g-docweb-display Portlet

Trattamento di dati personali derivante da un sistema di riconoscimento facciale dei passeggeri delle navi da crociera. Richiesta di verifica preliminare da parte di Costa Crociere S.p.A. - 18 giugno 2015 [4170232]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 4170232]

Trattamento di dati personali derivante da un sistema di riconoscimento facciale dei passeggeri delle navi da crociera. Richiesta di verifica preliminare da parte di Costa Crociere S.p.A. - 18 giugno 2015

Registro dei provvedimenti
n. 360 del 18 giugno 2015

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano, componente, e del dott. Giuseppe Busia, segretario generale;

VISTO il d.lgs. 30 giugno 2003, n. 196, recante il "Codice in materia di protezione dei dati personali" (di seguito "Codice");

VISTO il provvedimento del Garante del 12 novembre 2014, come modificato dal provvedimento del 15 gennaio 2015 (docc. web nn. 3556992 e 3701432);

VISTA la richiesta di verifica preliminare presentata da Costa Crociere S.p.A. ai sensi dell´art. 17 del Codice;

ESAMINATA la documentazione in atti, ivi compreso il parere appositamente reso dal dipartimento tecnologico;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Augusta Iannini;

PREMESSO

1. L´istanza della società.

1.1. Con nota del 4 marzo 2014 (successivamente integrata dalle comunicazioni del 28 aprile, 5 giugno, 4 luglio e 15 dicembre 2014), Costa Crociere S.p.A. ha presentato al Garante, ai sensi dell´art. 17 del Codice, una richiesta di verifica preliminare avente ad oggetto il trattamento di dati personali derivante da un sistema di riconoscimento facciale dei passeggeri che la società vorrebbe utilizzare per agevolare questi ultimi nell´individuazione delle fotografie (a scopo di acquisto) che li ritraggono durante la permanenza a bordo delle proprie navi.

Attualmente, le fotografie relative ai passeggeri vengono tutte affisse, il giorno successivo a quello dello scatto, presso un´apposita foto gallery liberamente accessibile dagli interessati; costoro, previo esame del complessivo materiale fotografico, possono selezionare gli scatti di loro gradimento e procedere, eventualmente, al relativo acquisto. L´implementazione del nuovo sistema, secondo quanto prospettato, consentirebbe, invece, di selezionare le sole fotografie di possibile interesse per i singoli passeggeri, evitando così un accesso indifferenziato e generalizzato alle immagini.

1.2. I passeggeri interessati alla tipologia di servizio proposta si recherebbero presso l´apposito "computer interattivo di bordo" (c.d. "chiosco"), venendo informati a video, previa identificazione a mezzo della corrispondente "carta Costa", in merito alle caratteristiche del trattamento; ottenuto, quindi, anche il relativo consenso, verrebbe scattata una foto-campione dell´interessato da cui estrarre le caratteristiche biometriche del volto e creare il corrispondente codice FIR (Face Identification Record), utilizzato quale "parametro" per la successiva ricerca delle fotografie. Il sistema, attraverso il confronto tra il codice FIR così generato e i codici FIR risultanti dall´analisi dei volti presenti nelle fotografie caricate giornalmente dal fotografo di bordo, selezionerebbe unicamente le immagini recanti le medesime caratteristiche –sì da garantire agli interessati l´accesso ai soli scatti che li ritraggono–, salvo poi provvedere, all´esito del processo di selezione e di eventuale acquisto, alla cancellazione delle informazioni biometriche acquisite; in tal modo, i passeggeri interessati alla successiva fruizione del servizio sarebbero chiamati a sottoporsi nuovamente all´intera procedura (con l´eccezione delle operazioni relative all´acquisizione della foto-campione, conservata in memoria dal sistema).

1.3. Più in dettaglio, il servizio offerto prevederebbe l´acquisizione di una fotografia (campione) ad alta risoluzione, analizzata dall´apposito software di riconoscimento facciale in vista della successiva estrazione,  attraverso "primitive" poste nell´esclusiva disponibilità del fornitore, delle caratteristiche distintive dell´immagine digitale del passeggero. Tali caratteristiche, "tradotte" in un codice binario cifrato (FIR, appunto), sarebbero associate all´interessato precedentemente identificato attraverso la relativa "carta Costa" (per ogni "carta Costa" è possibile creare più profili, sì da potervi associare molteplici foto-campione relative anche ai familiari).

