Aggiornato al 30/6/2018
Rubrica a cura di Giovanna De Minico
Scheda di Miriam Viggiano
Nel periodo di riferimento considerato (Marzo 2018-Giugno 2018), non si registrano provvedimenti di carattere generale del Garante per la protezione dei dati personali (di seguito ‘Garante’) .
Per tale motivo, come in altri casi, nello spirito e nell’economia delle presenti note, si ritiene, in ogni caso, utile dare conto di provvedimenti approvati nel predetto periodo che, pur non avendo carattere generale, si segnalano per la delicatezza delle questioni affrontate dal Garante e la rilevanza delle prescrizioni impartite.
In tale quadro, ci si soffermerà su alcuni provvedimenti relativi a verifiche preliminari in materia di monitoraggio, video-sorveglianza, riconoscimento con dati biometrici e geolocalizzazione, con evidenziazione delle prescrizioni fornite dal Garante, soprattutto considerando che, ai sensi del nuovo regolamento europeo in materia di protezione dei dati personali , dal 25 maggio 2018 i titolari del trattamento sono tenuti a effettuare la valutazione d’impatto nei casi previsti dall’art. 25 del predetto Regolamento e non possono più fare richiesta di verifica preliminare al Garante ai sensi del precedente art. 17 del d. lgs. n. 196/2003.
Il riferimento è ai seguenti provvedimenti: 1) «Verifica preliminare. Trattamento dei dati personali connesso all´installazione sui veicoli aziendali di un dispositivo denominato “Roadscan DTW” »; 2) «Verifica preliminare. Sistema di rilevazione delle immagini dotato di un software che permette il riconoscimento della persona (morfologia del volto)» ; 5) «Verifica preliminare. Installazione di un sistema composto da body cam per la raccolta e trasmissione di immagini riprese a bordo treno in tempo reale» .
Tutte le predette fattispecie investono richieste di verifiche preliminari , per le quali il Garante ha prescritto ai titolari misure volte a rendere il trattamento conforme alla disciplina rilevante in materia di protezione dei dati personali, fermo restando in ogni caso il rispetto degli adempimenti previsti dalla disciplina vigente relativi all’informativa , alla notificazione al Garante , all’adozione delle misure di sicurezza , al garanzia dell’esercizio da parte dei soggetti interessati dei diritti previsti dagli articoli 7 ss. del d. lgs. n. 196/2003.
Più nello specifico, in relazione al provvedimento riguardante il «trattamento connesso all´installazione sui veicoli aziendali di un dispositivo denominato “Roadscan DTW”» – indicato supra al n. 1) – il Garante si è espresso in relazione al dispositivo utilizzato da un’azienda concessionaria del servizio di trasporto pubblico locale che consente di raccogliere e registrare, «in caso di rilevazione di alcuni parametri dinamici del veicolo quali la velocità, le accelerazioni longitudinali e traversali, le frenate brusche, le manovre improvvise tali da far presumere che il veicolo possa essere stato coinvolto in un sinistro», le immagini «relative alla sede stradale prospiciente il veicolo», nonché, «anche in assenza di eventi automaticamente rilevati dal sistema, su comando attivato direttamente dall´autista (al verificarsi di situazioni anomale quali, ad esempio, un´aggressione a bordo del veicolo), le immagini della zona interna del veicolo».
Al riguardo, rintenerendo leciti sia il trattamento che la relativa finalità, l’Autorità di protezione dei dati ha comunque prescritto ulteriori misure a garanzia dei soggetti interessati, quali la necessaria cancellazione dei dati scaduto il «termine di prescrizione di eventuali azioni connesse al verificarsi di sinistri in occasione dell´effettuazione del servizio di trasporto pubblico» e il divieto di utilizzo dei dati relativi alla localizzazione tramite GPS «al fine del rintracciamento on line del veicolo, né per definire a posteriori i percorsi effettuati». Inoltre, dipendenti, utenti e i terzi devono essere adeguatamente informati e deve essere consentito l’accesso ai dati registrati solo «ai soli soggetti che, in ragione delle mansioni svolte o degli incarichi affidati, possono prenderne legittimamente conoscenza»,
In relazione al secondo provvedimento, sopra identificato al n. 2), il Garante si è espresso in relazione al trattamento di dati personali conseguente all´istallazione presso un Aeroporto, «di un sistema di rilevazione delle immagini dotato di un software che permett[e] il riconoscimento della persona (morfologia del volto) tramite confronto con le immagini rilevate in due punti successivi».
Il predetto sistema servirebbe «”per monitorare il numero dei passeggeri transitanti presso punti critici” dell´aeroporto, quali in primo luogo le aree relative al controllo dei passaporti, cui, in un secondo tempo si aggiungerebbero anche le aree controllo di sicurezza, le aree di imbarco, le aree check-in; tutte zone in cui l´impiego di altri sistemi di controllo continuo non risulterebbe idoneo al raggiungimento della finalità prefissata».
