g-docweb-display Portlet

Videosorveglianza. Verifica preliminare richiesta da Ghirlanda Cards s.r.l. - 21 marzo 2012 [1893723]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 1893723]

Videosorveglianza. Verifica preliminare richiesta da Ghirlanda Cards s.r.l. - 21 marzo 2012

Registro dei provvedimenti
n. 114 del 21 marzo 2012

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale;

Esaminata la richiesta di verifica preliminare presentata da Ghirlanda Cards s.r.l. ai sensi dell´art. 17 del d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali);

Visto il provvedimento generale in materia di videosorveglianza dell´8 aprile 2010 (doc. web n. 1712680), con particolare riferimento al punto 3.4;

Esaminata la documentazione acquisita agli atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Giuseppe Fortunato;

PREMESSO

1. L´istanza della società.

1.1. In data 23 dicembre 2010, la società Ghirlanda Cards s.r.l., ha formulato un´istanza di verifica preliminare (art. 17 del Codice) al fine di poter conservare per 90 giorni le immagini registrate attraverso il sistema di videosorveglianza in uso presso la sede operativa della società, sita in Marcallo con Casone, Via G. Ferraris 80/90 (MI).

La società ha dichiarato di operare nel campo grafico e di produrre "tessere magnetiche ed a microprocessore per applicazioni di sicurezza e sanitarie" (carte di credito, carte regionali dei servizi e, più in generale, carte di identificazione), fornendo anche tutti i servizi relativi alla loro personalizzazione e postalizzazione ed offrendo una completa "assistenza software per le applicazioni concernenti i chip memory/microprocessori" e per il loro inserimento sulle carte plastificate (c.d. embedding).

La società ha riferito che i rischi connessi all´attività produttiva svolta sarebbero "paragonabili a quelli di una banca" (cfr. nota del 23 dicembre 2010), in quanto essa avrebbe ad oggetto carte di credito e di identificazione "che possono essere già personalizzate e quindi, a tutti gli effetti, utilizzabili". Ciò avrebbe indotto l´azienda a provvedere all´installazione di un sistema di videosorveglianza che però, attualmente, consentirebbe la conservazione delle immagini per soli 7 giorni, allo scadere dei quali esse verrebbero cancellate automaticamente.

Le ragioni poste a base dell´odierna richiesta risiederebbero non solo nell´esigenza di rafforzare il livello di tutela della proprietà aziendale e di garantire la sicurezza delle persone, dei prodotti e dei dati dei clienti e degli utilizzatori finali, ma anche nella necessità di raggiungere uno standard di sicurezza più elevato, osservando in concreto i parametri fissati dai circuiti internazionali MasterCard International e Visa International, presso i quali l´azienda sarebbe certificata per la produzione di carte di credito.

In particolare, tra le misure di sicurezza richieste da detti enti certificatori, figurerebbe anche la conservazione delle immagini videoregistrate per un arco temporale di 90 giorni, ritenuta necessaria per rafforzare le misure volte a prevenire e a contrastare comportamenti illeciti (in particolare, furti) eventualmente posti in essere dal personale interno "autorizzato all´accesso ai reparti" (cfr. nota Ghirlanda Cards del 22 dicembre 2011, p. 4).

A corredo della propria istanza, la società ha fatto pervenire:

a) copia di alcuni estratti relativi alle "prescrizioni" impartite dagli enti certificatori in tema di sicurezza e di sistemi di videosorveglianza;

b) copia della bozza di accordo sindacale sottoscritto con le organizzazioni di rappresentanza dei lavoratori in conformità all´art. 4 della legge n. 300/1970.

La società, infine, ha dichiarato che Mastercard e Visa "non fanno espressamente riferimento a nessuna norma tecnica o protocollo internazionale che riguardino l´ambito della sicurezza delle informazioni".

2 Le modalità di funzionamento del sistema

Il sistema di videosorveglianza di cui la società già si avvale è provvisto di ben 62 telecamere, dislocate sia all´interno del sito produttivo, sia perimetralmente; alcune di esse effettuano la registrazione ad intervalli stabiliti anche in assenza di movimento, mentre altre si attivano solamente quando il singolo dispositivo riscontra un movimento all´interno del suo raggio d´azione (cfr. nota Ghirlanda Cards del 22/12/2011).

