g-docweb-display Portlet

Nuove tecnologie e aree a rischio - 10 dicembre 2009 [1689698]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 1689698]
[vedi newsletter]

Nuove tecnologie e aree a rischio - 10 dicembre 2009

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Filippo Patroni Griffi, segretario generale;

Esaminata la richiesta di verifica preliminare presentata da Il Tarì, società consortile per azioni ai sensi dell´art. 17 del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196);

Viste le "Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati" adottate dal Garante con deliberazione n. 53 del 23 novembre 2006, pubblicate sulla G.U. 7 dicembre 2006, n. 285;

Visti gli atti d´ufficio;

Viste le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Mauro Paissan;

Trattamento di dati personali biometrici basato sulla rilevazione dell´impronta digitale in associazione con l´utilizzo di un chip RFID con finalità di accesso ad aree per le quali sussistono pressanti esigenze di sicurezza

1. Esposizione del progetto presentato

1.1. Caratteristiche generali
La società consortile per azioni "Il Tarì", con sede in Marcianise (CE), ha chiesto la verifica preliminare del Garante ai sensi dell´art. 17, 2° comma del Codice in materia di protezione dei dati personali (D.Lgs. 196/03) in relazione all´utilizzo di un sistema multimodale di autenticazione su base biometrica abbinato a lettori di RFID (Radio frequency identification), rivolto prevalentemente a dipendenti delle imprese consorziate, soci, affittuari delle imprese consorziate e dipendenti del Tarì stesso, basato sul riscontro delle impronte digitali. L´oggetto sociale della società riguarda la realizzazione e gestione di centri attrezzati per la lavorazione, produzione, distribuzione e commercio all´ingrosso di preziosi ed affini. "Il Tarì" ha realizzato un complesso immobiliare, denominato "Centro Orafo Il Tarì", della cui gestione si occupa direttamente.

Della società fanno parte circa quattrocento imprese che producono o commercializzano preziosi all´interno del Centro e che usufruiscono di una serie di servizi, quali formazione e sicurezza, messi a disposizione dalla società stessa.

Il complesso orafo – per la sua ubicazione nella zona industriale di Marcianise (CE) in cui si trovano solo capannoni e centri industriali, l´attività espletata di produzione e commercializzazione di preziosi ed oggetti di alta oreficeria, l´esistenza di facili vie di fuga – è esposto a possibili furti, rapine ed estorsioni, con forte richiamo per la criminalità della zona. Anche l´estensione del complesso (pari a mq. 130.000) rende particolarmente problematica la gestione e il controllo della sicurezza delle aree che compongono il centro. Per quanto riguarda quest´aspetto, i varchi d´accesso sono stati limitati a tre: due varchi pedonali, di cui uno riservato ai dipendenti del Tarì e il terzo, situato nel parcheggio sotterraneo, riservato ai conducenti dei veicoli.

Complessivamente, l´utilizzo di tale sistema è indirizzato ad una platea, tra cui anche fornitori e consulenti, di circa 2000 - 3000 persone,  a seconda del numero delle effettive adesioni da parte degli interessati.

Attualmente l´accesso al Centro avviene mediante bussole interbloccate presenti nei suddetti varchi, presidiate dagli operatori addetti alla reception, i quali procedono alla verifica de visu dell´identità di chi vuole accedere.

La società ritiene insufficiente sotto il profilo della sicurezza tale modalità di accesso, oltre che problematica dal punto di vista della gestione, soprattutto negli orari di apertura e chiusura del Centro, in cui l´afflusso di persone è considerevole. Essa intende quindi regolamentare l´accesso al Centro tramite un sistema di verifica di tipo biometrico con annesso rilevatore RFID.

1.2. Caratteristiche tecnico-organizzative del sistema
Il progetto presentato prevede l´accesso tramite varchi dotati di bussole con porte interbloccate e automatizzate che permettono il passaggio di una sola persona per volta.

