g-docweb-display Portlet

Trattamento di dati personali effettuato attraverso un impianto di videosorveglianza. Verifica preliminare - 24 ottobre 2013 [2792798]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 2792798]

Trattamento di dati personali effettuato attraverso un impianto di videosorveglianza. Verifica preliminare - 24 ottobre 2013

Registro dei provvedimenti
n. 467 del 24 ottobre 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici, componente, e del dott. Giuseppe Busia, segretario generale;

Esaminata la richiesta di verifica preliminare presentata da XY ai sensi dell´art. 17 del d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali; di seguito "Codice");

Visto il provvedimento generale in materia di videosorveglianza dell´8 aprile 2010 (doc. web n. 1712680), con particolare riferimento al punto 3.4;

Esaminata la documentazione acquisita agli atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il  dott. Antonello Soro;

PREMESSO

1. L´istanza della società.

In data 13 luglio 2012, XY ha formulato un´istanza di verifica preliminare (art. 17 del Codice) al fine di poter conservare per 90 giorni le immagini registrate attraverso il sistema di videosorveglianza in uso presso lo stabilimento sito in XX, località YY.

In particolare, XY ha riferito di occuparsi, "attraverso il marchio KW" (acquisito nel 1994, in occasione dell´incorporazione della KW S.p.a.), della progettazione e della realizzazione di "card a banda magnetica" e smart card (con microchip contact e contactless), segnatamente per il mercato bancario e per i settori retail, ID, trasporti e telefonia, curando, in alcuni casi, non solo l´attività di "personalizzazione" dei supporti –con conseguente trattamento, a seconda dei mercati di riferimento, di alcuni dati personali degli interessati, quali "il nome, cognome, indirizzo, nr di PAN" (numero account primario) ed il codice fiscale- ma anche la loro "postalizzazione", ove richiesta dai clienti.

Stante la delicatezza dell´attività produttiva svolta e l´ubicazione dello stabilimento in una zona isolata e non distante da possibili vie di fuga, la società, sin dal 2005 (epoca del conseguimento, da parte di KW, delle certificazioni rilasciate da  MasterCard International e Visa International per la produzione delle carte di debito e di credito), aveva deciso di dotarsi di un impianto di videosorveglianza sia per contrastare il rischio del furto delle carte di credito "finite" o, comunque, dei materiali necessari per la loro realizzazione, sia per adeguarsi agli standard di sicurezza richiesti dai suddetti circuiti internazionali; tale sistema, composto da telecamere interne e da altre posizionate lungo il perimetro dello stabilimento, successivamente era stato più volte "integrato" con altre telecamere in attuazione delle specifiche indicazioni espresse in sede di Audit dagli ispettori degli enti certificatori, rimanendo in funzione sino ad oggi.

Ciò premesso, la società ha chiesto di poter estendere i tempi di conservazione delle immagini registrate da tale sistema -allo stato limitati a sole 24 ore- sino a 90 giorni, motivando tale scelta non solo con l´esigenza di rafforzare il livello di tutela della proprietà aziendale e di garantire la sicurezza dei lavoratori, dei prodotti e dei dati degli utilizzatori finali, ma anche con la necessità di rispettare gli ulteriori parametri fissati dai circuiti internazionali MasterCard International e Visa International (cfr. "Global Physical Security Validation Requirements for Card Vendors" -Visa, ottobre 2008; MasterCard Physical Security Standards for Plastic Card Vendor – aprile 2008), che impongono alle società destinatarie di commesse l´osservanza di un più elevato standard di sicurezza durante l´intero processo di lavorazione.

In particolare, tra le misure di sicurezza richieste dagli enti certificatori, figurerebbe proprio la conservazione delle immagini registrate dai sistemi di videosorveglianza per un arco temporale di 90 giorni, ritenuta necessaria per "individuare accessi abusivi o condotte sospette anche in fase di sopralluogo" (cfr. nota XY del 12 luglio 2012, p.3).

