Garante per la protezione
    dei dati personali


Dati biometrici:illecito raccogliere e utilizzare le impronte digitali degli iscritti perl'accesso ad una palestra

PROVVEDIMENTO DEL 16FEBBRAIO 2012

Registro dei provvedimenti
n. 65 del 16febbraio 2012

IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti,presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. MauroPaissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele DePaoli, segretario generale;

VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezionedei dati personali);

VISTO il punto 4 delle "Linee guida in materia di trattamentodi dati personali dei lavoratori per finalità di gestione del rapporto dilavoro alle dipendenze di datori di lavoro privati" adottate dalGarante con deliberazione n. 53 del 23 novembre 2006(pubblicate sulla G.U. 7 dicembre 2006, n. 285), che prescrive ai titolari deltrattamento l'adozione di specifiche misure ed accorgimenti per il trattamentodi dati biometrici dei lavoratori;

VISTA la segnalazione con cui è stata rappresentata l'avvenutainstallazione, da parte di Big's Gym s.r.l., di un sistema di rilevazione didati biometrici degli utenti per finalità di accesso a una palestra;

ESAMINATE le risultanze degli accertamenti ispettivi espletati pressola sede della palestra e la documentazione successivamente acquisita;

VISTE le osservazioni formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Giuseppe Fortunato;

PREMESSO

1. La segnalazione e il seguenteaccertamento ispettivo.

1.1. Č pervenuta presso l'Autorità una segnalazione con cui si davasinteticamente conto dell'avvenuta installazione, presso la palestra gestita daBig's Gym s.r.l., di un sistema di rilevazione di dati biometrici per finalitàdi accesso alla struttura. Secondo quanto riferito, al momento dell'iscrizionesarebbe stata rilasciata agli utenti una tessera, dotata di microchip, sullaquale risultava memorizzata la loro impronta digitale; l'accesso agli impiantisarebbe stato garantito dal sistema solo a seguito del positivo confronto tral'"impronta digitale" presente sulla tessera e quella acquisita –divolta in volta– tramite un apposito scanner, con correlatavisualizzazione sul display di quest'ultimo di un messaggio di benvenutoassociato al nome dell'utente.

Il connesso trattamento di dati personali, ritenuto sproporzionatoe invasivo alla luce della finalità perseguita (accesso alla struttura), nonsarebbe stato nemmeno preceduto da un "modulo informativo" rilasciatoagli interessati, né sarebbe stato fatto firmare a questi ultimi un"foglio sul trattamento dei dati personali" al momento della loroiscrizione in palestra.

Č stato conseguentemente chiesto all'Autorità di intervenire al finedi controllare la corretta applicazione della disciplina in materia diprotezione dei dati personali.

1.2. Stando alle sintetiche dichiarazioni rese in occasionedell'accertamento ispettivo espletato presso la sede della palestra (della cuiveridicità gli autori si sono assunti la responsabilità anche penale ai sensidell'art. 168 del Codice), la procedura di registrazione dei dati dei clienti(tra cui: nome; cognome; data di nascita e di scadenza dell'abbonamento)prevederebbe la memorizzazione di tali informazioni, unitamente al codiceidentificativo di ciascun utente associato all'impronta digitale di costui(sotto forma di modello matematico), sulla tessera rilasciata agli utenti inoccasione della loro iscrizione presso il centro sportivo; tali dati, perquanto a conoscenza della società, non sarebbero nella disponibilità diquest'ultima, attesa la loro riferita memorizzazione esclusivamente sulletessere consegnate agli iscritti e l'assenza di un "databaseinformatico [contenente] i dati biometrici dei clienti".

Secondo quanto emerge dalla documentazione in atti, il sistemabiometrico installato, operativo sin dal 2005, sarebbe stato attivato, tral'altro, per garantire l'"accesso agli impianti ad un pubblicoselezionato, in regola con i pagamenti"; peraltro, la società haritenuto di non dover acquisire alcun consenso scritto degli interessati inragione del fatto che "nella palestra non vengono trattati datisensibili".

L'acquisizione del dato biometrico in sede di iscrizione, alla lucedelle predette risultanze, costituirebbe presupposto e condizione per l'accessodegli utenti alla palestra; tale accesso, infatti, sarebbe negato al clienteche "non aderisce al rilascio dell'impronta digitale per la successivamemorizzazione sulla card", con conseguente invito a quest'ultimo "adusufruire di un'altra palestra".

