| Garante per la protezione dei dati personali Sistema Rfid per ilcontrollo degli ingressi e delle uscite dalle zone a traffico limitato (Ztl)dei veicoli adibiti al trasporto delle merci. Verifica preliminare richiesta daComune di Verona PROVVEDIMENTO DEL 2FEBBRAIO 2012 Registro dei provvedimenti n. 46 del 2febbraio 2012 IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI Nella riunione odierna, in presenza del prof. Francesco Pizzetti,presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. MauroPaissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele DePaoli, segretario generale; Visto il Codice in materia di protezione dei dati personali (d.lg. 30giugno 2003, n. 196); Vista la nota con la quale il Comune di Verona ha richiesto laverifica preliminare del Garante, ai sensi dell'art. 17 del Codice, inrelazione al trattamento di dati personali che intende effettuare attraverso unsistema "Rfid" per il controllo degli ingressi e delle uscite dallezone a traffico limitato (Ztl) dei veicoli adibiti al trasporto dellemerci (nota 8 novembre 2011, prot. n. 271879); Visto il provvedimento generale del Visto il Nuovo codice della strada (d.lg. 30 aprile 1992, n. 285); Visto il d.P.R. 22 giugno 1999, n. 250, Regolamento recante norme perl'autorizzazione alla installazione e all'esercizio di impianti per larilevazione degli accessi di veicoli ai centri storici e alle zone a trafficolimitato, a norma dell'articolo 7, comma 133-bis , della l. 15 maggio 1997, n.127; Visto il Provvedimento generale in materia di videosorveglianza delGarante dell' Vista la documentazione in atti; Viste le osservazioni dell'Ufficio formulate dal segretario generaleai sensi dell'art. 15 del regolamento del Garante n. 1/2000; Relatore il dott. Giuseppe Chiaravalloti; PREMESSA Il Comune di Verona ha richiesto la verifica preliminare del Garante,ai sensi dell'art. 17 del Codice, in relazione al trattamento di dati personaliche intende effettuare attraverso un sistema Rfid per la registrazionedell'"orario di ingresso e il successivo orario di uscita dalla Ztl"(zona a traffico limitato) dei veicoli adibiti al trasporto delle merci. Con riferimento alle finalità che intende perseguire tramitel'istallazione del predetto sistema, il Comune di Verona ha rappresentato che"il primo obbiettivo (Š) è quello di impedire che i veicoli autorizzatiallo scarico-carico merci in Ztl rimangano all'interno dell'area oltre illimite concesso dalle ordinanze". Al riguardo, il Comune ha evidenziato che la normativa di settorevigente prevede, allo stato, solo sistemi di controllo degli accessi alla Ztlfinalizzati a sanzionare l'ingresso di veicoli privi di autorizzazione, mentrenon è prevista alcuna sanzione per la trasgressione delle regole concernentigli orari di ingresso e di uscita dalla predetta zona (cfr. d.p.r. 22 giugno1999, n. 250). Il Comune, rappresentando le modalità di funzionamento del sistema, haevidenziato che esso è composto "da un'antenna posta su un palo collegataad una piccola unità locale che registra una sola informazione e cioè il numerounivoco", con cui il Tag è identificato dal produttore. "Tali antennesono poste sia in corrispondenza degli ingressi (varchi ZTL esistenti) sia incorrispondenza di tutte le uscite dove è presente un varco elettronico".(Š).Per sapere a chi appartiene il veicolo/permesso associato occorre abbinare ilTag alla targa/permesso, associazione già presente nel gestionale dei permessi,già soggetto a rigorose misure di sicurezza informatica sotto il profilo dellaprivacy". Il Comune ha precisato, inoltre, che il sistema potrebbe essereattivo 24 ore su 24, registrare i Tag (ingresso e uscita) e consentire dipenalizzare i veicoli che risulteranno essere usciti dalla Ztl oltre l'orarioconsentito. Al riguardo, è stato evidenziato che le sanzioni da applicare aitrasgressori sono "ancora oggetto di discussione, ma che un'ipotesi potrebbeessere la sospensione dell'autorizzazione per un periodo di tempo a seguitodella reiterata uscita oltre i limiti (per esempio alla terza volta).Successivamente (Š), il trasgressore verrebbe sanzionato solo se accedessecomunque alla Ztl nel periodo di sospensione". Il Comune ha precisato, altresì, che non avrà la "possibilità