g-docweb-display Portlet

Sistema di rilevazione di dati biometrici dei passeggeri. Verifica preliminare richiesta da Alitalia–Compagnia Aerea Italiana S.p.A. - 4 ottobre 2012

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 2059743]

Sistema di rilevazione di dati biometrici dei passeggeri. Verifica preliminare richiesta da Alitalia–Compagnia Aerea Italiana S.p.A. - 4 ottobre 2012

Registro dei provvedimenti
n. 265 del 4 ottobre 2012

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali);

VISTA la richiesta di verifica preliminare presentata in data 23 agosto 2011 da Alitalia–Compagnia Aerea Italiana S.p.A. ai sensi dell´art. 17 del Codice, successivamente regolarizzata con comunicazione del 31 gennaio 2012;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

PREMESSO

1. La richiesta della società e il funzionamento del sistema.
In data 23 agosto 2011, Alitalia–Compagnia Aerea Italiana S.p.A. ha formulato un´istanza di verifica preliminare ex art. 17 del Codice (successivamente integrata con le note del 31 gennaio, del 1° marzo, dell´11 aprile e del 13 settembre 2012) in vista dell´installazione di un sistema di rilevazione dei dati biometrici dei passeggeri, da ubicarsi presso i "gate" di imbarco, volto a coniugare l´esigenza del rigoroso accertamento dell´identità degli interessati con quella di semplificazione e velocizzazione delle operazioni di imbarco.

Più esattamente, il sistema, secondo la società, consentirebbe di realizzare, "su base esclusivamente volontaria", un servizio di accesso agevolato riservato esclusivamente ai passeggeri aderenti al Programma "MilleMiglia", "alternativo e non sostitutivo rispetto a quello tradizionale del riconoscimento mediante documento di identità".

L´iniziativa, che si collocherebbe nel solco "di sperimentazioni già in corso da parte di altre compagnie aeree europee […], in coerenza con il Programma Fast Travel […] promosso dalla International Air Transport Association (IATA)", sarebbe coerente con le vigenti disposizioni dell´Enac e con l´attuale "Programma Nazionale per la Sicurezza dell´aviazione civile", in base al quale "il vettore è responsabile della verifica al gate, all´atto dell´imbarco, della concordanza tra il nominativo del passeggero riportato sulla carta d´imbarco, con quello risultante da un documento di identità ovvero di riconoscimento, previo riscontro della identità del passeggero", con la conseguenza che, "in caso di non concordanza, il passeggero non deve essere imbarcato e deve essere data informativa del fatto alla Polizia di Frontiera" (punti 4.0.1.2. e 4.1.1.0.9, "Passeggeri e bagagli a mano"); inoltre, l´adozione del sistema sarebbe anche conforme al Regolamento (UE) n. 185/2010 della Commissione europea (recante "disposizioni particolareggiate per l´attuazione delle norme fondamentali comuni sulla sicurezza dell´aviazione civile"), come modificato dal Regolamento di esecuzione (UE) n. 173/2012 della stessa Commissione, che prevede espressamente l´utilizzazione del dato biometrico a fini di accertamento dell´identità dei passeggeri (punto 1.2.2.2.).

In base alle dichiarazioni rese e alla documentazione prodotta, il sistema opererebbe nei termini di seguito indicati.

Gli iscritti al Programma MilleMiglia riceverebbero presso il proprio domicilio, unitamente all´informativa concernente il nuovo servizio di fast boarding, una smart card "vergine" da presentare, per la successiva "personalizzazione", alle preposte stazioni di enrollment situate in ambito aeroportuale e connesse al sistema informativo di Alitalia. Pertanto, ove un iscritto intendesse avvalersi del servizio in questione, l´operatore, una volta verificati i dati riportati dall´interessato nel modulo di adesione, provvederebbe alla loro associazione con i dati identificativi del cliente già conservati nel sistema informativo (c.d. Programma Millemiglia) della società; successivamente, verrebbe attivata l´effettiva fase di "personalizzazione" della smart card, che sarebbe  provvista di un apposito microchip per l´archiviazione dei dati a tecnologia RFID di tipo passivo ("necessario per [consentire] la comunicazione tra la carta e il lettore [c.d. reader] al momento dell´imbarco), il quale si attiverebbe solo in prossimità di quest´ultimo ad una distanza massima di circa 5-10 cm".