Per quanto concerne l'informativa, la società ha dichiarato che"questa viene resa ai clienti tramite il modulo posto all'ingresso dellapalestra, accanto al rilevatore biometrico" (peraltro "ubicatonelle immediate vicinanze della receptions per evitare possibilimanomissioni"); è risultato agli atti, inoltre, che quest'ultima, inqualità di titolare ex artt. 4, comma 1, lett. f) e 28 del Codice, avevaregolarmente provveduto alla notifica del trattamento ai sensi dell'art. 37dello stesso Codice.

La società si è infine riservata di comprovare, attraverso successivaproduzione documentale, la formale designazione dei soggetti preposti altrattamento dei dati biometrici degli iscritti quali incaricati del trattamentoai sensi degli artt. 4, comma 1, lett. h) e 30 del Codice.

1.3. A sostegno delle dichiarazioni rese, la società ha allegato, giàin occasione dell'accertamento ispettivo, copia del modello di informativadichiaratamente affissa accanto al sistema di rilevazione dei dati biometrici edella notifica effettuata a suo tempo al Garante. Dalla prima è stato possibiledesumere che "il sistema elabora l'immagine acquisita e la trasforma intempo reale in un codice numerico. Nel sistema rimane registrato solo edesclusivamente il codice numerico" e che il "processo non puòin alcun modo essere invertito" (sicché risulterebbe "impossibiledal codice numerico risalire all'impronta digitale"); dalla seconda,invece, si evince, in particolare, che le tipologie di interessati cui siriferisce il trattamento non sarebbero solo i clienti, ma anche"lavoratori o collaboratori", e che le finalità del trattamentosarebbero riconducibili alla "fornitura di beni o servizi e[all']accesso a locali o impianti ad un pubblico selezionato".

2. Le ulteriori comunicazioni della società.

2.1. Con successive comunicazioni, la società ha provveduto a farpervenire ulteriori osservazioni e documenti in relazione al sistema installatoe al correlato trattamento di dati biometrici.

Con una prima nota, la società ha provveduto a sciogliere la riservaformulata in sede di accertamento ispettivo, inviando copia dell'avvenutadesignazione quale incaricato del trattamento del soggetto deputatoall'acquisizione dei dati biometrici, nonché copia della dichiarazionerilasciata dalla società rivenditrice del sistema in ordine allecaratteristiche da quest'ultimo possedute. Da tale dichiarazione è possibileevincere, in particolare, che: la card rilasciata al cliente è dotata dichip "sul quale vengono registrati i dati del cliente[medesimo] (nome, cognome, data di nascita e attività in palestra) edell'abbonamento (scadenze, passaggi, giorni abilitati e fasce orarie)";il modello matematico risultante dal processo di "conversione"dell'impronta digitale viene memorizzato, anziché sulla card in uso esclusivoagli utenti, all'interno dello stesso "dattiloscopio"; l'inserimentodella card all'atto dell'ingresso in palestra determina una richiesta alloscanner di rilevare l'impronta dell'utente e di confrontarla con quellapresente (sotto forma di modello matematico) all'interno dello stesso scanner;l'ingresso viene consentito solo ove il confronto tra il modello presente nelsistema e quello acquisito tramite lo scanner (in associazione al codicenumerico univoco riportato sulla card in uso al cliente) sia positivo.

Con una seconda comunicazione, la società, a maggior chiarimento delledichiarazioni rese, ha precisato di aver installato il sistema in esame al finedi acquisire "la certezza della regolarità del pagamento degli accessi,evitando imbarazzanti duplicazioni nella esibizione del tesserino e consentendoall'utenza di fruire dei [Š] servizi [offerti dalla struttura] in completorelax"; la società ha inoltre precisato di non essere in grado dipoter "ricorrere a misure alternative che diano pari risultati intermini di efficienza, economicità, velocità negli ingressi e nella fruibilitàdegli impianti": ciò, in quanto l'impiego di tesserini nominativi –purutilizzati in passato per l'accesso alla struttura– si presterebbe ascambi tra i clienti, mentre l'uso di tesserini muniti di fotografia (anch'essogià sperimentato) risulterebbe inadeguato perché suscettibile distrumentalizzazioni ("spesso le foto richieste non venivano consegnatecon la necessaria tempestività" dalla clientela).