ditracciare in modo continuativo i veicoli da monitorare, perché non vieneregistrata alcuna informazione sul percorso seguito e l'unica informazionerestituita dal sistema è il Tag". Il Comune di Verona ha dichiarato di essere il titolare deltrattamento dei dati personali effettuato attraverso il predetto sistema e che"il responsabile sarà il Comandante del Corpo di Polizia Municipale, ilquale definirà le modalità e i criteri di accesso da parte degli incaricati,anche sotto il profilo della sicurezza". Il Comune di Verona ha evidenziato, infine, che il trattamento di datipersonali mediante il sistema sopra descritto–allo stato non ancorainiziato- sarà effettuato "nel rispetto di misure e accorgimenti agaranzia degli interessati, ove prescritti, in conformità al provvedimento acarattere generale del 9 marzo 2005, con il quale il Garante ha individuatospecifiche garanzie per l'uso delle c.d. "Etichette intelligenti"(Rfid). OSSERVA 1. La radiotecnologia Rfid.
Con sempre maggiore frequenza i sistemi Rfid comportano il trattamentodi dati personali nella misura in cui nei Tag vengono registrate ancheinformazioni idonee a identificare, direttamente o indirettamente, gliinteressati quali nome, cognome, data di nascita, numero di targa, etc.. In considerazione della peculiarità di questi sistemi - molto diffusie praticamente invisibili-, deve essere prestata particolare attenzione, sianella fase della loro creazione che del relativo utilizzo, alla tutela dei dirittie delle libertà fondamentali, nonché della dignità dell'interessato, conparticolare riferimento alla riservatezza, all'identità personale e al dirittoalla protezione dei dati personali. 2. L'uso del Rfid da parte del Comunedi Verona. Il Comune di Verona ha rappresentato a questa Autorità di volerattivare un sistema di controllo e registrazione degli orari di ingresso e diuscita dalla Ztl dei veicoli adibiti al trasporto delle merci attraverso l'usodi un sistema Rfid, al fine di sanzionare i veicoli che si trattengonoall'interno della predetta zona oltre l'orario consentito. Il Comune di Verona ha, quindi, richiesto la verifica preliminare diquesta Autorità, ai sensi dell'art. 17 del Codice, in relazione al trattamentodi dati personali che verrà effettuato attraverso il predetto sistema. Al riguardo, occorre dapprima evidenziare che non si ritienenecessario sottoporre alla verifica preliminare del Garante il predettotrattamento di dati personali, non rinvenendosi -allo stato e sulla base deglielementi forniti- alcune delle caratteristiche -di seguito evidenziate- inpresenza delle quali occorre richiedere tale verifica preliminare. 2.1. La verifica preliminare. In via generaleil Codice prevede che debba essere effettuata una verifica preliminare delGarante, anche a seguito di un interpello del titolare, con riferimento altrattamento dei dati personali -diversi da quelli sensibili e giudiziari- chepresenta rischi specifici per i diritti e le libertà fondamentali, nonché perla dignità dell'interessato, in relazione alla natura dei dati o alle modalitàdel trattamento o agli effetti che può determinare, al fine di consentireall'Autorità di prescrivere, ove necessario, ulteriori misure ed accorgimenti agaranzia dell'interessato (art. 17). Con specifico riferimento all'utilizzo di sistemi Rfid, nelprovvedimento generale del 9 marzo 2005, il Garante si è riservato diprescrivere ai titolari del trattamento di sottoporre alla verifica preliminaredell'Autorità i sistemi di Rfid destinati all'impianto sottocutaneo che, inquanto tali, presentano rischi specifici per i diritti, le libertà fondamentalie la dignità degli interessati. Per completezza, si evidenzia, inoltre che, nel provvedimento generalein materia di videosorveglianza dell'8 aprile 2010, una delle ipotesi per lequali il Garante ha prescritto che debba essere richiesta una verificapreliminare dell'Autorità concerne i sistemi di videosorveglianza c.d. intelligenti,che non si limitano a riprendere e registrare le immagini, ma sono in grado dirilevare automaticamente comportamenti o eventi anomali, segnalarli edeventualmente registrarli (cfr. punto 3.2.1. del citato provvedimento). 2.2. Il sistema Rfid che il Comune di Verona intende installare.
