| Garante per la protezione dei dati personali Videosorveglianza.Verifica preliminare richiesta da Eni S.p.A. PROVVEDIMENTO DEL 15MARZO 2012 Registro dei provvedimenti n. 102 del 15marzo 2012 IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI Nella riunione odierna, in presenza del prof. Francesco Pizzetti,presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. MauroPaissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele DePaoli, segretario generale; Esaminata la richiesta di verifica preliminare presentata da EniS.p.A. ai sensi dell'art. 17 del d.lg. 30 giugno 2003, n. 196 (Codice inmateria di protezione dei dati personali); Visti gli atti d'ufficio; Esaminata la documentazione acquisita agli atti; Viste le osservazioni formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000; Relatore il dott. Mauro Paissan; PREMESSO 1. L'istanza della società. Con comunicazione datata 19 luglio 2011 la società Eni S.p.A., inossequio a quanto prescritto nel provvedimento in materia di videosorveglianzadell'8 aprile 2010, ha presentato una richiesta di verifica preliminare (art.17 del Codice) in vista dell'istallazione di due sistemi di videosorveglianzac.d. intelligente rispettivamente presso il sito di Roma, Palazzo Eni, piazzaleEnrico Mattei 1 e presso quello di San Donato Milanese, 1° PalazzoUffici/Denti, Piazza Ezio Vanoni 1, attualmente protetti da un "sistemaintegrato di security che comprende organizzazione, procedure e strumenti, iviinclusi i sistemi di videosorveglianza". La società ha evidenziato che, costituendo l'energia uno dei settoridi maggiore rilevanza strategica sia per le politiche nazionali che nell'ambitodelle relazioni internazionali, le infrastrutture delle compagnie operanti nelsettore "oil & gas" costituiscono attualmente degli obiettiviprimari per tutte le forme di minaccia non convenzionale, tra cui,segnatamente, possibili azioni terroristiche e di sabotaggio. In particolare, la sede di piazzale Mattei in Roma ed il comprensoriodi San Donato Milanese (MI), in quanto siti direzionali ospitanti i verticiaziendali, costituirebbero i centri nevralgici dell'azienda dal punto di vistagestionale-operativo, istituzionale e simbolico, sicché anche alla luce delclima di latente minaccia cui sono attualmente esposte in questo momentostorico le compagnie del settore energetico in generale ed Eni in particolare,sussisterebbe il concreto pericolo di divenire bersaglio di azioni criminose(danneggiamenti, minacce, attentati), con gravi rischi per l'incolumità deidipendenti e per il patrimonio della società. Perciò, al fine di salvaguardare le proprie risorse, la gestione e losviluppo delle proprie attività di business e di prevenire i rischi incombenti,Eni avrebbe deciso di dotarsi di strutture fisiche e strumenti tecnologici edorganizzativi in grado di garantire un adeguato livello di sicurezza. In proposito la società ha riferito che le uniche difese di tipofisico di cui essa attualmente si avvale per prevenire indebiti accessiall'interno dei siti in questione sono costituite, per la sede di Roma, da unarecinzione metallica e da una barriera vegetale (siepe) e, per la sede di SanDonato Milanese, da una semplice barriera vegetale. Inoltre, al fine diincrementare il livello di sicurezza degli impianti è stato predisposto unsistema di videosorveglianza che si avvale di telecamere poste lungo tutta larecinzione. Ciò nonostante, la società ha evidenziato che tale modello tecnicoorganizzativo, pur permettendo un totale controllo visivo dell'intero perimetro,presenta lacune tali da compromettere l'efficacia dell'attività di controllo,sicché recentemente, anche a seguito del diffuso aumento delle minacce rivoltenei confronti delle proprie sedi, ha ritenuto necessario aumentare il livellodi sicurezza dei siti attraverso l'implementazione di un sistema automatico dirilevazione delle intrusioni che andrebbe a supportare il sistema divideosorveglianza già adottato. In particolare, ai dispositivi di ripresaesistenti verrebbero abbinati software di "analisi della scena", ingrado di "facilita(re) e rende(re) effettivo il mantenimento dellasicurezza" a fronte di un "innalzamento del livello diminaccia", "costituendo anche un valido supporto per le Forze diPolizia che dovessero essere chiamate ad intervenire". 