Allungamento dei tempi di conservazione delle immagini registrate dall'impianto di videosorveglianza. Verifica preliminare richiesta da DNP Photomask Europe S.p.A.

PROVVEDIMENTO DEL 14 LUGLIO 2011

Registro dei provvedimenti
n. 300 del 14 luglio 2011

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale;

Esaminata la richiesta di verifica preliminare presentata da DNP Photomask Europe S.p.A. ai sensi dell'art. 17 del d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali);

Visto il provvedimento generale in materia di videosorveglianza dell'8 aprile 2010 (doc. web n. 1712680), con particolare riferimento al punto 3.4;

Esaminata la documentazione acquisita agli atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Giuseppe Fortunato;

PREMESSO

1. L'istanza della società.
In data 17 giugno 2010, la società DNP Photomask Europe S.p.A. (da ora in poi DNP), ha formulato un'istanza di verifica preliminare, (art. 17 del Codice), al fine di poter conservare per 90 giorni le immagini registrate attraverso il sistema di videosorveglianza già in uso presso il sito produttivo di Agrate Brianza, ubicato in Via Camillo Olivetti 2/A.

La società ha dichiarato di appartenere al Gruppo giapponese Dai Nippon Printing Co. Ltd e di occuparsi della "produzione di fotomaschere destinate all'industria dei semiconduttori ed alla microelettronica", strumenti fondamentali per la "realizzazione dei dispositivi elettronici a circuito integrato (componentistica elettronica, chips, smart card, ecc.)".

Secondo quanto attestato dalla Direzione provinciale del lavoro con l'apposita autorizzazione del 20 dicembre 2010, rilasciata a conclusione della specifica procedura disciplinata dall'art. 4, comma 2 della legge n. 300/1970, l'attività di videosorveglianza -con registrazione delle immagini- già effettuata all'interno del sito è volta a fini di tutela del patrimonio aziendale e di sicurezza sul lavoro, nonché a costituire un deterrente per eventuali furti o rapine.

L'odierna richiesta di autorizzazione a conservare le immagini per 90 giorni è stata motivata da DNP non solo con l'esigenza di rafforzare il livello di tutela della proprietà aziendale, in vista dell'accertamento di fatti che possono determinare allarme all'interno del sito produttivo, ma anche con quella di raggiungere uno standard di sicurezza più elevato, che consentirebbe alla società di poter ottenere la qualifica di "fornitore" della società tedesca Infineon Technologies AG (con sede a Monaco di Baviera), costituente "la realtà più importante e più grande in Germania per quanto concerne il settore dei semiconduttori e senza dubbio una delle più interessanti a livello mondiale".
In particolare, DNP ha dichiarato che Infineon Technologies AG, "leader mondiale" nel settore della sicurezza e fornitore ufficiale di molti Governi (soprattutto per quanto concerne "circuiti integrati nel progetto passaporti elettronici USA e CINA"), opera "rispettando i criteri dettati dal protocollo EAL5+ (ISO15408, ISO17799)", con la conseguenza che l'elevato standard di sicurezza previsto da tale protocollo deve risultare rispettato non solo presso i suoi stessi siti produttivi, ma anche dalla "intera catena dei suoi fornitori". Sotto tale profilo, tra le varie misure di sicurezza da osservare al fine di poter essere ammessi al novero dei "fornitori", la Infineon Technologies AG richiede espressamente che nei siti aziendali siano installati adeguati sistemi di videosorveglianza e che le immagini registrate vengano conservate per 90 giorni.

Nel corso del procedimento, DNP, anche alla luce di nuove intese intercorse con Infineon Technologies AG, ha modificato l'originaria richiesta, limitandola alla conservazione, sempre per 90 giorni, delle sole "immagini relative agli eventi che possono aver generato l'allarme (esempio: incidente, porta di uscita emergenza aperta, porta o finestra forzata, allarme sensori sui vetri… ecc.)" (cfr. e-mail del 25 febbraio 2011).

