[doc. web n. 1894570]

Dati biometrici: illecito raccogliere e utilizzare le impronte digitali degli iscritti per l´accesso ad una palestra - 16 febbraio 2012 

Registro dei provvedimenti
n. 65 del 16 febbraio 2012

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale;

VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali);

VISTO il punto 4 delle "Linee guida in materia di trattamento di dati personali dei lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati" adottate dal Garante con deliberazione n. 53 del 23 novembre 2006 (pubblicate sulla G.U. 7 dicembre 2006, n. 285), che prescrive ai titolari del trattamento l´adozione di specifiche misure ed accorgimenti per il trattamento di dati biometrici dei lavoratori;

VISTA la segnalazione con cui è stata rappresentata l´avvenuta installazione, da parte di Big´s Gym s.r.l., di un sistema di rilevazione di dati biometrici degli utenti per finalità di accesso a una palestra;

ESAMINATE le risultanze degli accertamenti ispettivi espletati presso la sede della palestra e la documentazione successivamente acquisita;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Giuseppe Fortunato;

PREMESSO

1. La segnalazione e il seguente accertamento ispettivo.

1.1. È pervenuta presso l´Autorità una segnalazione con cui si dava sinteticamente conto dell´avvenuta installazione, presso la palestra gestita da Big´s Gym s.r.l., di un sistema di rilevazione di dati biometrici per finalità di accesso alla struttura. Secondo quanto riferito, al momento dell´iscrizione sarebbe stata rilasciata agli utenti una tessera, dotata di microchip, sulla quale risultava memorizzata la loro impronta digitale; l´accesso agli impianti sarebbe stato garantito dal sistema solo a seguito del positivo confronto tra l´"impronta digitale" presente sulla tessera e quella acquisita –di volta in volta– tramite un apposito scanner, con correlata visualizzazione sul display di quest´ultimo di un messaggio di benvenuto associato al nome dell´utente.

Il connesso trattamento di dati personali, ritenuto sproporzionato e invasivo alla luce della finalità perseguita (accesso alla struttura), non sarebbe stato nemmeno preceduto da un "modulo informativo" rilasciato agli interessati, né sarebbe stato fatto firmare a questi ultimi un "foglio sul trattamento dei dati personali" al momento della loro iscrizione in palestra.

È stato conseguentemente chiesto all´Autorità di intervenire al fine di controllare la corretta applicazione della disciplina in materia di protezione dei dati personali.

1.2. Stando alle sintetiche dichiarazioni rese in occasione dell´accertamento ispettivo espletato presso la sede della palestra (della cui veridicità gli autori si sono assunti la responsabilità anche penale ai sensi dell´art. 168 del Codice), la procedura di registrazione dei dati dei clienti (tra cui: nome; cognome; data di nascita e di scadenza dell´abbonamento) prevederebbe la memorizzazione di tali informazioni, unitamente al codice identificativo di ciascun utente associato all´impronta digitale di costui (sotto forma di modello matematico), sulla tessera rilasciata agli utenti in occasione della loro iscrizione presso il centro sportivo; tali dati, per quanto a conoscenza della società, non sarebbero nella disponibilità di quest´ultima, attesa la loro riferita memorizzazione esclusivamente sulle tessere consegnate agli iscritti e l´assenza di un "database informatico [contenente] i dati biometrici dei clienti".

Secondo quanto emerge dalla documentazione in atti, il sistema biometrico installato, operativo sin dal 2005, sarebbe stato attivato, tra l´altro, per garantire l´"accesso agli impianti ad un pubblico selezionato, in regola con i pagamenti"; peraltro, la società ha ritenuto di non dover acquisire alcun consenso scritto degli interessati in ragione del fatto che "nella palestra non vengono trattati dati sensibili".

L´acquisizione del dato biometrico in sede di iscrizione, alla luce delle predette risultanze, costituirebbe presupposto e condizione per l´accesso degli utenti alla palestra; tale accesso, infatti, sarebbe negato al cliente che "non aderisce al rilascio dell´impronta digitale per la successiva memorizzazione sulla card", con conseguente invito a quest´ultimo "ad usufruire di un´altra palestra".

Per quanto concerne l´informativa, la società ha dichiarato che "questa viene resa ai clienti tramite il modulo posto all´ingresso della palestra, accanto al rilevatore biometrico" (peraltro "ubicato nelle immediate vicinanze della receptions per evitare possibili manomissioni"); è risultato agli atti, inoltre, che quest´ultima, in qualità di titolare ex artt. 4, comma 1, lett. f) e 28 del Codice, aveva regolarmente provveduto alla notifica del trattamento ai sensi dell´art. 37 dello stesso Codice.

