Garante per la protezione
    dei dati personali


Dati biometrici:illecito raccogliere e utilizzare le impronte digitali degli iscritti perl'accesso ad una palestra

PROVVEDIMENTO DEL 29MARZO 2012

Registro dei provvedimenti
n. 127 del 29marzo 2012

IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti,presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. MauroPaissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele DePaoli, segretario generale;

VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezionedei dati personali);

VISTA la segnalazione con cui è stata rappresentata l'avvenutainstallazione, da parte dell'Associazione Sportiva Dilettantistica SportFashion, di un sistema di rilevazione dei dati biometrici degli utenti perfinalità di accesso alle proprie strutture;

ESAMINATE le risultanze degli accertamenti ispettivi espletati pressola sede legale dell'associazione e la documentazione successivamente acquisita;

VISTE le osservazioni formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Mauro Paissan;

PREMESSO

1. La segnalazione e il seguenteaccertamento ispettivo.

1.1. pervenuta presso l'Autorità una segnalazione con cui è statalamentata l'avvenuta installazione, presso la palestra gestita dall'Associazione Sportiva Dilettantistica Sport Fashion (di seguito, A.S.D. SportFashion), di un sistema di rilevazione dei dati biometrici degli utenti perfinalità di accesso alla struttura. Al momento dell'iscrizione, secondo quantoriferito, verrebbe rilevata l'impronta digitale del richiedente "mediantelettore ottico/scanner collegato a personal computer situato presso lareception della palestra"; successivamente, l'impronta sarebbe utilizzataper consentire l'identificazione dell'interessato ai fini dell'accesso allapalestra, previa "apposizione del dito su un lettore ottico situatoaccanto ad un tornello" e conseguente "sblocco del cancello rotativo".Pertanto, secondo il segnalante, non essendo "rilasciate tessere o schededi alcun genere", l'acquisizione dell'impronta costituirebbe la"unica modalità di accesso alla palestra", con la conseguenza che iltrattamento svolto sarebbe da considerarsi eccedente rispetto alla finalitàperseguita, potendo il controllo dell'identità di coloro che accedono essereagevolmente effettuato con strumenti alternativi (ad esempio, i badge a bandamagnetica o muniti di microchip, eventualmente incorporanti una fotografia) enon sussistendo motivi di sicurezza tali da giustificare il ricorso a dettatipologia di dati.

Infine, è stata lamentata anche l'inadeguatezza dell'informativa(peraltro resa, stando a quanto segnalato, solo "dietro richiestaesplicita" in tal senso), perché contenente soltanto un genericoriferimento ai trattamenti di dati personali complessivamente effettuatidall'associazione, senza recare un'esplicita menzione (se non in formaindiretta e, comunque, generica) del trattamento dei dati biometrici degliutenti; a ciò andrebbero ad aggiungersi anche la mancata acquisizione dellospecifico consenso e l'omessa notificazione al Garante ai sensi dell'art. 37del Codice.

Alla luce di quanto rappresentato, è stato richiesto l'interventodell'Autorità per le valutazioni del caso e per l'adozione degli eventualiprovvedimenti consequenziali.

1.2. In occasione dell'accertamento ispettivo espletato presso la sededell'associazione, il legale rappresentante ha dichiarato che i dati personalidegli aderenti verrebbero raccolti dapprima in forma cartacea (all'atto dellacompilazione del modulo di iscrizione) e, successivamente, archiviati in formaelettronica, mentre gli interessati verrebbero informati verbalmente deltrattamento connesso all'utilizzo –meramente eventuale– dei lorodati biometrici; secondo l'associazione, infatti, solo "qualora il socioacconsenta al rilascio del dato biometrico in occasione del primo accesso ailocali della palestra" si procederebbe "alla rilevazione ed allaregistrazione dell'impronta parziale digitale", restando comunque infacoltà dell'interessato, ove contrario, di "accedere agli impiantimediante il rilascio di un tesserino cartaceo sul quale sono riportati i dati []relativi a: nome e cognome, telefono e periodo di validitàdell'iscrizione". Tale procedura alternativa di accesso sarebbe statasempre garantita agli interessati e, comunque, la maggior parte degli associatinon avrebbe "evidenziato alcuna perplessità riguardo al rilasciodell'impronta digitale".

La procedura di enrollment, preceduta dal richiamo della "schedainformatizzata [del cliente] presente su uno dei [] pc", prevederebbe"il contatto ripetuto per tre volte del dito della mano"dell'interessato; una volta registrato sotto forma di algoritmo matematico, ildato biometrico sarebbe associato ai dati personali anagrafici dell'aderente(unitamente alla data di scadenza dell'abbonamento), sì da consentirnel'identificazione univoca ad ogni accesso (con relativa memorizzazione sulserver, di volta in volta, anche della data e dell'orario di ingresso allastruttura).