Durante la fase di enrollment verrebbero inseriti nella smart card i dati personali dell´utente; l´acquisizione dei dati biometrici avverrebbe sotto forma di template ("codice binario a priori indecifrabile ed irreversibile"), il quale dapprima sarebbe memorizzato anche su un "file temporaneo della postazione" e successivamente da quest´ultima eliminato al termine della procedura di "personalizzazione".

I dati contenuti nella smart card verrebbero protetti attraverso specifiche misure di sicurezza (chiavi crittografiche, star keys, ecc.) appositamente rivolte anche a minimizzare i rischi di accesso, soprattutto in chiave anti-skimming (indebita lettura elettronica dei dati memorizzati nel chip). I dati inseriti nella tessera, inoltre, sarebbero "protetti in scrittura tramite access condition", in modo tale da garantire "l´impossibilità della lettura o modifica [dei] dati sulla carta", la quale sarebbe anche provvista di "meccanismi di autodistruzione [ove] forzata nelle sue condizioni di accesso".

La fruizione del servizio di fast boarding determinerebbe l´apertura di una sessione di verifica (cifrata) attraverso l´acquisizione in tempo reale dell´impronta del passeggero e la successiva sua immediata conversione nel relativo modello matematico, che verrebbe confrontato con quello memorizzato nel chip a tecnologia RFID presente sulla smart card abilitata all´accesso; l´eventuale corrispondenza tra il modello acquisito al momento dell´accostamento della tessera al "reader" e quello successivamente ricavato dalla scansione dell´impronta digitale dell´interessato autorizzato all´imbarco consentirebbe l´accesso al gate di pertinenza.

Nel corso delle operazioni, nessun dato biometrico transiterebbe nel sistema informativo di Alitalia–Compagnia Aerea Italiana S.p.A., il quale provvederebbe alla sola verifica dello stato della carta, che dovrebbe risultare "attiva" al momento dell´utilizzo del "reader".

I passeggeri che decidessero di avvalersi del sistema descritto, già sommariamente informati all´atto della ricezione della carta, riceverebbero una specifica informativa in occasione della "personalizzazione" della tessera elettronica (il cui testo è stato prodotto dalla società), corredata da una nota esplicativa del servizio, cui seguirebbe l´acquisizione della "copia firmata del consenso al trattamento" rilasciato da ciascun interessato.

Inoltre, il personale preposto al trattamento dei dati biometrici dei passeggeri, che verrebbe designato in conformità all´art. 30 del Codice, sarebbe "debitamente formato" e adeguatamente istruito "in ordine ai comportamenti da tenere ed alle cautele da adottare" (a riprova di ciò, la società ha prodotto copia delle istruzioni che verrebbero impartite agli incaricati).

Secondo la società, il sistema consentirebbe –in coerenza con il quadro normativo di riferimento– di gestire i flussi di imbarco in maniera snella e sicura, garantendo al contempo ai clienti che decidessero di beneficiarne un servizio efficiente e funzionale.

Inoltre, esso sarebbe l´unico strumento che consentirebbe di poter verificare, in forma automatizzata, la corrispondenza tra il nominativo presente sul biglietto e l´identità del passeggero senza dover ricorrere ad un eventuale incremento del personale ai gate di imbarco, opzione che la società ha dichiarato non essere praticabile.

Infine, la società ha prodotto documentazione relativa alle valutazioni di impatto sulla "privacy" degli aderenti effettuate in ordine all´impiego della tecnologia RFID, con particolare riferimento alla "descrizione della caratterizzazione della applicazione RFID utilizzata nel progetto", alle "procedure interne seguite" e alla "valutazione dei rischi" connessi all´utilizzo di detta tecnologia, dichiarando altresì che la stessa "è necessaria solamente per il riconoscimento della smart card biometrica con il lettore posto sul varco".

2. Le osservazioni dell´Autorità.
Come reiteratamente affermato dall´Autorità, la raccolta e la registrazione di impronte digitali utilizzate per verifiche e raffronti nelle procedure di autenticazione o di identificazione sono operazioni di trattamento di dati personali riconducibili ai singoli interessati (art. 4, comma 1, lett. b), alle quali trova applicazione la normativa contenuta nel Codice (cfr., ex multis, Provv.  19 novembre 1999, doc. web n. 42058; Provv. 21 luglio 2005, doc. web n. 1150679; Provv. 23 novembre 2005, doc. web n. 1202254; Provv. 15 giugno 2006, doc. web n. 1306530; Provv. 1° febbraio 2007, doc. web n. 1381983; Provv. 19 giugno 2008, doc. web n. 1532480; Provv. 17 novembre 2010, doc. web n. 1779745; documento di lavoro sulla biometria del Gruppo Art. 29 dei garanti europei, Wp 80); ciò, anche nel caso in cui il rilievo dattiloscopico sia raccolto ai soli fini del completamento della fase di enrollment e venga successivamente utilizzato (sotto forma di codice numerico) per le menzionate operazioni di verifica e raffronto (Provv. 23 gennaio 2008, doc. web n. 1487903; Provv. 26 maggio 2011, doc. web n. 1832558).

