| Garante per la protezione dei dati personali Installazione di un sistema divideosorveglianza "intelligente" presso sedi aziendali. Verificapreliminare richiesta da Saipem S.p.A. PROVVEDIMENTO DEL 18 APRILE 2013 Registro dei provvedimenti n. 202 del 18 aprile 2013 IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI Nellariunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti, e del dott. GiuseppeBusia, segretario generale; Esaminatala richiesta di verifica preliminare presentata da Saipem S.p.A. ai sensidell'art. 17 del d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezionedei dati personali, di seguito "Codice"); Vistigli atti d'ufficio; Esaminatala documentazione acquisita agli atti; Viste le osservazioni formulatedal segretario generale ai sensi dell'art. 15 del regolamento del Garante n.1/2000; Relatorela prof.ssa Licia Califano; PREMESSO Concomunicazione datata 9 febbraio 2012, la società Saipem S.p.A., in ossequio aquanto prescritto nel provvedimento in materia di videosorveglianza dell'8aprile 2010, ha presentato una richiesta di verifica preliminare (art. 17 delCodice) in vista dell'istallazione di un sistema di videosorveglianza c.d.intelligente presso le proprie sedi direzionali ubicate in San Donato Milanese,in vista della realizzazione di un "progetto Sistema Integrato diSecurity" (SIS). Lasocietà, in via preliminare, ha dichiarato di operare "nel settore deiservizi per l'industria petrolifera onshore e offshore" e di essere"soggetta all'attività di direzione e coordinamento di Eni S.p.A., che nedetiene il 43% delle quote azionarie". Inoltre,la società ha evidenziato che, costituendo l'energia uno dei settori dimaggiore rilevanza strategica sia per le politiche nazionali che nell'ambitodelle relazioni internazionali, le infrastrutture delle compagnie operanti nelsettore "oil & gas" sarebbero attualmente degli obiettivi primariper tutte le forme di minaccia non convenzionale, tra cui, segnatamente,possibili azioni terroristiche e di sabotaggio. Pertanto, tale rischioincomberebbe anche su Saipem S.p.A., che, pur non essendo "una vera e propriaoil company", costituisce comunque un'infrastruttura di riferimento di EniS.p.A., tanto da essere ubicata presso il "sito Eni" di San DonatoMilanese e da riportare sui propri "palazzi uffici" il caratteristicologo del "cane a sei zampe" della controllante. Inparticolare, i "palazzi uffici" di Saipem S.p.A. in San DonatoMilanese, in quanto siti direzionali ospitanti i vertici aziendali,costituirebbero i centri nevralgici dell'azienda dal punto di vistagestionale-operativo, istituzionale e simbolico, sicché anche alla luce delclima di latente minaccia cui sono attualmente esposte in questo momentostorico le compagnie del settore energetico in generale e le società del gruppoEni in particolare, sussisterebbe il concreto pericolo di divenire bersaglio diazioni criminose (danneggiamenti, minacce, attentati), con gravi rischi perl'incolumità dei dipendenti e per il patrimonio della società. Perciò,al fine di salvaguardare le proprie risorse, la gestione e lo sviluppo delleproprie attività di business e di prevenire i rischi incombenti, Saipem S.p.A.avrebbe deciso di dotarsi di strutture fisiche e strumenti tecnologici edorganizzativi in grado di garantire un livello di sicurezza adeguato e,comunque, in linea con quanto richiesto dalla controllante Eni S.p.A., chepretende che le società del gruppo adottino "i suoi stessi standard disicurezza in tema di security" (cfr. nota datata 15 giugno 2012). Pertanto,la società, a seguito di alcune mirate attività di studio e di verifica sullatenuta del proprio sistema globale di sicurezza (Risk Assessment), avrebberilevato gravi carenze nell'organizzazione della security aziendale(cfr. all. 1e 2 alla nota Saipem del 3 aprile 2013). Inparticolare, la società ha riferito che le uniche difese di cui essa attualmentesi avvale per prevenire indebiti accessi all'interno dei propri edifici sonocostituite da alcune ridotte barriere metalliche e vegetali, da un impianto diilluminazione perimetrale, da