La società si è infine riservata di comprovare, attraverso successiva produzione documentale, la formale designazione dei soggetti preposti al trattamento dei dati biometrici degli iscritti quali incaricati del trattamento ai sensi degli artt. 4, comma 1, lett. h) e 30 del Codice.

1.3. A sostegno delle dichiarazioni rese, la società ha allegato, già in occasione dell´accertamento ispettivo, copia del modello di informativa dichiaratamente affissa accanto al sistema di rilevazione dei dati biometrici e della notifica effettuata a suo tempo al Garante. Dalla prima è stato possibile desumere che "il sistema elabora l´immagine acquisita e la trasforma in tempo reale in un codice numerico. Nel sistema rimane registrato solo ed esclusivamente il codice numerico" e che il "processo non può in alcun modo essere invertito" (sicché risulterebbe "impossibile dal codice numerico risalire all´impronta digitale"); dalla seconda, invece, si evince, in particolare, che le tipologie di interessati cui si riferisce il trattamento non sarebbero solo i clienti, ma anche "lavoratori o collaboratori", e che le finalità del trattamento sarebbero riconducibili alla "fornitura di beni o servizi e [all´]accesso a locali o impianti ad un pubblico selezionato".

2. Le ulteriori comunicazioni della società.

2.1. Con successive comunicazioni, la società ha provveduto a far pervenire ulteriori osservazioni e documenti in relazione al sistema installato e al correlato trattamento di dati biometrici.

Con una prima nota, la società ha provveduto a sciogliere la riserva formulata in sede di accertamento ispettivo, inviando copia dell´avvenuta designazione quale incaricato del trattamento del soggetto deputato all´acquisizione dei dati biometrici, nonché copia della dichiarazione rilasciata dalla società rivenditrice del sistema in ordine alle caratteristiche da quest´ultimo possedute. Da tale dichiarazione è possibile evincere, in particolare, che: la card rilasciata al cliente è dotata di chip "sul quale vengono registrati i dati del cliente [medesimo] (nome, cognome, data di nascita e attività in palestra) e dell´abbonamento (scadenze, passaggi, giorni abilitati e fasce orarie)"; il modello matematico risultante dal processo di "conversione" dell´impronta digitale viene memorizzato, anziché sulla card in uso esclusivo agli utenti, all´interno dello stesso "dattiloscopio"; l´inserimento della card all´atto dell´ingresso in palestra determina una richiesta allo scanner di rilevare l´impronta dell´utente e di confrontarla con quella presente (sotto forma di modello matematico) all´interno dello stesso scanner; l´ingresso viene consentito solo ove il confronto tra il modello presente nel sistema e quello acquisito tramite lo scanner (in associazione al codice numerico univoco riportato sulla card in uso al cliente) sia positivo.

Con una seconda comunicazione, la società, a maggior chiarimento delle dichiarazioni rese, ha precisato di aver installato il sistema in esame al fine di acquisire "la certezza della regolarità del pagamento degli accessi, evitando imbarazzanti duplicazioni nella esibizione del tesserino e consentendo all´utenza di fruire dei […] servizi [offerti dalla struttura] in completo relax"; la società ha inoltre precisato di non essere in grado di poter "ricorrere a misure alternative che diano pari risultati in termini di efficienza, economicità, velocità negli ingressi e nella fruibilità degli impianti": ciò, in quanto l´impiego di tesserini nominativi –pur utilizzati in passato per l´accesso alla struttura– si presterebbe a scambi tra i clienti, mentre l´uso di tesserini muniti di fotografia (anch´esso già sperimentato) risulterebbe inadeguato perché suscettibile di strumentalizzazioni ("spesso le foto richieste non venivano consegnate con la necessaria tempestività" dalla clientela).