La legittimità del sistema sottoposto al vaglio dell´Autorità, limitatamente ai profili di protezione dei dati personali, deve essere quindi valutata sul piano della conformità del relativo trattamento ai principi di necessità, liceità, finalità e proporzionalità (artt. 3 e 11, comma 1, lett. a), b) e d), del Codice).

La raccolta e il successivo utilizzo di tale delicata tipologia di dati, infatti, può risultare giustificato, con l´osservanza di adeguate garanzie, solo in casi particolari, tenuto conto delle finalità perseguite dal titolare del trattamento e del contesto in cui essi vengono trattati (cfr., tra gli altri, Provv. 23 novembre 2006, doc. web n. 1364939; Provv. 26 luglio 2006, doc. web n. 1318582; Provv. 23 gennaio 2008, cit.; Provv. 15 aprile 2010, doc. web n. 1719879), in particolare quando ciò sia funzionale a garantire la sicurezza di beni e persone; è tuttavia necessario, a tal fine, che ricorrano specifici elementi riconducibili a circostanze obiettive, che evidenzino una situazione concreta di elevato rischio (da valutare, comunque, con estrema cautela e caso per caso).

A tale proposito, la società ha fondato la propria istanza sulla necessità di individuare soluzioni atte a coniugare l´esigenza di agevolare e snellire le procedure aeroportuali di imbarco, solitamente coinvolgenti un gran numero di passeggeri, con la necessità di identificare rigorosamente questi ultimi in ragione degli stringenti obblighi a tal fine previsti dalla normativa vigente.

Al riguardo, occorre considerare che i rigidi protocolli di sicurezza previsti in ambito aeroportuale a tutela di beni e persone risultano effettivamente richiedere, alla luce dell´attuale quadro normativo (cfr., tra gli altri, Regolamento n. 185/2010, cit.; Programma Nazionale per la Sicurezza dell´aviazione civile approvato il 19 marzo 2012; in termini più generali, v. anche D.P.R. n. 461/1985), l´adozione di affidabili sistemi di identificazione dei soggetti deputati a transitarvi in conformità alle procedure espressamente previste (v. pure Provv. 17 settembre 2009, doc. web n. 1655708). Inoltre, occorre tener presente che la possibilità di impiego del dato biometrico per l´accertamento dell´identità degli utenti è previsto dalla stessa normativa comunitaria (cfr. il già citato Reg. n. 185/2010, punto 1.2.2.2.) e che i vettori aerei, sulla base del menzionato Programma Nazionale per la Sicurezza dell´aviazione civile (la cui violazione è sanzionata a termini dell´art. 1174 del codice della navigazione: v. disposizione Enac 19 marzo 2012, n. 11), sono tenuti ad osservare precisi obblighi di identificazione dei passeggeri (anche in vista delle eventuali successive comunicazioni da dover inoltrare alle preposte autorità), nonché ad attuare specifiche misure atte a prevenire accessi non autorizzati agli aeromobili (cfr. Reg. n. 185/2010, punto 3.2.1.1; v. anche P.N.S., punto 3.2.1.1.a).

Ciò premesso, si deve rilevare che il sistema descritto, così come configurato, utilizza (in conformità a quanto statuito dagli artt. 3 e 11, comma 1, lett. d), del Codice) soltanto un numero circoscritto di informazioni, tale da consentire l´identificazione degli interessati solo indirettamente (in virtù dell´associazione effettuata con i dati anagrafici già presenti nel sistema informativo della società), al solo fine di coniugare l´esigenza dello snellimento delle operazioni di imbarco con quella dell´accertamento dell´identità dei passeggeri.