3. Profili di illiceità del trattamento.

3.1. La raccolta e la registrazione di impronte digitali e dei datibiometrici utilizzati per verifiche e raffronti nelle procedure diautenticazione o di identificazione sono operazioni di trattamento di datipersonali riconducibili ai singoli interessati (art. 4, comma 1, lett. b)),alle quali trova applicazione la normativa contenuta nel Codice (cfr., exmultis, Provv.  19 novembre 1999, in www.garanteprivacy.it, doc. webn. 42058; Provv. 21 luglio 2005, doc. webn. 1150679; Provv. 23 novembre 2005, doc. webn. 1202254; Provv. 15 giugno 2006, doc. webn. 1306530; Provv. 1° febbraio 2007, doc. webn. 1381983; Provv. 19 giugno 2008, doc. webn. 1532480; Provv. 17 novembre 2010, doc. webn. 1779745; documento di lavoro sulla biometria delGruppo Art. 29 dei garanti europei, Wp 80); ciò, anche nel caso in cui il datobiometrico sia raccolto ai soli fini del completamento della fase di enrollmente venga successivamente utilizzato (sotto forma di codice numerico) per lemenzionate operazioni di verifica e raffronto (Provv. 23 gennaio 2008, doc. webn. 1487903; Provv. 26 maggio 2011, doc. webn. 1832558).

Peraltro, come chiarito da questa Autorità, l'uso di tali dati (speciese ricavati dalle impronte digitali) può risultare giustificato "soloin casi particolari, tenuto conto delle finalità e del contesto in cui essisono trattati e, in relazione ai luoghi di lavoro, per presidiare accessi ad"aree sensibili", considerata la natura delle attività ivisvolte" (cfr. punto 4 del provvedimento del 23 novembre 2006delle Linee guida in materia di trattamento di dati personali di lavoratori perfinalità di  gestione del rapporto di lavoro alle dipendenze di datori dilavoro privati", doc. web n. 1364939); per contro, non può invece ritenersilecito un impiego generalizzato e indiscriminato di dati biometrici, specie ovefunzionale a soddisfare generiche esigenze di sicurezza, ovvero a perseguirefinalità di natura essenzialmente amministrativa (cfr., sia pure in un contestoparzialmente diverso, Provv. 23 gennaio 2008, cit.; Provv. 16 dicembre 2004).

La conformità del trattamento in esame alla disciplina di protezionedei dati, pertanto, deve essere valutata alla luce di tali premesse, tenendopresente quelli che sono i princìpi di necessità, liceità e proporzionalitàstabiliti dal Codice (artt. 3 e 11).

3.2. Sulla base della documentazione acquisita è risultato che Big'sGym s.r.l. tratta i dati biometrici degli utenti (nell'accezione sopraindicata) per consentire l'accesso alle strutture della palestra e ai relativiservizi ai soli clienti in regola con i pagamenti; tale trattamento, in ragionedelle considerazioni che seguono, non risulta conforme ai principi innanzirichiamati.

L'utilizzo di dati particolarmente delicati quali quelli relativi alleimpronte digitali, infatti, può ritenersi giustificato, come già anticipato,per soddisfare specifiche esigenze del titolare del trattamento (con riferimento, in particolare, a quelle di sicurezza di beni e persone: Provv. 23gennaio 2008, cit.; Provv. 15 aprile 2010, doc. web n. 1719879), laddove emergano, sulla base diobiettive e documentate circostanze, situazioni concrete di elevato rischio(Provv. 15 giugno 2006, cit.; Provv. 27 ottobre 2005, doc. web n. 1246675); peraltro, quand'anche ricorrano talisituazioni di elevato rischio, il titolare del trattamento è comunque tenuto avalutare con estrema cautela il ricorso a tale peculiare trattamento, dovendo atal fine considerare tutte le possibili misure alternative ugualmente efficaciin rapporto alle finalità perseguite e l'obbligo (legislativamente previsto) diconfigurare i sistemi informativi in modo da escludere il trattamento dei datipersonali non necessari in rapporto alle medesime finalità.

Fermo restando il rispetto dei principi di necessità e proporzionalità(artt. 3 e 11, comma 1, lett. d), del Codice), deve essere poi assicuratal'osservanza del principio di liceità e correttezza del trattamento (art. 11,comma 1, lett. a), del Codice); ciò, con particolare riferimento all'acquisizionedel consenso degli interessati, che risulta validamente  prestato solo seespresso in forma libera e specifica (art. 23 del Codice).