un sistema antintrusione e da un impianto divideosorveglianza, provvisto di telecamere poste in corrispondenza degliaccessi al sito e ai punti di ingresso ai "palazzi uffici" di SaipemS.p.A.. Ciòpremesso, la società ha evidenziato che tale sistema presenterebbevulnerabilità tali da compromettere l'efficacia dell'attività di controllo,sicché recentemente, anche a seguito dell'avvenuta sottrazione di alcuni benidi proprietà aziendale custoditi presso i propri uffici, ha ritenuto necessarioaumentare il livello di sicurezza dei propri edifici attraverso l'implementazionedi un sistema integrato di security, che comprenderebbe un impianto divideosorveglianza perimetrale provvisto di motion detection e di"remotizzazione e registrazione delle immagini presso la guardiola, per ilcontrollo del perimetro esterno e dei punti sensibili degli immobili"(quali uscite di emergenza, locali ricevimento posta e merci, ingressi deiparcheggi, ingressi pedonali- cfr. all. 2 nota Saipem del 3 aprile 2013), ilquale, interagendo anche con gli altri sistemi antintrusione previsti nelprogetto, si attiverebbe in caso di allarme per agevolare ed accelerare larisposta da parte del servizio di vigilanza (cfr. nota Saipem del 3 aprile2013). Insostanza, ai dispositivi di ripresa esistenti verrebbero abbinati software di"analisi della scena" o "motion detection", in grado di"facilita(re) e rende(re) effettivo il mantenimento della sicurezza"a fronte di un "innalzamento del livello di minaccia","costituendo anche un valido supporto per le Forze di Polizia chedovessero essere chiamate ad intervenire" (cfr. nota Saipem del 9 febbraio2012). Comeriferito in precedenza, il sistema di sicurezza di cui attualmente si avvalgonole sedi di Saipem S.p.A. è costituito da un sistema antintrusione, alcuniimpianti di illuminazione perimetrali e da un impianto di videosorveglianza(cfr. nota Saipem del 3 aprile 2013). Più esattamente, ciascun palazzo è dotatodi un sistema di TVCC: presso il 3° palazzo, sono presenti 10 telecamere fisseinstallate all'interno della sola zona verde; il 4° palazzo si avvale dialtre 10 telecamere, di cui sette posizionate nei punti di accesso ai palazzi elungo il perimetro esterno, due all'ingresso dei dipendenti e dei visitatori eduna interna al locale server (C.E.D.) (cfr. all. 1 e 2 nota Saipem del 3 aprile2013). Asupporto di tale impianto di videosorveglianza, Saipem intenderebbe attivare unsistema automatico di rilevazione delle intrusioni basato su attività divideo-analisi, il quale sarebbe in grado di supportare fino a dieci funzionicontemporanee per ogni telecamera, inviando, contemporaneamente, lo streamingvideo ai server di registrazione posti all'interno della sala appositamentepredisposta per ospitare gli encoder. Inaltri termini, le telecamere ad inseguimento (speed dome) eseguirebbero, insituazione di normalità, una scansione panoramica della zona di competenza e,grazie alla modalità di video-analisi, in caso di intrusione, si orienterebberoverso la zona interessata per seguire e registrare l'evento. Tra le funzionalitàche verrebbero configurate, vi sarebbero, in particolare, le seguenti: objectclassification, che permetterebbe di distinguere, all'interno di un'immagine,persone, veicoli, animali e altri oggetti che non appartengono propriamentealla struttura della scena; single-multi tripwire event detection, checonsentirebbe di rilevare il superamento, da parte di un oggetto in movimento,di una linea virtuale precedentemente definita all'interno del campo visivodella telecamera; enter-exit event detection, che sarebbe in grado di rilevare il momento in cui un particolare tipo di oggetto, proveniente da unaqualunque direzione all'interno del campo visivo della telecamera, entrasse ouscisse da una zona di interesse precedentemente individuata. Allepredette funzioni di video-analisi corrisponderebbero una serie diazioni/risposte automatizzate. Dalpunto di vista tecnico, la funzione di video-analisi associata al sistema divideosorveglianza renderebbe possibile discriminare diversi tipi di evento,generando, nel caso in cui vi fosse un tentativo di effrazione, un messaggio diallarme. Tale messaggio sarebbe interpretato dal sistema TVCC che,immediatamente, porrebbe il personale di sorveglianza in grado di visualizzarele immagini della zona interessata dall'evento e di seguirne l'evoluzione. Ilsistema verrebbe predisposto per il controllo del perimetro esterno e dei puntisensibili degli immobili (uscite d'emergenza, centrale elettrica, centraletelefonica, portineria, sala d'attesa locali ricevimento posta e merci,ingressi dei parcheggi e ingressi pedonali) e consentirebbe la visione delleimmagini real time e la visione dell'ultimo minuto di registrazione antecedenteal verificarsi di un evento di allarme originato dal sistema anti-intrusione odal sistema di motion detection collegato al sistema di videosorveglianza (cfr.nota Saipem del 3 aprile 2013). Sualcune telecamere – che potrebbero riprendere immagini di dipendenti sulluogo di lavoro o in aree pubbliche - verrebbero applicati dei"dispositivi di mascheramento" che, in caso di ripresa di aree nonpertinenti all'area di controllo (luoghi di lavoro e aree esterne al perimetrodei palazzi Saipem), sarebbero in grado di oscurare le immagini relative a talizone applicando una maschera grigia su di esse e impedendo, quindi, aglioperatori la loro visione. Ilsistema di videosorveglianza sarebbe costruito in modo da registrare tutte leimmagini rilevate su supporti digitali attraverso apparecchiature informatichedenominate Digital Video Recorder (DVR); le registrazioni sarebbero conservateper un periodo non superiore a sette giorni, trascorso il quale verrebberocancellate automaticamente. Lasocietà ha dichiarato che i sistemi di registrazione digitale delle immagini(DVR) saranno custoditi in locali a ciò appositamente adibiti, ai quali potràaccedere solo personale in possesso di una chiave fisica e di un documento diriconoscimento aziendale (DRA) da sottoporre ad apposito lettore. Le chiavidelle serrature saranno custodite dal personale di vigilanza che tracceràmanualmente, su apposito registro, tutti gli accessi, annotando il nome, ilcognome, la data, l'ora di prelievo e di consegna delle immagini, nonché lafirma del personale preventivamente autorizzato che abbia fatto esplicitarichiesta di utilizzo delle stesse. Peraccedere alle immagini occorrerà la presenza di almeno due persone dotate dispecifiche credenziali (username e password). Perquanto riguarda l'informativa, la società ha dichiarato che verranno utilizzaticartelli che, per formato e posizionamento, risulteranno chiaramente visibiliprima che gli interessati entrino nel raggio di azione delle telecamere e inogni condizione di illuminazione ambientale. Infine,Saipem S.p.A. ha dichiarato che verranno nominate "responsabili deltrattamento" le società di servizi esterne che svolgeranno - sullabase di accordi quadro che Eni s.p.a ha già stipulato anche per le società delgruppo – le attività di portierato, guardiania e videosorveglianza. Idipendenti di Saipem S.p.A. e il personale esterno della società di vigilanzasaranno designati per iscritto "incaricati" dai rispettiviresponsabili del trattamento. Perla manutenzione degli impianti TVCC, la società ha dichiarato di avvalersidell'accordo quadro già in essere tra "Eniservizi e la societàI&S", le quali saranno nominate responsabili esterni del trattamentoper le attività relative (cfr. nota Saipem del 4 aprile 2013). Ilsistema c.d. intelligente che Saipem S.p.A intende adottare deve esserevalutato alla luce dei principi di necessità, proporzionalità, finalità ecorrettezza posti dal Codice (artt. 3 e 11 del Codice), espressamenterichiamati anche nel Provvedimento generale in materia di videosorveglianzadell'8 aprile 2010. Inparticolare, secondo tale provvedimento "in linea di massima tali sistemidevono considerarsi eccedenti rispetto alla normale attività divideosorveglianza, in quanto possono determinare effetti particolarmenteinvasivi sulla sfera di autodeterminazione dell'interessato e,conseguentemente, sul suo comportamento. Il relativo utilizzo