PRIVACY: Sicurezza siti archeologici e uso dei dati biometrici (14/01/2008)

Per la prima volta una Soprintendenza archeologica potrà usare l’impronta della mano dei dipendenti per l’accesso ad una sala operativa. Il Garante per la protezione dei dati personali ha autorizzato, con un provvedimento di cui è stato relatore Giuseppe Chiaravalloti, una Soprintendenza archeologica al trattamento di dati biometrici per consentire ad un numero limitato di dipendenti di accedere alla propria sala operativa, una area riservata particolarmente sensibile.

Il sistema di riconoscimento biometrico, di cui la Soprintendenza intende avvalersi, si basa solo sul rilevamento delle caratteristiche geometriche della mano e non su altri dati biometrici. Il dispositivo è finalizzato a controllare l’accesso alla sala operativa "ove confluiscono segnalazioni afferenti alla sicurezza anticrimine e antincendio dei siti archeologici" di competenza della Soprintendenza: obiettivo principale, contrastare l’elevato rischio di aggressione dei dipendenti da parte di ladri e tutelare i beni archeologici dichiarati dall’Unesco patrimonio dell’umanità.

Il funzionamento del sistema prevede che alle caratteristiche geometriche della mano venga associato un algoritmo crittografico poi archiviato nella memoria interna del dispositivo biometrico. Tale dispositivo non è collegato in rete e può essere attivato per effettuare l’accesso solo attraverso una parola chiave numerica scelta dal dipendente.

Il trattamento dei dati è stato ritenuto lecito dal Garante e proporzionato allo scopo. Le caratteristiche geometriche della mano di un individuo, spiega infatti l’Autorità, a differenza delle impronte digitali utilizzabili anche in altri contesti con effetti sugli interessati, non sono descrittive al punto tale da risultare uniche; possono eventualmente non garantire l’identificazione univoca e certa di una persona, ma sono sufficientemente dettagliate per essere impiegate in circoscritti ambiti ai fini della verifica di identità. La geometria della mano appartiene a quella categoria di dati biometrici, evidenzia l’Autorità, che non lasciano tracce suscettibili di essere utilizzate per scopi diversi da quelli perseguiti da chi le raccoglie ed usa.

Inoltre, l’attività di identificazione rientra nelle finalità istituzionali della Soprintendenza, la quale, dovendo garantire nel caso di specie elevati standard di sicurezza, ha necessità di un rigoroso accertamento dell’identità dei dipendenti.

Nell’autorizzare l’uso del sistema, il Garante ha comunque prescritto di integrare l’informativa da fornire ai dipendenti riguardo al trattamento dei loro dati personali, specificando quali possano essere le modalità alternative di accesso per i dipendenti che non vogliono o non possano avvalersi del sistema di rilevazione delle caratteristiche della mano.

Sicurezza siti archeologici e uso dei dati biometrici - 8 novembre 2007

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott.Giuseppe Fortunato, componenti e del dott. Giovanni Buttarelli, segretario generale;

Visto il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

Esaminata la richiesta di verifica preliminare presentata dalla Soprintendenza archeologica di Pompei ai sensi dell’art. 17 del Codice in materia di protezione dei dati personali (nota del 31 agosto 2006);

Visti gli atti d’ufficio;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Giuseppe Chiaravalloti;

PREMESSO:

Trattamento di dati personali biometrici per l’accesso a una particolare area dell’amministrazione
La Soprintendenza archeologica di Pompei ha presentato a questa Autorità una richiesta di verifica preliminare ai sensi dell’art. 17 del Codice, relativa al trattamento di dati biometrici ricavati dalla conformazione della mano in relazione a un numero ristretto di dipendenti (complessivamente, venti unità), al fine di controllare i varchi di ingresso a una particolare area dell’ente ad accesso limitato.

La Soprintendenza intende avvalersi di un sistema di riconoscimento biometrico che si basa sul rilevamento delle caratteristiche geometriche della mano, per controllare l’accesso alla sala operativa "ove confluiscono segnalazioni afferenti alla sicurezza anticrimine ed antincendio dei siti archeologici di competenza della predetta Amministrazione"; ciò, al fine di proteggere i dipendenti, nonché i beni archeologici dichiarati dall’Unesco patrimonio dell’umanità.

Secondo la Soprintendenza, l’uso del sistema rappresenterebbe la soluzione idonea a contrastare l’elevato rischio di aggressione o neutralizzazione del livello di sicurezza, al quale detta sala operativa sarebbe esposta, considerato anche che la Soprintendenza sarebbe stata classificata quale "obiettivo sensibile". Pertanto, sempre ad avviso della medesima Soprintendenza, la modalità di accesso basata sul riconoscimento biometrico, a differenza di ogni altro sistema di identificazione del dipendente, "costituirebbe l’unico sistema in grado di offrire il desiderato livello di sicurezza, garantendo una corretta identificazione dei soggetti che accedono ad un’area riservata".