2. Le modalità di funzionamento del sistema Come riferito in precedenza, il sistema di sicurezza di cuiattualmente si avvalgono le sedi Eni interessate è costituito soltanto dabarriere passive perimetrali (una recinzione metallica e una barriera vegetalenella sede di Roma; una sola barriera vegetale nella sede di San DonatoMilanese), corredate da alcune telecamere poste ad una distanza di circa 60-70metri l'una dall'altra, che consentono la visione delle immagini rilevatemediante il successivo utilizzo di appositi videoregistratori digitali. Piùesattamente, il sistema di TVCC è composto da: telecamere (fisse e adinseguimento) per la sorveglianza perimetrale di tipo day&night, dotate diuscita analogica ed impiegate anche presso i varchi di accesso per il controllodelle targhe delle autovetture in entrata e in uscita; telecamere tipo "dome"con sistema autotracking (per l'inseguimento di oggetti, persone oveicoli che abbiano fatto scattare l'allarme), dotate di uscita analogica;telecamere fisse a 360° per la videosorveglianza delle aree perimetraliinterne; telecamere da interno per la sorveglianza della sala apparati e della controlroom. A supporto di tale impianto di videosorveglianza, Eni intenderebbeattivare un sistema automatico di rilevazione delle intrusioni basato suattività di video-analisi, il quale sarebbe in grado di supportare fino a diecifunzioni contemporanee per ogni telecamera, inviando, contemporaneamente, lo streamingvideo ai server di registrazione posti all'interno della salaappositamente predisposta per ospitare gli encoder. In altri termini, le telecamere ad inseguimento (speed dome)eseguirebbero, in situazione di normalità, una scansione panoramica della zonadi competenza e, grazie alla modalità di video-analisi, in caso di intrusione,si orienterebbero verso la zona interessata per seguire e registrare l'evento.Tra le funzionalità che verrebbero configurate, vi sarebbero, in particolare,le seguenti: object classification, che permetterebbe di distinguere,all'interno di un'immagine, persone, veicoli, animali e altri oggetti che nonappartengono propriamente alla struttura della scena; single-multi tripwireevent detection, che consentirebbe di rilevare il superamento, da parte di unoggetto in movimento, di una linea virtuale precedentemente definitaall'interno del campo visivo della telecamera; enter-exit event detection,che sarebbe in grado di rilevare il momento in cui un particolare tipo dioggetto, proveniente da una qualunque direzione all'interno del campo visivodella telecamera, entrasse o uscisse da una zona di interesse precedentementeindividuata. Alle predette funzioni di video-analisi corrisponderebbero una seriedi azioni/risposte automatizzate. Dal punto di vista tecnico, la funzione di video-analisi associata alsistema di videosorveglianza renderebbe possibile discriminare diversi tipi dievento, generando, nel caso in cui vi fosse un tentativo di effrazione, unmessaggio di allarme. Tale messaggio sarebbe interpretato dal sistema TVCC che,immediatamente, porrebbe il personale di sorveglianza in grado di visualizzarele immagini della zona interessata dall'evento e di seguirne l'evoluzione. Suogni telecamera verrebbero applicati dei "filtri privacy" che, incaso di ripresa di aree non pertinenti all'area di controllo (luoghi di lavoroe aree esterne al perimetro dei siti Eni), sarebbero in grado di oscurare leimmagini relative a tali zone applicando una maschera grigia su di esse e impedendo,quindi, agli