L´interessato posiziona la propria card a breve distanza dall´antenna posizionata in prossimità della bussola. In questa maniera i dati contenuti nella card vengono trasferiti al reader che rileva il Pin registrato nella scheda e verifica le credenziali d´accesso acquisendo temporaneamente il file con il template dell´impronta. Il sistema apre la prima porta del varco per poi richiuderla alle spalle dell´utente. L´ulteriore passaggio prevede il posizionamento del dito sul lettore; in caso di corrispondenza tra l´impronta acquisita e quella registrata, si apre la seconda porta e l´utente può accedere al Centro. Al contempo, i dati memorizzati temporaneamente al fine di verificare la corrispondenza, vengono immediatamente cancellati.

I dipendenti del Tarì accederanno tramite un varco ad essi dedicato, avente le stesse caratteristiche e modalità di quello principale. La società ha evidenziato che il sistema verrà impiegato esclusivamente per permettere l´accesso al centro e non per verificare la presenza dei dipendenti.

Per quanto riguarda il sistema basato su RFID, la società ha evidenziato che i reader da posizionare in prossimità delle bussole sono tarati su frequenze in MHz tali da potere leggere solo le card compatibili con il sistema in un raggio di quindici centimetri di distanza, né la bassa frequenza del segnale comporterebbe rischi per la salute umana. La lettura di prossimità limitata rende impossibile tracciare gli spostamenti dei possessori delle card.

Per quanto riguarda la card, su di essa vengono memorizzati i segg. elementi:

• template dell´impronta mediante procedimento di crittazione unidirezionale;

• Pin dell´interessato;

• Identificatore univoco (serial number) della card;

• profilo di autorizzazione individuale (fascia oraria, giorni consentiti e varchi per i quali l´accesso è abilitato).

L´utilizzo del sistema biometrico da parte della società avverrebbe sulla base del consenso degli interessati, ed a tal fine è stato predisposto un sistema alternativo per l´accesso al Centro.

Tale sistema alternativo è basato sul rilascio di una card contenente solo il Pin, i dati identificativi ed il profilo di autorizzazione dell´interessato, priva di qualsiasi dato biometrico. La card verrebbe rilasciata, assieme al Pin, dagli addetti alla reception. Fisicamente l´accesso avviene comunque attraverso le bussole automatiche con porte interbloccate poste all´ingresso del Centro, ma l´identificazione dell´interessato viene eseguita dall´addetto alla reception, anziché in modo automatico dal sistema biometrico. All´uscita dalla bussola i dati dell´interessato utilizzati per la verifica verranno immediatamente cancellati.

La scelta della società per l´utilizzo combinato di diversi sistemi e tecnologie (dati biometrici, Pin, RFID) è dettata dall´esigenza di rafforzare il livello di sicurezza sia a garanzia della riservatezza dell´interessato che a tutela delle imprese socie e dei preziosi custoditi presso il Centro orafo.

1.3 Misure di sicurezza adottate
La società intende adottare diversi accorgimenti per aumentare il livello di sicurezza incidenti sul file contenente il template, sull´Identificatore univoco e sul Pin con la funzione di disattivazione in caso di mancata corrispondenza tra codice di controllo e dati registrati.

I dati memorizzati sulla card (ad esclusione del template) sono resi accessibili esclusivamente al personale preposto al rispetto delle misure di sicurezza all´interno della società ed esclusivamente per la loro osservanza.

Per quanto riguarda la durata massima di conservazione dei dati relativi agli accessi, essa viene indicata in sette giorni, dopodiché un sistema di sovra registrazione provvede a cancellarli automaticamente.

Ulteriori misure a difesa dei dati trattati consistono nella cifratura del template, la protezione del software di gestione, l´ubicazione del server contenente la base di dati con l´anagrafica degli utenti in una struttura centrale permanentemente sorvegliata, l´attestazione prevista dalla regola n. 25 del Disciplinare tecnico (All. B al Codice), la certificazione ed omologazione dei dispositivi impiegati.