Per assicurare maggiore accuratezza nelle operazioni di corrispondenza tra i codici FIR generati dal sistema –e, correlativamente, nella selezione delle immagini da rendere disponibili all´interessato–, nonché per ridurre il rischio di falsi "positivi" o "negativi", sarebbe prevista l´acquisizione di un´ulteriore fotografia –diversa da quella "campione"– appositamente selezionata dal passeggero per tale esclusiva finalità (c.d. "foto d´aiuto").

Il sistema, quindi, procederebbe a confrontare il codice FIR generato dalla foto-campione e dalla "foto d´aiuto" con quelli automaticamente ricavati dalle immagini (rectius: volti) precaricate giornalmente dal fotografo nell´apposito file system, individuando nel relativo database i codici FIR che presentano analoghe caratteristiche. Ove, all´esito della complessiva procedura, il "punteggio" della comparazione superasse una soglia predeterminata –identificata dalla società quale valore-limite per la selezione delle immagini e la loro effettiva riconducibilità al soggetto ritratto–, il sistema renderebbe disponibili agli interessati le fotografie così individuate.

Completato il processo di confronto e selezione, le fotografie verrebbero "associate" al passeggero –che potrebbe decidere di acquistarle anche in un secondo momento– e "copiate" in un´area a lui dedicata (c.d basket), quest´ultima consultabile previa autenticazione tramite la relativa "carta Costa". Le fotografie presenti nel "basket" verrebbero rinominate, onde evitare la possibilità di risalire alle fotografie "originali"; inoltre, nessuna relazione verrebbe mantenuta tra queste ultime e le foto "copiate" nell´area di pertinenza.

I codici FIR della foto-campione e della "foto d´aiuto" verrebbero immediatamente cancellati all´esito dell´operazione di comparazione, mentre i codici FIR presenti nel database della società verrebbero automaticamente eliminati, su base periodica, in funzione della durata della crociera, attraverso l´eliminazione delle corrispondenti fotografie.

1.4. A detta della società, i codici FIR generati automaticamente dal sistema non sarebbero riconducibili a soggetti identificati o identificabili, se non a seguito dell´operazione di confronto con i codici FIR relativi alle foto-campione e alle "foto d´aiuto". Questi, inoltre, verrebbero immediatamente cifrati a mezzo apposite tecniche crittografiche (sistema a doppia chiave, con "certificato" e "chiavi" custodite presso il sistema di server della società inaccessibile dalla nave), restando suscettibili di accesso –sempre e solo in forma criptata– unicamente al personale specificamente preposto agli interventi manutentivi e di assistenza, peraltro solo a seguito del superamento della prevista procedura di autenticazione forte. Il sistema, garantito da apposito firewall provvisto di IDS (Intrusion Detection System), verrebbe impostato per registrare i log di accesso alla banca di dati e al sistema stesso. La banca di dati contenente i FIR, inoltre, non comunicherebbe in alcun modo con quelle contenenti le fotografie o i dati identificativi dei passeggeri, mentre il collegamento tra le singole postazioni di rilevamento (i predetti "chioschi") e il server di bordo avverrebbe a mezzo di canali cifrati, attraverso una porzione della "rete" di bordo appositamente "dedicata e segregata".

1.5. La società ritiene che l´utilizzo di tecniche di face recognition costituisca la modalità più idonea per agevolare i passeggeri nell´individuazione delle fotografie di loro pertinenza. A parere di quest´ultima, infatti, non esisterebbero sul mercato, ad oggi, strumenti diversi e alternativi in grado di conseguire, altrettanto efficacemente, il medesimo obiettivo. Inoltre, l´adozione del sistema in esame consentirebbe di ridurre l´impatto ambientale derivante dai processi di smaltimento delle fotografie invendute (il 92% circa su un totale approssimativo di circa 11.300.000 scatti annuali).

Il servizio verrebbe configurato in modalità tale da utilizzare, a fini di confronto, unicamente i codici binari generati dalle "primitive" poste nell´esclusiva disponibilità del fornitore. Non verrebbero acquisite, inoltre, informazioni diverse da quelle "essenziali e strettamente necessarie al perseguimento delle finalità" dichiarate, né verrebbero rilevate caratteristiche fisiologiche e/o psicologiche tali da rivelare l´origine etnica o lo stato di salute dei passeggeri.

Il trattamento, previamente notificato al Garante, avverrebbe su base esclusivamente volontaria, acquisendo il consenso degli interessati in occasione dell´adesione al servizio. I passeggeri che non intendessero sottoporsi allo stesso, peraltro, resterebbero liberi di avvalersi delle attuali modalità di ricerca e selezione delle fotografie. Per quanto attiene, invece, alle operazioni di estrazione dei codici FIR dalle fotografie "caricate" giornalmente dal fotografo e utilizzate quale "base di confronto" con i codici FIR ricavati, di volta in volta, dalle foto-campione e dalle "foto d´aiuto", la società ritiene inattuabile la soluzione di acquisire un consenso preventivo da parte di tutti i passeggeri, stante l´impossibilità –se non a seguito dell´adesione al servizio stesso– di individuare i soggetti che abbiano manifestato il proprio consenso al trattamento qui considerato.

Gli interessati sarebbero resi edotti delle caratteristiche del trattamento a mezzo di specifica informativa resa a video in occasione dell´adesione al servizio; i passeggeri, inoltre, sarebbero preventivamente informati in merito all´attività svolta dal fotografo di bordo. In ogni caso, la società si è resa disponibile ad individuare ulteriori modalità per informare adeguatamente gli interessati in merito al trattamento che intende svolgere.

Non verrebbero perseguite, infine, finalità ulteriori rispetto a quella dichiarata, incentrata unicamente sulla minimizzazione del trattamento dei dati e sull´agevolazione degli interessati nell´individuazione delle fotografie che li ritraggono.

2. Le valutazioni dell´Autorità.

2.1. Il sistema di riconoscimento facciale che Costa Crociere S.p.A. vorrebbe utilizzare per agevolare i passeggeri nell´individuazione delle fotografie che li ritraggono a bordo delle proprie navi comporta un trattamento di dati personali degli interessati, come tale soggetto alla disciplina del Codice.

Come più volte precisato dal Gruppo di lavoro articolo 29 per la protezione dei dati (v. Parere 4/2007 sul concetto di dati personali, WP 136, nonché Parere 3/2012 sugli sviluppi nelle tecnologie biometriche, WP 193, e Parere 16/2011 relativo al riconoscimento facciale nell´ambito dei servizi online e mobili, WP 192),  le immagini digitali e i modelli ricavati dalle caratteristiche facciali degli interessati, nella misura in cui –come nel caso di specie– i soggetti ripresi e/o fotografati siano chiaramente identificabili, riguardano "proprietà biologiche, caratteristiche fisiologiche, tratti biologici" che, in "quanto proprie di un certo individuo [e] misurabili", devono essere considerati dati biometrici (in tal senso, v. anche le "Linee-guida in materia di riconoscimento biometrico e firma grafometrica", Allegato "A" al provvedimento del Garante del 12 novembre 2014), il cui trattamento resta quindi valutabile sotto il profilo della relativa rispondenza, in particolare, ai princìpi di liceità, finalità, necessità e proporzionalità (artt. 3 e 11, comma 1, lett. a), b), e d) del Codice).

2.2. Dall´istruttoria condotta e dall´esame della documentazione acquisita agli atti, tra cui il parere reso dal preposto dipartimento tecnologico, risulta che il trattamento oggetto dell´istanza, ove svolto nei termini e con le modalità indicate, oltre che nel rispetto delle prescrizioni di seguito formulate, non può ritenersi illecito.

Ed infatti, il trattamento che la società intende svolgere per la (sola) finalità dichiarata –determinata, legittima e resa previamente nota agli interessati a mezzo di una seppur sintetica informativa (artt. 11, comma 1, lett. b), e 13 del Codice)– può effettivamente contribuire ad agevolare i passeggeri nella ricerca e selezione delle fotografie di loro possibile interesse, riducendo al contempo le possibilità di accesso alle immagini di terzi. Ciò appare conforme al principio di necessità, che impone, sul piano generale, di configurare i sistemi informativi riducendo al minimo l´utilizzo di dati personali e identificativi (art. 3 del Codice).

Nei limiti della suddetta finalità, la società potrà trattare unicamente i dati biometrici degli interessati strettamente necessari all´esecuzione del servizio proposto, evitando l´acquisizione di informazioni ultronee o, comunque, idonee a rivelare tratti particolarmente sensibili degli interessati (origini razziali o etniche; stato di salute). Rispettando tali presupposti, il trattamento non potrà considerarsi nemmeno sproporzionato (art. 11, comma 1, lett. d), del Codice), anche alla luce delle dichiarazioni rese dalla società –oggetto di specifici approfondimenti da parte dell´Ufficio– in relazione alla prospettata inesistenza, sul mercato attuale, di strumenti alternativi parimenti efficaci in termini di risultato.

Sotto altro profilo, risulta poi che la società ha rimesso alla libera determinazione degli interessati la possibilità di avvalersi o meno del servizio proposto (v. modello di informativa allegato alla richiesta del 4 marzo 2014), prevedendo (rectius: mantenendo) modalità di ricerca e selezione delle fotografie che prescindono dall´acquisizione del dato biometrico; ciò risulta in linea con il principio di liceità (art. 11, comma 1, lett. a), del Codice), oltre che aderente ai requisiti richiesti dall´art. 23 del Codice. La società, inoltre, potrà compiere le operazioni di trattamento necessarie all´elaborazione dei codici FIR ricavati dalle immagini caricate dal fotografo nell´apposito file system in virtù del presente provvedimento, che –in linea con quanto stabilito, sia pure in ambiti parzialmente differenti, dal Gruppo di lavoro articolo 29 per la protezione dei dati nel citato Parere 16/2011– individua nel legittimo interesse del titolare (non lesivo dei diritti e delle libertà fondamentali, nonché della dignità degli interessati) il presupposto per poter dare attuazione all´istituto del bilanciamento di interessi previsto dall´art. 24, comma 1, lett. g), del Codice; a tal fine, si è tenuto conto, oltre che delle vigenti disposizioni in materia di tutela dell´ambiente (d.lgs. n. 152/2006; direttiva 2008/97/Ce; direttiva 2006/12/Ce), dell´oggettiva difficoltà di raccogliere un consenso preventivo da parte di tutti gli interessati e della sostanziale riduzione di dati personali che il sistema, in prospettiva, garantirebbe (a vantaggio, tra l´altro, degli stessi soggetti fotografati) in un´ottica di conformità all´art. 3 del Codice. Resta comunque fermo, ovviamente, l´obbligo per la società di darne adeguata contezza ai passeggeri antecedentemente all´inizio delle relative operazioni (v. infra).

Per quanto attiene alla protezione dei dati, le misure di sicurezza indicate dalla società, alla luce della documentazione trasmessa, risultano adeguate ai sensi degli artt. 31 e ss. del Codice. La medesima società, tuttavia, dovrà adottare gli ulteriori opportuni accorgimenti prescritti al punto 3 del presente provvedimento.

Resta inteso che i dati biometrici ricavati dalle caratteristiche facciali dei passeggeri non potranno essere utilizzati in operazioni di trattamento incompatibili con le finalità originarie della raccolta (art. 11, comma 1, lett. b), del Codice, cit.).

Si prende atto, infine, che la società provvederà alla modifica della notificazione già effettuata ai sensi degli artt. 37 e ss. del Codice.

3. Ulteriori adempimenti.

La società si è resa da subito disponibile ad individuare ulteriori modalità che consentano ai passeggeri (anche quelli che, in ipotesi, non intendessero aderire al servizio proposto), di essere previamente e compiutamente informati in ordine al trattamento di dati personali e biometrici che potrebbe riguardarli (anche solo limitatamente alle operazioni di estrazione del codice FIR dalle immagini caricate giornalmente dal fotografo di bordo). A tal proposito, si ritiene di dover prescrivere a Costa Crociere S.p.A., ai sensi dell´art. 17 del Codice, di adottare opportuni accorgimenti atti a raggiungere tale obiettivo, in particolare attraverso l´inclusione di apposite informative all´interno delle condizioni generali di contratto, ovvero in depliant e cataloghi esplicativi, o, ancora, attraverso cartelli dislocati all´interno delle navi, in aree agevolmente accessibili ai passeggeri o solitamente destinate ad eventi suscettibili di riprese fotografiche. Il testo dell´informativa, inoltre, dovrà essere opportunamente integrato ai sensi dell´art. 13 del Codice, fornendo puntuali ragguagli in merito alle caratteristiche del trattamento connesso al servizio proposto.

La società, sempre ai sensi dell´art. 17 del Codice, dovrà altresì assicurare che tutte le foto scattate durante le singole crociere, ivi comprese le foto-campione e le "foto d´aiuto", vengano realmente cancellate dal sistema, in modalità irreversibile, al termine del periodo di riferimento, sì da garantire l´effettiva cancellazione, in modalità altrettanto irreversibile, dei relativi codici FIR. Parimenti, dovrà essere effettivamente assicurata la cancellazione irreversibile di eventuali ulteriori informazioni biometriche connesse al processo di "estrazione" (ad esempio, il campione del volto), qualora conservate in memoria, anche solo temporaneamente, dal sistema.

Attesa la delicatezza dei dati trattati, si raccomanda, infine, di garantire che le registrazioni degli accessi al database contenente i codici FIR tengano effettivamente traccia dei relativi riferimenti temporali e che presentino le stesse caratteristiche di completezza, integrità inalterabilità e durata della conservazione già richieste per i log di accesso relativi agli amministratori di sistema (provvedimento del 27 novembre 2008 [doc. web n. 1577499]).

TUTTO CIÒ PREMESSO, IL GARANTE

1. preso atto della richiesta di verifica preliminare presentata da Costa Crociere S.p.A. in relazione ai trattamenti da effettuare mediante il descritto sistema di riconoscimento facciale, ritiene ammissibile, nei termini di cui in motivazione, i trattamenti medesimi, da effettuarsi esclusivamente secondo le modalità indicate, e a condizione che la società provveda, ai sensi dell´art. 17 del Codice, ad:

– adottare opportuni accorgimenti atti a consentire ai passeggeri di essere previamente e compiutamente informati in ordine all´eventuale trattamento dei loro dati personali e biometrici, in particolare attraverso l´inclusione di apposite informative all´interno delle condizioni generali di contratto, ovvero in depliant e cataloghi esplicativi, o, ancora, attraverso cartelli dislocati all´interno delle navi, in aree agevolmente accessibili ai passeggeri o solitamente destinate ad eventi suscettibili di riprese fotografiche. Il testo dell´informativa, inoltre, dovrà essere opportunamente integrato ai sensi dell´art. 13 del Codice, fornendo puntuali ragguagli in merito alle caratteristiche del trattamento connesso al servizio proposto;

– assicurare che tutte le foto scattate durante le singole crociere, ivi comprese le foto-campione e le "foto d´aiuto", vengano realmente cancellate dal sistema, in modalità irreversibile, al termine del periodo di riferimento, sì da garantire l´effettiva cancellazione, in modalità altrettanto irreversibile, dei relativi codici FIR;

– assicurare che vengano irreversibilmente cancellate eventuali ulteriori informazioni biometriche connesse al processo di "estrazione", qualora conservate in memoria, anche solo temporaneamente, dal sistema;

– assicurare che le registrazioni degli accessi al database contenente i codici FIR tengano effettivamente traccia dei relativi riferimenti temporali e che presentino le stesse caratteristiche di completezza, integrità inalterabilità e durata della conservazione già richieste per i log di accesso relativi agli amministratori di sistema.

2. per le ragioni di cui in motivazione (punto 2.2), individua in capo a Costa Crociere S.p.A., in applicazione delle disciplina di cui all´art. 24, comma 1, lett. g) del Codice, un legittimo interesse del titolare del trattamento, che potrà così utilizzare i dati biometrici degli interessati, limitatamente alle operazioni necessarie all´elaborazione dei codici FIR ricavati dalle immagini caricate dal fotografo nell´apposito file system, anche senza il loro consenso.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 18 giugno 2015

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia

Scheda

Doc-Web
4170232
Data
18/06/15

Argomenti


Tipologie

Verifica preliminare