|
Garante per la protezione dei dati personali vedi anche [newsletter] [Linee guida del 23 novembre 2006] [allegato B al Codice] Vigilanza pi "vigilata" negli aeroporti PROVVEDIMENTO DEL 17 SETTEMBRE 2009 IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Filippo Patroni Griffi, segretario generale; Esaminata la richiesta di verifica preliminare presentata da ICTS Italia S.r.l., ai sensi dell'art. 17 del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196); Visti gli atti d'ufficio; Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000; Relatore il dott. Mauro Paissan; PREMESSO 1. Trattamento di dati personali biometrici di lavoratori con finalit di accesso ad aree riservate aeroportuali e di verifica della presenza dei dipendenti. 1.1. ICTS Italia S.r.l. – societ che svolge attivit di vigilanza e sicurezza in ambito aeroportuale (attivit disciplinata dal Decreto ministeriale n. 85 del 29 gennaio 1999) – ha presentato a questa Autorit una richiesta di verifica preliminare ai sensi dell'art. 17 del Codice, relativa al trattamento di dati biometrici (ricavati dalla lettura delle impronte digitali) del personale operante presso l'aeroporto di Fiumicino. Il sistema verrebbe implementato sia per regolare l'accesso dei dipendenti della societ alle aree dell'aeroporto in cui essa svolge la propria attivit di vigilanza e sicurezza, sia per rilevare la presenza dei dipendenti, dovendosi per tale intendersi la semplice rilevazione, per finalit di sicurezza, della presenza o meno del dipendente, in un dato momento, nell'area sensibile, con esclusione del controllo sull'orario di lavoro. Successivamente la societ ha presentato altre richieste di verifica preliminare per l'utilizzo di analoghi sistemi di trattamento di dati biometrici relativi al personale dipendente operante presso: Aeroporto "Marco Polo" di Venezia; Aeroporto di Milano Linate; Aeroporto di Milano Malpensa; Aeroporto "Galileo Galilei" di Pisa. I controlli pre-volo verrebbero svolti dalla societ in aree aeroportuali il cui accesso limitato a persone (passeggeri ed operatori aeroportuali di staff), bagagli (a mano e da stiva) e merci secondo i controlli previsti dalle Schede 1, 2, 3 e 5 del "Programma Nazionale di Sicurezza" elaborato in esecuzione dell'art. 10 del Regolamento (CE) 11 marzo 2008, n. 300/2008, dal CISA (Comitato interministeriale per la sicurezza dei trasporti aerei e degli aeroporti), di cui l'ENAC assume la Presidenza. I suddetti controlli sono ritenuti di fondamentale importanza ai fini della sicurezza, in quanto idonei a prevenire l'introduzione a bordo degli aeromobili di armi, ordigni esplosivi, articoli pericolosi e di ogni altro oggetto in grado di causare turbative al normale svolgimento del traffico aereo. Le attivit di controllo e sicurezza verrebbero, pertanto, effettuate in zone delimitate dell'area aeroportuale. La societ ha dichiarato a tal fine che l'esigenza di adottare il sistema biometrico deriva dalla necessit di avere certezza assoluta relativamente all'identit dei propri dipendenti in ingresso nelle "aree sterili". Tali zone sono previste nel citato Regolamento CE n. 300/2008 che, istituendo norme comuni per la sicurezza dell'aviazione civile, definisce nel modo seguente le aree ad accesso limitato presenti negli aeroporti: "area lato volo" ("airside") quale area di manovra di un aeroporto, terreni ed edifici adiacenti, o parti di essi, l'accesso ai quali limitato; "aree sterili" ("security restricted area") come le parti di area lato volo ove, oltre alle limitazioni all'accesso, sono adottate ulteriori misure di sicurezza. Il Regolamento citato prescrive, nell'ambito delle "Norme fondamentali comuni per la protezione dell'aviazione civile da atti di interferenza illecita" di cui all'art. 4 e all'Allegato, che l'accesso all'"area lato volo" e alle "aree sterili" "deve essere limitato in modo tale da impedire che persone e veicoli non