| Garante per la protezione dei dati personali Trattamento di dati personalieffettuato attraverso un impianto di videosorveglianza. Verifica preliminare PROVVEDIMENTO DEL 24 OTTOBRE 2013 Registro dei provvedimenti n. 467 del 24 ottobre 2013 IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI Nellariunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna BianchiClerici, componente, e del dott. Giuseppe Busia, segretario generale; Esaminatala richiesta di verifica preliminare presentata da XY ai sensi dell'art. 17 deld.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei datipersonali; di seguito "Codice"); Vistoil provvedimento generale in materia di videosorveglianza dell' Esaminatala documentazione acquisita agli atti; Vistele osservazioni formulate dal segretario generale ai sensi dell'art. 15 delregolamento del Garante n. 1/2000; Relatoreil dott. Antonello Soro; PREMESSO Indata 13 luglio 2012, XY ha formulato un'istanza di verifica preliminare (art.17 del Codice) al fine di poter conservare per 90 giorni le immagini registrateattraverso il sistema di videosorveglianza in uso presso lo stabilimento sitoin XX, località YY. Inparticolare, XY ha riferito di occuparsi, "attraverso il marchio KW"(acquisito nel 1994, in occasione dell'incorporazione della KW S.p.a.), dellaprogettazione e della realizzazione di "card a banda magnetica" esmart card (con microchip contact e contactless), segnatamente per il mercatobancario e per i settori retail, ID, trasporti e telefonia, curando, in alcunicasi, non solo l'attività di "personalizzazione" dei supporti –conconseguente trattamento, a seconda dei mercati di riferimento, di alcuni datipersonali degli interessati, quali "il nome, cognome, indirizzo, nr diPAN" (numero account primario) ed il codice fiscale- ma anche la loro"postalizzazione", ove richiesta dai clienti. Stantela delicatezza dell'attività produttiva svolta e l'ubicazione dellostabilimento in una zona isolata e non distante da possibili vie di fuga, lasocietà, sin dal 2005 (epoca del conseguimento, da parte di KW, dellecertificazioni rilasciate da MasterCard International e VisaInternational per la produzione delle carte di debito e di credito), avevadeciso di dotarsi di un impianto di videosorveglianza sia per contrastare ilrischio del furto delle carte di credito "finite" o, comunque, deimateriali necessari per la loro realizzazione, sia per adeguarsi agli standarddi sicurezza richiesti dai suddetti circuiti internazionali; tale sistema,composto da telecamere interne e da altre posizionate lungo il perimetro dellostabilimento, successivamente era stato più volte "integrato" conaltre telecamere in attuazione delle specifiche indicazioni espresse in sede diAudit dagli ispettori degli enti certificatori, rimanendo in funzione sino adoggi. Ciòpremesso, la società ha chiesto di poter estendere i tempi di conservazionedelle immagini registrate da tale sistema -allo stato limitati a sole 24 ore-sino a 90 giorni, motivando tale scelta non solo con l'esigenza di rafforzareil livello di tutela della proprietà aziendale e di garantire la sicurezza deilavoratori, dei prodotti e dei dati degli utilizzatori finali, ma anche con lanecessità di rispettare gli ulteriori parametri fissati dai circuitiinternazionali MasterCard International e Visa International (cfr. "GlobalPhysical Security Validation Requirements for Card Vendors" -Visa, ottobre2008; MasterCard Physical Security Standards for Plastic Card Vendor –aprile 2008), che impongono alle società destinatarie di commesse l'osservanzadi un più elevato standard di sicurezza durante l'intero processo dilavorazione. Inparticolare, tra le misure di sicurezza richieste dagli enti certificatori,figurerebbe proprio la conservazione delle immagini registrate dai sistemi divideosorveglianza per un arco temporale di 90 giorni, ritenuta necessaria per"individuare accessi abusivi o condotte sospette anche in fase disopralluogo" (cfr. nota XY del 12 luglio 2012, p.3). Pertanto,la Società ha chiesto che il predetto allungamento dei tempi di conservazionevenga concesso almeno per le immagini concernenti le aree esterne ai locali,quelle di ingresso e di uscita e le zone ritenute "sensibili"(caveau, magazzino, aree di produzione, di ricevimento e di spedizione),assumendo che, per esse, i manuali Mastercard e Visa non consentirebberoderoghe anche in presenza di regole diverse poste dalla legge nazionale (cfr.nota del 12 luglio 2012). Inoltre,circa la trasmissione ai destinatari delle carte già"personalizzate", XY ha dichiarato che il lasso temporale intercorrentetra la fabbricazione della singola carta e il suo arrivo presso il legittimoproprietario non risulta controllabile dalla società, in quanto, trannesporadici casi di effettuazione "in proprio", la"postalizzazione" dei supporti "finiti" viene effettuatadagli stessi committenti, i quali, dopo aver acquisito la disponibilità dellesingole buste che li contengono, procedono direttamente alla loro consegna aititolari, osservando tempi di consegna variabili a seconda delle procedureadottate da ciascuno di essi (cfr. nota del 21 giugno 2013). Infine,a corredo della propria istanza, la società ha fatto pervenire: L'impiantodi videosorveglianza che la società già utilizza fa parte di un più ampioapparato di sicurezza implementato a protezione degli ambienti produttivi, chesi compone anche di un sistema di controllo degli accessi (cfr. nota del 12luglio 2012; accordo sindacale del 17 febbraio 2005). L'impiantosi avvale di 61 telecamere, di cui alcune dislocate all'interno del sitoproduttivo, altre lungo il suo perimetro (cfr. planimetrie allegate alfascicolo). Per quanto riguarda il loro angolo di visuale, la Società hariferito che quelle interne sono volte ad inquadrare tutte le aree"sensibili" e, in particolare: Perquanto concerne invece le aree esterne, l'orientamento delle videocamere èspecificamente rivolto verso gli accessi e verso le uscite di sicurezza. Circale misure minime di sicurezza, è stato dichiarato che "l'apparecchio diregistrazione delle immagini" è ubicato in apposito armadio collocatoall'interno della zona blindata SCR (Security Control Room) ad accessoregolamentato e con costante presenza di guardie non armate (cfr. nota del 21giugno 2013); i monitor, posizionati sempre nella Security Control Room,permettono alla guardia giurata in servizio, al Security manager "e/oall'incaricato all'attività di reception", di controllare le immaginiriprese dalle telecamere. Al riguardo, è stato riferito che alcuni schermimostrano, a rotazione, le immagini concernenti le aree dove si svolgono attivitàcritiche e, precisamente: il ritiro delle carte di credito da parte deicorrieri esterni; l'apertura delle uscite di sicurezza; il transito delpersonale interno dal magazzino alla truck area; il packaging. Per quantoconcerne, poi, le rimanenti zone, il loro controllo è effettuato attraverso unsingolo monitor, preposto a visualizzare automaticamente solo le immaginirelative a "violazioni che facciano scattare allarmi" (cfr. accordosindacale del 17 febbraio 2005, pag 2-3). Perquanto riguarda la registrazione delle immagini, che attualmente sonocancellate al termine delle 24 ore, è stato dichiarato che la loro visione èconsentita al datore di lavoro solamente alla presenza di un rappresentante deilavoratori, attraverso una password speciale di 10 cifre/lettere, ripartita ametà tra parte datoriale e rappresentanza dei lavoratori. Quantoalla nomina degli incaricati, la Società, titolare del trattamento, hadichiarato di aver proceduto alla loro designazione ai sensi dell'art. 30 delCodice, distinguendo tra coloro che hanno accesso alle immagini live e coloroche possono accedere alle sole registrazioni (cfr. nota del 21 giugno 2013). Perquanto concerne l'obbligo di rendere l'informativa, XY ha specificato di averaffisso dei cartelli "in prossimità delle aree videosorvegliate",recanti le informazioni riguardanti la finalità del trattamento, gli estremidel titolare e la registrazione delle immagini. Ciòpremesso, le modifiche che la società intenderebbe apportare consistono nell'implementazionedi un secondo sistema di registrazione -che, andrebbe ad affiancarsi a quellogià esistente (le cui modalità di funzionamento, quindi, rimarrebberoinalterate)- programmato per poter conservare per 90 giorni le immaginirelative a specifiche aree del sito. Leimmagini sarebbero automaticamente cancellate per sovrascrittura e l'accessoalle registrazioni avverrebbe solo in caso di "eventi particolari, oggettodi segnalazioni da parte del Committente e delle Autorità preposte". Perciò che riguarda la visione delle riprese, XY ha proposto due possibilisoluzioni; secondo la prima, i codici di accesso sarebbero ripartiti tra unrappresentante datoriale ed uno sindacale, con la conseguenza che le immaginiregistrate sarebbero visionabili solamente in presenza di entrambi, dietrospecifiche richieste delle committenti (cioè Mastercard International e VisaInternational, come da rispettivi manuali) e o dell'Autorità giudiziaria; inalternativa, è stata prospettata la possibilità che i codici di accesso, sempreripartiti tra un rappresentante datoriale ed uno sindacale, all'occorrenzasiano consegnati direttamente alle Autorità competenti, le quali accederebberounivocamente senza alcun intervento del personale dell'azienda (cfr. nota del12 luglio 2012, all. n. 6. "Relazione tecnica sulla gestione e l'utilizzodell'impianto di videosorveglianza"). Larichiesta di poter allungare il termine di conservazione delle immaginivideoregistrate deve essere valutata alla luce dei principi di necessità,proporzionalità, finalità e correttezza posti dal Codice (artt. 3 e 11 delCodice), espressamente richiamati anche nel Provvedimento generale in materiadi videosorveglianza dell'8 aprile 2010. In particolare, secondo tale provvedimentol'allungamento dei tempi di conservazione dei dati oltre i sette giorni,giustificabile solo in casi eccezionali, deve essere adeguatamente motivato"con riferimento ad una specifica esigenza di sicurezza perseguita, inrelazione a concrete situazioni di rischio riguardanti eventi realmenteincombenti e per il periodo di tempo in cui venga confermata tale eccezionalenecessità. Peruna corretta valutazione dell'istanza occorre necessariamente tenere contodella peculiarità della fattispecie e, in particolare, del fatto che la stessa èdeterminata dall'esigenza di uniformarsi ai parametri di sicurezza previsti daicircuiti internazionali (MasterCard International e Visa International), iquali, per concedere la certificazione alle aziende operanti nel settore dellaproduzione di carte plastificate (card vendors), richiedono l'osservanza diprecisi standard di sicurezza logica e fisica durante l'intero processo dilavorazione. Alriguardo, la Società ha riferito che le certificazioni richieste da MasterCarde Visa sarebbero legate agli standard messi a punto dall'organizzazionedenominata Payment Card Industry Security Standard Council (PCI-SSC), fondatada American Express Company, Discover Financial Services Inc., JCBInternational Company, MasterCard Worldwide e Visa Inc. per migliorare lasicurezza dei dati relativi ai pagamenti, la quale si sarebbe ispirata all'ISO/IEC 27001, costituente un vero e proprio punto di riferimento nell'ambitodella sicurezza delle informazioni (cfr. nota allegata all'e-mail del 30dicembre 2012). Inparticolare, gli standard PCI-DSS (cfr. definizioni presenti sul sitohttp://it.pcisecuritystandards.org/minisite/en/about.php), alla cui osservanzasarebbe tenuta anche XY, riguarderebbero non solo le misure volte a limitarel'accesso fisico ai dati dei titolari delle carte di pagamento (tra le qualivanno annoverate anche le videocamere "per monitorare gli accessi fisiciad aree sensibili" - cfr. PCI–DSS –requisiti e procedure divalutazione della sicurezza, versione 2 –ottobre 2010, pag. 52), ma anchequelle misure "per verificare che le carte personalizzate prodotterispondano ai legittimi proprietari" e per favorire "la tutela dellecarte e dei dati in esse contenuti durante la trasmissione del prodotto finitoai committenti" (cfr. nota del 21 giugno 2013, pag.2). Tuttociò premesso, già la scelta di XY di installare un adeguato sistema divideosorveglianza, al fine di prevenire accessi non autorizzati odanneggiamenti al patrimonio aziendale, comprendente informazioni, strutture emateriali, risulta in linea con i suindicati standard di sicurezza di settore. Inoltre,nel caso in