Garante per la protezione
    dei dati personali


L'interessato, attraverso l'informativa di cui all'art. 10 della legge n. 675/1996, deve essere messo a conoscenza dell'uso di telecamere che riprendono il luogo dove lo stesso intende recarsi.

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, con la partecipazione del prof Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice-presidente, del prof. Ugo De Siervo e dell'ing. Claudio Manganelli, componenti e del dott. Giovanni Buttarelli, segretario generale;

Viste le segnalazioni del sig. Panella Enrico e dell'Adusbef - Associazione difesa utenti servizi bancari, finanziari, postali, assicurativi, rispettivamente pervenute il 12 e il 14 luglio 2000;

Visti gli atti d'ufficio;

Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000 adottato con deliberazione n. 15 del 28 giugno 2000 e pubblicato sulla Gazzetta Ufficiale della Repubblica Italiana n. 162 del 13 luglio 2000;

Relatore l'ing. Claudio Manganelli;

PREMESSO:

Sono pervenute a questa Autorità alcune segnalazioni con le quali è stato fatto presente che la SAN PAOLO IMI S.p.a., in particolare presso la filiale n. 34 di Roma sita in via Genzano n. 1, ha impiantato sistemi di controllo degli ingressi e della permanenza nei locali attraverso il rilevamento delle impronte digitali delle persone che entrano nella banca e la ripresa di immagini all'ingresso e nei locali dell'istituto.

Questa Autorità ha avviato i necessari accertamenti chiedendo in primo luogo alla predetta filiale di fornire informazioni e di esibire documenti sui dispositivi adottati. Nel sopralluogo avvenuto il 19 luglio 2000 sono state acquisite ulteriori notizie ed è stato chiesto di fornire entro il successivo 28 luglio ulteriori elementi con specifico riguardo:

  • alle modalità di trattamento dei dati, specie sotto i profili dell'accesso, dell'invio alla sede centrale, della conservazione, della comunicazione a terzi ed autorità pubbliche, nonché della distruzione;
  • alla nomina dei responsabili e degli incaricati del trattamento, con riferimento sia alla rilevazione di impronte ed immagini, sia ai rapporti con la clientela;
  • alle misure di sicurezza adottate, anche in attuazione del d.P.R. n. 318/1999.

Osserva:

Il Garante si è pronunciato in varie circostanze richiamando l'attenzione degli operatori sulla circostanza che la legge n. 675/1996 è applicabile al trattamento di particolari categorie di dati personali quali immagini, suoni ed impronte digitali, ed ha fornito diverse indicazioni sulle disposizioni di tale legge già applicabili alla tematica della sorveglianza e che sono sintetizzate nel provvedimento del 29 novembre 2000 (pubblicato sul sito web del Garante http:/www.garanteprivacy.it).

Nel caso di specie risultano installati due sistemi di rilevazione dati, consistenti l'uno in un insieme di apparecchi video e, l'altro, in un dispositivo di lettura delle impronte digitali situato all'ingresso della banca.

Per entrambi i sistemi, in particolare per gli apparecchi video, non è fornita, anche mediante indicazioni sintetiche, purché chiare, una completa informativa ai sensi dell'art. 10 della legge n. 675/1996.

Il sistema di controllo video è infatti annunciato solo da un cartello recante la dicitura: "La Filiale è videosorvegliata. II personale non può operare direttamente sul sistema". L'avviso relativo all'accesso in filiale contiene invece alcune indicazioni aggiuntive, anch'esse non esaurienti in base al citato articolo, non essendo posta tra l'altro in evidenza l'associazione che viene effettuata tra l'immagine e l'impronta rilevate in contemporanea nei confronti di ciascun soggetto che entra nella banca.

Ciò configura una sostanziale violazione delle disposizioni della legge n. 675/1996 attinenti all'informativa, che verrà contestata con separato atto all'istituto interessato.

Dal caso di specie emerge inoltre un aspetto ancor più problematico che riguarda il rispetto del principio di proporzionalità tra almeno uno dei mezzi impiegati (il sistema di rilevazione delle impronte, associate alle immagini) e le finalità perseguite, principio sancito dall'art. 9 della legge n. 675/1996.

Un'attività indifferenziata di raccolta di dati significativi quali le impronte associate alle immagini, imposta a tutti coloro che entrano nella banca, clienti o meno, non può ritenersi di per sé legittimata da una esigenza generica di sicurezza, non accompagnata da elementi che evidenzino una concreta situazione di rischio.

Quanto sopra si traduce in un sacrificio sproporzionato della sfera di libertà di tutte le persone interessate che possono legittimamente lamentare anche una considerazione non adeguata e un rilevante pregiudizio della propria dignità personale.

Allo stato va quindi disposto il divieto di trattamento dei dati raccolti con il rilevatore di impronte digitali.

La banca va inoltre invitata (ferma restando la contestazione che verrà effettuata dall'Ufficio a proposito dell'informativa) a riformulare l'informativa relativa al sistema di controllo video e ad attenersi agli altri principi enunciati nel richiamato provvedimento del 29 novembre 2000.

A tal fine si potrà tenere conto della possibilità di fornire l'informativa anche attraverso messaggi brevi e in stile colloquiale, eventualmente uniti a simboli, ad esempio secondo il seguente schema: "La banca utilizza telecamere per riprendere gli accessi ed eventuali atti illeciti. Le immagini registrate vengono cancellate dopo pochi giorni. Non sono visionate dal personale e sono consultabili solo dall'autorità giudiziaria o di polizia. Chi entra nei locali accetta di essere ripreso e può esercitare il diritto di accesso, cancellazione ecc. rivolgendosi al servizio…….. (art. 10 e 13 l. 31 dicembre 1996, n. 675)."

TUTTO CIÒ PREMESSO IL GARANTE:

a) ai sensi dell'art. 31, comma 1, lett. l), della legge n. 675/1996, vieta con effetto immediato al SAN PAOLO IMI S.p.a. l'ulteriore utilizzazione dei dispositivi di rilevazione delle impronte digitali in particolare presso la filiale n. 34 di Roma, sita in via Genzano n. 1;

b) dispone che SAN PAOLO IMI S.p.a. riformuli l'informativa relativa al sistema di controllo video nei termini di cui in motivazione, entro il 15 gennaio 2001;

c) dispone che SAN PAOLO IMI S.p.a. dia conferma a questa Autorità, entro la stessa data, dell'esatto adempimento di quanto indicato nei punti a) e b) del presente dispositivo.

Roma, lì 11 dicembre 2000            

IL PRESIDENTE
(Rodotà)
IL RELATORE
(Manganelli)
IL SEGRETARIO GENERALE
(Buttarelli)