Il predetto trattamento di dati personali non rientra, inoltre, nelleparticolari ipotesi, puntualmente individuate dal Garante nei provvedimentigenerali del 9 marzo 2005 e dell'8 aprile 2010 sopra citati, per le quali èstato prescritto ai titolari l'obbligo di richiedere una verifica preliminare. 3. Il progetto del Comune di Verona:garanzie a tutela degli interessati. Il Garante haindividuato, nel citato provvedimento generale del 2005, specifiche garanzie atutela degli interessati in relazione al trattamento di dati personalieffettuato attraverso i sistemi Rfid. In tale ambito, l'Autorità ha ritenutonecessario che sia assicurato un rigoroso rispetto di tutti i principi dettatidal Codice, con particolare riferimento ai principi di necessità, liceità,finalità, qualità e proporzionalità dei dati, nonché del divieto di controllo adistanza dell'attività dei lavoratori (cfr. artt. 3, 11, 18-22 e 114 delCodice; art. 4, l. 20 maggio 1970, n. 300). In tale quadro, si rileva, in primo luogo, che il trattamento dei datipersonali in esame attiene alle funzioni istituzionali del Comune, in quanto èfinalizzato ad individuare i trasgressori delle regole concernenti gli orari diingresso e di uscita dalla Ztl dai veicoli adibiti al trasporto merci. IlCodice della strada, infatti, prevede che nei centri abitati i comuni possono,con ordinanza del Sindaco, prescrivere orari e riservare spazi per i veicoliautorizzati per il carico e lo scarico delle cose (cfr. artt. 11, comma 1,lett. a) e 18 del Codice; art. 7, comma 1, lett. g) del Codice della strada). Inoltre, in conformità ai principio di necessità, il sistema Rfiddescritto in premessa consente l'identificazione dell'interessato solo in casodi necessità (cfr. art. 3 del Codice). Il sistema, invero, non comporta iltrattamento sistematico di dati identificativi diretti, ma di soli numeri diidentificazione personali che non consentono di risalire immediatamenteall'identità dell'interessato. Il sistema, infatti, effettua la rilevazione ela registrazione delle targhe, associate al codice univoco con cui il Tag èidentificato dal produttore, dei veicoli autorizzati all'accesso alla Ztl peril carico e lo scarico delle merci. In tale modo, quindi, l'identificazionedell'interessato può avvenire solo nel momento in cui, attraverso la targa, siintende risalire all'intestatario del veicolo, unicamente quando sia necessarioindividuare il trasgressore delle regole concernenti gli orari di ingresso e diuscita dalla Ztl dei veicoli adibiti al trasporto merci. Si rileva, inoltre, la pertinenza e non eccedenza delle informazionitrattate rispetto alla finalità perseguita (cfr. art. 11, comma 1, lett. d) delCodice). Da una parte, infatti, le targhe dei veicoli autorizzati all'accessoalla Ztl sono indispensabili al Comune di Verona per identificare itrasgressori delle regole concernenti gli orari di ingresso e di uscita dallaZtl dei veicoli adibiti al trasporto merci; dall'altra non risulta, sulla basedi quanto rappresentato, che il predetto Comune intenda trattare ulterioriinformazioni. A tutela della libertà e dignità degli interessati, nonché a garanziadel divieto di controllo a distanza dell'attività dei lavoratori, il Comune diVerona ha rappresentato, infine, che il sistema Rfid in esame non consente"di tracciare in modo continuativo i veicoli da monitorare, perché nonviene registrata alcuna informazione sul percorso seguito". 