questione sussistono anche specifici elementi che inducono aritenere che la richiesta di allungamento sino a 90 giorni dei tempi di conservazionedelle immagini attinenti a luoghi particolarmente delicati del sito produttivonon sia in contrasto con i principi posti dagli artt. 3 e 11 del Codice, purchéla loro utilizzazione avvenga nel rispetto delle procedure delineate dall'art.4 della legge n. 300/1970 e soltanto in ragione di eventi particolari segnalatidai committenti od oggetto d'indagine da parte dell'Autorità giudiziaria. Inproposito, in primo luogo occorre tenere conto dell'estrema delicatezzadell'attività produttiva svolta da XY, che si occupa non solo dellaprogettazione e realizzazione di supporti elettronici a banda magnetica voltiad essere utilizzati in settori di particolare importanza (ad es., quellobancario), ma anche della loro "personalizzazione", con conseguentetrattamento -e correlativa esigenza di protezione- di dati personali di enormimasse di clienti; in secondo luogo, non può non tenersi conto del fatto che ilsito di XX, già oggetto di episodi criminosi, si trova in una zona isolata eadiacente a vie di fuga facilmente raggiungibili. Inoltre,non può essere disconosciuta l'esigenza della società di monitorare l'integritàdelle card durante tutto l'iter di fabbricazione (comprensivo della fase di"personalizzazione") e sino alla loro fuoriuscita dall'azienda, nonchédi conservare per un periodo di tempo adeguato le immagini concernenti le fasidi lavorazione, anche al fine di poter dimostrare, a fronte di possibilisegnalazioni dei clienti o di richieste dell'Autorità giudiziaria, cheeventuali furti delle carte e/o illecite acquisizioni delle informazioni inesse riportate non si siano verificati prima della loro presa in custodia daparte dei committenti. Tale interesse, peraltro, appare ancor più giustificatoove si tenga conto del fatto che i tempi di consegna ai destinatari deipredetti supporti sono estremamente variabili in ragione delle differentiprocedure adottate dalle singole società che vi provvedono (cfr. nota del 21giugno 2013), sicché la ricostruzione dell'accaduto può doversi basare suregistrazioni risalenti nel tempo, sicuramente anche oltre la settimana. Infine,non può non tenersi conto del fatto che l'esistenza delle riferite esigenzerisulta confermata dalle stesse organizzazioni sindacali, le quali, oltre acondividere sin dal primo momento la necessità di istallare un sistema divideosorveglianza per un'adeguata tutela del patrimonio aziendale e per ilcorretto adeguamento dell'azienda agli standard di sicurezza richiesti daMastercard e Visa, (cfr. accordo sindacale del 2005), hanno aderito anche alprogetto di conservare per 90 giorni le immagini riferite ad aree del sitoproduttivo esposte a particolare rischio, anche in vista dell'ulteriore,indispensabile adeguamento della società alle richieste provenienti daglistessi enti certificatori (cfr. bozza di pre-accordo sottoscritta nel giugno2012). Pertanto,alla luce delle dichiarazioni rese (della cui veridicità la XY ha assunto ogniresponsabilità - anche penale - ai sensi dell'art. 168 del Codice), delleesigenze rappresentate e delle illustrate modalità di funzionamentodell'impianto, volto a tutelare il patrimonio aziendale, questa Autoritàritiene che la richiesta di verifica preliminare possa essere accolta. Ovviamente,l'accesso alle immagini conservate per 90 giorni, concernenti le sole areeesterne ai locali, quelle di ingresso e di uscita e le zone ritenute"sensibili" (caveau, magazzino, aree di produzione, di ricevimento edi spedizione) potrà essere effettuato solo nel caso in cui vengano ravvisati osegnalati eventuali illeciti, oppure allorché pervenga una richiesta in talsenso da parte dell'Autorità giudiziaria. Restainteso che le modifiche al sistema di videosorveglianza dovranno essereapportate nel rispetto di quanto previsto dall'art. 4, comma 2 della legge n.300/1970; circa le tipologie di accesso alle registrazioni proposte, ognidecisione viene rimessa alla stessa XY e alle organizzazioni sindacali,risultando entrambe rispettose dei principi di protezione dei dati personali. Roma, 24 ottobre 2013
|