risulta comunquegiustificato solo in casi particolari, tenendo conto delle finalità e delcontesto in cui essi sono trattati, da verificare caso per caso sul piano dellaconformità ai principi" posti dagli artt. 3 e 11 del Codice. Inragione di ciò, è importante tenere conto del fatto che, attualmente, leinfrastrutture delle compagnie operanti nel settore energetico –tra cuile sedi di Saipem S.p.A. – costituiscono concreti obiettivi per azioni disabotaggio e di terrorismo. Taleconsiderazione, del resto, è frutto di un'attenta analisi effettuata non solo alivello legislativo (vedi il decreto legislativo 11 aprile 2011, n. 61,attuativo della direttiva 2008/114/CE, che ha individuato nelle infrastrutturedel settore energetico una potenziale "criticità", anche di rilievocomunitario), ma anche amministrativo: in tal senso è la previsione di cui alDecreto del Ministero dell'Interno 1 dicembre 2010, n. 269, Allegato D, sez.III, punto 3.b.1, che definisce "obiettivi sensibili" le aziendepubbliche o private del settore energetico, nonché la nota del Prefetto diMilano (prot. n. 12b2/09007582 N.C. Div. Gab., all. C) alla nota di SaipemS.p.A. del 15 giugno 2013), che ha rilevato, a fronte di un incrementoqualitativo e quantitativo degli eventi pericolosi avvenuti nelle sedi di SanDonato Milanese, l'urgente necessità di dotare il sito stesso di adeguatisistemi di protezione, comprensivi anche di impianti di videosorveglianzaintelligente. A ciò aggiungasi che anche il Prefetto di Milano, rilevando chegli assets di Eni S.p.A. "costituiscono potenziale obiettivo delterrorismo internazionale" e, in genere, di iniziative ostili, haravvisato la necessità di proteggere adeguatamente quelli più sensibili,imponendo ad Eni S.p.A. di dotarsi, tra l'altro, di "strumenti idonei acontenere il livello di rischio", di validi sistemi di protezioneperimetrale e di "sistemi di videosorveglianza intelligente che consentanol'analisi della scena anche a supporto delle stesse Forze dipolizia"(prot. 12b2/09007582 N.C. Div. Gab. del 26/03/2011). Ciòpremesso, è possibile ritenere che il 3° e 4° palazzo di Saipem S.p.A. di SanDonato Milanese, proprio perché ubicati nel sito di Eni S.p.A. e destinati adospitare il cuore operativo ed istituzionale dell'azienda, siano anch'essi esposti al concreto rischio di soggiacere a possibili azionidimostrative da parte di gruppi terroristici. Perquanto concerne la possibilità di ricorrere, presso detti siti, ad idoneemisure organizzative alternative ai sistemi c.d. intelligenti, Saipem S.p.A. harappresentato che le attuali forme di protezione poste a loro difesa presentanoalcuni limiti obiettivi che rischiano di compromettere l'efficacia dellavigilanza (circostanza, questa, asseverata dalla serie di furti subiti "inloco"), con conseguente necessità di aumentare il livello di sicurezza,sviluppando un sistema di video-analisi in grado di rilevare le intrusioniautomaticamente. Adavviso di questa Autorità, la delicatezza del settore produttivo in cui SaipemS.p.A. si trova ad operare ( in quanto infrastruttura di riferimento di EniS.p.A.), unitamente alle concrete situazioni di rischio esistenti presso ipalazzi uffici di San Donato Milanese, espressamente acclarate a più ripresedagli organi istituzionalmente preposti, permette di ravvisare una situazioneassai peculiare che giustifica l'adozione di standard di sicurezza di livellosuperiore alla media. Circale caratteristiche tecniche dell'impianto che la società intenderebbe adottare,le telecamere, grazie alla possibilità di discriminare diversi tipi di evento,riuscirebbero a rilevare automaticamente comportamenti o eventi anomali,orientandosi verso la zona interessata per seguire e registrare l'evento. Inconcreto, grazie all'interconnessione tra il sistema TVCC, il sistemaanti-intrusione ed il sistema di controllo degli accessi, ad ogni tentativo dieffrazione si genererebbe un messaggio di allarme, che metterebbe il personaledi sorveglianza, posizionato presso la sala di controllo locale, in grado divisualizzare le immagini della zona interessata