BIOMETRIA PER SICUREZZA MERCI E CONTROLLI PRESENZE PRESSO AEROPORTI

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nellariunione odierna, in presenza del prof. FrancescoPizzetti, presidente, del dott. Giuseppe Chiaravalloti,vice presidente, del dott. Mauro Paissan e del dott.Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli,segretario generale;

Esaminata la richiesta di verifica preliminarepresentata da Alha Airport S.p.a. ai sensi dell'art. 17 del Codice in materia diprotezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

Vistigli atti d'ufficio;

Viste le osservazioni formulate dal segretariogenerale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatoreil dott. Giuseppe Fortunato;

PREMESSO

1.Trattamento di dati personali biometrici dilavoratori con finalità di accesso ad aree riservateaeroportuali e di verifica della presenza dei dipendenti

1.1.Alha Airport S.p.a. "società che, in possesso della qualifica di"Agente di handling autorizzato" rilasciata dal Servizio vigilanzaprevenzione di polizia e procedure aeroportuali dell'E.n.a.c., svolge attività di movimentazione a terra di merci epasseggeri in ambito aeroportuale (ora disciplinata dal d.lg.13 gennaio 1999, n. 18)" ha presentato a questa Autorità una richiesta diverifica preliminare ai sensi dell'art. 17 del Codice, relativa al trattamentodi dati biometrici (ricavati dalla lettura delleimpronte digitali) del personale che ha accesso ad alcuni locali della propriasede operativa dell'aeroporto di Milano-Malpensa: sitratterebbe, in particolare, di un magazzino di stoccaggio delle merci e di uncaveau (nel quale sono depositati beni di particolare valore). Tali ambienti sono ubicati nelle c.d. aree "sterili" ("security restricted area"),soggette a controlli e procedure inerenti la tutela della sicurezza edell'ordine pubblico previsti dal "Programma nazionale di sicurezza"per esigenze "[...] di tutela di persone e cose edi prevenzione del rischio [...] di atti terroristici[...]" (cfr. d.P.R. 4luglio 1985, n. 461); analogo sistema verrebbe altresì installato per accedereagli uffici della società presenti nell'area aeroportuale.

Lasocietà ha dichiarato e documentato di dover rispettare, oltre alle proceduredel Programma nazionale di sicurezza che mirano a "[...]prevenire l'introduzione illecita, nelle stive degliaeromobili, di armi non autorizzate, di ordigni, di esplosivi e di ogni altrooggetto in grado di causare grave turbativa al normale svolgimento del trafficoaereo civile", anche ulteriori prescrizioni di sicurezza impartite dallaDirezione di aeroporto a seguito di deliberazioni del Comitato di sicurezzaaeroportuale, con particolare riferimento all'art. 5 dell'ordinanza n. 8/2006dell'E.n.a.c. Direzione Aeroportuale Milano"Malpensache prevede la possibilità di ingressi a soggetti autorizzati attraverso varchi"configurati in modo da consentire l'accesso, ad una persona per volta,dopo aver inserito il proprio badge, associato ad un P.I.N.,nell'apposito lettore". In luogo di questo sistema la medesimadisposizione ammette, previa approvazione dell'E.n.a.c., l'utilizzo di sistemi biometrici.

L'installazionecontribuirebbe inoltre a scongiurare il reiterarsi diepisodi di indebita sottrazione di merci di vari vettori aerei già avvenutinell'aeroporto di Malpensa "[...] a causa della mancanza di sistemi di sicurezza ausiliaririspetto a quelli già imposti [...]" dal Programma nazionale di sicurezza(cfr. comunicazione Alha Airport S.p.a.del 31 gennaio 2006).

Ilsistema biometrico (da installare a presidio dicinque accessi ai locali sopra menzionati, e che secondo la societàgarantirebbe un accertamento più rigoroso dell'identità del personaleautorizzato ad accedere ai locali sopra menzionati)sarebbe altresì preordinato alla rilevazione della presenza dei dipendentidella società.

1.2.La società ha dichiarato che i lavoratori interessati alla rilevazione biometrica (circa 190 dipendenti di Alha Airport S.p.a.,oltre ai componenti della Direzione di Firenze della società e 100soci/lavoratori delle cooperative "La Corsica" e "Riz") sarebbero quelli che "[...] per necessità operative hanno l'esigenza ditransitare/accedere nelle aree sterili (magazzino e caveau) [...]"; ilpersonale della società "[...] che presta ilproprio lavoro in ufficio (impiegati) e che non ha necessità d'accesso inmagazzino e/o caveau, non sarà obbligato ad entrare da varchi regolati dasistema biometrico" (cfr.comunicazione Alha Airport s.p.a. del 14 giugno 2006).