4. Specifiche prescrizioni eraccomandazioni. Con specifico riferimento allatutela degli interessati in relazione al trattamento dei loro dati personali,il Comune di Verona ha fornito le garanzie richiamate al punto 3 del presenteprovvedimento ed ha rappresentato di volere attenersi alle prescrizioni fornitedal Garante nel citato provvedimento generale del 9 marzo 2005, con il qualel'Autorità ha evidenziato che, nell'ambito del trattamento di dati personalitramite sistemi Rfid è necessario assicurare un rigoroso rispetto dei principidi necessità, liceità, finalità, qualità e proporzionalità dei dati, nonché deldivieto di controllo a distanza dell'attività dei lavoratori (cfr. artt. 3, 11,18-22 e 114 del Codice; art. 4, l. 20 maggio 1970, n. 300). Ciò premesso, in considerazione di quanto previsto dal predettoprovvedimento generale, secondo cui il Garante può impartire ulterioriprescrizione necessarie in relazione a specifici trattamenti di dati personalieffettuati mediante Rfid, anche in vista dell'evoluzione rapida e costante ditali sistemi e della loro sempre maggiore diffusione, l'Autorità ritieneopportuno formulare talune specifiche prescrizioni in relazione al trattamentodei dati personali effettuato mediante il sistema Rfid in esame. 4.1. Informativa. Preliminarmente, sirichiama l'obbligo per il Comune di Verona di fornire idonea informativa agliinteressati in relazione al trattamento di dati personali che intendeeffettuare attraverso il sistema Rfid descritto in premessa (cfr. art. 13 delCodice). A tal fine, si prescrive al Comune di Verona di informare, ai sensidell'art. 13 del Codice, gli intestatari delle targhe dei veicoli utilizzatiper il trasporto delle merci nella Ztl, sul trattamento dei dati personali cheintende effettuare tramite il sistema Rfid, all'atto della richiesta delpermesso per l'accesso alla Ztl per il trasporto merci e comunque primadell'istallazione del sistema Rfid sui veicoli autorizzati ovvero, qualora talisistemi siano già stati installati, prima della loro attivazione. 4.2. Identificazione degli interessati.
Al riguardo, si prescrive che l'identificazione degli interessati, peril tramite della targa (numeri di identificazione personale idonei aidentificare indirettamente il proprietario del relativo veicolo), possa essereeffettuata dal Comune di Verona solo per l'accertamento della violazione delleregole concernenti gli orari di ingresso e di uscita dalla Ztl dei veicoliadibiti al trasporto delle merci e per l'applicazione della relativa sanzione. 4.3. Conservazione dei dati.
In tale quadro, pertanto, il Comune di Verona nel rilevare, tramitel'impianto in esame, il numero di targa dei veicoli che entrano ed escono dallaZtl per il trasporto delle merci, può conservare tali informazioni solo per iltempo a tale scopo necessario. A tal fine, si prescrive al Comune di Verona: a) in caso di ingresso e di uscita di un veicolo nei tempiconsentiti, di cancellare subito dopo l'uscita il numero di targa e le altre informazioniraccolte -secondo le modalità di seguito descritte (cfr, punto 4.4., lett. b); b) in caso di infrazione, di conservare le informazioni rilevate,per il periodo necessario alla contestazione dell'infrazione stessa,all'applicazione dalla sanzione e alla definizione dell'eventuale contenzioso. 4.4. Misure di sicurezza.
In tale ambito, si prescrive, in particolare, al Comune di Verona di: a) adottare specifiche misure tecniche ed organizzative checonsentano di verificare l'attività espletata da parte di chi accede alleinformazioni raccolte; b) predisporre misure tecniche ed organizzative per lacancellazione, anche in forma automatica, dei dati raccolti mediante il sistemaRfid in esame, allo scadere del termine di conservazione consentito (cfr. punto4.3.). 4.5. Incaricati del trattamento.
a) designare, anche per il tramite del responsabile, per iscrittole persone fisiche, incaricate del trattamento delle informazioni raccolte e,nei casi in cui sia indispensabile per lo scopo perseguito, autorizzate anche aidentificare gli interessati (art. 30 del Codice); b) individuare diversi livelli di accesso in corrispondenza dellespecifiche mansioni attribuite ad ogni singolo operatore, ivi compresi gliaddetti alla gestione e alla manutenzione del sistema, distinguendo coloro chesono unicamente abilitati ad accedere ai dati trattati dai soggetti che,invece, possono anche effettuare, a determinate condizioni, ulteriorioperazioni (es. registrare, copiare, identificare gli interessati attraversol'incrocio con ulteriori informazioni, al fine di applicare le sanzionipreviste) (cfr. punti 13 e 15, Allegato B al Codice). TUTTO CIO' PREMESSO ILGARANTE 1. ai sensi dell'art. 154, comma 1, lett. c) del Codice, inrelazione al trattamento di dati personali che il Comune di Verona intendeeffettuare attraverso il sistema Rfid per il controllo e la registrazione degliorari di ingresso e di uscita dalla Ztl dei veicoli adibiti al trasporto dellemerci, ferme restando le specifiche garanzie individuate per l'uso dei sistemiRfid nel provvedimento generale del 9 marzo 2005, prescrive al Comune di Veronadi: a) informare, ai sensi dell'art. 13 del Codice, gli intestataridelle targhe dei veicoli utilizzati per il trasporto delle merci nella Ztl, sultrattamento dei dati personali che intende effettuare tramite il sistema Rfid,all'atto della richiesta del permesso per l'accesso alla Ztl per il trasportomerci e comunque prima dell'istallazione del sistema Rfid sui veicoli autorizzatiovvero, qualora tali sistemi siano già stati installati, prima della loroattivazione (cfr. punto 4.1.); b) identificare gli interessati, per il tramite della targa, soloper l'accertamento della violazione delle regole concernenti gli orari diingresso e di uscita dalla Ztl dei veicoli adibiti al trasporto delle merci eper l'applicazione della relativa sanzione (cfr. punto 4.2.); c) in caso di ingresso e di uscita di un veicolo nei tempiconsentiti, cancellare subito dopo l'uscita il numero di targa e le altreinformazioni raccolte (cfr. punto 4.3.lett. a); d) in caso di infrazione, conservare le informazioni rilevate,per il periodo necessario alla contestazione dell'infrazione stessa,all'applicazione dalla sanzione e alla definizione dell'eventuale contenzioso(cfr. punto. 4.3. lett. b); e) implementare sul sistema in esame le misure di sicurezzadescritte alle lettere a) e b) del punto 4.4. del presente provvedimento. 2. raccomanda, inoltre, al Comune di Verona il rispetto degliobblighi di: a) adottare idonee e preventive misure di sicurezza che riducanoal minimo i rischi di distruzione, perdita, anche accidentale, accesso nonautorizzato e di trattamento non consentito o non conforme alle finalità dellaraccolta dei dati trattati (cfr. punto 4.4.) b) designare, anche per il tramite del responsabile, per iscrittole persone fisiche, incaricate del trattamento delle informazioni raccolte, e,nei casi in cui sia indispensabile per lo scopo perseguito, autorizzate anche aidentificare gli interessati (cfr. punto 4.5.); c) individuare diversi livelli di accesso in corrispondenza dellespecifiche mansioni attribuite ad ogni singolo operatore, ivi compresi gliaddetti alla gestione e alla manutenzione del sistema, distinguendo coloro chesono unicamente abilitati ad accedere ai dati trattati dai soggetti che invecepossono anche effettuare, a determinate condizioni, ulteriori operazioni (cfr.punto 4.5.). Roma, 2 febbraio 2012
|