Inoltre, va sottolineato che la società, assumendo ogni responsabilità ai sensi dell´art. 168 del Codice, non solo ha riferito che la rilevazione dei dati biometrici avverrà esclusivamente sulla base del libero consenso dei passeggeri (documentato per iscritto), previo rilascio della prevista informativa, ma ha anche dichiarato che in difetto della manifestazione di tale consenso "le procedure di imbarco […] resteranno quelle attuali" (cfr. modello di informativa in atti); pertanto, può ritenersi che le modalità prescelte dalla società, in quanto funzionali all´acquisizione di un consenso informato realmente scevro da pressioni o condizionamenti (cfr., sul punto, ancorché in un contesto diverso, Provv. 3 febbraio 2005, doc. web n. 1109503 e Provv. 9 marzo 2005, doc. web n. 1109493), siano effettivamente conformi alla disciplina del Codice (e, segnatamente, agli artt. 11, comma 1, lett. a) e b), 13 e 23).

Analoghe considerazioni, poi, possono essere effettuate  sia con riferimento alle modalità di archiviazione delle informazioni adottate (memorizzazione dei template –protetti da sistemi di crittografia e cifratura dei dati– sulle sole tessere elettroniche poste nell´esclusiva disponibilità degli interessati), che si reputano anch´esse adeguate e rispettose dei principi di necessità e proporzionalità (artt. 3 e 11, comma 1, lett. d), del Codice), sia riguardo alle misure di sicurezza adottate a tutela dei dati dei passeggeri, stante anche l´adozione di accorgimenti volti a prevenire, in particolare, fenomeni di skimming (cfr. artt. 31 e ss. del Codice).

Per quanto concerne, infine, l´utilizzo di tecnologia RFID sulle smart card di futura distribuzione, deve rilevarsi che, allo stato, non risultano emergere rischi evidenti per i dati personali dei passeggeri; da un lato, infatti, le modalità d´uso della tessera non sembrano divergere da quelle delle tradizionali smart card, dall´altro la ridotta distanza operativa di lettura attraverso canali cifrati di comunicazione risulta in grado di impedire l´acquisizione (anche inconsapevole) dei dati contenuti nella tessera da parte di soggetti estranei al trattamento. A ciò, si aggiunga che la società ha documentalmente provato l´avvenuta effettuazione delle valutazioni di impatto della tecnologia RFID sulla sfera di riservatezza degli interessati previste dal "Quadro per la valutazione dell´impatto delle applicazioni RFID sulla protezione della vita privata e dei dati", predisposto dal settore dell´industria in data 11 febbraio 2011, richiamate anche dalla raccomandazione della Commissione europea del 12 maggio 2009 sull´applicazione dei princìpi di protezione della vita privata e dei dati personali nelle applicazioni basate sull´identificazione a radiofrequenza.

Alla luce di quanto sopra evidenziato, deve conclusivamente ritenersi che, ove effettuato nei termini e con le modalità sopra indicate e in osservanza delle misure e degli accorgimenti di seguito prescritti (art. 17 del Codice), l´uso dei dati biometrici dei passeggeri volto esclusivamente ad accertarne l´identità in vista del loro successivo ingresso ai "gate" non sia né illecito, né sproporzionato, anche in ragione dell´obiettiva idoneità del sistema ad arrecare significativi vantaggi, tra l´altro, alla stessa utenza.

3. Prescrizioni.
La società, in aderenza a quanto previsto dall´art. 13 del Codice, ha dichiarato che provvederà a rendere agli interessati che aderiranno al servizio di fast boarding un´idonea informativa preventiva. Sebbene l´articolato testo acquisito agli atti contenga anche la descrizione delle caratteristiche del sistema utilizzato, occorre tuttavia rilevare che essa non specifica le finalità del trattamento (genericamente indicate come "registrazione" del template nella carta MilleMiglia), né risulta chiaramente evidenziata la natura obbligatoria o facoltativa del conferimento dei dati (art. 13, comma 1, lett. a) e b), del Codice). La società dovrà quindi provvedere, nel rispetto anche di quanto previsto dall´art. 11, comma 1, lett. b) del Codice, a integrare l´informativa resa agli utenti, indicando chiaramente le finalità perseguite (agevolazione e snellimento, nel rispetto delle rigorose procedure di identificazione dei passeggeri richieste dalla normativa vigente, delle procedure di imbarco), e la natura del conferimento dei dati (art. 13, comma 1, lett. a) e b) del Codice); ciò, nell´ottica di garantire agli interessati una più compiuta comprensione delle caratteristiche del trattamento svolto.

