Garante per la protezione
    dei dati personali

Prescrizioni e divieto del Garante [art. 154, 1 c) e d) del Codice]

[v. Newsletter 29 febbraio 2008]

Provvedimento del 23gennaio 2008

Trattamento di datibiometrici presso Cariprato S.p.A. 

IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI

In data odierna, in presenza del prof.Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti,e del dott. Giovanni Buttarelli, segretario generale;

Visto il Codice in materia di protezionedei dati personali (d.lg. 30 giugno 2003, n. 196);

Visto il provvedimento del Garantedel 27 ottobre 2005 (inG.U. n. 68 del 22 marzo 2006, n. 68);

Vista la documentazione in atti;

Viste le osservazioni formulate dalsegretario generale ai sensi dell'art. 15 del regolamento del Garante n.1/2000;

Relatore il dott. Giuseppe Fortunato;

PREMESSO

1. Trattamento di dati personali dellaclientela mediante sistemi di rilevazione dell'immagine delle impronte digitalie del volto
Per verificare laconformitą alla disciplina di protezione dei dati e alle prescrizioniindividuate nel provvedimento del Garante del 27 ottobre 2005,l'Autoritą ha svolto accertamenti presso alcune banche con riguardo atrattamenti di dati personali riferiti alla clientela raccolti attraversoappositi sistemi di rilevazione al momento del loro accesso all'interno deilocali della banca consistenti nell'associazione dell'immagine delle improntedigitali e del volto. A tal fine l'Autoritą, avvalendosi del Comando nucleospeciale funzione pubblica e privacy della Guardia di finanza, ha effettuato verifichepresso le seguenti filiali della Cariprato S.p.A. (di seguito, la banca):

• sede di Prato, in data 30 maggio2007 (nella quale non sono risultati effettuati trattamenti relativi allerilevazioni biometriche);

• filiale 060 di Lucca, in data 23maggio 2007;

• filiale 091 di Arezzo, in data 25maggio 2007;

• filiale 054 di Empoli, in data 29maggio 2007.

Ciė, tenendo anche tenendo conto dellasegnalazione formulata da rappresentanze sindacali operanti presso la bancanella quale si Ź evidenziato l'impiego generalizzato di sistemi di rilevazionedelle immagini e delle impronte digitali da parte dell'istituto di credito.

Il presente provvedimento attiene aiprofili di violazione riscontrati, tenuto anche conto della documentazioneinviata in tempi successivi dal titolare del trattamento.

2. Liceitą del trattamento
2.1. Verifiche. La banca ha provveduto a dareadempimento alla prescrizione relativa alla designazione del "vigilatoredei dati" attraverso ilconferimento di un'apposita funzione a dipendenti della stessa banca i quali, aquanto risulta dai verbali, al fine di garantire la richiesta posizione diindipendenza, sono stati distaccati presso la funzione audit della Banca (cfr. all. 9, verbale operazioni compiute filiale diEmpoli; all. 14 verbale operazioni compiute filiale di Arezzo).

2.2. Valutazione dei rischi. Dagliaccertamenti svolti e dalle dichiarazioni rilasciate dai rappresentanti dellabanca Ź emerso che la decisione di installare sistemi di rilevazione biometricaper permettere ai clienti di accedere all'interno delle agenzie non Ź connessané a rapine in precedenza subite (cfr. verbale operazioni compiute della filiale di Empoli, p. 2, secondo cui"in questa filiale non si sono mai verificati eventi quali rapine edaltro"), né alla circostanzache le filiali si trovino in zone che presentano particolari rischi (cfr. verbale operazioni compiute nella filiale diArezzo, pp. 6 e 4, nel quale l'installazione Ź stata effettuata ancorché non sifossero "verificati eventi quali rapine e altro" e "pur non trovandoci in una zona chepresenta particolari rischi", aseguito dell'avvertita esigenza "di sostituire il servizio di vigilanzafissa, ritenuto economicamente dispendioso, con altri sistemi disicurezza"), ma solo "perfinalitą da ricondursi ad esigenze proprie della Cariprato S.p.A., comeriportato nel documento di valutazione dei rischi" (cfr.verbale delle operazioni compiute presso la filiale di Arezzo, p. 6 e lafiliale di Empoli, p. 2).

Invero, su 92 filiali della Cariprato(stando a quanto riportato sul sito web della banca www.cariprato.it), risulta a questa Autoritą che ben 84 siano dotate dei sistemi dirilevazione dei dati personali in esame in assenza di una puntuale ricognizionedel rischio di rapine. Infatti, il "Documento di valutazione dei rischiai sensi dell'art. 4 commi 1 e 2, Decreto legislativo 19 settembre 1994, n.626" (in particolare pp. 162ss.), approvato dalla banca il 12 ottobre 2006 (acquisito agli atti), non faalcun riferimento specifico a circostanze concrete, limitandosi a individuare"i macro-standard di sicurezza fisica, attivi e passivi, da applicarealle filiali di nova apertura o ristrutturazione"; né, presso le filiali interessate dalle verifiche,Ź stato possibile reperire documentazione utile a "desumere l'esistenzadi condizioni di rischio concreto dello sportello" (come previsto nel Provv. 27 ottobre 2005, punto6).

A tale proposito, deve quindi rimarcarsiche il menzionato provvedimento del 27 ottobre 2005, nonconsentendo un utilizzo generalizzato e indiscriminato di sistemi diidentificazione degli interessati mediante la combinazione di diversi sistemidi rilevazione, ha evidenziato che, "in mancanza di specifici elementiche comprovino una concreta situazione di elevato rischio, tale attivitącomporta (…) un sacrificiosproporzionato della sfera di libertą e della dignitą delle personeinteressate, esponendo, altresď, le stesse a pericolo di abusi in relazione adati a sé riferibili particolarmente delicati quali sono le improntedigitali" (cfr. punto 2 del citato provvedimento).

Il medesimo provvedimento haquindi rimesso (in prima battuta) alla previa valutazione, attenta e selettiva,effettuata dalle banche (unitamente alle eventuali valutazioni formulate, nellediverse realtą territoriali, dalle locali autoritą di pubblica sicurezza)l'individuazione delle filiali presso le quali procedere all'installazione. Nonrisulta che tali criteri, alla luce delle verifiche effettuate, siano statitenuti in considerazione dalla banca.

Occorre quindi anzitutto prescrivere allabanca di rivalutare l'effettiva esposizione a rischio delle proprie filiali,provvedendo, all'esito della stessa –anche alla luce di eventualiinformazioni acquisite presso le locali autoritą di pubblica sicurezza circa lapericolositą delle aree in cui sono presenti le filiali– alla cessazioneo sospensione dei trattamenti non giustificati. In ragione delle informazionida assumere e delle attivitą da svolgere per dare esecuzione a tale rinnovatavalutazione, risulta congruo fissare al 14 marzo 2008 il termine per il lorocompimento, come pure della comunicazione a questa Autoritą delle conseguentideterminazioni adottate. Va poi rilevato che l'attualitą della predettavalutazione dovrą essere a regime verificata periodicamente (cfr. Provv. 27 ottobre 2005, cit.,punto 2).

2.3. Informativa. L'informativa resaalla clientela circa la sussistenza dei menzionati sistemi di rilevazione (econseguenti trattamenti di dati personali) Ź risultata conforme al modellopredisposto dal Garante e collocata in corrispondenza dell'accesso ai varchi.

Deve perė rilevarsi che nelle filiali diArezzo e Lucca non Ź stata rinvenuta un'adeguata informativa per ulteriorisistemi di videosorveglianza installati nelle filiali, rispetto ai quali laGuardia di finanza ha effettuato le seguenti contestazioni:

• presso la filiale di Arezzo, haformato oggetto di contestazione di una violazione amministrativaun'informativa "minima",ritenuta inidonea, relativa a un sistema di videosorveglianza attivo pressol'ingresso e la rampa del garage "ad uso esclusivo del personaledipendente" (cfr. scritti difensivi del 21 giugno 2007), nonché a una"telecamera attiva nei pressi dello sportello "Bancomat"esterno" (cfr. verbale di contestazione amministrativa n.82/2007);

• presso la filiale di Lucca e diArezzo ha formato oggetto di contestazione l'assenza di un'idonea informativaper la presenza di un sistema di videosorveglianza interno ed esterno allabanca, nonché presso lo sportello bancomat.

La banca deve provvedere, entro e nonoltre il 15 febbraio 2008, a fornire detta informativa agli interessati,conformandosi al provvedimento generale sulla videosorveglianza adottato dalGarante il 29 aprile 2004 e provvedendo,altresď, all'aggiornamento dei relativi riferimenti normativi.

2.4. Conservazione dei dati. In relazioneai tempi di conservazione dei dati biometrici associati al sistema divideosorveglianza, Ź emerso che gli stessi sono conservati per sette giorni.

Per quanto riguarda, invece, laconservazione delle immagini dei diversi e indipendenti sistemi divideosorveglianza presenti all'interno e all'esterno delle filiali, in alcunicasi sono previsti tempi superiori a quelli consentiti. Con particolareriferimento alla conservazione delle immagini da parte della filiale di Empoli,le stesse "sono conservate per un periodo non reimpostabile a causa delsoftware non aggiornato alle versioni piĚ recenti, comunque mediamente nonsuperiore alle tre/quattro settimane ed in funzione dell'afflusso dellaclientela in filiale, dopo di che il sistema provvede automaticamente allacancellazione del dato piĚ vecchio mediante sovrascrittura" (cfr. p. 5 verbale operazioni compiute del 29 maggio2007). Anche dall'accertamento presso la filiale di Lucca Ź emerso che non Źprevisto un tempo definito per la conservazione dei dati, e che le immagini "vengonoconservate per un breve periodo di tempo, variabile a seconda dello spaziodisponibile sul supporto. Il sistema provvede automaticamente allasovrascrittura" (cfr. p. 7verbale operazioni compiute del 23 maggio 2007).

Quanto sopra descritto evidenzia un tempodi conservazione superiore a quanto previsto dal menzionato provvedimento del29 aprile 2004 in materia di videosorveglianza secondo il quale, in relazionealla conservazione delle immagini da parte delle banche, Ź ammesso unintervallo temporale "che non puė comunque superare la settimana".

La banca deve provvedere, pertanto, alpiĚ presto e comunque non oltre il 15 febbraio 2008, ad adottare le misurenecessarie affinché i tempi di conservazione delle immagini siano conformi alcitato provvedimento, dandone conferma a questa Autoritą entro lo stessotermine.

3.1. Accesso dei lavoratori. Dagli accertamenti svolti Ź emerso, altresď, che:

a. la rilevazione dei datibiometrici prevista per l'accesso dei clienti all'interno delle filiali, Źutilizzata anche per consentire l'accesso dei dipendenti nelle filiali diArezzo e di Lucca;

b. in aree di esclusivo accesso deidipendenti della filiale di Arezzo Ź, inoltre, presente un apparato divideosorveglianza (si tratta di una telecamera che riprende la rampa di accessoal garage: cfr. verbale del 25 maggio 2007, p. 7, e nota della banca del 21giugno 2007, p. 1) sprovvisto di idonea informativa "apposta in modo daessere visibile solo dopo essere stati investiti dal raggio d'azione dellatelecamera ivi presente" (verbale del 25 maggio 2007, p. 7).

3.2. Con riguardo al primo aspetto, deve rilevarsi che la raccolta e la memorizzazionedelle impronte digitali dei dipendenti per accedere alla banca (che non haformato oggetto di valutazione nel menzionato provvedimento del 27 ottobre 2005,riservato alla sola clientela) risulta sproporzionata rispetto alle finalitądel trattamento effettuato dalla banca (art. 11, comma 1, lett. d), delCodice). Non risulta sussistere, nei casi in esame, alcuna esigenza peculiareche giustifichi la rilevazione delle impronte digitali dei lavoratori perl'accesso sul luogo di lavoro.

La banca dovrą pertanto impartire lenecessarie istruzioni affinché, salvo che nei casi in cui i dipendenti in basea proprie scelte del tutto autonome decidano di recarsi sul luogo di lavoroattraverso detti varchi, il personale dipendente utilizzi ingressi diversi o,comunque, modalitą che non richiedano il rilascio delle impronte digitali.

3.3. Per quanto concerne l'utilizzo della menzionata telecamera presso lafiliale di Arezzo, la banca dovrą infine provvedere ad apporre un'idoneainformativa, dandone comunicazione a questa Autoritą.

Con riferimento all'eventualeinosservanza delle previsioni contenute nell'art. 4 della legge 20 maggio 1970,n. 300 (Statuto dei lavoratori) in tema di controllo a distanza dei lavoratori(cfr. anche Cass. Sez. lav., 17luglio 2007, n. 15892), questa Autoritą si riserva di trasmettere la pertinentedocumentazione per le valutazioni del caso alla Direzione provinciale dellavoro territorialmente competente.

TUTTO CIŮ PREMESSO, ILGARANTE

1. prescrive a Cariprato S.p.A., aisensi dell'art. 154, comma 1, lett. c), del Codice, entro e non oltre il 14marzo 2008, di rivalutare, anche alla luce della pertinente documentazioneeventualmente acquisita presso le competenti autoritą di pubblica sicurezza,l'effettiva necessitą di dotare le proprie dipendenze dei sistemi dirilevazione di impronte digitali e immagini della clientela (punto 2.2.);

2. prescrive altresď a CaripratoS.p.A., ai sensi dell'art. 154, comma 1, lett. c), del Codice di procedere,entro e non oltre il 15 febbraio 2008, a:

a.     rendere un'idonea informativa inordine alla presenza di sistemi di videosorveglianza presso i punti di prelievobancomat posti all'esterno delle filiali (punto 2.3.) e in corrispondenzadell'accesso al garage della filiale di Arezzo (punto 3.3.);

b.     adottare le misure necessarieaffinché i tempi di conservazione delle immagini non siano superiori al terminedi una settimana a decorrere dalla loro registrazione (punto 2.4.);

c.     adottare misure organizzative checonsentano ai dipendenti l'accesso all'interno delle filiali senza lanecessaria rilevazione delle proprie impronte digitali (punto 3.2.);

3. ai sensi dell'art. 157 del Codiceprescrive a Cariprato S.p.A. di dare conferma a questa Autoritą dell'attuazionedelle prescrizioni di cui al presente dispositivo allegando la pertinentedocumentazione:

a.     entro e non oltre il 14 marzo2008, per quanto attiene alle prescrizioni contenute al punto 1 del presentedispositivo;

b.     entro e non oltre il 15 febbraio2008, per quanto attiene alle prescrizioni contenute al punto 2 del presentedispositivo.

Roma, 23 gennaio 2008

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
Buttarelli