Il sistema sarebbe costituito da un dispositivo di lettura delle caratteristiche geometriche della mano, ritenute più sicure di quelle tratte dalle impronte digitali. L’immagine della mano verrebbe ripresa da una telecamera ed elaborata immediatamente in una stringa con un algoritmo crittografico irreversibile, per essere poi archiviata nella memoria interna del dispositivo biometrico.

Tale dispositivo sarebbe costituito da "un rilevatore non collegato in rete, all’interno del quale si trovano le stringhe biometriche di riconoscimento". Il medesimo dispositivo sarebbe attivato soltanto previa digitazione, da parte dell’interessato, di una parola chiave sotto forma di codice numerico, scelto dall’interessato stesso e liberamente modificabile in ogni momento. Una volta calcolata la nuova stringa biometrica (ed effettuato il confronto tra la stessa, quella precedentemente registrata nel sistema e la parola chiave digitata), il dispositivo azionerebbe la serratura elettronica della porta di accesso, sempreché sia rilevata la corrispondenza tra le predette informazioni.

Lo strumento verrebbe quindi utilizzato come una "serratura" e non sarebbe associato a impianti di videosorveglianza. Inoltre, l’amministratore del sistema non avrebbe alcuna possibilità di accedere alla stringa biometrica del singolo interessato e alla sua parola chiave, potendo soltanto cancellarne il profilo, nei casi previsti.

È stato inoltre evidenziato che il sistema non avrebbe porte di comunicazione in grado di consentire l’accesso ai circuiti di memoria del dispositivo biometrico dall’esterno (come, ad esempio, da un personal computer) o l’estrazione dei dati presenti.

Il dispositivo non sarebbe altresì riparabile. In caso di avaria, l’amministratore del sistema distruggerebbe quello danneggiato -in maniera da rendere in qualsiasi modo illeggibili i dati ivi presenti- e lo sostituirebbe nella sua interezza; non sarebbe pertanto possibile accedere ai dati in esso archiviati.

Nessun dato relativo alla data e all’ora di accesso verrebbe né conservato in permanenza all’interno del dispositivo, né memorizzato in parti del sistema di controllo e gestione del dispositivo biometrico. In ogni caso, per i dipendenti interessati dal trattamento del dato biometrico, verrà comunque garantita una procedura alternativa di accesso, qualora gli stessi non intendano utilizzare il menzionato sistema di controllo dell’accesso.

La Soprintendenza dichiara, infine, che fornirà ai dipendenti interessati all’utilizzo del sistema in esame un’informativa scritta rispetto al trattamento di dati biometrici che intende effettuare.

OSSERVA:

1. Dati biometrici e princìpi di liceità, finalità e pertinenza
Il caso sottoposto alla verifica preliminare di questa Autorità integra un’ipotesi di trattamento di dati personali di tipo biometrico. Tali dati, ricavati dalla conformazione della mano, sono riconducibili ai singoli interessati e ad essi si applica la disciplina del Codice (art. 4, comma 1, lett. b) del Codice punto 3.1 del Documento di lavoro sulla biometria del Gruppo art. 29-n. 12168/02/IT WP80 adottato il 1° agosto 2003; Provv. 19 novembre 1999, in Boll. n. 10, p. 68, doc. web n. 42058 e 21 luglio 2005, in Boll. n. 63, doc. web n. 1150679 ).

In particolare, opera nel caso di specie l’art. 17 del Codice il quale prevede una verifica preliminare con riferimento al trattamento dei dati personali, diversi da quelli sensibili e giudiziari, che presentano rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato, in relazione alla loro natura o alle modalità del relativo trattamento o agli effetti che esso può determinare.

Come già più volte affermato da questa Autorità, non può ritenersi lecito l’utilizzo generalizzato e indiscriminato di sistemi che consentono l’identificazione degli interessati mediante sistemi di rilevazione biometria. Tali sistemi sono utilizzabili in casi particolari solo quando ciò sia realmente giustificato e proporzionato in relazione alle finalità e al contesto in cui i dati biometrici sono trattati (cfr. Provv. 23 novembre 2006, "Linee-guida per il trattamento di dati dei dipendenti privati", in G.U. 7 dicembre 2006, n. 285, doc. web n. 1364099 e Provv. 14 giugno 2007, "Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico", in G.U. 13 luglio 2007, n. 161, doc. web n. 1417809).

Il sistema biometrico in esame sarebbe destinato a operare unicamente per accedere a un’area riservata e specificamente individuata, adibita alla gestione delle "segnalazioni afferenti alla sicurezza anticrimine e antincendio dei siti archeologici" di competenza della Soprintendenza. Esso interesserebbe un numero assai ridotto di soggetti (venti dipendenti), individuati negli addetti alla sala operativa e alla manutenzione degli apparati di sicurezza, nonché in pochi altri soggetti, scelti con criteri selettivi, fra i quali il responsabile in materia di igiene e vigilanza nei luoghi di lavoro. Al riguardo, la Soprintendenza ha dichiarato che non è prevista alcuna variazione del numero dei soggetti coinvolti, "almeno a breve termine".