operatori la loro visione. Inoltre, la società ha riferito di voler attivare anche un sistema dirilevazione dei transiti e di lettura delle targhe che non si interfaccerebbecon alcuna banca dati SCNTT (Sistema Centralizzato Nazionale Targhe eTransiti), ma solo con una lista di targhe "autorizzate" da Eni (c.d.white list), che verrebbero censite su richiesta degli stessi dipendentiinteressati. Il sistema acquisirebbe l'immagine della targa del veicolo intransito, convertirebbe l'immagine in una stringa testuale recante la sequenzadi lettere e numeri che compongono la targa acquisita e confronterebbe lasuddetta stringa di testo con quelle presenti nella lista di Eni delle targheautorizzate (white list). Tale lista verrebbe "caricata" direttamentesul sistema di videosorveglianza, permettendo così di discriminare gli accessidei veicoli autorizzati da quelli non autorizzati. In caso di accesso diun'autovettura autorizzata, il sistema riconoscerebbe la targa del veicolo erileverebbe la sua corrispondenza con quella inserita nella white list,senza effettuare alcuna videoregistrazione. Invece, ove accedesse ai sitiun'autovettura non autorizzata, allora il sistema, non riconoscendo la targarilevata tra quelle presenti nella white list, attiverebbe lavideoregistrazione dell'avvenuto transito. Gli operatori che avrebbero accessoagli archivi di sistema (7 per la sede di San Donato Milanese e 5 per lasede di Roma) sarebbero muniti di specifica abilitazione mediante "utenzae password", in linea con le procedure di sicurezza aziendali. Il sistema di videosorveglianza sarebbe costruito in modo daregistrare tutte le immagini rilevate (eccetto quelle relative alle targhe c.d."autorizzate", verificate dal citato sistema di lettura targhe) susupporti digitali attraverso apparecchiature informatiche denominate DigitalVideo Recorder (DVR); le registrazioni sarebbero conservate per un periodonon superiore a sette giorni, trascorso il quale verrebbero cancellateautomaticamente. La società ha dichiarato che i sistemi di registrazione digitale delleimmagini (DVR) saranno custoditi in locali a ciò appositamente adibiti, aiquali potrà accedere solo personale in possesso di una chiave fisica e di undocumento di riconoscimento aziendale (DRA) da sottoporre ad apposito lettore.Le chiavi delle serrature saranno custodite dal personale di vigilanza chetraccerà manualmente, su apposito registro, tutti gli accessi, annotando ilnome, il cognome, la data, l'ora di prelievo e di consegna delle immagini, nonchéla firma del personale preventivamente autorizzato che abbia fatto esplicitarichiesta di utilizzo delle stesse. Per accedere alle immagini occorrerà la presenza di almeno due personedotate di specifiche credenziali (username e password). Per quanto riguarda l'informativa, la società ha dichiarato cheverranno utilizzati cartelli che, per formato e posizionamento, risulterannochiaramente visibili prima che gli interessati entrino nel raggio di azionedelle telecamere. Eni S.p.a., infine, ha dichiarato di aver designato "responsabiledel trattamento" sia la società di vigilanza, sia la società dimanutenzione dei sistemi di videosorveglianza. I dipendenti di Eni S.p.a. e quelli della società di vigilanzaautorizzati all'utilizzo del sistema ed alla eventuale visione delle immaginiregistrate saranno designati "incaricati" dai rispettivi responsabilidel trattamento. Analoga designazione spetterà anche ai dipendenti della societàdi manutenzione del sistema che, nello svolgimento delle rispettive mansioni,dovessero risultare –anche solo in via teorica- in condizione di poterprendere visione delle immagini stesse. 