Sempre per quanto riguarda le misure di sicurezza, la società ha previsto la designazione per iscritto degli incaricati del trattamento - con particolare riferimento al personale preposto alla raccolta dei dati biometrici e all´attivazione delle card -, un´attività di formazione e la definizione di procedure da adottare in casi di smarrimento o sottrazione della card.

1.4 Informativa e consenso
La società ha evidenziato che agli interessati del trattamento sarà fornita idonea informativa ex art. 13 del Codice contenente tra l´altro la chiara indicazione di modalità alternative di accesso al Centro per coloro che non intendano o possano usufruire di tale modalità d´accesso basata sulla rilevazione biometrica.

Il consenso dell´interessato sarà in ogni caso acquisito per iscritto.

2. Valutazione del progetto con particolare riferimento ai principi di necessità, liceità, finalità e pertinenza nel trattamento dei dati personali

Su quanto sopra rappresentato dalla società consortile Il Tarì, il Garante ha effettuato  le proprie valutazioni al fine di accertare la rispondenza del progetto alle norme dettate dal Codice, con le considerazioni e le conclusioni di seguito esplicitate.

Va inoltre considerato che la raccolta e la registrazione di impronte digitali e dei dati biometrici ricavati e successivamente utilizzati per verifiche e raffronti nelle procedure di autenticazione sono operazioni di trattamento di dati personali riconducibili ai singoli interessati [art. 4, comma 1, lett. b) del Codice], operazioni alle quali trova applicazione la normativa contenuta nel Codice.

La liceità del sistema deve essere pertanto valutata sul piano della conformità ai princìpi di necessità, proporzionalità, finalità e correttezza (artt. 3 e 11 del Codice), anche in relazione ai tempi di conservazione dei dati. Il trattamento di tali dati personali è consentito, con l´osservanza di adeguate garanzie, soltanto quando debba essere perseguita l´esclusiva finalità di elevare il grado di sicurezza di beni e persone. A tal fine è necessaria la ricorrenza di specifici elementi riconducibili a circostanze obiettive che devono evidenziare una concreta situazione di elevato rischio e che la società deve valutare con particolare cautela.

Con riguardo alla necessità del trattamento dei dati biometrici finalizzato a memorizzare temporaneamente l´impronta digitale di chi accede al Centro orafo, deve rilevarsi che, dalle dichiarazioni rese dalla società e dalla documentazione prodotta, l´attività da essa svolta pone problemi di sicurezza nell´ambito della considerevole distribuzione, produzione e commercializzazione di beni preziosi, in un´area ad alto tasso di criminalità e sulla superficie molto estesa della struttura, elemento che di per sé rende particolarmente complessa la gestione ed il controllo della sicurezza.

Devesi rilevare che il sistema di autenticazione su base biometrica, assistito da un sistema di lettura del badge con tecnologia  RFID, si aggiunge al sistema di videosorveglianza. L´alta concentrazione di beni a rischio di rapina, il notevole numero di esercizi commerciali presenti nel Centro, il considerevole afflusso di persone in una zona ad elevata criminalità, rende, in via eccezionale, ragionevole quanto prospettato dalla società in ordine all´utilizzo delle soprarichiamate tecnologie. In particolare per quanto riguarda il sistema di lettura delle impronte digitali – oggetto della presente richiesta di verifica preliminare - che permette, in maniera robusta, di autenticare i soggetti abilitati ad accedere al Centro.

In presenza degli specifici elementi descritti, che rappresentano una concreta situazione di elevato rischio per i beni (e le persone), non risulta sproporzionato l´uso di dati tratti dalle impronte digitali, con le misure di sicurezza e le modalità di trattamento che la società intende adottare e che sono state innanzi descritte, per il fine di prevenire eventi criminosi e rendere più sicuro il Centro orafo. In particolare, la memorizzazione solo sulla card del template ricavato dall´impronta digitale dell´interessato, che evita la centralizzazione dei dati, la mancanza di riferimenti nominativi e la cifratura dei dati in essa contenuti, non contrastano, nella situazione sopra descritta, con il principio di necessità stabilito dall´art. 3 del Codice.