Nel caso di specie, non risulta ricorrere alcuno dei presupposti sopramenzionati, atteso che le operazioni di accesso alla palestra e ai relativiservizi non risultano connotate, sulla base degli elementi in atti, da unelevato grado di rischiosità per beni o persone –tali quindi daevidenziare un'obiettiva necessità di effettuare un accertamentoparticolarmente rigoroso dei soggetti legittimati all'ingresso– e chel'attività di raccolta dei delicati dati in esame, per giunta impostaindistintamente all'intera utenza della palestra (in assenza, peraltro, dimodalità alternative di accesso), risulta effettuata in difetto di adeguatipresupposti giustificativi (in primis, il consenso libero ed espresso degliinteressati, non potendo ritenersi tale la semplice iscrizione alla palestra,peraltro condizionata dall'accettazione "coatta" della raccolta deldato biometrico: al riguardo, cfr. anche, sia pure con riferimento al diversocontesto concernente le operazioni di marketing, Provv. 23 marzo 2011, doc. webn. 1807691; Provv. 5 marzo 2009, doc. webn. 1615731). Tale trattamento, inoltre, risultasproporzionato rispetto al generico bisogno di regolare e controllare gliingressi al centro sportivo e di agevolare la gestione degli abbonamenti,tenuto anche conto che non risulta nemmeno provata l'insufficienza ol'inattuabilità delle misure alternative prospettate dalla società (la quale siè limitata ad affermare la mancata tempestiva allegazione della fotografia daapporre sui tesserini da parte di alcuni clienti, senza tuttavia addurrerigorosi elementi volti a comprovarne l'effettiva inutilità in rapporto allafinalità perseguita), ingenerando quindi il sospetto che l'adozione delsistema, anziché frutto di scelte attentamente ponderate, abbia invece rispostoall'esigenza di privilegiare soluzioni poco costose e di rapida attuazione adiscapito dei diritti degli interessati.

Per altro verso, occorre poi rilevare che in occasione della notificadel trattamento la società ha dichiarato di trattare anche i dati biometricidei lavoratori. Vale ricordare, a tale proposito, che questa Autorità ha piùvolte precisato (cfr., da ultimo, Provv.  26 maggio 2011, cit.) cheil trattamento di tali dati nel contesto del rapporto di lavoro può risultaregiustificato, in particolare, "per presidiare accessi ad «areesensibili», considerata la natura delle attività ivi svolte"; allostato, nessuna area sensibile risulta individuata dalla società ai finidell'impiego del sistema, né risulta in altro modo documentato (qualepresupposto di liceità del trattamento medesimo) il rispetto delle procedurepreviste dall'art. 4, comma 2, della legge n. 300/1970 –ritenutoapplicabile dalla Corte di Cassazione in relazione all'installazione diapparecchiature che consentano "di controllare il rispetto o non degliorari di entrata e uscita e presenza sul luogo di lavoro da parte deidipendenti": Cass. 17 luglio 2007, n. 15892–, né, ancora, risultaaltrimenti avanzata al riguardo dalla società, conformemente a quanto previstodal  punto 4.4. delle citate linee guida, apposita istanza al Garante aisensi dell'art. 17 del Codice.

Da ultimo, vale la pena evidenziare che il trattamento in esame nonrisulta proporzionato, alla luce della documentazione acquisita, neanche inconsiderazione delle specifiche modalità tecniche adottate (centralizzazionedei modelli matematici ricavati dall'acquisizione del dato biometrico) in luogodi altri accorgimenti meno invasivi –ma parimenti efficaci– quale,ad esempio, la memorizzazione del c.d. template su supporti postinell'esclusiva disponibilità degli interessati (attualmente contenenti, sullabase della documentazione disponibile, il solo codice identificativodell'utente).

Alla luce di tali complessive considerazioni, impregiudicata ogniulteriore determinazione con riferimento all'applicabilità di eventualisanzioni, deve conclusivamente ritenersi che il trattamento di dati biometriciposto in essere da Big's Gym s.r.l. per finalità di accesso alle propriestrutture e servizi non sia conforme alla disciplina del Codice, nella misurain cui risultano violati i richiamati principi di necessità, liceità eproporzionalità (artt. 3 e 11, comma 1, lett. a) e d); deve conseguentementedisporsi, nei confronti della stessa Big's Gym s.r.l., il divietodell'ulteriore trattamento dei dati biometrici degli interessati per lemenzionate finalità di accesso (artt. 143, comma 1, lett. c), 144 e 154, comma1, lett. d), del Codice).

TUTTO CIŅ PREMESSO ILGARANTE

dichiara l'illiceità del trattamento e, per l'effetto, ai sensi degliartt. 143, comma 1, lett. c), 144 e 154, comma 1, lett. d) del Codice, vieta aBig's Gym s.r.l. l'ulteriore trattamento dei dati biometrici degli interessatiper consentire l'accesso alle proprie strutture e servizi, perché in violazionedei principi di necessità, liceità e proporzionalità (artt. 3 e 11, comma 1,lett. a) e d), del Codice).

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011,avverso il presente provvedimento può essere proposta opposizione all'autoritàgiudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogoove ha la residenza il titolare del trattamento dei dati, entro il termine ditrenta giorni dalla data di comunicazione del provvedimento stesso, ovvero disessanta giorni se il ricorrente risiede all'estero.

Roma, 16 febbraio 2012

Il presidente
Pizzetti

Il relatore
Fortunato

Il segretario generale reggente
De Paoli