dall'evento e di seguirnel'evoluzione. Ilpersonale esterno della società incaricata della vigilanza visionerebbe leimmagini in real time attraverso terminali video situati in appositi locali aciò dedicati e non esposti alla visione di terzi. L'accessoalle postazioni da cui risulterebbe possibile vedere le immagini in diretta eaccedere alle registrazioni sarebbe permesso solo a soggetti dotati di unacredenziale di accesso individuale (chiave fisica e DRA per l'accesso ailocali, username e password in caso di accesso alla visualizzazione dei DVR).Inoltre, le operazioni di visualizzazione delle registrazioni e/o dimanutenzione del sistema non potrebbero essere svolte da una sola persona. Ladurata della conservazione delle immagini sarebbe limitata ad una solasettimana, con successiva loro cancellazione automatica una volta trascorso ilpredetto periodo. Infine,Saipem S.p.A., in relazione alle possibili implicazioni inerenti il controllo adistanza dei lavoratori, ha prodotto copia di uno specifico accordo sindacalesottoscritto in data 3 agosto 2011, dal quale emerge che le "RSUSaipem", poste a conoscenza dalla società della "gap analysis"esistente "tra le condizioni di security [attualmente] operative e lastruttura del progetto SIS ipotizzata in divenire", hanno espresso il loroassenso all'introduzione delle innovazioni ivi descritte, al fine di"massimizzare la sicurezza per la tutela delle proprietà materiali edimmateriali, nonché la protezione degli individui, sia all'interno del 3° e 4°Palazzo Uffici che nelle aree esterne considerate". Ciòpremesso, si ritiene che all'esito dell'istruttoria siano emersi elementi cheinducono a considerare il trattamento effettuato attraverso l'impianto divideosorveglianza intelligente come conforme ai principi posti dagli artt. 3 e11 del Codice. Inparticolare, l'innalzamento del livello della minaccia, la vulnerabilità deisiti in questione e la ridotta efficacia delle protezioni e dei sistemi disicurezza esistenti valgono a giustificare l'attivazione di un sistema divideo-analisi a supporto dei dispositivi di ripresa attualmente in uso che,consentendo una rilevazione automatica delle intrusioni, risulti effettivamentein grado di prevenire accessi non autorizzati alla struttura e, quindi, discongiurare – o, quantomeno, di ridurre significativamente - il rischiodi atti vandalici, attentati o danneggiamenti in grado di porre in gravepericolo la sicurezza dei palazzi 3° e 4° di San Donato Milanese e l'incolumitàdel personale ivi impiegato. Intal senso, del resto, depongono anche le riferite valutazioni provenienti dagliorgani istituzionali che, nel corso degli ultimi anni, hanno constatato a piùriprese il permanere di esigenze di sicurezza presso i siti in questione,sollecitando la società ad adottare efficaci strumenti di protezione (qualiquello oggetto della presente verifica preliminare) in grado di consentire unamigliore analisi della scena anche a supporto delle forze dell'ordine. Pertanto,alla luce degli elementi acquisiti e delle dichiarazioni rese (sulla cuiveridicità la società ha assunto ogni responsabilità ai sensi dell'art. 168 delCodice) e delle specifiche modalità di funzionamento dell'impianto, volto atutelare il patrimonio aziendale e la sicurezza dei dipendenti all'interno deipalazzi uffici (3° e 4°) di San Donato Milanese, questa Autorità ritiene che larichiesta di verifica preliminare avanzata da Saipem S.p.A. possa essereaccolta a condizione che: TUTTO CIO' PREMESSO, IL GARANTE aisensi dell'art. 17 del Codice, a conclusione della verifica preliminarerelativa all'utilizzo del sistema di videosorveglianza c.d."intelligente" che Saipem S.p.A. intende adottare, per finalitàconnesse alla tutela del patrimonio aziendale e della sicurezza dei lavoratori,presso i palazzi 3° e 4° di San Donato Milanese, prende atto delle modalità deltrattamento dei dati personali ad esso connesso, prescrivendo che: Aisensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso ilpresente provvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero. Roma, 18 aprile 2013
|