1.3.Il sistema di verifica biometrica sarebbe costituitoda dispositivi di lettura di impronte digitali noncentralizzati, ma totalmente autonomi nello svolgimento della procedura diidentificazione biometrica (in quanto dotati di unproprio microprocessore e di un propria memoria di lavoro), nonché da unsoftware per la trasformazione in un codice numerico dell'impronta rilevata inoccasione di ogni ingresso all'area riservata, codice poi confrontato con il template precedentemente ricavato dalla lettura dell'improntadell'interessato e cifrato "[...] solo su unasmart card, anziché nella memoria interna dei dispositivi [...]" postanell'esclusiva disponibilità del lavoratore. L'associazione tra i due codici,preceduta dalla lettura della tessera, consentirebbe l'accesso all'areariservata (cfr. comunicazioneAlha Airport S.p.a. del 31 gennaio 2006 e punto 8 della comunicazione Alha Airport S.p.a.del 14 giugno 2006).

Idati trattati, oltre a quelli biometrici estrattidall'analisi delle impronte digitali, sarebbero nome e cognome, numero dimatricola, codice assegnato al badge utilizzato quale supporto del template e profilo di autorizzazioneindividuale.

2.I principi di necessità, liceità, finalità e pertinenza neltrattamento di dati biometrici dei lavoratori.Insussistenza di tali presupposti fuori delle "aree sensibili"

2.1.La raccolta e la registrazione di impronte digitali edei dati biometrici da esse ricavati esuccessivamente utilizzati per l'autenticazione o l'identificazione degliinteressati sono operazioni di trattamento di dati personali (art. 4, comma 1,lett. b), del Codice), alle quali trova applicazione la normativa contenuta nelCodice (v. Provv. 19 novembre 1999, in Boll. n. 10, p. 68, doc. web n. 42058; 21 luglio 2005, in Boll. n. 63, doc. web n. 1150679; 23 novembre 2005, in Boll. n. 66, doc. webn. 1202254; in merito, v. pure il documento di lavoro sulla biometria delGruppo art. 29, direttiva 95/46/Ce"Wp 80-, punto 3.1.).

 Laliceità del sistema deve essere pertanto valutata sul piano della conformità aiprincipi di necessità, proporzionalità, finalità e correttezza (artt. 3 e 11 del Codice).

2.2.Gli elementi acquisiti nel caso di specie consentono di ritenere che, in relazione ai soli accessi al magazzino e al caveau, sialecito e proporzionato il trattamento di dati biometriciconsistente nell'identificazione (per quanto possibile) certa dei dipendentidella società medesima abilitati all'accesso (oltre che dei soci/lavoratorifacenti capo alle società cooperative "La Corsica" e "Riz" che cooperano con Alha Airport S.p.a.).

Comegià affermato da questa Autorità (Provv. 15giugno 2006, in http://www.garanteprivacy.it, doc. webn. 1306098), l'utilizzo di dati biometrici puòrisultare infatti giustificato solo in casi particolari. Occorre a tal finetenere conto delle finalità e del contesto in cui essisono trattati. In relazione a luoghi di lavoro comequelli in esame, risulta proporzionato utilizzare i sistemi in esame perpresidiare accessi ad "aree sensibili", considerata la natura delleattività ivi svolte (si pensi, ad esempio, a processi produttivi pericolosi osottoposti a segreti, di varia natura: cfr.  Provv. 23 novembre 2005, inhttp://www.garanteprivacy.it, doc. webn. 1202254) o in ragione dei beni ivi custoditi (quali, documenti segretio riservati o oggetti di valore) oppure, nella situazione in esame, perassicurare la sicurezza di terzi.

Nelcaso di specie, i locali dove la società svolge le proprie attività di assistenza a terra (correlate all'ordinato svolgimentodel traffico aeroportuale) risultano allo stato richiedere l'adozione distandard di sicurezza specifici ed elevati, nonché di affidabili sistemi diidentificazione dei soggetti deputati ad accedervi in conformità alle procedurepreviste dalla vigente normativa a garanzia della sicurezza di persone e cose (cfr. d.P.R.4 luglio 1985, n. 461).

Allaluce delle circostanze menzionate, non risulta quindisproporzionato l'uso di dati biometrici tratti delleimpronte digitali nei locali sopra indicati, tenendo conto anche del fatto cheil template, memorizzato sulla smart card e cheverrebbe protetto con una chiave crittografica (cfr. punto 11 della comunicazione Alha Airport S.p.a. del 14 giugno2006), è destinato a restare nell'esclusiva disponibilità dell'interessato.

2.3.Analoga valutazione non può essere invece estesa nei confronti del trattamentodi dati biometrici previsto per l'accesso ad ufficidella società rispetto ai quali, allo stato degli atti, non è stata fornitadalla società idonea prova della sussistenza di analoghestringenti esigenze di sicurezza che, in conformità ai principi di necessità eproporzionalità (artt. 3 e 11 del Codice),giustifichino l'utilizzo di dati biometrici in luogo di altri strumenti meno invasivi.

2.4.Il trattamento di dati biometrici sopra descritto nonrisulta altresì lecito per perseguire la diversafinalità di rilevazione della presenza dei dipendenti della società. Ciò, sia in quanto la società non ha addotto ragioni specifiche asostegno della necessità di ricorrere a tale peculiare modalità di verificadell'osservanza dell'orario di lavoro, già dichiarata sproporzionata in passatodal Garante (cfr. Provv. 21 luglio 2005,doc. web n. 1150679; da ultimo Provv.ti del 15 giugno 2006, inhttp://www.garanteprivacy.it, docc. web nn. 1306523, 1306530 e 1306551)"limitandosi ad accennare all'esigenza, che parrebbe essere di naturaprettamente organizzativa, di evitare la contemporanea presenza di due sistemidi controllo concorrenti", sia perché ne sarebbe prevista l'introduzione nei soliconfronti dei dipendenti destinati ad accedere all'area riservata, adesclusione dei restanti lavoratori della società.

Laverifica dell'esatto adempimento della prestazione lavorativa può essere quindilegittimamente perseguita, nel caso di specie, senza ricorrere ad alcuntrattamento di dati biometrici (nel rispettodell'art. 3 del Codice), avvalendosi pertanto di altro idoneo sistema a talfine predisposto.

3.Qualità dei dati e misure di sicurezza rispetto altrattamento dei dati biometrici, informativa agliinteressati e notificazione del trattamento. Necessità dello scrupolosorispetto di prescrizioni nelle "aree sensibili"

3.1.Nelle "aree sensibili", e nella misura in cui il trattamento in esamerisulti proporzionato nei termini predetti, occorrecomunque avvalersi di un sistema efficace di verifica e di identificazione biometrica basato solo  sulla lettura delle improntedigitali memorizzate, sotto forma di templatecifrato, su un supporto posto nell'esclusiva disponibilità dell'interessato(smart card o dispositivo analogo). Diversamente da quanto prefigurato dallasocietà tale supporto dovrà essere poi privo di indicazioninominative (essendo sufficiente l'attribuzione a ciascun dipendente di uncodice individuale), sì che, pure in caso di smarrimento del medesimo, sianoremote le possibilità di abuso rispetto ai dati biometricimemorizzati.

3.2.Le misure di sicurezza che si intende predisporre aprotezione dei dati sono conformi alle disposizioni fissate dal Codice, allaluce di quanto dichiarato dalla società con riguardo al fatto che: i template verrebbero crittografati; il software di gestione(protetto da password) e i dispositivi di creazione delle tessere sarannoubicati in una central room sorvegliatapermanentemente per prevenire accessi non autorizzati al sistema ed operazionidi trattamento da parte di soggetti non autorizzati; l'attestato di cui allaregola n. 25 del Disciplinare tecnico in materia di misure minime di sicurezza(Allegato "B" al Codice) ed ogni altra idonea certificazione odomologazione dei dispositivi impiegati verranno rilasciati dall'installatoredel sistema e conservati dalla società presso la propria struttura; la societàdesignerà per iscritto il responsabile del centro elaborazione dati (deputatoalla raccolta dei dati biometrici) e la personapreposta all'attivazione delle smart card assegnate ai lavoratori qualiincaricati delle relative operazioni di trattamento, impartendo loro idoneeistruzioni alle quali attenersi (art. 30 del Codice).

Inaggiunta alle misure di sicurezza prescritte dal Codice, la società dovràadottare ulteriori accorgimenti a protezione dei dati,impartendo agli interessati apposite istruzioni scritte alle quali attenersi,con particolare riguardo al caso di perdita o sottrazione delle smart card loroaffidate (cfr. punto 19della comunicazione Alha AirportS.p.a. del 14 giugno 2006).

3.2.Si prende poi atto di quanto dichiarato dalla società circa il fatto che tuttii lavoratori interessati all'utilizzo del sistema in esame riceveranno un'informativascritta completa degli elementi previsti dal Codice (art. 13) rispetto altrattamento di dati biometrici che intende porre inessere; la medesima dovrà tener conto delle modifiche al sistema biometrico derivanti dal presente provvedimento.

3.3.La società resta altresì tenuta a raccogliere il consenso degli interessati(per l'utilizzo di dati biometrici); in relazione all'eventualità che alcuni lavoratori nonpossano o non intendano aderire alla rilevazione biometricaeffettuata nei termini di cui in motivazione, risulta comunque praticabile ilsistema alternativo di identificazione, peraltro espressamente richiestoall'art. 5 dell'ordinanza n. 8/2006 dell'E.n.a.c."Direzioneaeroportuale Milano"Malpensa (che riconosce come facoltativo, il sistema biometrico), consistente, come detto, nell'utilizzounitamente al badge, di un codice individuale (P.I.N.). L'esistenza di talesistema alternativo deve essere evidenziata nell'informativa agli interessati.

3.4.La società resta parimenti tenuta a notificare al Garante il trattamento deidati biometrici prima che abbianoinizio le operazioni di trattamento (art. 37, comma 1, lett. a), del Codice), arispettare, sussistendone i presupposti, la disciplina del controllo a distanzadei lavoratori (art. 4, comma 2, l. 20 maggio 1970, n. 300; art. 114 delCodice) e a richiedere la formale approvazione da parte dell'E.n.a.c., in conformità all'art. 5 della menzionataordinanza n. 8/2006 della Direzione aeroportuale Milano"Malpensa.

4.Conservazione dei dati

Idati personali necessari per realizzare il templatepotranno essere trattati esclusivamente durante la fase di enrollment.

Idati memorizzati dovranno essere accessibili al personale preposto al rispettodelle misure di sicurezza all'interno della societàper l'esclusiva finalità dell'osservanza delle medesime; potranno essereinoltre conservati per il tempo massimo di sette giorni assicurando, oltre talearco temporale, meccanismi di cancellazione automatica dei dati. Il medesimointervallo temporale, in assenza di disposizioni di legge o di provvedimentidell'autorità aeroportuale e, comunque, più preciseindicazioni da parte della società, appare ragionevole, tenendo conto dei benicustoditi nell'area riservata (che si intendono con tale sistema proteggere), lacui sottrazione potrebbe essere scoperta a distanza di tempo.

5.Conclusioni

Lasocietà potrà effettuare il trattamento di datipersonali dichiarati qualora rispetti le misure e gli accorgimenti a garanziadegli interessati prescritti con il presente provvedimento, in attuazione delCodice, i quali vanno osservati affinché il medesimo trattamento sia lecito ecorretto anche ai fini dell'eventuale applicazione di sanzioni penali (artt. 17 e 167 del Codice).

TUTTO CIÒ PREMESSO IL GARANTE

*preso attodel trattamento di dati biometrici effettuatomediante un sistema di verifica basato sul confronto tra le impronte rilevatead ogni accesso all'area riservata e il template,memorizzato e cifrato su un supporto che resti nell'esclusiva disponibilità deilavoratori interessati (punti 1. e 2.2.), prescrive ad Alha Airport S.p.a., ai sensi degli artt. 17 e 154, comma 1, lett. c),del Codice, di adottare tutte le misure e gli accorgimenti a garanzia degliinteressati nei termini di cui in motivazione fra cui, in particolare:

*ditrattare, oltre ai dati biometrici estrattidell'analisi delle impronte digitali, i soli datinecessari al funzionamento del sistema biometrico: uncodice identificativo individuale, un codice assegnato al badge utilizzatoquale supporto del template e il profilo diautorizzazione individuale;

*diindicare l'esistenza del sistema alternativo di identificazionenell'informativa agli interessati;

*diconservare i dati relativi agli orari di accesso allearee riservate per il tempo massimo di sette giorni (punto 4);

*vieta,ai sensi dell'art. 154, comma 1, lett. d), del Codice, il trattamento dei dati biometrici fuori delle aree riservate, nonchéil trattamento effettuato mediante il sistema descritto in narrativa per lefinalità di rilevazione della presenza dei lavoratori (punto 2.4.).

Roma,26 luglio 2006

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
Buttarelli