Pertanto, la Società ha chiesto che il predetto allungamento dei tempi di conservazione venga concesso almeno per le immagini concernenti le aree esterne ai locali, quelle di ingresso e di uscita e le zone ritenute "sensibili" (caveau, magazzino, aree di produzione, di ricevimento e di spedizione), assumendo che, per esse, i manuali Mastercard e Visa non consentirebbero deroghe anche in presenza di regole diverse poste dalla legge nazionale (cfr. nota del 12 luglio 2012).

Inoltre, circa la   trasmissione ai destinatari delle carte già "personalizzate", XY ha dichiarato che il lasso temporale intercorrente tra la fabbricazione della singola carta e il suo arrivo presso il legittimo proprietario non risulta controllabile dalla società, in quanto, tranne sporadici casi di effettuazione "in proprio", la "postalizzazione" dei supporti "finiti" viene effettuata dagli stessi committenti, i quali, dopo aver acquisito la disponibilità delle singole buste che li contengono, procedono direttamente alla loro consegna ai titolari, osservando tempi di consegna variabili a seconda delle procedure adottate da ciascuno di essi (cfr. nota del 21 giugno 2013).

Infine, a corredo della propria istanza, la società ha fatto pervenire:

a) la copia di un accordo stipulato in data 17 febbraio 2005 con le rappresentanze sindacali, volto a regolare l´utilizzo del sistema di videosorveglianza rispetto ai rischi connessi al "controllo indiretto dell´attività lavorativa" dei dipendenti, nonché la copia di successivi accordi integrativi, conclusi negli anni 2006, 2009 e 2012, in ragione delle "esigenze produttive e dei correttivi suggeriti dagli Audit di Visa e Mastercard";

b) la copia di un "pre-accordo" sottoscritto nel giugno 2012 ai sensi dell´art. 4 della legge n. 300/1970, concernente l´allungamento a 90 giorni dei tempi di conservazione delle immagini registrate dal sistema di videosorveglianza, la cui successiva "formalizzazione" è stata condizionata dalle parti alla positiva valutazione dell´Autorità Garante per la protezione dei dati personali.

2. Le modalità di funzionamento del sistema

L´impianto di videosorveglianza che la società già utilizza fa parte di un più ampio apparato di sicurezza implementato a protezione degli ambienti produttivi, che si compone anche di un sistema di controllo degli accessi (cfr. nota del 12 luglio 2012; accordo sindacale del 17 febbraio 2005).

L´impianto si avvale di 61 telecamere, di cui alcune dislocate all´interno del sito produttivo, altre lungo il suo perimetro (cfr. planimetrie allegate al fascicolo). Per quanto riguarda il loro angolo di visuale, la Società ha riferito che quelle interne sono volte ad inquadrare tutte le aree "sensibili" e, in particolare:

- "tutte le fasi produttive, dalla ricezione del file alla consegna del prodotto finito", per avere traccia dei vari spostamenti dei semilavorati e del prodotto ultimato;

- "le entrate e le uscite dai singoli reparti/aree di attività della zona Security;

- le zone in cui avviene il passaggio di consegne "ed il conteggio del semilavorato, da un reparto all´altro";

- l´area di stoccaggio del prodotto finito e quelle in cui vengono svolte attività "critiche", come la selezione delle carte, la distruzione delle stesse, il ritiro dei prodotti finiti, la consegna delle materie prime e la personalizzazione dei supporti (cfr. accordo sindacale del 17 febbraio 2005).

Per quanto concerne invece le aree esterne, l´orientamento delle videocamere è specificamente rivolto verso gli accessi e verso le uscite di sicurezza.