Per quanto concerne, poi, la tessera rilasciata ai passeggeri, essa, in conformità a quanto previsto dall´art. 3 del Codice, dovrà risultare priva di indicazioni immediatamente riferibili a costoro, essendo a tal fine sufficiente, anche nell´ottica della prevenzione di eventuali utilizzi impropri dei dati biometrici contenuti nelle tessere eventualmente smarrite o sottratte, l´attribuzione di un codice individuale a ciascun interessato in luogo di eventuali dati identificativi (art. 4, comma 1, lett. c), del Codice).

Inoltre, la società potrà trattare i dati biometrici necessari alla realizzazione del template esclusivamente durante la fase di enrollment (in tal senso, già Provv. 15 giugno 2006, doc. web n. 1306523), senza possibilità di conservarli; gli ulteriori dati personali (non biometrici) relativi alle operazioni di verifica per l´accesso dei passeggeri ai gate di imbarco, fatto salvo il rispetto di specifiche disposizioni normative eventualmente applicabili, potranno essere conservati per il solo periodo di tempo strettamente necessario al perseguimento degli scopi per i quali i medesimi dati sono stati raccolti e successivamente trattati (art. 11, comma 1, lett. e) del Codice).

Infine, quale accorgimento aggiuntivo a garanzia degli interessati, la società dovrà adottare idonee misure affinché vengano immediatamente inibite tutte le funzioni connesse all´uso della tessera elettronica in caso di relativo smarrimento o furto, fornendo in pari tempo ai passeggeri adeguate istruzioni sulla corretta custodia della tessera e sugli adempimenti connessi ad un´eventuale perdita di disponibilità di quest´ultima.

Resta inteso che, in conformità agli obblighi stabiliti dagli artt. 37, comma 1, lett. a), e 38 del Codice, la società, prima dell´inizio del trattamento, dovrà provvedere ad effettuare la prevista notifica, nonché a farsi rilasciare, in aderenza a quanto previsto dall´Allegato "B" al Codice stesso (reg.la 25), il prescritto attestato di conformità da parte dell´installatore del sistema, unitamente ad ogni altra idonea certificazione ed omologazione dei dispositivi impiegati.

TUTTO CIÒ PREMESSO IL GARANTE

a conclusione della verifica preliminare relativa all´utilizzo di un sistema di rilevazione di dati biometrici che Alitalia–Compagnia Aerea Italiana S.p.A. intende impiegare per finalità di verifica dell´identità dei passeggeri e di agevolazione e snellimento delle procedure di imbarco, prende atto del trattamento oggetto delle dichiarazioni rese e della documentazione prodotta, fermo restando, quali prescrizioni ai sensi dell´art. 17 e 154, comma 1, lett. c) del Codice, che la società dovrà:

1. integrare l´informativa resa agli utenti, indicando chiaramente le finalità perseguite (agevolazione e snellimento, nel rispetto dei rigorosi protocolli di identificazione dei passeggeri imposti dalla normativa vigente, delle procedure di imbarco) e la natura del conferimento dei dati (art. 13, comma 1, lett. a) e b) del Codice);

2. eliminare dalla tessera rilasciata agli interessati eventuali indicazioni immediatamente riferibili ai passeggeri, attribuendo a ciascuno di essi, anche nell´ottica di prevenire eventuali utilizzi impropri dei dati biometrici contenuti nelle tessere eventualmente smarrite o sottratte, un codice individuale;

3. conservare i dati necessari alla realizzazione del template esclusivamente durante la fase di enrollment e gli ulteriori dati personali (non biometrici) relativi alle operazioni di verifica per l´accesso ai gate d´imbarco, fatta salva l´osservanza di specifiche disposizioni normative eventualmente applicabili, per il solo periodo di tempo strettamente necessario al perseguimento degli scopi per i quali i medesimi dati sono stati raccolti e successivamente trattati (art. 11, comma 1, lett. e) del Codice);

4. adottare idonee misure affinché vengano inibite immediatamente tutte le funzioni connesse all´uso della tessera elettronica in caso di relativo smarrimento o furto, fornendo in pari tempo ai passeggeri adeguate istruzioni sulla corretta custodia della tessera e sugli adempimenti connessi ad un´eventuale perdita di disponibilità di quest´ultima;

5. notificare il trattamento antecedentemente al suo inizio (artt. 37, comma 1, lett. a), e 38 del Codice);

6. farsi rilasciare l´attestato di conformità in caso di installazione del sistema da parte di soggetti esterni, unitamente ad ogni altra idonea certificazione ed omologazione dei dispositivi impiegati (reg.la 25 dell´Allegato "B" al Codice).

Roma, 4 ottobre 2012

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia