Sistema di rilevazionedi dati biometrici dei passeggeri. Verifica preliminare richiesta da Alitalia–CompagniaAerea Italiana S.p.A.

PROVVEDIMENTO DEL 4OTTOBRE 2012

Registro dei provvedimenti
n. 265 del 4 ottobre 2012

IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro,presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssaGiovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e deldott. Giuseppe Busia, segretario generale;

VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezionedei dati personali);

VISTA la richiesta di verifica preliminare presentata in data 23agosto 2011 da Alitalia–Compagnia Aerea Italiana S.p.A. ai sensidell'art. 17 del Codice, successivamente regolarizzata con comunicazione del 31gennaio 2012;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

PREMESSO

1. La richiesta della società e ilfunzionamento del sistema.
In data 23 agosto 2011,Alitalia–Compagnia Aerea Italiana S.p.A. ha formulato un'istanza diverifica preliminare ex art. 17 del Codice (successivamente integrata con lenote del 31 gennaio, del 1∞ marzo, dell'11 aprile e del 13 settembre 2012) invista dell'installazione di un sistema di rilevazione dei dati biometrici deipasseggeri, da ubicarsi presso i "gate" di imbarco, volto a coniugarel'esigenza del rigoroso accertamento dell'identità degli interessati con quelladi semplificazione e velocizzazione delle operazioni di imbarco.

Più esattamente, il sistema, secondo la società, consentirebbe direalizzare, "su base esclusivamente volontaria", un serviziodi accesso agevolato riservato esclusivamente ai passeggeri aderenti alProgramma "MilleMiglia", "alternativo e non sostitutivorispetto a quello tradizionale del riconoscimento mediante documento di identità".

L'iniziativa, che si collocherebbe nel solco "disperimentazioni già in corso da parte di altre compagnie aeree europee [ä], incoerenza con il Programma Fast Travel [ä] promosso dalla International AirTransport Association (IATA)", sarebbe coerente con le vigentidisposizioni dell'Enac e con l'attuale "Programma Nazionale per laSicurezza dell'aviazione civile", in base al quale "il vettoreè responsabile della verifica al gate, all'atto dell'imbarco, della concordanzatra il nominativo del passeggero riportato sulla carta d'imbarco, con quellorisultante da un documento di identità ovvero di riconoscimento, previoriscontro della identità del passeggero", con la conseguenza che, "incaso di non concordanza, il passeggero non deve essere imbarcato e deve esseredata informativa del fatto alla Polizia di Frontiera" (punti 4.0.1.2.e 4.1.1.0.9, "Passeggeri e bagagli a mano"); inoltre,l'adozione del sistema sarebbe anche conforme al Regolamento (UE) n. 185/2010della Commissione europea (recante "disposizioni particolareggiate perl'attuazione delle norme fondamentali comuni sulla sicurezza dell'aviazionecivile"), come modificato dal Regolamento di esecuzione (UE) n.173/2012 della stessa Commissione, che prevede espressamente l'utilizzazionedel dato biometrico a fini di accertamento dell'identità dei passeggeri (punto1.2.2.2.).

In base alle dichiarazioni rese e alla documentazione prodotta, ilsistema opererebbe nei termini di seguito indicati.

Gli iscritti al Programma MilleMiglia riceverebbero presso il propriodomicilio, unitamente all'informativa concernente il nuovo servizio di fastboarding, una smart card "vergine" da presentare, per la successiva "personalizzazione",alle preposte stazioni di enrollment situate in ambito aeroportuale econnesse al sistema informativo di Alitalia. Pertanto, ove un iscrittointendesse avvalersi del servizio in questione, l'operatore, una voltaverificati i dati riportati dall'interessato nel modulo di adesione,provvederebbe alla loro associazione con i dati identificativi del cliente giàconservati nel sistema informativo (c.d. Programma Millemiglia) dellasocietà; successivamente, verrebbe attivata l'effettiva fase di "personalizzazione"della smart card, che sarebbe  provvista di un apposito microchip perl'archiviazione dei dati a tecnologia RFID di tipo passivo ("necessarioper [consentire] la comunicazione tra la carta e il lettore [c.d. reader] almomento dell'imbarco), il quale si attiverebbe solo in prossimità diquest'ultimo ad una distanza massima di circa 5-10 cm".

Durante la fase di enrollment verrebbero inseriti nella smart card idati personali dell'utente; l'acquisizione dei dati biometrici avverrebbe sottoforma di template ("codice binario a priori indecifrabile edirreversibile"), il quale dapprima sarebbe memorizzato anche su un"file temporaneo della postazione" e successivamente da quest'ultimaeliminato al termine della procedura di "personalizzazione".

I dati contenuti nella smart card verrebbero protetti attraversospecifiche misure di sicurezza (chiavi crittografiche, star keys, ecc.)appositamente rivolte anche a minimizzare i rischi di accesso, soprattutto inchiave anti-skimming (indebita lettura elettronica dei dati memorizzatinel chip). I dati inseriti nella tessera, inoltre, sarebbero "protettiin scrittura tramite access condition", in modo tale da garantire"l'impossibilità della lettura o modifica [dei] dati sulla carta",la quale sarebbe anche provvista di "meccanismi di autodistruzione[ove] forzata nelle sue condizioni di accesso".

La fruizione del servizio di fast boarding determinerebbe l'aperturadi una sessione di verifica (cifrata) attraverso l'acquisizione in tempo realedell'impronta del passeggero e la successiva sua immediata conversione nel relativomodello matematico, che verrebbe confrontato con quello memorizzato nel chip atecnologia RFID presente sulla smart card abilitata all'accesso; l'eventualecorrispondenza tra il modello acquisito al momento dell'accostamento dellatessera al "reader" e quello successivamente ricavato dalla scansionedell'impronta digitale dell'interessato autorizzato all'imbarco consentirebbel'accesso al gate di pertinenza.

Nel corso delle operazioni, nessun dato biometrico transiterebbe nelsistema informativo di Alitalia–Compagnia Aerea Italiana S.p.A., il qualeprovvederebbe alla sola verifica dello stato della carta, che dovrebberisultare "attiva" al momento dell'utilizzo del "reader".

I passeggeri che decidessero di avvalersi del sistema descritto, giàsommariamente informati all'atto della ricezione della carta, riceverebbero unaspecifica informativa in occasione della "personalizzazione"della tessera elettronica (il cui testo è stato prodotto dalla società),corredata da una nota esplicativa del servizio, cui seguirebbe l'acquisizionedella "copia firmata del consenso al trattamento" rilasciato daciascun interessato.

Inoltre, il personale preposto al trattamento dei dati biometrici deipasseggeri, che verrebbe designato in conformità all'art. 30 del Codice, sarebbe"debitamente formato" e adeguatamente istruito "in ordineai comportamenti da tenere ed alle cautele da adottare" (a riprova diciò, la società ha prodotto copia delle istruzioni che verrebbero impartiteagli incaricati).

Secondo la società, il sistema consentirebbe –in coerenza con ilquadro normativo di riferimento– di gestire i flussi di imbarco inmaniera snella e sicura, garantendo al contempo ai clienti che decidessero dibeneficiarne un servizio efficiente e funzionale.

Inoltre, esso sarebbe l'unico strumento che consentirebbe di poterverificare, in forma automatizzata, la corrispondenza tra il nominativopresente sul biglietto e l'identità del passeggero senza dover ricorrere ad uneventuale incremento del personale ai gate di imbarco, opzione che la societàha dichiarato non essere praticabile.

Infine, la società ha prodotto documentazione relativa allevalutazioni di impatto sulla "privacy" degli aderenti effettuate inordine all'impiego della tecnologia RFID, con particolare riferimento alla"descrizione della caratterizzazione della applicazione RFID utilizzatanel progetto", alle "procedure interne seguite" ealla "valutazione dei rischi" connessi all'utilizzo di dettatecnologia, dichiarando altresì che la stessa "è necessaria solamente peril riconoscimento della smart card biometrica con il lettore posto sulvarco".

2. Le osservazioni dell'Autorità.
Comereiteratamente affermato dall'Autorità, la raccolta e la registrazione diimpronte digitali utilizzate per verifiche e raffronti nelle procedure diautenticazione o di identificazione sono operazioni di trattamento di datipersonali riconducibili ai singoli interessati (art. 4, comma 1, lett. b), allequali trova applicazione la normativa contenuta nel Codice (cfr., exmultis, Provv. 19 novembre 1999; Provv. 21 luglio 2005; Provv. 23 novembre 2005; Provv. 15 giugno 2006; Provv. 1∞ febbraio 2007; Provv. 19 giugno 2008; Provv. 17 novembre 2010; documento di lavoro sulla biometriadel Gruppo Art. 29 dei garanti europei, Wp 80; ciò, anche nel caso in cui ilrilievo dattiloscopico sia raccolto ai soli fini del completamento della fasedi enrollment e venga successivamente utilizzato (sotto forma di codicenumerico) per le menzionate operazioni di verifica e raffronto (Provv. 23gennaio 2008; Provv. 26 maggio 2011).

La legittimità del sistema sottoposto al vaglio dell'Autorità,limitatamente ai profili di protezione dei dati personali, deve essere quindivalutata sul piano della conformità del relativo trattamento ai principi dinecessità, liceità, finalità e proporzionalità (artt. 3 e 11, comma 1, lett.a), b) e d), del Codice).

La raccolta e il successivo utilizzo di tale delicata tipologia didati, infatti, può risultare giustificato, con l'osservanza di adeguategaranzie, solo in casi particolari, tenuto conto delle finalità perseguite daltitolare del trattamento e del contesto in cui essi vengono trattati (cfr., tragli altri, Provv. 23 novembre 2006; Provv. 26 luglio 2006; Provv. 23 gennaio 2008, cit.; Provv.15 aprile 2010), in particolare quando ciò siafunzionale a garantire la sicurezza di beni e persone; è tuttavia necessario, atal fine, che ricorrano specifici elementi riconducibili a circostanzeobiettive, che evidenzino una situazione concreta di elevato rischio (davalutare, comunque, con estrema cautela e caso per caso).

A tale proposito, la società ha fondato la propria istanza sullanecessità di individuare soluzioni atte a coniugare l'esigenza di agevolare esnellire le procedure aeroportuali di imbarco, solitamente coinvolgenti un grannumero di passeggeri, con la necessità di identificare rigorosamente questiultimi in ragione degli stringenti obblighi a tal fine previsti dalla normativavigente.

Al riguardo, occorre considerare che i rigidi protocolli di sicurezzaprevisti in ambito aeroportuale a tutela di beni e persone risultanoeffettivamente richiedere, alla luce dell'attuale quadro normativo (cfr.,tra gli altri, Regolamento n. 185/2010, cit.; Programma Nazionale per laSicurezza dell'aviazione civile approvato il 19 marzo 2012; in termini piùgenerali, v. anche D.P.R. n. 461/1985), l'adozione di affidabili sistemi diidentificazione dei soggetti deputati a transitarvi in conformità alleprocedure espressamente previste (v. pure Provv. 17 settembre 2009). Inoltre, occorre tener presente chela possibilità di impiego del dato biometrico per l'accertamento dell'identitàdegli utenti è previsto dalla stessa normativa comunitaria (cfr. il già citatoReg. n. 185/2010, punto 1.2.2.2.) e che i vettori aerei, sulla base delmenzionato Programma Nazionale per la Sicurezza dell'aviazione civile (la cuiviolazione è sanzionata a termini dell'art. 1174 del codice della navigazione:v. disposizione Enac 19 marzo 2012, n. 11), sono tenuti ad osservare precisi obblighidi identificazione dei passeggeri (anche in vista delle eventuali successivecomunicazioni da dover inoltrare alle preposte autorità), nonché ad attuarespecifiche misure atte a prevenire accessi non autorizzati agli aeromobili(cfr. Reg. n. 185/2010, punto 3.2.1.1; v. anche P.N.S., punto 3.2.1.1.a).

Ciò premesso, si deve rilevare che il sistema descritto, così comeconfigurato, utilizza (in conformità a quanto statuito dagli artt. 3 e 11,comma 1, lett. d), del Codice) soltanto un numero circoscritto di informazioni,tale da consentire l'identificazione degli interessati solo indirettamente (invirtù dell'associazione effettuata con i dati anagrafici già presenti nelsistema informativo della società), al solo fine di coniugare l'esigenza dellosnellimento delle operazioni di imbarco con quella dell'accertamentodell'identità dei passeggeri.

Inoltre, va sottolineato che la società, assumendo ogni responsabilitàai sensi dell'art. 168 del Codice, non solo ha riferito che la rilevazione deidati biometrici avverrà esclusivamente sulla base del libero consenso deipasseggeri (documentato per iscritto), previo rilascio della previstainformativa, ma ha anche dichiarato che in difetto della manifestazione di taleconsenso "le procedure di imbarco [ä] resteranno quelle attuali"(cfr. modello di informativa in atti); pertanto, può ritenersi che lemodalità prescelte dalla società, in quanto funzionali all'acquisizione di unconsenso informato realmente scevro da pressioni o condizionamenti (cfr., sulpunto, ancorché in un contesto diverso, Provv. 3 febbraio 2005 e Provv. 9 marzo 2005), siano effettivamente conformi alladisciplina del Codice (e, segnatamente, agli artt. 11, comma 1, lett. a) e b),13 e 23).

Analoghe considerazioni, poi, possono essere effettuate  sia conriferimento alle modalità di archiviazione delle informazioni adottate(memorizzazione dei template –protetti da sistemi di crittografia ecifratura dei dati– sulle sole tessere elettroniche poste nell'esclusivadisponibilità degli interessati), che si reputano anch'esse adeguate erispettose dei principi di necessità e proporzionalità (artt. 3 e 11, comma 1,lett. d), del Codice), sia riguardo alle misure di sicurezza adottate a tuteladei dati dei passeggeri, stante anche l'adozione di accorgimenti volti aprevenire, in particolare, fenomeni di skimming (cfr. artt. 31 e ss. delCodice).

Per quanto concerne, infine, l'utilizzo di tecnologia RFID sulle smartcard di futura distribuzione, deve rilevarsi che, allo stato, non risultanoemergere rischi evidenti per i dati personali dei passeggeri; da un lato,infatti, le modalità d'uso della tessera non sembrano divergere da quelle delletradizionali smart card, dall'altro la ridotta distanza operativa di letturaattraverso canali cifrati di comunicazione risulta in grado di impedirel'acquisizione (anche inconsapevole) dei dati contenuti nella tessera da partedi soggetti estranei al trattamento. A ciò, si aggiunga che la società hadocumentalmente provato l'avvenuta effettuazione delle valutazioni di impattodella tecnologia RFID sulla sfera di riservatezza degli interessati previstedal "Quadro per la valutazione dell'impatto delle applicazioni RFIDsulla protezione della vita privata e dei dati", predisposto dalsettore dell'industria in data 11 febbraio 2011, richiamate anche dallaraccomandazione della Commissione europea del 12 maggio 2009 sull'applicazionedei princìpi di protezione della vita privata e dei dati personali nelleapplicazioni basate sull'identificazione a radiofrequenza.

Alla luce di quanto sopra evidenziato, deve conclusivamente ritenersiche, ove effettuato nei termini e con le modalità sopra indicate e inosservanza delle misure e degli accorgimenti di seguito prescritti (art. 17 delCodice), l'uso dei dati biometrici dei passeggeri volto esclusivamente adaccertarne l'identità in vista del loro successivo ingresso ai"gate" non sia né illecito, né sproporzionato, anche in ragionedell'obiettiva idoneità del sistema ad arrecare significativi vantaggi, tral'altro, alla stessa utenza.

3. Prescrizioni.
Lasocietà, in aderenza a quanto previsto dall'art. 13 del Codice, ha dichiaratoche provvederà a rendere agli interessati che aderiranno al servizio di fastboarding un'idonea informativa preventiva. Sebbene l'articolato testo acquisitoagli atti contenga anche la descrizione delle caratteristiche del sistemautilizzato, occorre tuttavia rilevare che essa non specifica le finalità deltrattamento (genericamente indicate come "registrazione" del templatenella carta MilleMiglia), né risulta chiaramente evidenziata la naturaobbligatoria o facoltativa del conferimento dei dati (art. 13, comma 1, lett.a) e b), del Codice). La società dovrà quindi provvedere, nel rispetto anche diquanto previsto dall'art. 11, comma 1, lett. b) del Codice, a integrarel'informativa resa agli utenti, indicando chiaramente le finalità perseguite(agevolazione e snellimento, nel rispetto delle rigorose procedure diidentificazione dei passeggeri richieste dalla normativa vigente, delleprocedure di imbarco), e la natura del conferimento dei dati (art. 13, comma 1,lett. a) e b) del Codice); ciò, nell'ottica di garantire agli interessati unapiù compiuta comprensione delle caratteristiche del trattamento svolto.

Per quanto concerne, poi, la tessera rilasciata ai passeggeri, essa,in conformità a quanto previsto dall'art. 3 del Codice, dovrà risultare privadi indicazioni immediatamente riferibili a costoro, essendo a tal finesufficiente, anche nell'ottica della prevenzione di eventuali utilizzi impropridei dati biometrici contenuti nelle tessere eventualmente smarrite o sottratte,l'attribuzione di un codice individuale a ciascun interessato in luogo dieventuali dati identificativi (art. 4, comma 1, lett. c), del Codice).

Inoltre, la società potrà trattare i dati biometrici necessari allarealizzazione del template esclusivamente durante la fase di enrollment (in talsenso, già Provv. 15 giugno 2006), senza possibilità di conservarli;gli ulteriori dati personali (non biometrici) relativi alle operazioni diverifica per l'accesso dei passeggeri ai gate di imbarco, fatto salvo ilrispetto di specifiche disposizioni normative eventualmente applicabili,potranno essere conservati per il solo periodo di tempo strettamente necessarioal perseguimento degli scopi per i quali i medesimi dati sono stati raccolti esuccessivamente trattati (art. 11, comma 1, lett. e) del Codice).

Infine, quale accorgimento aggiuntivo a garanzia degli interessati, lasocietà dovrà adottare idonee misure affinché vengano immediatamente inibitetutte le funzioni connesse all'uso della tessera elettronica in caso direlativo smarrimento o furto, fornendo in pari tempo ai passeggeri adeguateistruzioni sulla corretta custodia della tessera e sugli adempimenti connessiad un'eventuale perdita di disponibilità di quest'ultima.

Resta inteso che, in conformità agli obblighi stabiliti dagli artt.37, comma 1, lett. a), e 38 del Codice, la società, prima dell'inizio deltrattamento, dovrà provvedere ad effettuare la prevista notifica, nonché afarsi rilasciare, in aderenza a quanto previsto dall'Allegato "B" alCodice stesso (reg.la 25), il prescritto attestato di conformità da partedell'installatore del sistema, unitamente ad ogni altra idonea certificazioneed omologazione dei dispositivi impiegati.

TUTTO CIO' PREMESSO ILGARANTE

a conclusione della verifica preliminare relativa all'utilizzo di unsistema di rilevazione di dati biometrici che Alitalia–Compagnia AereaItaliana S.p.A. intende impiegare per finalità di verifica dell'identità deipasseggeri e di agevolazione e snellimento delle procedure di imbarco, prendeatto del trattamento oggetto delle dichiarazioni rese e della documentazioneprodotta, fermo restando, quali prescrizioni ai sensi dell'art. 17 e 154, comma1, lett. c) del Codice, che la società dovrà:

1. integrare l'informativa resa agli utenti, indicandochiaramente le finalità perseguite (agevolazione e snellimento, nel rispettodei rigorosi protocolli di identificazione dei passeggeri imposti dallanormativa vigente, delle procedure di imbarco) e la natura del conferimento deidati (art. 13, comma 1, lett. a) e b) del Codice);

2. eliminare dalla tessera rilasciata agli interessati eventualiindicazioni immediatamente riferibili ai passeggeri, attribuendo a ciascuno diessi, anche nell'ottica di prevenire eventuali utilizzi impropri dei datibiometrici contenuti nelle tessere eventualmente smarrite o sottratte, uncodice individuale;

3. conservare i dati necessari alla realizzazione del templateesclusivamente durante la fase di enrollment e gli ulteriori dati personali(non biometrici) relativi alle operazioni di verifica per l'accesso ai gated'imbarco, fatta salva l'osservanza di specifiche disposizioni normativeeventualmente applicabili, per il solo periodo di tempo strettamente necessarioal perseguimento degli scopi per i quali i medesimi dati sono stati raccolti esuccessivamente trattati (art. 11, comma 1, lett. e) del Codice);

4. adottare idonee misure affinché vengano inibite immediatamentetutte le funzioni connesse all'uso della tessera elettronica in caso direlativo smarrimento o furto, fornendo in pari tempo ai passeggeri adeguateistruzioni sulla corretta custodia della tessera e sugli adempimenti connessiad un'eventuale perdita di disponibilità di quest'ultima;

5. notificare il trattamento antecedentemente al suo inizio(artt. 37, comma 1, lett. a), e 38 del Codice);

6. farsi rilasciare l'attestato di conformità in caso diinstallazione del sistema da parte di soggetti esterni, unitamente ad ognialtra idonea certificazione ed omologazione dei dispositivi impiegati (reg.la25 dell'Allegato "B" al Codice).

Roma, 4 ottobre 2012

Il presidente
Soro

Il relatore
Bianchi Clerici

Il segretario generale
Busia