3. Presupposti di liceità del trattamento. Il sistema c.d. intelligente che Eni S.p.A intende adottare deveessere valutato alla luce dei principi di necessità, proporzionalità, finalitàe correttezza posti dal Codice (artt. 3 e 11 del Codice), espressamenterichiamati anche nel Provvedimento generale in materia divideosorveglianza dell'8 aprile 2010. In particolare, secondo tale provvedimento "in linea di massimatali sistemi devono considerarsi eccedenti rispetto alla normale attività divideosorveglianza, in quanto possono determinare effetti particolarmenteinvasivi sulla sfera di autodeterminazione dell'interessato e,conseguentemente, sul suo comportamento. Il relativo utilizzo risulta comunquegiustificato solo in casi particolari, tenendo conto delle finalità e delcontesto in cui essi sono trattati, da verificare caso per caso sul piano dellaconformità ai principi" posti dagli artt. 3 e 11 del Codice. In ragione di ciò, è importante tenere conto del fatto che,attualmente, le infrastrutture delle compagnie operanti nel settore energetico –tracui le sedi di Eni S.p.a. – costituiscono concreti obiettivi per azionidi sabotaggio e di terrorismo. Tale considerazione, del resto, è frutto diun'attenta analisi effettuata non solo a livello legislativo (vedi il decretolegislativo 11 aprile 2011, n. 61, attuativo della direttiva 2008/114/CE, cheha individuato nelle infrastrutture del settore energetico una potenziale"criticità", anche di rilievo comunitario), ma anche amministrativo(si vedano, in tal senso, la previsione di cui al Decreto del Ministerodell'Interno 1 dicembre 2010, n. 269, Allegato D, sez. III, punto 3.b.1, chedefinisce "obiettivi sensibili" le aziende pubbliche o private delsettore energetico, nonché la direttiva del prefetto di Ravenna, proc.2011-5811/Area 1^ OSP del 21/12/2011, che ha espressamente riconosciuto le sediEni di Ravenna "obiettivi sensibili"). Inoltre, la stessa Eni S.p.a., con comunicazione del 30 gennaio 2012,ha riferito che, nel periodo intercorrente tra l'ottobre 2010 ed il dicembre2011, alcune azioni violente hanno riguardato anche alcuni Eni Energy Store edaltri tipi di assets aziendali, tra cui alcune sedi diverse da quelle inoggetto. Ciò premesso, è possibile ritenere che i siti di Roma e di San DonatoMilanese, proprio perché destinati ad ospitare i vertici aziendali e, quindi,il cuore operativo ed istituzionale dell'azienda, siano anch'essieffettivamente esposti al concreto rischio di soggiacere a possibili azionidimostrative da parte di gruppi terroristici. Del resto, l'esistenza di una situazione di rischio presso la sede diPiazzale Mattei a Roma è stata ammessa anche dall'Ufficio territoriale delgoverno di Roma che, nel 2002, riconoscendo l'esistenza di gravi problemi disicurezza anche in ragione del clima politico presente nel contesto politiconazionale ed internazionale, ha avallato l'adozione di misure interdittive attea limitare la pubblica transitabilità nelle aree ad essa antistanti (prot.9634/1572/02 Gab OSP del 26 agosto 2002). La persistenza di tale condizione dirischio, poi, risulta confermata anche dal recente provvedimento adottato dalPrefetto di Roma che, nel luglio 2010, nel valutare le condizioni dell'areacircostante Piazzale Mattei, ha espressamente attestato "il permaneredelle esigenze di tutela della sicurezza" della sede Eni ivi ubicata(prot. 130788 del 26 luglio 2010). Un'identica situazione di rischio è risultata presente presso ilcomprensorio Eni di San Donato Milanese. In proposito, il Prefetto di Milano,rilevando che gli assets di Eni "costituiscono potenziale obiettivo delterrorismo internazionale" e, in genere, di iniziative ostili, hadichiarato la necessità di proteggere adeguatamente quelli più sensibili,imponendo ad Eni di dotarsi, tra l'altro, di "strumenti idonei acontenere il livello di rischio", di validi sistemi di protezioneperimetrale e di "sistemi di videosorveglianza intelligente che consentanol'analisi della scena anche a supporto delle stesse Forze dipolizia"(prot. 12b2/09007582 N.C. Div. Gab. del 26/03/2011). Per quanto concerne la possibilità di ricorrere, presso detti siti, adidonee misure