Circa le misure minime di sicurezza, è stato dichiarato che "l´apparecchio di registrazione delle immagini" è ubicato in apposito armadio collocato all´interno della zona blindata SCR (Security Control Room) ad accesso regolamentato e con costante presenza di guardie non armate (cfr. nota del 21 giugno 2013); i monitor, posizionati sempre nella Security Control Room, permettono alla guardia giurata in servizio, al Security manager "e/o all´incaricato all´attività di reception", di controllare le immagini riprese dalle telecamere. Al riguardo, è stato riferito che alcuni schermi mostrano, a rotazione, le immagini concernenti le aree dove si svolgono attività critiche e, precisamente: il ritiro delle carte di credito da parte dei corrieri esterni; l´apertura delle uscite di sicurezza; il transito del personale interno dal magazzino alla truck area; il packaging. Per quanto concerne, poi, le rimanenti zone, il loro controllo è effettuato attraverso un singolo monitor, preposto a visualizzare automaticamente solo le immagini relative a "violazioni che facciano scattare allarmi" (cfr. accordo sindacale del 17 febbraio 2005, pag 2-3).

Per quanto riguarda la registrazione delle immagini, che attualmente sono cancellate al termine delle 24 ore, è stato dichiarato che la loro visione è consentita al datore di lavoro solamente alla presenza di un rappresentante dei lavoratori, attraverso una password speciale di 10 cifre/lettere, ripartita a metà tra parte datoriale e rappresentanza dei lavoratori.

Quanto alla nomina degli incaricati, la Società, titolare del trattamento, ha dichiarato di aver proceduto alla loro designazione ai sensi dell´art. 30 del Codice, distinguendo tra coloro che hanno accesso alle immagini live e coloro che possono accedere alle sole registrazioni (cfr. nota del 21 giugno 2013).

Per quanto concerne l´obbligo di rendere l´informativa, XY ha specificato di aver affisso dei cartelli "in prossimità delle aree videosorvegliate", recanti le informazioni riguardanti la finalità del trattamento, gli estremi del titolare e la registrazione delle immagini.

Ciò premesso, le modifiche che la società intenderebbe apportare consistono nell´implementazione di un secondo sistema di registrazione -che, andrebbe ad affiancarsi a quello già esistente (le cui modalità di funzionamento, quindi, rimarrebbero inalterate)- programmato per poter conservare per 90 giorni le immagini relative a specifiche aree del sito.

Le immagini sarebbero automaticamente cancellate per sovrascrittura e l´accesso alle registrazioni avverrebbe solo in caso di "eventi particolari, oggetto di segnalazioni da parte del Committente e delle Autorità preposte".

Per ciò che riguarda la visione delle riprese, XY ha proposto due possibili soluzioni; secondo la prima, i codici di accesso sarebbero ripartiti tra un rappresentante datoriale ed uno sindacale, con la conseguenza che le immagini registrate sarebbero visionabili solamente in presenza di entrambi, dietro specifiche richieste delle committenti (cioè Mastercard International e Visa International, come da rispettivi manuali) e o dell´Autorità giudiziaria; in alternativa, è stata prospettata la possibilità che i codici di accesso, sempre ripartiti tra un rappresentante datoriale ed uno sindacale, all´occorrenza siano consegnati direttamente alle Autorità competenti, le quali accederebbero univocamente senza alcun intervento del personale dell´azienda (cfr. nota del 12 luglio 2012, all. n. 6. "Relazione tecnica sulla gestione e l´utilizzo dell´impianto di videosorveglianza").

3. Le valutazioni dell´Autorità.

La richiesta di poter allungare il termine di conservazione delle immagini videoregistrate deve essere valutata alla luce dei principi di necessità, proporzionalità, finalità e correttezza posti dal Codice (artt. 3 e 11 del Codice), espressamente richiamati anche nel Provvedimento generale in materia di videosorveglianza dell´8 aprile 2010. In particolare, secondo tale provvedimento l´allungamento dei tempi di conservazione dei dati oltre i sette giorni, giustificabile solo in casi eccezionali, deve essere adeguatamente motivato "con riferimento ad una specifica esigenza di sicurezza perseguita, in relazione a concrete situazioni di rischio riguardanti eventi realmente incombenti e per il periodo di tempo in cui venga confermata tale eccezionale necessità.