I dati verrebbero "memorizzati sul server ubicato in un appositolocale che si trova dietro la segreteria ed il cui accesso è autorizzato soloal personale adibito"; più precisamente, sarebbero conservati all'internodi un unico archivio informatico centralizzato sia gli algoritmi ricavati dallalettura delle impronte digitali (che sarebbero "protetti" e nonvisualizzabili in alcun modo), sia i dati anagrafici degli interessati. A dettadell'associazione, peraltro, gli algoritmi utilizzati non potrebbero nemmenoessere qualificati come "dati biometrici", in quanto insuscettibilidi essere impiegati -in ragione delle peculiarità tecniche del sistemautilizzato- per ricostruire l'impronta originaria degli interessati. In ognicaso, il sistema sarebbe configurato per cancellare automaticamente gli"algoritmi associati ai vari iscritti che risultano non attivi da più diquaranta giorni", rimanendo in tal caso presenti sul server (fino allaloro materiale cancellazione, coincidente di solito con la naturale scadenzadel periodo associativo e in difetto del rinnovo dell'iscrizione) i soli datianagrafici dell'associato.

Al momento dell'iscrizione, ai clienti sarebbe rilasciata (per iltramite dello stesso modulo di adesione) l'informativa concernente iltrattamento (complessivo) dei loro dati personali, la quale verrebbe integrataoralmente dalle "collaboratrici addette alla reception" in relazioneallo specifico trattamento dei dati biometrici e alle modalità alternative diaccesso alla struttura; attraverso il medesimo modulo, che, tra le molteplicifinalità perseguite "nell'ambito delle pratiche amministrative e sportiveinterne", prevede anche il "corretto svolgimento delle attivitàsportive a garanzia di controllo, sicurezza, gestione degli accessi" alcentro sportivo (con riserva, in capo all'associazione, della facoltà diconsentire l'ingresso agli utenti che si siano opposti al trattamento),verrebbe poi "raccolto il consenso dell'interessato attraverso la firma incalce allo stesso". Più precisamente, è prevista l'apposizione dellasottoscrizione nell'apposito spazio contrassegnato dalla dicitura"firma", senza ulteriori specificazioni di sorta.

Tenuto conto che il sistema risulta oggetto di attività manutentive,l'associazione ha dichiarato di aver provveduto a designare quale responsabiledel trattamento la società esterna all'uopo incaricata, nominando altresìincaricati del trattamento "le collaboratrici che operano presso lareception e la segreteria dell'associazione medesima"; a tale riguardo,l'associazione ha precisato di aver reso edotte le persone incaricate ditrattare i dati biometrici circa la "particolarità dei trattamentieffettuati e [i] vari adempimenti da porre in essere nella normale attività cui[le stesse] sono preposte". Inoltre, l'associazione ha anche riferito diaver adottato specifiche misure di sicurezza a salvaguardia dei dati personalidegli utenti (credenziali di autenticazione, profili di autorizzazione, ecc.).

Il sistema di rilevazione dei dati biometrici, "operativo dacirca fine settembre 2003, periodo d'inizio attività dell'associazione",sarebbe stato installato per consentire una maggiore "rapidità e comoditàdelle operazioni di accesso dei soci", nonché per garantire "una piùfacile gestione delle scadenze dei periodi di iscrizioneall'associazione", assicurando in pari tempo una "maggiore sicurezzariguardo all'effettivo diritto di accesso agli impianti della struttura".Infine, contrariamente a quanto indicato nella segnalazione, l'associazione hadichiarato di aver regolarmente provveduto alla notificazione del trattamento –siapure tardivamente al suo inizio (maggio 2004) in ragione, tra l'altro, di un"sovraccarico dei server dell'Autorità Garante"–, riservandosidi produrre in tempo utile idonea documentazione a sostegno delle proprieaffermazioni.

2. Le ulteriori comunicazioni dellaassociazione.

Con successive comunicazioni, l'associazione ha provveduto a farpervenire ulteriori osservazioni e documenti.

Con una prima nota, l'associazione, sciogliendo la riserva formulatain occasione dell'accertamento ispettivo, ha trasmesso copia della nota inviatadall'Autorità a seguito del primo tentativo di notificazione del trattamento;dall'esame di tale nota è stato possibile evincere che, diversamente da quantodichiarato, il tentativo di notifica non si è concluso positivamente in ragionedella mancata sottoscrizione dell'istanza con firma digitale qualificata.