organizzative alternative ai sistemi c.d. intelligenti, Eni harappresentato che le attuali forme di protezione poste a loro difesa (barrierepassive perimetrali corredate da normali telecamere), pur permettendo il totalecontrollo visivo del perimetro, presentano alcuni limiti obiettivi cherischiano di compromettere l'efficacia della vigilanza, soprattutto per ladifficoltà di controllare contemporaneamente e manualmente un elevato numero ditelecamere (cfr. comunicazione Eni del 30 gennaio 2012, allegato B). Pertanto, Eni, avendo anche registrato un incremento di atteggiamentiminacciosi nei confronti delle sue sedi, ha ritenuto opportuno, per aumentareil livello di sicurezza, sviluppare un sistema di rilevazione delle intrusionimediante video-analisi, in grado di rilevare automaticamente le intrusioni. Ad avviso di questa Autorità, la delicatezza del settore produttivo incui Eni S.p.a. si trova ad operare, unitamente alle concrete situazioni dirischio esistenti presso i siti di Roma e di San Donato Milanese, espressamenteacclarate a più riprese dagli organi istituzionalmente preposti, permette diravvisare una situazione assai peculiare che giustifica l'adozione di standarddi sicurezza di livello superiore alla media. Circa le caratteristiche tecniche dell'impianto che Eni intenderebbeadottare, le telecamere, grazie alla possibilità di discriminare diversi tipidi evento, riuscirebbero a rilevare automaticamente comportamenti o eventianomali, orientandosi verso la zona interessata per seguire e registrarel'evento. In concreto, grazie all'interconnessione tra il sistema TVCC, ilsistema anti-intrusione ed il sistema di controllo degli accessi, ad ognitentativo di effrazione si genererebbe un messaggio di allarme, che metterebbeil personale di sorveglianza, posizionato presso la sala di controllo locale,in grado di visualizzare le immagini della zona interessata dall'evento e diseguirne l'evoluzione. Il personale esterno della società incaricata della vigilanzavisionerebbe le immagini in real time attraverso terminali video situati inappositi locali a ciò dedicati e non esposti alla visione di terzi. L'accessoalle postazioni da cui risulterebbe possibile vedere le immagini in diretta eaccedere alle registrazioni sarebbe permesso solo a soggetti dotati di unacredenziale di accesso individuale (chiave fisica e DRA per l'accesso ailocali, username e password in caso di accesso alla visualizzazione dei DVR).Inoltre, le operazioni di visualizzazione delle registrazioni e/o dimanutenzione del sistema non potrebbero essere svolte da una sola persona. La durata della conservazione delle immagini sarebbe limitata ad unasola settimana, con successiva loro cancellazione automatica una voltatrascorso il predetto periodo. Infine, Eni ha dichiarato che, inrelazione alle possibili implicazioni inerenti il controllo a distanza deilavoratori, sarebbe stato già firmato uno specifico accordo sindacale previstodall'art. 4, comma 2 della legge n. 300/1970 (richiamato dall'art. 114 delCodice) sia con le R.S.U Eni Corporate di Roma, piazzale Mattei, in data 25gennaio 2012, sia con le R.S.U. Eni Corporate di San Donato Milanese, in data26 gennaio 2012 (cfr. comunicazione Eni del 30 gennaio 2012, allegato C). Ciò premesso, si ritiene che all'esito dell'istruttoria siano emersielementi che inducono a considerare il trattamento effettuato attraversol'impianto di videosorveglianza intelligente come conforme ai principi postidagli artt. 3 e 11 del Codice. In particolare, l'innalzamento del livello della minaccia, lavulnerabilità dei siti in questione e la ridotta efficacia delle protezioni edei sistemi di sicurezza esistenti valgono a giustificare l'attivazione di unsistema di video-analisi a supporto dei dispositivi di ripresa attualmente inuso che, consentendo una rilevazione automatica delle intrusioni, risultieffettivamente in grado di prevenire