2 Le modalità di funzionamento del sistema
Il sistema di cui la società già si avvale è costituito da un impianto di videosorveglianza provvisto di 18 telecamere dislocate sia all'interno del sito produttivo, sia perimetralmente, di cui 11 di tipo "dome camera dotate di zoom" (cfr. nota DNP del 20/10/2010 e planimetria ad essa allegata). Dette telecamere non sono orientate sulle postazioni lavorative.

Allo stato, secondo quanto espressamente stabilito dalla Direzione provinciale del lavoro, la società è autorizzata a conservare le immagini registrate per un tempo non superiore a 2 giorni, trascorso il quale le stesse vengono automaticamente cancellate, "salvo eventuali periodi legati a festività o chiusura dell'esercizio o in ragione di specifiche richieste investigative dell'Autorità Giudiziaria".

Secondo gli intendimenti manifestati dalla società con l'odierna richiesta, invece, una volta che l'Istituto di vigilanza operante all'interno dall'azienda –che, sulla scorta di quanto indicato negli "Security Requirements for sites involved with Security Products" della Infineon Technologies AG, in caso di necessità è tenuto ad intervenire immediatamente ("intervention time less than 5 min" – vedi punto 2.3, concernente "Access control and guards")- dovesse rilevare un fatto che abbia procurato allarme, allora le suddette immagini –allo stato destinate ad essere conservate per soli due giorni- verrebbero subito visionate dai soli soggetti abilitati e, di esse, verrebbero conservate per 90 giorni solo quelle relative agli eventuali comportamenti illeciti rilevati, con successiva loro cancellazione automatica.

La Società, che, assumendo ogni responsabilità al riguardo (art. 168 del Codice), ha escluso la presenza nel sito di sistemi integrati consultabili da "remoto", (cfr. pag. 2, risposta del 20/10/2010) o di sistemi di videosorveglianza cd. intelligenti "dotati di software che permettano l'associazione di immagini a dati biometrici, od il riconoscimento della persona tramite collegamento o incrocio o confronto delle immagini rilevate, ad esempio la morfologia del volto, con altri specifici dati personali", ha più volte ribadito che le informazioni raccolte non verrebbero utilizzate per finalità diverse dalla prevenzione e dal controllo degli eventi generatori di allarme, né sarebbero diffuse o comunicate a terzi, "fatte salve esigenze di polizia o giustizia eventualmente richieste" (da ultimo, vedi  la mail del 18 maggio 2011).

Quanto alle misure di sicurezza minime, è stato dichiarato che tutte "le registrazioni sono effettuate su workstation dedicate, chiuse a chiave negli appositi rack", e collocate all'interno della CPU Room. L'accesso al locale, controllato con autentificazione "badge + Pin code" e oggetto di annotazione su apposito registro, risulta consentito ai soli dipendenti dell'Ufficio Information Technology ed al loro "diretto responsabile di funzione", designati, rispettivamente, incaricati e responsabile del trattamento.

Per quanto concerne, invece, l'accesso diretto al software e alle relative registrazioni, esso può essere effettuato solo attraverso il sistema a "doppia password" indicato nel provvedimento autorizzatorio rilasciato dalla Direzione provinciale del lavoro, "di cui una in possesso del responsabile aziendale e una assegnata ad un rappresentante dei lavoratori", e senza possibilità di effettuare operazioni di backup.

Per quanto riguarda l'obbligo di rendere l'informativa, la DNP ha specificato che "gli interessati verranno informati mediante supporti informativi", posti "prima del raggio di azione delle telecamere e anche nelle immediate vicinanze".

