| Garante per la protezione dei dati personali Videosorveglianza.Verifica preliminare richiesta da Ghirlanda Cards s.r.l. PROVVEDIMENTO DEL 21MARZO 2012 Registro dei provvedimenti n. 114 del 21marzo 2012 IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI Nella riunione odierna, in presenza del prof. Francesco Pizzetti,presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. MauroPaissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele DePaoli, segretario generale; Esaminata la richiesta di verifica preliminare presentata da GhirlandaCards s.r.l. ai sensi dell'art. 17 del d.lg. 30 giugno 2003, n. 196 (Codice inmateria di protezione dei dati personali); Visto il provvedimento generale in materia di videosorveglianza dell' Esaminata la documentazione acquisita agli atti; Viste le osservazioni formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000; Relatore il dott. Giuseppe Fortunato; PREMESSO 1. L'istanza della società. 1.1. In data 23 dicembre 2010, la società Ghirlanda Cards s.r.l., haformulato un'istanza di verifica preliminare (art. 17 del Codice) al fine dipoter conservare per 90 giorni le immagini registrate attraverso il sistema divideosorveglianza in uso presso la sede operativa della società, sita inMarcallo con Casone, Via G. Ferraris 80/90 (MI). La società ha dichiarato di operare nel campo grafico e di produrre"tessere magnetiche ed a microprocessore per applicazioni di sicurezza esanitarie" (carte di credito, carte regionali dei servizi e, più ingenerale, carte di identificazione), fornendo anche tutti i servizi relativialla loro personalizzazione e postalizzazione ed offrendo una completa"assistenza software per le applicazioni concernenti i chipmemory/microprocessori" e per il loro inserimento sulle carte plastificate(c.d. embedding). La società ha riferito che i rischi connessi all'attività produttivasvolta sarebbero "paragonabili a quelli di una banca" (cfr. nota del23 dicembre 2010), in quanto essa avrebbe ad oggetto carte di credito e diidentificazione "che possono essere già personalizzate e quindi, a tuttigli effetti, utilizzabili". Ciò avrebbe indotto l'azienda a provvedereall'installazione di un sistema di videosorveglianza che però, attualmente,consentirebbe la conservazione delle immagini per soli 7 giorni, allo scaderedei quali esse verrebbero cancellate automaticamente. Le ragioni poste a base dell'odierna richiesta risiederebbero non solonell'esigenza di rafforzare il livello di tutela della proprietà aziendale e digarantire la sicurezza delle persone, dei prodotti e dei dati dei clienti edegli utilizzatori finali, ma anche nella necessità di raggiungere uno standarddi sicurezza più elevato, osservando in concreto i parametri fissati daicircuiti internazionali MasterCard International e Visa International, presso iquali l'azienda sarebbe certificata per la produzione di carte di credito. In particolare, tra le misure di sicurezza richieste da detti enticertificatori, figurerebbe anche la conservazione delle immagini videoregistrateper un arco temporale di 90 giorni, ritenuta necessaria per rafforzare lemisure volte a prevenire e a contrastare comportamenti illeciti (inparticolare, furti) eventualmente posti in essere dal personale interno"autorizzato all'accesso ai reparti" (cfr. nota Ghirlanda Cards del22 dicembre 2011, p. 4). A corredo della propria istanza, la società ha fatto pervenire: a) copia di alcuni estratti relativi alle"prescrizioni" impartite dagli enti certificatori in tema disicurezza e di sistemi di videosorveglianza; b) copia della bozza di accordo sindacale sottoscritto con leorganizzazioni di rappresentanza dei lavoratori in conformità all'art. 4 dellalegge n. 300/1970. La società, infine, ha dichiarato che Mastercard e Visa "nonfanno espressamente riferimento a nessuna norma tecnica o protocollointernazionale che riguardino l'ambito della sicurezza delleinformazioni". 2 Le modalità di funzionamento del sistema Il sistema di videosorveglianza di cui la società già si avvale èprovvisto di ben 62 telecamere, dislocate sia all'interno del sito produttivo,sia perimetralmente; alcune di esse effettuano la registrazione ad intervallistabiliti anche in assenza di movimento, mentre altre si attivano solamentequando il singolo dispositivo riscontra un movimento all'interno del suo raggiod'azione (cfr. nota Ghirlanda Cards del 22/12/2011). Quanto alle misure di sicurezza minime, è stato dichiarato che "laconsolle di gestione dell'impianto e l'hard disk di archiviazione delleimmagini sono posti in un locale ad accesso riservato, tramite badge personali,solo ai soggetti autorizzati al trattamento"; l'accesso alleregistrazioni è consentito solo al responsabile della sicurezza fisica e agliaddetti alla security control room, nel solo caso in cui scatti un "allarmesulla sicurezza fisica" o vengano segnalate anomalie "chepossano fare ipotizzare" [Š] "una intrusione non autorizzata"nell'azienda (cfr. nota Ghirlanda Cards del 21/09/2011). Quanto alla nomina dei responsabili e degli incaricati del trattamento,la Società, titolare del trattamento, ha dichiarato di aver proceduto alladesignazione del responsabile e degli incaricati, producendo il relativomodello di nomina. Per quanto riguarda l'obbligo di rendere l'informativa, GhirlandaCards s.r.l. ha specificato di aver predisposto una nuova informativa dafornire ai propri dipendenti ed ai visitatori, provvedendo all'apposizione dicartelli recanti l'informativa semplificata "in prossimità delle zonecoperte dalle telecamere esterne". 2. Presupposti di liceità del trattamento La richiesta formulata dalla società deve essere valutata alla lucedei principi di necessità, proporzionalità, finalità e correttezza posti dalCodice (artt. 3 e 11 del Codice), espressamente richiamati anche nelProvvedimento generale in materia di videosorveglianza dell'8 aprile 2010. Inparticolare, secondo tale provvedimento, l'allungamento dei tempi diconservazione dei dati oltre i sette giorni, giustificabile solo in casieccezionali, deve essere adeguatamente motivato "con riferimento ad unaspecifica esigenza di sicurezza perseguita, in relazione a concrete situazionidi rischio riguardanti eventi realmente incombenti e per il periodo di tempo incui venga confermata tale eccezionale necessità. Nel caso in questione, la società ha posto a base dell'istanza duedistinte esigenze. In primo luogo, Ghirlanda Cards s.r.l. ha affermato che la necessitàdi conservare le immagini per 90 giorni deriverebbe dall'esigenza di osservarei parametri di sicurezza previsti dai circuiti internazionali (MasterCardInternational e Visa International) che, per concedere la certificazione alleaziende venditrici di carte plastificate di pagamento (card vendors),richiederebbero (vedi, in proposito, gli stralci dei rispettivi manuali "GlobalPhysical Security Validation Requirements for Card Vendors" -Visa, ottobre2008; MasterCard Physical Security Standards for Plastic Card Vendor –aprile 2008) l'osservanza di precisi standard di sicurezza logica e fisicadurante l'intero processo di lavorazione. Ciò nonostante, vale rilevare che all'interno dei manuali predispostial riguardo dagli enti certificatori è previsto che le prescrizioni inessi contenute possano essere derogate nel caso in cui negli ordinamenti diappartenenza delle società certificate sussistano restrizioni legali relativeall'utilizzo dei sistemi di videosorveglianza. In secondo luogo, Ghirlanda Cards s.r.l. ha sottolineato chel'allungamento dei tempi di conservazione delle immagini permetterebbe comunquedi rafforzare le misure di sicurezza attualmente implementate, le quali, seppur"idonee a evitare furti o truffe perpetrati dall'esterno",sarebbero "sostanzialmente inutili per prevenire truffe o furtieffettuati da personale interno autorizzato all'accesso ai reparti" (cfr.nota Ghirlanda Cards del 22/12/2011). Al riguardo, si evidenzia che nel corso dell'istruttoria, a frontedella richiesta da parte di quest'Ufficio di produrre copia di eventualidenunce di furto presentate alle Forze di Polizia, la società ha affermato dinon essere in grado di fornire alcuna documentazione a riguardo, non essendosimai verificato sino ad oggi alcun episodio criminoso a danno delle suestrutture e, quindi, non essendo mai stato "necessario rendere disponibilile immagini registrate all'Autorità giudiziaria". Ad avviso di questa Autorità, all'esito dell'istruttoria sono emersielementi che inducono a ritenere che la richiesta della società non possaessere ritenuta conforme ai principi posti dagli artt. 3 e 11 del Codice. In particolare, l'esame della documentazione prodotta ha rivelato chele regole prescritte dai manuali degli enti certificatori non sono tassative,ma in presenza di limitazioni legali interne possono essere oggetto di deroga,purché sottoposta al vaglio e all'approvazione scritta da parte delle stessecommittenti ("Any deviations from teh rules[Š] require Visa writtenapproval"; "If legal restrictions preclude the use of CCTVequipment, compensating controls must be implemented [Š] and "be submittedto MasterCard for rewiew and approval"). Inoltre, anche a prescindere da tale circostanza, vale rilevare chenon è risultata provata l'asserita necessità di conservare per un così estesoarco temporale le immagini riprese a mezzo dell'impianto di videosorveglianzautilizzato; ciò, peraltro, a fronte di una semplice prospettazione diipotetiche condotte criminose che, allo stato, non risultano essersi maiconcretamente verificate presso l'impianto di Marcallo con Casone,verosimilmente anche in ragione delle numerose misure di sicurezza giàapprontate dalla società e analiticamente evidenziate nelle note del 21novembre e 22 dicembre 2011 (controllo accessi alla struttura tramite badge,sia per i visitatori che per i dipendenti; sistema antintrusione attivo 7giorni su 7; aree ad accesso controllato e limitato all'interno dellastruttura; impianto di videosorveglianza molto esteso, provvisto di ben 62telecamere, posizionate nei punti strategici della produzione; ecc.) tali dafar risultare gli indicati tempi di conservazione come eccedenti esproporzionati. Infine, a quanto appena rilevato deve aggiungersi che la stessagiurisprudenza giuslavoristica ha ripetutamente riconosciuto al datore dilavoro la possibilità, nel rispetto delle garanzie previste dall'ordinamento(in particolare, gli artt. 2, 3 e 6 della legge n. 300/1970), di adibire amansioni di vigilanza e tutela del patrimonio aziendale anche propridipendenti, a mezzo dei quali poter controllare l'attività di altri lavoratoriper accertare eventuali comportamenti fraudolenti estranei alla prestazionelavorativa e incidenti sull'integrità del patrimonio aziendale (tra le tante,cfr. Cass. 9 giugno 1989, n. 2813; Cass. 18 febbraio 1997, n. 1455, nondiversamente, Cass. 3 luglio 2001, n. 8998). Pertanto, alla luce degli elementi acquisiti, deve ritenersi che lapretesa di Ghirlanda Cards s.r.l. di conservare per 90 giorni le immaginiregistrate mediante l'impianto di videosorveglianza installato presso la sededi Marcallo con Casone non possa essere accolta, perché in contrasto con iprincipi di pertinenza e non eccedenza e di proporzionalità stabiliti dall'art.11, comma 1, lett. d) ed e) del Codice. L'odierna pronunzia, resa sulla scorta delle attuali acquisizioniistruttorie, non preclude all'Autorità di adottare una diversa determinazionenel caso in cui la Ghirlanda Cards s.r.l. proponga una nuova domandamaggiormente documentata, da valutare alla luce della normativa esistente. TUTTO CIÒ PREMESSO ILGARANTE ai sensi dell'art. 17 del Codice, a conclusione della verificapreliminare, rigetta l'istanza formulata da Ghirlanda Cards s.r.l. perconservare, per un periodo eccedente il termine massimo di sette giorni fissatodall'Autorità con il provvedimento generale dell'8 aprile 2010, le immagini registratemediante l'impianto di videosorveglianza installato presso la sede di Marcallocon Casone, perché in contrasto con i principi di pertinenza e non eccedenza edi proporzionalità stabiliti dall'art. 11, comma 1, lett. d) ed e) del Codiceper la protezione dei dati personali. Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011,avverso il presente provvedimento può essere proposta opposizione all'autoritàgiudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogoove ha la residenza il titolare del trattamento dei dati, entro il termine ditrenta giorni dalla data di comunicazione del provvedimento stesso, ovvero disessanta giorni se il ricorrente risiede all'estero. Roma, 21 marzo 2012
|