Con una seconda comunicazione, l'associazione ha fatto pervenireulteriori elementi di valutazione, precisando che:

– nel centro sportivo, che vanta annualmente circa 900aderenti, "non si sono verificati episodi degni di menzione oparticolarmente gravi";

– la "centralizzazione" dei template sarebbestata adottata perché ritenuta "il metodo più efficace per garantire latotale protezione dei dati personali dei soggetti sottoposti atrattamento";

– il sistema sarebbe "stato scelto per evitare rischidi eventuali smarrimenti o furti di tessere contenenti indicazioni dei datipersonali dei soggetti sottoposti a trattamento".

3. Profili di illiceità del trattamento.

3.1. Contrariamente a quanto ritenuto dall'associazione, la raccolta el'utilizzo delle impronte digitali (e delle informazioni da esse ricavate)nelle procedure di autenticazione o di identificazione costituiscono operazionidi trattamento di dati personali riconducibili ai singoli interessati (art. 4,comma 1, lett. b) e i)), alle quali trova applicazione la normativa contenutanel Codice (cfr., ex multis, Provv.  19 novembre 1999; Provv. 21 luglio 2005; Provv. 23 novembre 2005; Provv. 15 giugno 2006; Provv. 1 febbraio 2007; Provv. 19 giugno 2008; Provv. 17 novembre 2010; Provv. 26 maggio 2011; doc. di lavoro sulla biometria delGruppo Art. 29 dei garanti europei, Wp 80); ciò, anche nel caso in cui il datobiometrico sia raccolto ai soli fini del completamento della fase di enrollmente venga successivamente utilizzato (sotto forma di algoritmo matematico) per lemenzionate operazioni di verifica e raffronto (Provv. 23 gennaio 2008, doc. webn. 1487903; Provv. 26 maggio 2011, cit.).
Inoltre, come già chiarito daquesta Autorità (richiamando principi di portata tendenzialmente generale),l'uso di tali dati, specie se ricavati dalle impronte digitali, può risultaregiustificato "solo in casi particolari, tenuto conto delle finalità e delcontesto in cui essi sono trattati (cfr., per tutti, punto 4 del provvedimentodel 23 novembre 2006, recante le Linee guida in materia di trattamento di datipersonali di lavoratori per finalità di  gestione del rapporto di lavoroalle dipendenze di datori di lavoro privati", doc. web n. 1364939); percontro, non può invece ritenersi lecito un impiego generalizzato eindiscriminato di dati biometrici, specie ove funzionale a soddisfare genericheesigenze di sicurezza, ovvero a perseguire finalità di natura essenzialmenteamministrativa (cfr., sia pure in un contesto parzialmente diverso, Provv. 23gennaio 2008, cit.; nello specifico, v. anche Provv. 16 febbraio 2012, diprossima pubblicazione).

Infatti, l'utilizzo di dati particolarmente delicati quali quellirelativi alle impronte digitali può ritenersi giustificato, come giàanticipato, per soddisfare specifiche esigenze del titolare del trattamento(con  riferimento, in particolare, a quelle di sicurezza di beni epersone: Provv. 23 gennaio 2008, cit.; Provv. 15 aprile 2010), soltanto laddove emergano, sullabase di obiettive e documentate circostanze, situazioni concrete di elevatorischio (Provv. 15 giugno 2006, cit.; Provv. 27 ottobre 2005); peraltro, quand'anche ricorranosituazioni di elevato rischio, il titolare del trattamento è comunque tenuto avalutare con estrema cautela il ricorso a tale peculiare trattamento, dovendo atal fine considerare (e privilegiare) tutte le possibili misure alternativeugualmente efficaci in rapporto alle finalità perseguite, tenendo anche contodell'obbligo (legislativamente previsto) di configurare i sistemi informativiin modo da escludere il trattamento dei dati personali non necessari inrapporto alle medesime finalità (art. 3 del Codice).

Fermo restando il rispetto dei principi di necessità e proporzionalità(artt. 3 e 11, comma 1, lett. d), del Codice), deve essere poi assicuratal'osservanza del principio di liceità e correttezza del trattamento (art. 11,comma 1, lett. a), del Codice); ciò, con particolare riferimentoall'acquisizione del consenso degli interessati, che risulta validamente prestato solo se espresso in forma libera e specifica in riferimento atrattamenti chiaramente individuati (art. 23 del Codice).
Pertanto, laconformità del trattamento in esame alla disciplina di protezione dei dati deveessere valutata alla luce di tali premesse, tenendo anche presente quelli chesono i princìpi di necessità, liceità e proporzionalità stabiliti dal Codice.