Per una corretta valutazione dell´istanza occorre necessariamente tenere conto della peculiarità della fattispecie e, in particolare, del fatto che la stessa è determinata dall´esigenza di uniformarsi ai parametri di sicurezza previsti dai circuiti internazionali (MasterCard International e Visa International), i quali, per concedere la certificazione alle aziende operanti nel settore della produzione di carte plastificate (card vendors), richiedono l´osservanza di precisi standard di sicurezza logica e fisica durante l´intero processo di lavorazione.

Al riguardo, la Società ha riferito che le certificazioni richieste da MasterCard e Visa sarebbero legate agli standard messi a punto dall´organizzazione denominata Payment Card Industry Security Standard Council (PCI-SSC), fondata da American Express Company, Discover Financial Services Inc., JCB International Company, MasterCard Worldwide e Visa Inc. per migliorare la sicurezza dei dati relativi ai pagamenti, la quale si sarebbe ispirata all´ ISO/IEC 27001, costituente un vero e proprio punto di riferimento nell´ambito della sicurezza delle informazioni  (cfr. nota allegata all´e-mail del 30 dicembre 2012).

In particolare, gli standard PCI-DSS (cfr. definizioni presenti sul sito http://it.pcisecuritystandards.org/minisite/en/about.php), alla cui osservanza sarebbe tenuta anche XY, riguarderebbero non solo le misure volte a limitare l´accesso fisico ai dati dei titolari delle carte di pagamento (tra le quali vanno annoverate anche le videocamere "per monitorare gli accessi fisici ad aree sensibili" - cfr. PCI–DSS –requisiti e procedure di valutazione della sicurezza, versione 2 –ottobre 2010, pag. 52), ma anche quelle misure "per verificare che le carte personalizzate prodotte rispondano ai legittimi proprietari" e per favorire "la tutela delle carte e dei dati in esse contenuti durante la trasmissione del prodotto finito ai committenti" (cfr. nota del 21 giugno 2013, pag.2).

Tutto ciò premesso, già la scelta di XY di installare un adeguato sistema di videosorveglianza, al fine di prevenire accessi non autorizzati o danneggiamenti al patrimonio aziendale, comprendente informazioni, strutture e materiali, risulta in linea con i suindicati standard di sicurezza di settore.

Inoltre, nel caso in questione sussistono anche specifici elementi che inducono a ritenere che la richiesta di allungamento sino a 90 giorni dei tempi di conservazione delle immagini attinenti a luoghi particolarmente delicati del sito produttivo non sia in contrasto con i principi posti dagli artt. 3 e 11 del Codice, purché la loro utilizzazione avvenga nel rispetto delle procedure delineate dall´art. 4 della legge n. 300/1970 e soltanto in ragione di eventi particolari segnalati dai committenti od oggetto d´indagine da parte dell´Autorità giudiziaria.

In proposito, in primo luogo occorre tenere conto dell´estrema delicatezza dell´attività produttiva svolta da XY, che si occupa non solo della progettazione e realizzazione di supporti elettronici a banda magnetica volti ad essere utilizzati in settori di particolare importanza (ad es., quello bancario), ma anche della loro "personalizzazione", con conseguente trattamento -e correlativa esigenza di protezione- di dati personali di enormi masse di clienti; in secondo luogo, non può non tenersi conto del fatto che il sito di XX, già oggetto di episodi criminosi, si trova in una zona isolata e adiacente a vie di fuga facilmente raggiungibili.