accessi non autorizzati alla struttura e,quindi, di scongiurare – o, quantomeno, di ridurre significativamente -il rischio di atti vandalici, attentati o danneggiamenti in grado di porre ingrave pericolo la sicurezza dei siti di Roma e di San Donato Milanese el'incolumità del personale ivi impiegato. In tal senso, del resto, depongono anche le riferite valutazioniprovenienti dagli organi istituzionali che, nel corso degli ultimi anni, hannoconstatato a più riprese il permanere di esigenze di sicurezza presso i siti inquestione, sollecitando la società ad adottare efficaci strumenti di protezione(quali quello oggetto della presente verifica preliminare) in grado diconsentire una migliore analisi della scena anche a supporto delle forzedell'ordine. Pertanto, alla luce degli elementi acquisiti e delle dichiarazionirese (sulla cui veridicità la società ha assunto ogni responsabilità ai sensidell'art. 168 del Codice) e delle specifiche modalità di funzionamentodell'impianto, volto a tutelare il patrimonio aziendale e la sicurezza deidipendenti all'interno del sito di Roma e di San Donato Milanese, questa Autoritàritiene che la richiesta di verifica preliminare avanzata da Eni S.p.A. possaessere accolta a condizione che: a) il trattamento delle immagini si mantenga aderente alle finalità ditutela del patrimonio aziendale e della sicurezza dei dipendenti e si svolganel rispetto delle modalità indicate da Eni S.p.A. con note del 19 luglio 2011,30 gennaio e 14 febbraio 2012; b) l'impresa di vigilanza esterna sia preventivamente nominataresponsabile del trattamento e questa, a sua volta, nomini incaricati del trattamentoi propri dipendenti. c) le utenze per l'accesso alle immagini siano individualmenteassegnate agli incaricati del trattamento specificamente nominati da Eni edalla società di vigilanza (cfr. Disciplinare tecnico in materia di misure disicurezza, punto 3, all. B) del Codice); d) l'informativa agli interessati venga resa attraverso supporti che,per formato e posizionamento, siano chiaramente visibili prima che gliinteressati entrino nel raggio d'azione delle telecamere. TUTTO CIŅ PREMESSO, ILGARANTE, ai sensi dell'art. 17 del Codice, a conclusione della verificapreliminare relativa all'utilizzo del sistema di videosorveglianza c.d."intelligente" che Eni S.p.A. intende adottare, per finalità connessealla tutela del patrimonio aziendale e della sicurezza dei lavoratori, presso isiti di Roma, palazzo Eni, Piazzale Mattei 1 e di San Donato Milanese, PalazzoDenti, Piazza Ezio Vanoni 1, prende atto delle modalità del trattamentodei dati personali ad esso connesso, prescrivendo che: a) il trattamento delle immagini si mantenga aderente alle finalità ditutela del patrimonio aziendale e della sicurezza dei dipendenti e si svolganel rispetto delle modalità indicate da Eni S.p.A. con note del 19 luglio 2011,30 gennaio e 14 febbraio 2012; b) l'impresa di vigilanza esterna sia nominata responsabile deltrattamento e questa, a sua volta, nomini incaricati del trattamento i propri dipendenti. c) le utenze per l'accesso alle immagini siano individualmenteassegnate agli incaricati specificamente nominati da Eni e dalla società divigilanza (cfr. – Disciplinare tecnico in materia di misure disicurezza, punto 3 all. B) del Codice); d) l'informativa agli interessati venga resa attraverso supporti che,per formato e posizionamento, siano chiaramente visibili prima che gliinteressati entrino nel raggio d'azione delle telecamere. Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011,avverso il presente provvedimento può essere proposta opposizione all'autoritàgiudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogoove ha la residenza il titolare del trattamento dei dati, entro il termine ditrenta giorni dalla data di comunicazione del provvedimento stesso, ovvero disessanta giorni se il ricorrente risiede all'estero. Roma, 15 marzo 2012
|