3.2. Nel caso di specie, non risulta ricorrere alcuno dei presuppostisopra menzionati.

In primo luogo, anche alla luce della documentazione prodotta, leoperazioni di accesso alla palestra non risultano connotate da un elevato gradodi rischiosità per i beni o per le persone, tale da giustificare l'obiettivanecessità di effettuare un accertamento particolarmente rigoroso dei soggettilegittimati all'ingresso.

Inoltre, l'attività di raccolta dei dati biometrici risulta effettuatain difetto di adeguati presupposti giustificativi.

In primis, manca un regolare consenso degli interessati allo specificotrattamento, non potendo ritenersi validamente prestato a tal fine quellogenericamente acquisito dall'associazione in relazione a una pluralità ditrattamenti indifferenziati svolti "nell'ambito delle pratiche amministrativee sportive interne alla stessa", oltre che per "il correttosvolgimento delle attività sportive a garanzia di controllo, sicurezza,gestione degli accessi al centro"; peraltro, non risulta nemmeno concertezza che la firma apposta dal cliente sul modulo di iscrizione siaeffettivamente e unicamente riconducibile al consenso di cui all'art. 23 delCodice, ben potendo tale firma essere apposta per "presa visione"dell'informativa, ovvero rilasciata in relazione a un distinto trattamento (ades., in riferimento ai dati sensibili, pure trattati dall'associazione: cfr.l'art. 26 del Codice; v. anche il modulo di iscrizione, con specificoriferimento alla raccolta dei certificati medici degli utenti). Non può quindiritenersi conforme a legge il consenso che si afferma acquisito in relazione altrattamento dei dati biometrici dei clienti, con conseguente violazione,pertanto, anche del richiamato principio di liceità e correttezza (artt. 11,comma 1, lett. a) e 23 del Codice).

In secondo luogo, il trattamento risulta sproporzionato rispetto algenerico bisogno di regolare e controllare gli ingressi al centro sportivo e diagevolare la gestione degli abbonamenti, tenuto anche conto che non risultanemmeno provata –e, ancor prima, addotta– l'insufficienza ol'inattuabilità di eventuali misure alternative, sicché si deve ritenere chel'adozione del sistema, anziché essere frutto di scelte attentamente ponderate,abbia risposto soltanto all'esigenza di privilegiare soluzioni poco costose edi rapida attuazione (art. 11, comma 1, lett. d) del Codice); a ciò, siaggiunga che il trattamento non risulta proporzionato neanche sotto il profilodelle specifiche modalità tecniche adottate dall'associazione (centralizzazionedei modelli matematici ricavati dall'acquisizione del dato biometrico), benpotendo trovare agevole attuazione anche nel caso in esame accorgimenti menoinvasivi –ma parimenti efficaci– quale, ad esempio, lamemorizzazione del c.d. template su supporti posti nell'esclusiva disponibilitàdegli interessati.

Alla luce di tali complessive considerazioni, riservata ogni ulterioredeterminazione con riferimento all'applicabilità di eventuali sanzioni, deveritenersi che il trattamento di dati biometrici degli utenti posto in essere daA.S.D. Sport Fashion per finalità di accesso alle proprie strutture non siaconforme alla disciplina in materia di protezione dei dati personali, nellamisura in cui risultano violati i suddetti principi di liceità, necessità eproporzionalità (artt. 3 e 11, comma 1, lett. a) e d), e 23 del Codice); deveconseguentemente disporsi, nei confronti della stessa A.S.D. Sport Fashion, ildivieto dell'ulteriore trattamento dei dati biometrici degli interessati per lemenzionate finalità di accesso (artt. 143, comma 1, lett. c), 144 e 154, comma1, lett. d), del Codice).

TUTTO CI PREMESSO ILGARANTE

accertata l'illiceità del trattamento, vieta a A.S.D. Sport Fashion,ai sensi artt. 143, comma 1, lett. c), 144 e 154, comma 1, lett. d), delCodice, l'ulteriore trattamento dei dati biometrici dei clienti per finalità diaccesso alle proprie strutture, perché in violazione dei principi di necessità,liceità e proporzionalità (artt. 3 e 11, comma 1, lett. a) e d) e 23 delCodice).

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011,avverso il presente provvedimento può essere proposta opposizione all'autoritàgiudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogoove ha la residenza il titolare del trattamento dei dati, entro il termine ditrenta giorni dalla data di comunicazione del provvedimento stesso, ovvero disessanta giorni se il ricorrente risiede all'estero.

Roma, 29 marzo 2012

Il presidente
Pizzetti

Il relatore
Paissan

Il segretario generale reggente
De Paoli