L’attività di identificazione certa dei soggetti abilitati all’accesso in un’area riservata è riconducibile a una finalità istituzionale dell’amministrazione, considerata la natura delle attività svolte nella sala operativa della Soprintendenza che, stando agli elementi forniti, risulta richiedere l’adozione di standard di sicurezza specifici ed elevati, anche attraverso un sistema di rigoroso accertamento dell’identità dei dipendenti abilitati.

Sulla base della documentazione in atti, tale finalità risulta lecita.

A differenza delle impronte digitali, le quali sono utilizzabili anche in altri contesti con effetti sugli interessati, le caratteristiche geometriche della mano di un individuo non sono altresì descrittive al punto da risultare uniche; possono non garantire l’identificazione univoca e certa di una persona, ma sono, comunque, sufficientemente descrittive per essere impiegate in circoscritti ambiti ai fini della verifica di identità. Inoltre, "la geometria della mano appartiene a quella categoria di dati biometrici che non lasciano tracce suscettibili di essere utilizzate per finalità diverse da quella perseguita dal titolare del trattamento" (cfr., tra gli altri, Commission nationale de l’informatique et des libertés, decisioni nn. 2005-162 del 21 giugno 2005 e 2005-1865 del 5 luglio 2005, in tema di controllo di accesso a locali; cfr. anche Cnipa, I quaderni, anno I-novembre 2004, p. 25).

L’utilizzo della tecnica biometrica basata sul rilevamento della geometria della mano, con successiva conservazione della stringa elaborata nel dispositivo biometrico, anziché in un supporto che resti nell’esclusiva disponibilità degli interessati, è configurabile in termini proporzionati rispetto ai diritti individuali degli interessati, alla luce della finalità in concreto perseguita e delle modalità di trattamento adottate (art. 11 del Codice; in merito, v. anche Commission nationale de l’informatique et des libertés, decisione nn. 2005-163 del 21 giugno 2005, in tema di rilevazione del contorno della mano per finalità di controllo dell’orario dei dipendenti e 2005-1695 del 5 luglio 2005, in tema di controllo accessi ad una mensa scolastica).

Le modalità di trattamento indicate nella richiesta di verifica preliminare risultano proporzionate rispetto allo scopo perseguito.

2. Informativa agli interessati
Mentre resta fermo il principio secondo cui l’amministrazione non dovrà richiedere il consenso degli interessati, stante il perseguimento di funzioni istituzionali da parte di un soggetto pubblico (art. 18, comma 4, del Codice), risulta necessario prescrivere che l’informativa che l’ente ha già dichiarato di voler fornire in conformità al Codice sia integrata, quale accorgimento a garanzia degli interessati, specificando le modalità alternative di accesso che si prevede di attivare qualora gli interessati non vogliano o non possano avvalersi del descritto sistema biometrico.

3. Ulteriori adempimenti
Non risulta necessario prescrivere nel caso di specie ulteriori misure oltre quelle già previste per legge in tema di:

a) designazione per iscritto del personale individuato selettivamente e preposto alla raccolta dei dati biometrici, cui impartire idonee istruzioni cui attenersi in veste di incaricato del trattamento (art. 30 del Codice);

b) notificazione al Garante del trattamento dei dati biometrici, anteriormente all’inizio del trattamento (artt. 37, comma 1, lett. a), e 38 del Codice);

c) rispetto della disciplina normativa del controllo a distanza dei lavoratori (art. 114 del Codice; art. 4, comma 2, l. 20 maggio 1970, n. 300);

d) adozione delle misure anche minime di sicurezza nel trattamento di dati personali con strumenti elettronici (artt. 31 ss. e Allegato B) al Codice).

TUTTO CIÒ PREMESSO IL GARANTE:

in sede di verifica preliminare ai sensi degli artt. 17 e 154, comma 1, lett. c) del Codice in materia di trattamento di dati personali correlato all’utilizzo di un sistema di riconoscimento biometrico basato sul rilevamento delle caratteristiche geometriche della mano da parte della Soprintendenza archeologica di Pompei, volto a controllare l’accesso a una particolare area riservata dell’amministrazione, prescrive alla medesima Soprintendenza, quale accorgimento a garanzia degli interessati, di integrare l’informativa specificando le modalità alternative di accesso per gli interessati che non vogliano o possano avvalersi del sistema di rilevazione delle caratteristiche della mano.

Roma, 8 novembre 2007

IL PRESIDENTE
Pizzetti

IL RELATORE
Chiaravalloti

IL SEGRETARIO GENERALE
Buttarelli

Inserisci i termini di ricerca Invia modulo di ricerca

Web www.momis.it