Inoltre, non può essere disconosciuta l´esigenza della società di monitorare l´integrità delle card durante tutto l´iter di fabbricazione (comprensivo della fase di "personalizzazione") e sino alla loro fuoriuscita dall´azienda, nonché di conservare per un periodo di tempo adeguato le immagini concernenti le fasi di lavorazione, anche al fine di poter dimostrare, a fronte di possibili segnalazioni dei clienti o di richieste dell´Autorità giudiziaria, che eventuali furti delle carte e/o illecite acquisizioni delle informazioni in esse riportate non si siano verificati prima della loro presa in custodia da parte dei committenti. Tale interesse, peraltro, appare ancor più giustificato ove si tenga conto del fatto che i tempi di consegna ai destinatari dei predetti supporti sono estremamente variabili in ragione delle differenti procedure adottate dalle singole società che vi provvedono (cfr. nota del 21 giugno 2013), sicché la ricostruzione dell´accaduto può doversi basare su registrazioni risalenti nel tempo, sicuramente anche oltre la settimana.
Infine, non può non tenersi conto del fatto che l´esistenza delle riferite esigenze risulta confermata dalle stesse organizzazioni sindacali, le quali, oltre a condividere sin dal primo momento la necessità di istallare un sistema di videosorveglianza per un´adeguata tutela del patrimonio aziendale e per il corretto adeguamento dell´azienda agli standard di sicurezza richiesti da Mastercard e Visa, (cfr. accordo sindacale del 2005), hanno aderito anche al progetto di conservare per 90 giorni le immagini riferite ad aree del sito produttivo esposte a particolare rischio, anche in vista dell´ulteriore, indispensabile adeguamento della società alle richieste provenienti dagli stessi enti certificatori (cfr. bozza di pre-accordo sottoscritta nel giugno 2012).

Pertanto, alla luce delle dichiarazioni rese (della cui veridicità la XY ha assunto ogni responsabilità - anche penale - ai sensi dell´art. 168 del Codice), delle esigenze rappresentate e delle illustrate modalità di funzionamento dell´impianto, volto a tutelare il patrimonio aziendale, questa Autorità ritiene che la richiesta di verifica preliminare possa essere accolta.

Ovviamente, l´accesso alle immagini conservate per 90 giorni, concernenti le sole aree esterne ai locali, quelle di ingresso e di uscita e le zone ritenute "sensibili" (caveau, magazzino, aree di produzione, di ricevimento e di spedizione) potrà essere effettuato solo nel caso in cui vengano ravvisati o segnalati eventuali illeciti, oppure allorché pervenga una richiesta in tal senso da parte dell´Autorità giudiziaria.

Resta inteso che le modifiche al sistema di videosorveglianza dovranno essere apportate nel rispetto di quanto previsto dall´art. 4, comma 2 della legge n. 300/1970; circa le tipologie di accesso alle registrazioni proposte, ogni decisione viene rimessa alla stessa XY e alle organizzazioni sindacali, risultando entrambe rispettose dei principi di protezione dei dati personali.

TUTTO CIÒ PREMESSO, IL GARANTE,

ai sensi dell´art. 17 del Codice, a conclusione della verifica preliminare, nel prendere atto del trattamento di dati personali effettuato da XY attraverso l´impianto di videosorveglianza installato nello stabilimento di XX, autorizza la conservazione fino a 90 giorni delle sole immagini attinenti le aree esterne ai locali, quelle di ingresso e di uscita e le zone ritenute "sensibili" (caveau, magazzino, aree di produzione, di ricevimento e di spedizione), all´esclusivo fine dell´accertamento di eventuali illeciti e dell´individuazione, da parte dell´Autorità giudiziaria, dei possibili responsabili; le relative modifiche al sistema di videosorveglianza dovranno essere apportate nel rispetto di quanto previsto dall´art. 4, comma 2 della legge n. 300/1970.

L´accesso alle immagini registrate potrà essere effettuato solo nel caso in cui vengano ravvisati o segnalati eventuali illeciti, oppure allorché pervenga una richiesta in tal senso da parte dell´Autorità giudiziaria.

Roma, 24 ottobre 2013

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia