità,proporzionalità (artt. 3 e 11 del d.lgs. n. 196/2003); tanto, muovendo anchedalla considerazione che il trattamento di tale delicata tipologia di datipersonali può ritenersi giustificato, di norma (e con l'osservanza di adeguategaranzie), solo in presenza di specifiche circostanze oggettive, idonee aevidenziare una concreta situazione di elevato rischio (da valutare, comunque,caso per caso e con estrema cautela), avuto precipuo riguardo al perseguimentodi finalità di innalzamento dei livelli di sicurezza e di protezione di beni epersone.

2.2.Alla luce degli elementi acquisiti, si può ritenere che il trattamento di datibiometrici oggetto dell'istanza presentata da Blindhouse s.r.l. siaconfigurabile in termini compatibili con i predetti princìpi; ciò, tenendoconto dell'effettiva delicatezza delle attività svolte dalla società e dellespecifiche finalità perseguite (già in passato riconosciute meritevoli dalGarante: v. Provv. 10 giugno 2011; Provv. 26 maggio 2011; Provv. 15 aprile 2010) nel peculiare contesto in cui la stessa è chiamata ad operare (in tal senso, v. anche Provv. 10 dicembre 2009). Dalle dichiarazioni rese e dalla documentazioneprodotta, infatti, appare evidente che l'attività svolta dalla società ponerilevanti problemi –accentuati dalle condizioni ambientali ritenute"difficili"– soprattutto con riferimento alle operazioni dicustodia di beni, merci e preziosi di notevole valore, nonché di contazione deldenaro (le quali, di per sé, già richiedono elevati standard di affidabilità esicurezza), anche alla luce delle possibili ripercussioni negative –financhein termini di responsabilità civile e di immagine– che potrebberoderivare alla stessa dal verificarsi di non improbabili eventi criminosi. Intale contesto, l'obiettiva necessità –data l'alta concentrazione, in ununico luogo adiacente ad agevoli vie di fuga, di beni consideratipotenzialmente "a rischio"– di effettuare un accertamentoparticolarmente rigoroso degli utenti che fanno ingresso nei caveaux (peraltroubicati in un sito suscettibile di libero accesso) rende ragionevole eproporzionato, nel caso di specie, l'impiego secondo le descritte modalità delsistema biometrico prescelto, anche in considerazione del circoscritto suoutilizzo per le sole (lecite) finalità dichiarate dalla società e resepreviamente note agli interessati (art. 11, comma 1, lett. d) e b) del Codice).

Fermorestando che il trattamento dovrà essere effettuato anche nel rispettodell'art. 3 del Codice –e, in tal senso, la memorizzazione dei templateunicamente sulle smart card affidate agli interessati, come pure l'assenza sudi esse di riferimenti esteriori immediatamente associabili a questi ultimi,risultano coerenti con il principio di necessità (in tale direzione, tra glialtri, Provv. 19 settembre 2013; Provv. 14 febbraio 2013; Provv. 23 febbraio 2006)– la società potrà memorizzare nel propriosistema informativo, oltre alle registrazioni degli accessi ai localipresidiati (anzitutto data e orario, nonché identificativo del terminale), isoli dati personali (diversi dai template) che risultino strettamente necessariper la registrazione temporanea dell'identità degli utenti che fanno ingresso,di volta in volta, nei caveaux. Si prende atto, peraltro, che la società havalutato come non esente da rischi l'impiego di sistemi alternativi perl'ingresso nei predetti locali, ritenendo l'utilizzo del prospettato sistemabiometrico la risposta più idonea e concretamente efficace rispetto alleproblematiche evidenziate all'Autorità (cfr. punto 1.6).

Nelquadro dei princìpi sopra richiamati, la società potrà trattare i datibiometrici degli utenti solo dopo avere acquisito il loro libero consenso, daritenersi tale se –come dichiarato dalla stessa– verrà realmenteassicurata agli interessati la possibilità di fruire di modalità alternative diaccesso ai caveaux (artt. 11, comma 1, lett. a) e 23 del Codice).

Conriferimento, poi, all'utilizzo della tecnologia rfid per la trasmissione delleinformazioni memorizzate nelle smart card, si osserva che, allo stato attuale,non sono ravvisabili specifici rischi in relazione ai dati personali trattati.La tecnologia impiegata, infatti, non caratterizza significativamente lamodalità d'uso della tessera rispetto alle tradizionali smart card, anche inconsiderazione del fatto che la ridotta distanza di lettura dichiarata dallasocietà appare in concreto precludere l'acquisizione (finanche inconsapevole)dei dati ivi contenuti da parte di soggetti estranei al trattamento (v. anchegli artt. 31 e ss. del Codice). Inoltre, la società risulta aver regolarmenteeffettuato valutazioni (sia pur sintetiche) in ordine all'impatto sulla vitaprivata degli utenti connesso all'utilizzo, nell'ambito del sistema in esame,della tecnologia rfid (in argomento, v. la "Raccomandazione dellaCommissione europea del 12 maggio 2009 sull'applicazione dei princìpi diprotezione della vita privata e dei dati personali nelle applicazioni basatesull'identificazione a radiofrequenza" e il successivo accordo"Quadro per la valutazione dell'impatto delle applicazioni RFID sullaprotezione della vita privata e dei dati" del 6 aprile 2011).

Nullada osservare, infine, sulle misure di sicurezza che Blindhouse s.r.l. hadichiarato di voler adottare a protezione, anzitutto, dei dati e dei sistemi(v., in particolare, punti 1.4 e 1.5), da reputarsi, allo stato, adeguate (intal senso, già Provv. 10 dicembre 2009, cit.). Resta comunque ferma, per quantonon espressamente indicato dalla società, l'eventuale necessità di adottare leulteriori misure minime previste dagli artt. 33 e ss. del Codice e dal relativoallegato "B".

Ricorrendoi menzionati presupposti, la società potrà lecitamente trattare i datibiometrici degli utenti nei limiti delle finalità indicate, a condizione,tuttavia, che risultino soddisfatti anche gli ulteriori adempimenti di seguitorichiamati.

3. Ulteriori adempimenti.

Lasocietà, prima dell'inizio del trattamento, dovrà provvedere alla relativanotificazione in conformità agli artt. 37 e 38 del Codice.

Inoltre,dovrà essere effettivamente garantito che i dati relativi agli accessi,opportunamente memorizzati per un periodo di tempo non superiore alla settimana(in tal senso, v. già Provv. 15 febbraio 2008; Provv. 10 dicembre 2009, cit.), sianoautomaticamente e integralmente cancellati allo scadere del termine previsto(art. 11, comma 1, lett. e), del Codice), evitando prolungamenti surrettizi deitempi di conservazione (ad esempio, attraverso la creazione di copie disicurezza). La società, tuttavia, potrà assicurare l'ulteriore disponibilitàdei dati, ma solo in presenza di una richiesta di accesso da partedell'interessato, oppure di eventi criminosi verificatisi o, ancora, di unarichiesta in tal senso da parte dell'autorità giudiziaria.

Perquanto riguarda l'informativa da rendere agli interessati (art. 13 del Codice),il modello prodotto non reca puntuali riferimenti in merito all'utilizzo dellatecnologia rfid applicata al sistema in esame. La società, pertanto, dovràprovvedere alla sua integrazione, evidenziando opportunamente tutti glielementi necessari per adeguarla (e adeguarsi) alle prescrizioni di cui alprovvedimento generale del 9 marzo 2005. In aggiunta, anche al fine di dare piena attuazioneai princìpi di correttezza e finalità (art. 11, comma 1, lett. a) e b), delCodice), il Garante reputa necessario che sia collocata presso gli appositireader l'indicazione dell'utilizzo di sistemi di trasmissione basati sutecnologia rfid.

Leistruzioni impartite agli incaricati del trattamento dovranno riguardare ancheil ciclo di utilizzazione dei dispositivi e le procedure per verificare ilsistema e aggiornare, ove necessario, le tessere affidate agli interessati(nello stesso senso, già Provv. 15 febbraio 2008, cit.). Resta inteso che leoperazioni sui dati ricavati dalle impronte digitali degli utenti che abbianoacconsentito al relativo trattamento potranno essere eseguite dai soli soggettieffettivamente legittimati in rapporto ai compiti assegnati e alle mansioniconcretamente svolte all'interno della società (art. 30 del Codice).

TUTTO CIO' PREMESSO, IL GARANTE

aconclusione della verifica preliminare richiesta da Blindhouse s.r.l.relativamente all'utilizzo di un sistema di rilevazione dei dati biometricidegli utenti per l'accesso ai propri caveaux, prende atto dei trattamentioggetto dell'istanza presentata –da effettuarsi in stretta aderenza aitermini di cui in narrativa e nel rigoroso rispetto di quanto dichiarato aisensi dell'art. 168 del Codice–, fermo restando, ai sensi dell'art. 17del Codice, che la società dovrà:

1.notificare al Garante il trattamento dei dati biometrici prima che esso abbiainizio (artt. 37, comma 1, lett. a) e 38 del Codice);

2.provvedere all'effettiva cancellazione automatica e integrale dei dati relativiagli accessi allo scadere del periodo di riferimento (art. 11, comma 1, lett.e), del Codice);

3.integrare l'informativa da rendere agli utenti, anche a mezzo di indicazioni dacollocare presso gli appositi reader, con specifico riferimento all'utilizzo disistemi basati su tecnologia rfid (artt. 11, comma 1, lett. a) e b), e 13 delCodice);

4.impartire agli incaricati del trattamento istruzioni relative al ciclo diutilizzazione dei dispositivi, alle procedure di verifica del sistema e, ovenecessario, per l'aggiornamento delle tessere affidate agli interessati;

5.assicurare che le operazioni di trattamento siano eseguite dai soli incaricatieffettivamente legittimati in rapporto ai compiti loro assegnati e allemansioni concretamente espletate all'interno dell'organizzazione (art. 30 delCodice);

6.adottare, ove necessario, le ulteriore misure minime previste dagli artt. 33 ess. del Codice e dal relativo allegato "B".

Ai sensidegli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presenteprovvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 17 aprile 2014

Il presidente
Soro

Il relatore
Califano

Il segretario generale
Busia