Per quanto concerne il profilo del consenso, nel prendere atto che la società ha dichiarato che il consenso degli interessati sarà in ogni caso acquisito per iscritto, è fondamentale che la relativa informativa sia preventivamente e chiaramente assicurata in ordine alla sussistenza di sistemi alternativi e alla relativa descrizione.

Inoltre,  relativamente all´utilizzo del sistema RFID sulle card per la trasmissione delle informazioni in esse contenute non risultano, allo stato attuale, rischi specifici in relazione ai dati personali trattati: la tecnica utilizzata non caratterizza significativamente la modalità d´uso della tessera stessa rispetto alle tradizionali smart card, e la ridotta distanza operativa di lettura (la società ha dichiarato che le card operano ad una distanza massima di quindici centimetri) appare precludere l´acquisizione anche inconsapevole dei dati contenuti nella tessera da parte di soggetti estranei al trattamento.

Va evidenziato che, a seguito di segnalazioni pervenute al Garante, sono in corso attività ispettive presso la società al fine di accertare se vi sia stata una raccolta illecita di dati personali, in quanto effettuata senza il previo consenso degli interessati. Al riguardo, si rammenta che i dati personali in questione non possono essere utilizzati, ai sensi dell´art. 11, comma 2 del Codice, e andranno quindi distrutti, con la conseguenza che deve essere attivata una raccolta di dati personali ex novo.

Nulla viene detto in ordine all´obbligo di notificazione del trattamento ai sensi degli artt. 37 e 38 del Codice, cui la società dovrà adempiere prima dell´inizio del trattamento.

TUTTO CIÒ PREMESSO IL GARANTE

Esaminata ai sensi dell´art. 17 del Codice la richiesta di verifica preliminare presentata da "Il Tarì, società consortile per azioni", relativa al trattamento di dati personali biometrici con annesso sistema di rilevazione basato su tecnologia RFID, in relazione ad esigenze di verifica dell´accesso di personale, soci e dipendenti nel Centro orafo dove vengono prodotti, distribuiti e commercializzati all´ingrosso preziosi e affini, prescrive a "Il Tarì, società consortile per azioni" ai sensi degli art. 17 e 154, comma 1, lett. c) del Codice, di adottare le seguenti misure a garanzia degli interessati:

1. notificare al Garante il trattamento dei dati biometrici prima che esso abbia inizio (artt. 37, comma 1, lett. a) e 38 del Codice);

2. osservare le disposizioni recate dall´art. 114 del Codice sul controllo a distanza dei lavoratori;

3. assicurarsi che il sistema non verrà utilizzato per finalità diverse quale, ad esempio, la verifica dell´osservanza dell´orario di lavoro;

4. indicare chiaramente nell´informativa fornita agli interessati: a) le modalità alternative di accesso al Centro per coloro che non vogliano o non possano usufruire del sistema biometrico; b) l´esistenza di un chip RFID nella card consegnata all´interessato;

5. attuare le misure idonee affinché vengano inibite tempestivamente tutte le funzioni connesse all´uso delle card, in caso di smarrimento o furto;

6. assicurare la collocazione dei reader RFID solo presso i tre varchi di accesso illustrati nel progetto; eventuali ulteriori postazioni o modifiche significative dovranno essere sottoposte nuovamente a verifica preliminare ai sensi dell´art. 17 del Codice ;

7. collocare presso i reader l´indicazione che si stanno utilizzando sistemi di trasmissione basati su RFID;

8. non inserire nella card da distribuire agli interessati ulteriori dati personali rispetto a quelli sopra evidenziati;

9. provvedere alla distruzione dei dati eventualmente acquisiti ad oggi in mancanza del necessario consenso.

Roma, 10 dicembre 2009

IL PRESIDENTE
Pizzetti

IL RELATORE
Paissan

IL SEGRETARIO GENERALE
Patroni Griffi