3. Presupposti di liceità del trattamento
Per una corretta valutazione dell'istanza occorre necessariamente tenere conto della peculiarità della fattispecie e, in particolare, del fatto che la richiesta di allungamento dei termini di conservazione delle immagini relative a eventi che abbiano suscitato allarme all'interno dell'azienda è determinata dall'esigenza di uniformarsi ai parametri di sicurezza a cui la committente Infineon Technologies AG si conforma, i  quali trovano origine negli stringenti criteri dettati dagli standard ISO/17799 (Codice di buona pratica per la gestione della sicurezza dell'informazione) ed ISO/15408, che fissa i cosiddetti "Common Criteria" (volti a verificare la sicurezza dei sistemi o dei prodotti sulla base degli "obiettivi" cui essi sono preordinati, del contesto del loro impiego e delle pregresse verifiche di sicurezza su di essi eseguite); il maggiore o minore rispetto di tali standard di sicurezza incide sul conseguente  livello di valutazione EAL ("Evaluation Assurance Level").

Per ciò che riguarda il valore legale delle norme tecniche "ISO" (che sono definite dalla International Organization for Standardization, di cui sono membri 157 organismi nazionali di standardizzazione, tra cui l'Ente Nazionale Italiano di Unificazione-UNI), occorre rilevare che la Direttiva 98/34/CE del Parlamento europeo e del Consiglio del 22/06/1998 (che prevede "una procedura d'informazione nel settore delle norme e delle regolamentazioni tecniche e delle regole relative ai servizi della società dell'informazione"), all'art. 1, n. 6 definisce "norma" una specificazione tecnica che, pur non essendo obbligatoria, sia stata approvata, in vista di una sua applicazione ripetuta o continuativa, da parte di un organismo "riconosciuto ad attività normativa", e precisamente da un'organizzazione internazionale, europea o nazionale di normalizzazione che l'abbia posta "a disposizione del pubblico". Pertanto, le norme ISO (così come quelle EN a livello europeo e quelle UNI per l'Italia) rappresentano "specificazioni tecniche" che forniscono standard qualitativi contemplati da documenti che, in ragione delle conoscenze tecniche di un determinato momento storico, definiscono le caratteristiche (dimensionali, prestazionali, ambientali, di sicurezza, di organizzazione, ecc.) di un prodotto, di un processo o di un servizio.

Ciò premesso, benché tali norme non siano giuridicamente vincolanti, non può non tenersi conto del fatto che esse si riferiscono a settori di rilevante interesse pubblico e, al contempo, tecnologicamente assai complessi, tanto che spesso sono le stesse autorità pubbliche a promuoverne l'osservanza o, addirittura, a fare diretto riferimento ad esse ; inoltre, anche sul piano privatistico, va sottolineata l'esistenza di  una consolidata prassi al loro inserimento all'interno degli schemi contrattuali nazionali ed esteri, espressione di una progressiva trasformazione dei mercati e della connessa evoluzione degli standard di sicurezza in senso sovranazionale. Ne deriva che non può disconoscersi che alle specifiche tecniche in esame, di fatto, venga oramai generalmente attribuita una valenza di gran lunga superiore  rispetto a quella che dovrebbe loro spettare in ragione delle modalità di adozione, sicché gli standard di sicurezza da esse fissati possono ritenersi oramai considerati –sia in sede nazionale, sia in sede internazionale- come un punto di riferimento ineludibile in occasione della fornitura di opere o della prestazione di servizi ad alto contenuto tecnologico.

Tutto ciò premesso, nel delicato settore in cui opera DNP trovano applicazione le specifiche tecniche contenute nella ISO15408 e nella ISO17799, cui fa riferimento anche la committente Infineon Technologies AG, volte a garantire rigorosi standard di sicurezza in vista della realizzazione di sistemi o prodotti ITC.

Nell'ambito di tali standard può essere ricondotta la scelta –già adottata da DNP- di installare all'interno dei siti produttivi adeguati sistemi di videosorveglianza, al fine di prevenire accessi non autorizzati o danneggiamenti al patrimonio aziendale, comprendente informazioni, strutture e materiali.