autorizzati possano accedervi" e che "alle persone e ai veicoli pu essere consentito l'accesso all'area lato volo e alle aree sterili solo se soddisfano le condizioni di sicurezza prescritte". L'installazione del sistema di rilevazione biometrica contribuirebbe, secondo la societ, a ridurre al minimo il rischio di accessi incontrollati, potenzialmente pericolosi per la sicurezza della collettivit, mediante una maggiore affidabilit nel riconoscimento dell'identit del soggetto rispetto ai sistemi meccanici tradizionali, basati su badge, suscettibili di manipolazioni ed utilizzazioni fraudolente. Il sistema biometrico sarebbe preordinato, oltre che alla regolazione dell'accesso dei dipendenti della societ alle "aree sterili" dell'aeroporto, anche alla rilevazione della presenza dei dipendenti medesimi nelle aree in questione. 1.2. La societ ha dichiarato che i lavoratori interessati alla rilevazione biometrica sarebbero tutti i dipendenti della societ (per un totale, relativo ai cinque aeroporti, di n. 518 persone), in quanto "[...] tutti i dipendenti della sede di [] operano all'interno delle aree sterili, nelle quali i controlli all'accesso devono essere severamente effettuati e tutti i medesimi dipendenti sono destinati all'espletamento di singole e specifiche mansioni di vigilanza e controllo []". 1.3. Il sistema di verifica biometrica, sempre secondo quanto dichiarato dalla ICTS S.r.l., costituito da dispositivi di lettura di impronte digitali non centralizzati, nonch da un software per la conversione dell'impronta rilevata in un insieme di dati caratteristici – c.d. template – dal quale non sarebbe possibile ricostruire inversamente l'impronta biometrica stessa. Il template viene memorizzato in una tessera identificativa (smart card) "unica, personale ed in esclusivo possesso del dipendente". La smart card contiene, oltre al template, solo un codice identificativo assegnato al dipendente nella fase di enrollment e non dunque presente alcuna indicazione nominativa del dipendente n alcun dato che possa fornire informazioni circa l'identit del possessore della tessera. Il sistema, fornito da una societ esterna, prevede due diverse fasi di funzionamento: la prima di memorizzazione iniziale dell'impronta, o fase di iscrizione (enrollment), nel corso della quale, "alla presenza del dipendente che ha prestato preventivamente il proprio consenso", viene indicato il codice identificativo del dipendente, che rilascia l'impronta digitale sul sensore del terminale. Nella seconda fase l'impronta viene convertita in template e trasferita sulla tessera identificativa del dipendente, con contestuale immediata cancellazione dell'impronta e del template dalla memoria del sistema. Nella fase di autenticazione, coincidente con il momento dell'accesso del dipendente, questi dovrebbe avvicinare la tessera al terminale e rilasciare l'impronta sul sensore ottico. Il sistema effettua quindi il confronto tra il template memorizzato sulla carta e quello acquisito e solo in caso di corrispondenza consente l'accesso. La procedura si conclude con la cancellazione delle informazioni personali e del template dalla memoria del terminale. La ICTS S.r.l. ha precisato che l'installatore, al termine dell'intervento, ne fornir una descrizione scritta, attestando la conformit alle disposizioni del Codice ed in particolare del disciplinare tecnico contenuto nell'allegato B) allo stesso. 2. I principi di necessit, liceit, finalit e pertinenza nel trattamento di dati biometrici dei lavoratori. Insussistenza di tali presupposti fuori delle "aree sterili". 2.1. La raccolta e la registrazione di impronte digitali e dei dati biometrici da esse ricavati e successivamente utilizzati per l'autenticazione degli interessati sono operazioni di trattamento di dati personali (art. 4, comma 1, lett. b), del Codice), alle quali trova applicazione la normativa contenuta nel Codice. La liceit del sistema deve essere pertanto valutata sul piano della conformit ai principi di necessit, proporzionalit, finalit e correttezza (artt. 3 e 11 del Codice). 2.2. Gli elementi acquisiti nel caso di specie consentono di ritenere che, in relazione ai soli accessi alle "aree sterili", sia lecito e proporzionato il trattamento di dati biometrici consistente nell'identificazione (per quanto possibile) certa dei dipendenti della societ medesima abilitati all'accesso. Come gi affermato da questa Autorit in diverse circostanze nonch con un provvedimento a carattere generale (Provv. 23 novembre 2006), l'uso di dati biometrici pu essere giustificato solo in casi particolari, tenuto conto delle finalit e del contesto in cui essi sono trattati e, in relazione ai luoghi di lavoro, per presidiare accessi ad "aree sensibili", considerata la natura delle attivit ivi svolte: si pensi, ad esempio, a processi produttivi pericolosi (cfr. Provv. 15 giugno 2006) o sottoposti a segreti di varia natura (cfr. Provv. 23 novembre 2005) o al fatto che particolari locali siano destinati alla custodia di beni, documenti segreti o riservati o oggetti di valore (cfr. Provv. 15 giugno 2006), oppure per tutelare la sicurezza di terzi (cfr. Provv. 26 luglio 2006). Nel caso di specie, le zone dell'aeroporto situate all'interno delle "aree sterili" in cui la societ svolge attivit di vigilanza e sicurezza risultano allo stato richiedere l'adozione di standard di sicurezza specifici ed elevati, nonch di affidabili sistemi di identificazione dei soggetti deputati ad accedervi in conformit alle procedure previste dalla vigente normativa a garanzia della sicurezza di persone e cose (cfr. Regolamento CE n. 300/2008 dell'11 marzo 2008; D.M. n. 85 del 29 gennaio 1999). Per quanto sopra esposto, non risulta quindi sproporzionato l'uso di dati biometrici tratti dalle impronte digitali nelle zone sopra indicate, tenendo conto anche del fatto che il template, memorizzato sulla smart card e protetto con un sistema di crittografia, destinato a restare nell'esclusiva disponibilit dell'interessato. 2.3. Anche sotto il profilo della necessit si ritengono ragionevoli le affermazioni della societ, per cui "l'adozione di un sistema diverso da quello di rilevazione dei dati biometrici dei dipendenti non sarebbe in grado di garantire il medesimo grado di certezza nell'accertamento dell'identit del personale qualificato della societ e, come tale, autorizzato ad accedere alle aree sterili dell'aeroporto". La societ rileva come il sistema meccanico fino ad ora utilizzato sia suscettibile di pericolose manipolazioni ed utilizzazioni fraudolente, come ad esempio nel caso di smarrimento del badge. Pertanto, alla luce della peculiarit dell'attivit di sicurezza in ambito aeroportuale svolta dalla societ "in aree dell'aeroporto, dette sterili, nelle quali l'accesso deve essere concesso esclusivamente ai soggetti autorizzati allo svolgimento degli specifici compiti di controllo e vigilanza", si pu ritenere che il trattamento di dati biometrici – effettuato per il controllo degli accessi alle "aree sterili" da parte del personale dipendente preposto alle attivit di controllo e vigilanza – avvenga per finalit lecite e soddisfi i requisiti di necessit e proporzionalit. 2.4. La societ ha dichiarato che tutti i dipendenti operano all'interno delle "aree sterili" dell'aeroporto e che tutti svolgono, a turno, mansioni rientranti nell'attivit di vigilanza e sicurezza, per cui sarebbe giustificato l'utilizzo dei dati biometrici a fini di autenticazione all'accesso per il complesso del personale dipendente da ICTS Italia S.r.l. Sempre secondo le dichiarazioni rese dalla societ, il sistema di autenticazione biometrica verrebbe impiegato esclusivamente per la "regolazione dell'accesso alle aree sterili dell'aeroporto e, dunque, per soli scopi di sicurezza e vigilanza". Se ne deduce quindi che tale sistema non verr utilizzato per finalit diverse quale, ad esempio, la verifica dell'osservanza dell'orario di lavoro. Tale precisazione assume centrale rilevanza, in quanto, per converso, la rilevazione a fini di osservanza dell'orario di lavoro, non lecita, in quanto misura sproporzionata (cfr. Provv. 21 luglio 2005; Provv. 15 giugno 2006; da ultimo Provv. 2 ottobre 2008). La verifica dell'esatto adempimento della prestazione lavorativa pu essere quindi legittimamente perseguita, nel caso di specie, senza ricorrere ad alcun trattamento di dati biometrici (nel rispetto dell'art. 3 del Codice), avvalendosi pertanto di altro idoneo sistema a tal fine predisposto. 3. Qualit dei dati e misure di sicurezza rispetto al trattamento dei dati biometrici, informativa agli interessati e notificazione del trattamento. 3.1. Nelle "aree sterili", e nella misura in cui il trattamento in esame risulti proporzionato nei termini predetti, occorre comunque avvalersi di un sistema efficace di verifica e di identificazione biometrica basato solo sulla lettura delle impronte digitali memorizzate, sotto forma di template cifrato, su un supporto posto nell'esclusiva disponibilit dell'interessato (smart card o dispositivo analogo), privo di indicazioni nominative, con impresso soltanto un codice individuale, s che, pure in caso di smarrimento del supporto, siano remote le possibilit di abuso rispetto ai dati biometrici memorizzati. 3.2. Le misure di sicurezza che si intenderebbe predisporre a protezione dei dati sono conformi alle disposizioni fissate dal Codice, alla luce di quanto dichiarato dalla societ con riguardo al fatto che: il sistema biometrico non memorizzer alcun dato personale; n l'immagine dell'impronta n il template verranno conservati in memoria centrale o nel terminale e verranno immediatamente cancellati dalla memoria del sistema e del terminale dopo la fase di enrollment e dopo ogni fase di autenticazione; non verr memorizzata l'impronta biometrica ma il solo template - cifrato, su una smart card posta nell'esclusiva disponibilit dell'interessato e priva di indicazioni nominative; verranno impartite tutte le necessarie direttive agli incaricati del trattamento, appositamente istruiti sulle incombenze loro affidate. 3.3. Si prende poi atto di quanto dichiarato dalla societ circa il fatto che tutti i lavoratori interessati all'utilizzo del sistema in esame riceveranno – al momento dell'installazione del sistema (e comunque prima dell'avvio dello stesso) – un'informativa scritta specifica completa degli elementi previsti dal Codice (art. 13) rispetto al trattamento di dati biometrici che si intende porre in essere. In particolare, l'informativa conterr la chiara indicazione delle finalit perseguite, del titolare, del responsabile e degli incaricati. 3.4. La societ si impegnata altres a raccogliere il consenso specifico e scritto degli interessati (per l'utilizzo di dati biometrici). In relazione all'eventualit che alcuni lavoratori non possano o non intendano aderire alla rilevazione biometrica effettuata nei termini di cui in motivazione, la societ dovr comunque predisporre un sistema alternativo di identificazione, come, ad esempio, quello espressamente richiesto all'art. 5 dell'ordinanza n. 8/2006 dell'E.n.a.c. – Direzione aeroportuale Milano–Malpensa (che riconosce come facoltativo il sistema biometrico), consistente nell'utilizzo di un badge unitamente ad un codice individuale (P.I.N.). L'esistenza di tale sistema alternativo deve specificamente essere evidenziata nell'informativa agli interessati. 3.5. La societ tenuta a notificare al Garante il trattamento dei dati biometrici prima che abbiano inizio le operazioni di trattamento (art. 37, comma 1, lett. a), del Codice). 4. Conservazione dei dati I dati personali necessari per realizzare il template potranno essere trattati, come specificato dalla societ, esclusivamente durante la fase di enrollment e le fasi di autenticazione all'accesso. La societ non ha invece indicato, nella richiesta di verifica preliminare presentata, alcun termine per la conservazione dei dati relativi agli accessi da parte del personale dipendente alle "aree sterili". I dati memorizzati relativi agli accessi dovranno essere accessibili al personale preposto al rispetto delle misure di sicurezza all'interno della societ per l'esclusiva finalit dell'osservanza delle medesime; potranno essere inoltre conservati per il tempo massimo di sette giorni assicurando, oltre tale arco temporale, meccanismi di cancellazione automatica dei dati. Il medesimo intervallo temporale, in assenza di disposizioni di legge o di provvedimenti dell'autorit aeroportuale e, comunque, di pi precise indicazioni da parte della societ, appare ragionevole, tenendo conto delle necessit di accertare – anche a posteriori – l'eventuale accesso indebito di personale non autorizzato. 5. Conclusioni La societ potr effettuare il trattamento di dati personali dichiarato qualora rispetti le misure e gli accorgimenti a garanzia degli interessati prescritti con il presente provvedimento in attuazione del Codice (art. 17), i quali vanno osservati affinch il medesimo trattamento sia lecito e corretto, richiamando le sanzioni amministrative (art. 161 e segg.) e penali (art. 167 e segg.) previste dal Codice in caso di violazione delle disposizioni. TUTTO CI PREMESSO IL GARANTE preso atto del trattamento di dati biometrici da effettuarsi mediante un sistema di verifica – presso gli aeroporti di Fiumicino, Milano Malpensa, Milano Linate, Venezia e Pisa da parte di ICTS Italia S.r.l. nei confronti dei propri dipendenti che abbiano accesso alle "aree sterili" di cui in premessa – basato sul confronto tra le impronte digitali rilevate ad ogni accesso ed il template, memorizzato e cifrato su un supporto che resti nell'esclusiva disponibilit dei lavoratori interessati, prescrive a ICTS Italia S.r.l., ai sensi degli artt. 17 e 154, comma 1, lett. c), del Codice, di adottare tutte le misure e gli accorgimenti a garanzia degli interessati nei termini di cui in motivazione fra cui, in particolare, di: trattare, oltre ai dati biometrici estratti dall'analisi delle impronte digitali, i soli dati necessari al funzionamento del sistema biometrico: un codice identificativo individuale ed un eventuale codice assegnato al badge utilizzato; indicare chiaramente nell'informativa resa agli interessati l'esistenza di modalit alternative di accesso e di identificazione, specificando inoltre la natura facoltativa del consenso al trattamento dei dati biometrici; consentire l'accessibilit dei dati memorizzati al personale preposto al rispetto delle misure di sicurezza all'interno dell'ICTS Italia S.r.l., per l'esclusiva finalit della verifica della loro osservanza (rispettando peraltro la disciplina sul controllo a distanza dei lavoratori, richiamata dall'art. 114 del Codice); conservare i dati relativi agli accessi alle "aree sterili" per il tempo massimo di sette giorni; designare la persona preposta all'attivazione delle "smart card" quale incaricato delle relative operazioni di trattamento, impartendogli idonee istruzioni alle quali attenersi (art. 30 del Codice), con particolare riguardo al caso di perdita o sottrazione delle smart card. Analoghe istruzioni dovranno essere fornite agli interessati in caso di perdita o sottrazione delle smart card loro assegnate; notificare al Garante il trattamento dei dati biometrici prima che abbiano inizio le operazioni di trattamento (art. 37, comma 1, lett. a), del Codice); designazione per iscritto da parte di ICTS Italia S.r.l. della societ esterna quale responsabile del trattamento fornendo precise istruzioni al riguardo, nel caso in cui fosse ad essa affidato il processo di enrollment e trattamento iniziale dei dati personali. Roma, 17 settembre 2009 Il presidente Il relatore Il segretario generale |