3. Profili di illiceità del trattamento.

3.1. La raccolta e la registrazione di impronte digitali e dei dati biometrici utilizzati per verifiche e raffronti nelle procedure di autenticazione o di identificazione sono operazioni di trattamento di dati personali riconducibili ai singoli interessati (art. 4, comma 1, lett. b)), alle quali trova applicazione la normativa contenuta nel Codice (cfr., ex multis, Provv.  19 novembre 1999, in www.garanteprivacy.it, doc. web n. 42058; Provv. 21 luglio 2005, doc. web n. 1150679; Provv. 23 novembre 2005, doc. web n. 1202254; Provv. 15 giugno 2006, doc. web n. 1306530; Provv. 1° febbraio 2007, doc. web n. 1381983; Provv. 19 giugno 2008, doc. web n. 1532480; Provv. 17 novembre 2010, doc. web n. 1779745; documento di lavoro sulla biometria del Gruppo Art. 29 dei garanti europei, Wp 80); ciò, anche nel caso in cui il dato biometrico sia raccolto ai soli fini del completamento della fase di enrollment e venga successivamente utilizzato (sotto forma di codice numerico) per le menzionate operazioni di verifica e raffronto (Provv. 23 gennaio 2008, doc. web n. 1487903; Provv. 26 maggio 2011, doc. web n. 1832558).

Peraltro, come chiarito da questa Autorità, l´uso di tali dati (specie se ricavati dalle impronte digitali) può risultare giustificato "solo in casi particolari, tenuto conto delle finalità e del contesto in cui essi sono trattati e, in relazione ai luoghi di lavoro, per presidiare accessi ad "aree sensibili", considerata la natura delle attività ivi svolte" (cfr. punto 4 del provvedimento del 23 novembre 2006 delle Linee guida in materia di trattamento di dati personali di lavoratori per finalità di  gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati", doc. web n. 1364939); per contro, non può invece ritenersi lecito un impiego generalizzato e indiscriminato di dati biometrici, specie ove funzionale a soddisfare generiche esigenze di sicurezza, ovvero a perseguire finalità di natura essenzialmente amministrativa (cfr., sia pure in un contesto parzialmente diverso, Provv. 23 gennaio 2008, cit.; Provv. 16 dicembre 2004).

La conformità del trattamento in esame alla disciplina di protezione dei dati, pertanto, deve essere valutata alla luce di tali premesse, tenendo presente quelli che sono i princìpi di necessità, liceità e proporzionalità stabiliti dal Codice (artt. 3 e 11).

3.2. Sulla base della documentazione acquisita è risultato che Big´s Gym s.r.l. tratta i dati biometrici degli utenti (nell´accezione sopra indicata) per consentire l´accesso alle strutture della palestra e ai relativi servizi ai soli clienti in regola con i pagamenti; tale trattamento, in ragione delle considerazioni che seguono, non risulta conforme ai principi innanzi richiamati.

L´utilizzo di dati particolarmente delicati quali quelli relativi alle impronte digitali, infatti, può ritenersi giustificato, come già anticipato, per soddisfare specifiche esigenze del titolare del trattamento (con  riferimento, in particolare, a quelle di sicurezza di beni e persone: Provv. 23 gennaio 2008, cit.; Provv. 15 aprile 2010, doc. web n. 1719879), laddove emergano, sulla base di obiettive e documentate circostanze, situazioni concrete di elevato rischio (Provv. 15 giugno 2006, cit.; Provv. 27 ottobre 2005, doc. web n. 1246675); peraltro, quand´anche ricorrano tali situazioni di elevato rischio, il titolare del trattamento è comunque tenuto a valutare con estrema cautela il ricorso a tale peculiare trattamento, dovendo a tal fine considerare tutte le possibili misure alternative ugualmente efficaci in rapporto alle finalità perseguite e l´obbligo (legislativamente previsto) di configurare i sistemi informativi in modo da escludere il trattamento dei dati personali non necessari in rapporto alle medesime finalità.

Fermo restando il rispetto dei principi di necessità e proporzionalità (artt. 3 e 11, comma 1, lett. d), del Codice), deve essere poi assicurata l´osservanza del principio di liceità e correttezza del trattamento (art. 11, comma 1, lett. a), del Codice); ciò, con particolare riferimento all´acquisizione del consenso degli interessati, che risulta validamente  prestato solo se espresso in forma libera e specifica (art. 23 del Codice).

Nel caso di specie, non risulta ricorrere alcuno dei presupposti sopra menzionati, atteso che le operazioni di accesso alla palestra e ai relativi servizi non risultano connotate, sulla base degli elementi in atti, da un elevato grado di rischiosità per beni o persone –tali quindi da evidenziare un´obiettiva necessità di effettuare un accertamento particolarmente rigoroso dei soggetti legittimati all´ingresso– e che l´attività di raccolta dei delicati dati in esame, per giunta imposta indistintamente all´intera utenza della palestra (in assenza, peraltro, di modalità alternative di accesso), risulta effettuata in difetto di adeguati presupposti giustificativi (in primis, il consenso libero ed espresso degli interessati, non potendo ritenersi tale la semplice iscrizione alla palestra, peraltro condizionata dall´accettazione "coatta" della raccolta del dato biometrico: al riguardo, cfr. anche, sia pure con riferimento al diverso contesto concernente le operazioni di marketing, Provv. 23 marzo 2011, doc. web n. 1807691; Provv. 5 marzo 2009, doc. web n. 1615731). Tale trattamento, inoltre, risulta sproporzionato rispetto al generico bisogno di regolare e controllare gli ingressi al centro sportivo e di agevolare la gestione degli abbonamenti, tenuto anche conto che non risulta nemmeno provata l´insufficienza o l´inattuabilità delle misure alternative prospettate dalla società (la quale si è limitata ad affermare la mancata tempestiva allegazione della fotografia da apporre sui tesserini da parte di alcuni clienti, senza tuttavia addurre rigorosi elementi volti a comprovarne l´effettiva inutilità in rapporto alla finalità perseguita), ingenerando quindi il sospetto che l´adozione del sistema, anziché frutto di scelte attentamente ponderate, abbia invece risposto all´esigenza di privilegiare soluzioni poco costose e di rapida attuazione a discapito dei diritti degli interessati.

Per altro verso, occorre poi rilevare che in occasione della notifica del trattamento la società ha dichiarato di trattare anche i dati biometrici dei lavoratori. Vale ricordare, a tale proposito, che questa Autorità ha più volte precisato (cfr., da ultimo, Provv.  26 maggio 2011, cit.) che il trattamento di tali dati nel contesto del rapporto di lavoro può risultare giustificato, in particolare, "per presidiare accessi ad «aree sensibili», considerata la natura delle attività ivi svolte"; allo stato, nessuna area sensibile risulta individuata dalla società ai fini dell´impiego del sistema, né risulta in altro modo documentato (quale presupposto di liceità del trattamento medesimo) il rispetto delle procedure previste dall´art. 4, comma 2, della legge n. 300/1970 –ritenuto applicabile dalla Corte di Cassazione in relazione all´installazione di apparecchiature che consentano "di controllare il rispetto o non degli orari di entrata e uscita e presenza sul luogo di lavoro da parte dei dipendenti": Cass. 17 luglio 2007, n. 15892–, né, ancora, risulta altrimenti avanzata al riguardo dalla società, conformemente a quanto previsto dal  punto 4.4. delle citate linee guida, apposita istanza al Garante ai sensi dell´art. 17 del Codice.

Da ultimo, vale la pena evidenziare che il trattamento in esame non risulta proporzionato, alla luce della documentazione acquisita, neanche in considerazione delle specifiche modalità tecniche adottate (centralizzazione dei modelli matematici ricavati dall´acquisizione del dato biometrico) in luogo di altri accorgimenti meno invasivi –ma parimenti efficaci– quale, ad esempio, la memorizzazione del c.d. template su supporti posti nell´esclusiva disponibilità degli interessati (attualmente contenenti, sulla base della documentazione disponibile, il solo codice identificativo dell´utente).

Alla luce di tali complessive considerazioni, impregiudicata ogni ulteriore determinazione con riferimento all´applicabilità di eventuali sanzioni, deve conclusivamente ritenersi che il trattamento di dati biometrici posto in essere da Big´s Gym s.r.l. per finalità di accesso alle proprie strutture e servizi non sia conforme alla disciplina del Codice, nella misura in cui risultano violati i richiamati principi di necessità, liceità e proporzionalità (artt. 3 e 11, comma 1, lett. a) e d); deve conseguentemente disporsi, nei confronti della stessa Big´s Gym s.r.l., il divieto dell´ulteriore trattamento dei dati biometrici degli interessati per le menzionate finalità di accesso (artt. 143, comma 1, lett. c), 144 e 154, comma 1, lett. d), del Codice).

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l´illiceità del trattamento e, per l´effetto, ai sensi degli artt. 143, comma 1, lett. c), 144 e 154, comma 1, lett. d) del Codice, vieta a Big´s Gym s.r.l. l´ulteriore trattamento dei dati biometrici degli interessati per consentire l´accesso alle proprie strutture e servizi, perché in violazione dei principi di necessità, liceità e proporzionalità (artt. 3 e 11, comma 1, lett. a) e d), del Codice).

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 16 febbraio 2012

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
De Paoli