Per quanto riguarda, invece, la richiesta di poter allungare il termine di conservazione delle immagini videoregistrate, essa deve essere valutata alla luce dei principi di necessità, proporzionalità, finalità e correttezza posti dal Codice (artt. 3 e 11 del Codice), espressamente richiamati anche nel Provvedimento generale in materia di videosorveglianza dell'8 aprile 2010. In particolare, secondo tale provvedimento l'allungamento dei tempi di conservazione dei dati oltre i sette giorni, giustificabile solo in casi eccezionali, deve essere adeguatamente motivato "con riferimento ad una specifica esigenza di sicurezza perseguita, in relazione a concrete situazioni di rischio riguardanti eventi realmente incombenti e per il periodo di tempo in cui venga confermata tale eccezionale necessità.

Sotto tale profilo, si ritiene che, innanzitutto, sia importante tenere in debito conto l'ubicazione del sito di DNP, il quale, come dimostrato anche dalla "mappa" prodotta dalla società, si trova in una zona isolata e adiacente a vie di fuga facilmente raggiungibili.

In secondo luogo, fermo il fatto che la necessità di procedere all'istallazione del sistema di videosorveglianza per esigenze di tutela del patrimonio aziendale è già stata acclarata dalla Direzione provinciale del lavoro, sul piano dell'allungamento dei tempi di conservazione delle sole immagini relative a fatti che abbiano suscitato allarme all'interno dell'azienda, si deve rilevare che i delicati componenti elettronici prodotti nello stabilimento di Agrate Brianza (c.d. fotomaschere), oltre ad essere impiegati nel settore delle automotive, delle telecomunicazioni e dell'informatica, si pongono come elementi fondamentali per la realizzazione dei circuiti integrati utilizzati "nel progetto passaporti elettronici USA e Cina", cui sono connesse forti esigenze di salvaguardia.

Ad avviso di questa Autorità, all'esito dell'istruttoria sono emersi elementi che inducono a ritenere che la richiesta della società possa essere accolta perché conforme ai principi posti dagli artt. 3 e 11 del Codice, limitatamente alle immagini relative a eventi generatori di allarme da utilizzare per soli fini di indagine giudiziaria.

In particolare, l'ubicazione isolata del sito, il delicato settore produttivo in cui opera DNP e la specifica attenzione posta non solo a livello internazionale ed europeo, ma anche a livello nazionale rispetto alla fissazione e alla comune osservanza di elevati standard di sicurezza nella produzione di beni e servizi relativi al settore elettronico ed informatico, valgono a giustificare la pretesa di procedere ad una conservazione dei soli dati relativi ad accadimenti generatori di allarme che si estenda sino a 90 giorni, al fine esclusivo del loro accertamento e dell'individuazione, da parte dell'Autorità giudiziaria competente, degli eventuali responsabili.

Resta inteso che l'accesso alle immagini in questione dovrà avvenire nel rispetto di quanto stabilito dall'autorizzazione rilasciata dalla Direzione provinciale del lavoro in data 20 dicembre 2010, con conseguente divieto di loro comunicazione a terzi (fatte salve le esigenze dell'Autorità giudiziaria) o di diffusione.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell'art. 17 del Codice, a conclusione della verifica preliminare concernente l'allungamento dei tempi di conservazione delle immagini registrate dall'impianto di videosorveglianza di DNP Photomask Europe S.p.A., già in uso all'interno del sito di Agrate Brianza, ammette la conservazione, per un periodo massimo di 90 giorni, delle sole immagini relative a eventi generatori di allarme, che potranno essere utilizzate soltanto a fini di accertamento giudiziario, rammentando, per quanto attiene l'accesso alle medesime, l'obbligo di osservare le modalità tecniche indicate nel provvedimento della Direzione provinciale del lavoro del 20 dicembre 2010.

Roma, 14 luglio 2011

Il presidente
Pizzetti

Il relatore
Fortunato

Il segretario generale
De Paoli