Al riguardo, il Garante ha ritenuto che il sistema poteva ritenersi lecito alla luce dell´istruttoria condotta, dell´esame della documentazione acquisita agli atti e dalle valutazione tecniche svolte, se «svolto nei termini e con le modalità indicate» dal soggetto richiedente la verifica preliminare.
In merito, è stato evidenziato che: «il sistema previsto, non è destinato all´identificazione dei passeggeri, ma ad un mero raffronto di volti, con l´obiettivo di individuare lo stesso passeggero che transita in due punti successivi di osservazione al fine di misurare l´afflusso di passeggeri provvedendo al loro conteggio nelle fasi di accodamento in aerostazione. Ciò viene realizzato con modalità tali da minimizzare l´utilizzo dei dati personali, essendo le immagini conservate per gli istanti strettamente necessari alla loro codifica in template biometrico, e senza che sia effettuato alcun incrocio con altri dati identificativi (es. nome e cognome) dei soggetti, con la conseguenza di un trattamento di dati ridotto al minimo».
Per tale motivo, l’Autorità ha ritenuto che «rispettando tali presupposti, il trattamento non può altresì essere considerato sproporzionato (art. 11, comma 1, lett. d), del Codice), anche alla luce delle dichiarazioni rese dalla società in relazione alla non idoneità di strumenti alternativi in termini di risultato (secondo quanto documentato in atti dall´istante)» e che «il limitato periodo di tempo previsto in relazione alla conservazione delle immagini in fase di enrollment (near real time) e successivamente a quella del template biometrico (mediamente 45 minuti, fino ad un massimo di un´ora e trenta minuti, in caso di mancato match positivo), inducono a confermare che il trattamento di dati in esame sia effettuato secondo i principi dettati dall´art. 11 del Codice, anche rispetto alla sua pertinenza e non eccedenza».
L’ultimo provvedimento oggetto delle presenti note – indicato supra al n. 3) – è inerente il trattamento dei dati personali effettuato da una società di trasporto ferroviario derivante dall’installazione di un sistema che prevede l’utilizzo di dispositivi indossabili da operatori di security e capitreno, quali body cam «che consentono la raccolta e la trasmissione […] delle immagini riprese a bordo treno in tempo reale», considerando l’aumento aggressioni, furti, minacce al personale e ai clienti, oltre che a «fenomeni di vandalismo».
L’Autorità di protezione dei dati, alla luce dell’istruttoria effettuata, ha ritenuto legittimo il trattamento, prescrivendo però specifiche misure a garanzie dei soggetti interessati.
In particolare, è stata prescritta la necessità che la società predisponga un «disciplinare relativo all’uso consentito delle “body cam”», con il quale:
- «individuare le condizioni in presenza delle quali potranno essere attivati i dispositivi (prevedibile concreto pericolo di danni a persone e cose) nonché i casi in cui l’attivazione non è consentita»;
- indicare «le modalità di utilizzo dei dispositivi stessi, con particolare riferimento alla necessità di adottare particolari cautele nel caso in cui le riprese video possano riprendere (anche) vittime di reati, testimoni, minori di età o possano riprendere luoghi assistiti da particolari aspettative di riservatezza quali le toilette situate a bordo delle vetture».
- fornire «specifiche istruzioni ai soggetti autorizzati in servizio presso la centrale operativa (forniti di specifiche credenziali e incaricati della visualizzazione delle immagini in tempo reale) circa le ipotesi in presenza delle quali inviare soccorsi e/o avvisare le forze di polizia»
- «individuare un procedimento in base al quale i soggetti a ciò autorizzati, muniti di specifiche credenziali, procedono a verificare che le immagini raccolte siano relative a fatti effettivamente rilevanti rispetto alle finalità perseguite», garantendo «che la conservazione per un tempo superiore ai sette giorni sia disposta solo previa verifica da parte di soggetti autorizzati della rilevanza delle immagini raccolte rispetto alle finalità perseguite».
Quanto alle modalità di funzionamento e di accesso ai dati, il Garante ha, inoltre, prescritto alla società di «predisporre misure idonee affinché la funzionalità audio non sia attiva» e di «effettuare il tracciamento delle operazioni di accesso ed estrazione dei dati raccolti effettuate dai soggetti a ciò specificamente autorizzati».
In relazione alla conservazione e termini di cancellazione, è stato ordinato di «conservare le registrazioni video in forma cifrata, utilizzando tecniche crittografiche con lunghezza delle chiavi adeguata alla dimensione e al ciclo di vita dei dati» e di «cancellare irreversibilmente le registrazioni una volta decorso il tempo di conservazione previsto». Inoltre, gli gli operatori che hanno in dotazione i dispositivi non possono «effettuare operazioni di modifica, cancellazione e duplicazione delle immagini raccolte».
In ogni caso gli utenti anche a bordo delle vetture devono adeguatamente avvisati «della presenza del sistema di videosorveglianza mobile e le sue caratteristiche, specificando anche che una spia accesa sul dispositivo indossabile indica che la funzionalità di videoripresa è attiva».
È stato, disposto, altresì, che in caso di comunicazione delle immagini alle compagnie di assicurazione vengano oscurate le «immagini riferite a soggetti terzi non coinvolti dai fatti».