Quanto alle misure di sicurezza minime, è stato dichiarato che "la consolle di gestione dell´impianto e l´hard disk di archiviazione delle immagini sono posti in un locale ad accesso riservato, tramite badge personali, solo ai soggetti autorizzati al trattamento"; l´accesso alle registrazioni è consentito solo al responsabile della sicurezza fisica e agli addetti alla security control room, nel solo caso in cui scatti un "allarme sulla sicurezza fisica" o vengano segnalate anomalie "che possano fare ipotizzare" […] "una intrusione non autorizzata" nell´azienda (cfr. nota Ghirlanda Cards del 21/09/2011).

Quanto alla nomina dei responsabili e degli incaricati del trattamento, la Società, titolare del trattamento, ha dichiarato di aver proceduto alla designazione del responsabile e degli incaricati, producendo il relativo modello di nomina.

Per quanto riguarda l´obbligo di rendere l´informativa, Ghirlanda Cards s.r.l. ha specificato di aver predisposto una nuova informativa da fornire ai propri dipendenti ed ai visitatori, provvedendo all´apposizione di cartelli recanti l´informativa semplificata "in prossimità delle zone coperte dalle telecamere esterne".

2. Presupposti di liceità del trattamento.

La richiesta formulata dalla società deve essere valutata alla luce dei principi di necessità, proporzionalità, finalità e correttezza posti dal Codice (artt. 3 e 11 del Codice), espressamente richiamati anche nel Provvedimento generale in materia di videosorveglianza dell´8 aprile 2010. In particolare, secondo tale provvedimento, l´allungamento dei tempi di conservazione dei dati oltre i sette giorni, giustificabile solo in casi eccezionali, deve essere adeguatamente motivato "con riferimento ad una specifica esigenza di sicurezza perseguita, in relazione a concrete situazioni di rischio riguardanti eventi realmente incombenti e per il periodo di tempo in cui venga confermata tale eccezionale necessità.

Nel caso in questione, la società ha posto a base dell´istanza due distinte esigenze.

In primo luogo, Ghirlanda Cards s.r.l. ha affermato che la necessità di conservare le immagini per 90 giorni deriverebbe dall´esigenza di osservare i parametri di sicurezza previsti dai circuiti internazionali (MasterCard International e Visa International) che, per concedere la certificazione alle aziende venditrici di carte plastificate di pagamento (card vendors), richiederebbero (vedi, in proposito, gli stralci dei rispettivi manuali "Global Physical Security Validation Requirements for Card Vendors" -Visa, ottobre 2008; MasterCard Physical Security Standards for Plastic Card Vendor – aprile 2008) l´osservanza di precisi standard di sicurezza logica e fisica durante l´intero processo di lavorazione.

Ciò nonostante, vale rilevare che all´interno dei manuali predisposti al riguardo dagli enti certificatori  è previsto che le prescrizioni in essi contenute possano essere derogate nel caso in cui negli ordinamenti di appartenenza delle società certificate sussistano restrizioni legali relative all´utilizzo dei sistemi di videosorveglianza.

In secondo luogo, Ghirlanda Cards s.r.l. ha sottolineato che l´allungamento dei tempi di conservazione delle immagini permetterebbe comunque di rafforzare le misure di sicurezza attualmente implementate, le quali, seppur "idonee a evitare furti o truffe perpetrati dall´esterno", sarebbero "sostanzialmente inutili per prevenire truffe o furti effettuati da personale interno autorizzato all´accesso ai reparti" (cfr. nota Ghirlanda Cards del 22/12/2011).

Al riguardo, si evidenzia che nel corso dell´istruttoria, a fronte della richiesta da parte di quest´Ufficio di produrre copia di eventuali denunce di furto presentate alle Forze di Polizia, la società ha affermato di non essere in grado di fornire alcuna documentazione a riguardo, non essendosi mai verificato sino ad oggi alcun episodio criminoso a danno delle sue strutture e, quindi, non essendo mai stato "necessario rendere disponibili le immagini registrate all´Autorità giudiziaria".

Ad avviso di questa Autorità, all´esito dell´istruttoria sono emersi elementi che inducono a ritenere che la richiesta della società non possa essere ritenuta conforme ai principi posti dagli artt. 3 e 11 del Codice.

In particolare, l´esame della documentazione prodotta ha rivelato che le regole prescritte dai manuali degli enti certificatori non sono tassative, ma in presenza di limitazioni legali interne possono essere oggetto di deroga, purché sottoposta al vaglio e all´approvazione scritta da parte delle stesse committenti ("Any deviations from teh rules[…] require Visa written approval"; "If legal restrictions preclude the use of CCTV equipment, compensating controls must be implemented […] and "be submitted to MasterCard for rewiew and approval").

Inoltre, anche a prescindere da tale circostanza, vale rilevare che non è risultata provata l´asserita necessità di conservare per un così esteso arco temporale le immagini riprese a mezzo dell´impianto di videosorveglianza utilizzato; ciò, peraltro, a fronte di una semplice prospettazione di ipotetiche condotte criminose che, allo stato, non risultano essersi mai concretamente verificate presso l´impianto di Marcallo con Casone, verosimilmente anche in ragione delle numerose misure di sicurezza già approntate dalla società e analiticamente evidenziate nelle note del 21 novembre e 22 dicembre 2011 (controllo accessi alla struttura tramite badge, sia per i visitatori che per i dipendenti; sistema antintrusione attivo 7 giorni su 7; aree ad accesso controllato e limitato all´interno della struttura; impianto di videosorveglianza molto esteso, provvisto di ben 62 telecamere, posizionate nei punti strategici della produzione; ecc.) tali da far risultare gli indicati tempi di conservazione come eccedenti e sproporzionati.

Infine, a quanto appena rilevato deve aggiungersi che la stessa giurisprudenza giuslavoristica ha ripetutamente riconosciuto al datore di lavoro la possibilità, nel rispetto delle garanzie previste dall´ordinamento (in particolare, gli artt. 2, 3 e 6 della legge n. 300/1970), di adibire a mansioni di vigilanza e tutela del patrimonio aziendale anche propri dipendenti, a mezzo dei quali poter controllare l´attività di altri lavoratori per accertare eventuali comportamenti fraudolenti estranei alla prestazione lavorativa e incidenti sull´integrità del patrimonio aziendale (tra le tante, cfr. Cass. 9 giugno 1989, n. 2813; Cass. 18 febbraio 1997, n. 1455, non diversamente, Cass. 3 luglio 2001, n. 8998).

Pertanto, alla luce degli elementi acquisiti, deve ritenersi che la pretesa di Ghirlanda Cards s.r.l. di conservare per 90 giorni le immagini registrate mediante l´impianto di videosorveglianza installato presso la sede di Marcallo con Casone non possa essere accolta, perché in contrasto con i principi di pertinenza e non eccedenza e di proporzionalità stabiliti dall´art. 11, comma 1, lett. d) ed e) del Codice.

L´odierna pronunzia, resa sulla scorta delle attuali acquisizioni istruttorie, non preclude all´Autorità di adottare una diversa determinazione nel caso in cui la Ghirlanda Cards s.r.l. proponga una nuova domanda maggiormente documentata, da valutare alla luce della normativa esistente.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell´art. 17 del Codice, a conclusione della verifica preliminare, rigetta l´istanza formulata da Ghirlanda Cards s.r.l. per conservare, per un periodo eccedente il termine massimo di sette giorni fissato dall´Autorità con il provvedimento generale dell´8 aprile 2010, le immagini registrate mediante l´impianto di videosorveglianza installato presso la sede di Marcallo con Casone, perché in contrasto con i principi di pertinenza e non eccedenza e di proporzionalità stabiliti dall´art. 11, comma 1, lett. d) ed e) del Codice per la protezione dei dati personali.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 21 marzo 2012

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
De Paoli