g-docweb-display Portlet

Verifica preliminare. Meccanismo di fotoriproduzione meccanografica digitale dell’immagine del volto di chi accede ai monumenti del Complesso di Santa Maria del Fiore a Firenze - 2 febbraio 2017 [6171945]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 6171945]

Verifica preliminare. Meccanismo di fotoriproduzione meccanografica digitale dell´immagine del volto di chi accede ai monumenti del Complesso di Santa Maria del Fiore a Firenze - 2 febbraio 2017

Registro dei provvedimenti
n. 38 del 2 febbraio 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti, e del dott. Giuseppe Busia, segretario generale;

Esaminata la richiesta di verifica preliminare presentata dall´Opera di Santa Maria del Fiore di Firenze, ai sensi dell´art. 17 del d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito "Codice");

Visto il provvedimento generale in materia di videosorveglianza dell´8 aprile 2010 (in G.U. n. 99 del 29 aprile 2010, e in www.gpdp.it doc. web n. 1712680);

Esaminata la documentazione acquisita agli atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore la dott.ssa Giovanna Bianchi Clerici;

PREMESSO

1. L´istanza della ONLUS.

In data 23 novembre 2015, l´Opera di Santa Maria del Fiore di Firenze ha fatto pervenire un´istanza di verifica preliminare (art. 17 del Codice) –regolarizzata con nota datata 14 novembre 2016- relativa alla predisposizione di "un meccanismo di fotoriproduzione meccanografica digitale" dell´immagine del volto di coloro che intendono accedere ai diversi monumenti del "Complesso di Santa Maria del Fiore" a Firenze; dispositivo progettato al fine di tutelare il proprio patrimonio, nonché di venire incontro alle richieste pervenute dalla Prefettura di Firenze in relazione "ai compiti di ulteriore vigilanza" disposti "nell´ambito delle misure di salvaguardia [a] tutela di obbiettivi sensibili".

L´Opera di Santa Maria del Fiore, è un´organizzazione non lucrativa di utilità sociale (ONLUS) che dopo oltre settecento anni dalla sua fondazione continua ad occuparsi della conservazione e della valorizzazione dei monumenti che costituiscono il Grande Museo del Duomo: la cattedrale di Santa Maria del Fiore con la Cupola del Brunelleschi e la Cripta di Santa Reparata, il Battistero di San Giovanni, il Campanile di Giotto e il Museo dell´Opera (cfr. nota del 7 marzo 2014).

Il sistema di bigliettazione attualmente in uso e che dà modo a circa 4 milioni di visitatori l´anno di avere accesso al Complesso di Santa Maria del Fiore, prevede che, con un unico biglietto, il cui corso di validità è stato ampliato da 24 a 48 ore, l´utente possa accedere, una sola volta, ad ognuno dei 5 monumenti del sito compresi nel suddetto ticket. A fronte di ciò, tuttavia, la suddetta Organizzazione ha anche segnalato che i monumenti del sito sarebbero stati oggetto di ripetuti danneggiamenti, oltre ad aver verificato l´aumento degli accessi indebiti dovuti a reiterati episodi di cessione di biglietti a terze persone, con un evidente danno perpetrato nei confronti dell´Opera stessa.

Ciò premesso, l´Opera di Santa Maria del Fiore ha maturato l´esigenza di istallare un sistema di fotoriproduzione che consenta perciò di sorvegliare gli accessi ai singoli monumenti al fine di tutelare il patrimonio artistico e i fondi della ONLUS, ma anche in ragione dei rischi cui anche detti monumenti sono sottoposti alla luce dei diversi "episodi di terrorismo", recentemente verificatisi in diverse città d´Europa. A sostegno di tale ultima argomentazione sono state allegate copie di alcune note della Prefettura di Firenze, contenenti la sollecitazione ad elevare i livelli di sicurezza e vigilanza nei confronti delle persone in visita ai siti museali.

Per ciò che riguarda l´applicazione specifica, l´Opera di Santa Maria del Fiore ha dichiarato che il sistema di riconoscimento fotografico ipotizzato, privo di "sistemi di controllo di dati biometrici", sarebbe costituito da un software, in grado di rilevare un´immagine fotografica a bassa risoluzione di qualsiasi possessore di biglietto che lo attivi al momento del passaggio ad un qualsiasi tornello di accesso di un monumento, immagine riproposta ad ogni passaggio ai successivi tornelli di accesso, così da permettere al personale di controllo (identificato con il personale del settore Relazioni con il pubblico, munito di autorizzazione prefettizia per le funzioni di vigilanza) di effettuare una comparazione; un riconoscimento "improntato sui caratteri immediatamente percepibili, quali età, sesso, colore dei capelli ecc." (cfr. nota del 23 novembre 2016).

Al riguardo è stato altresì riferito che la foto viene scattata al momento della lettura del biglietto e salvata per 48 ore (tempo di validità del ticket) per poi essere cancellata in automatico. Nel periodo di validità, le foto acquisite ai successivi varchi, facenti capo al medesimo biglietto, verrebbero "affiancate alla foto del visitatore acquisita al primo passaggio del ticket nel lettore" e controllate dal personale di servizio.

L´Opera di Santa Maria del Fiore ha giustificato la sua richiesta sulla base del fatto che gli attuali sistemi di verifica affidati al personale addetto ad effettuare i controlli non hanno impedito scambi di biglietti e danneggiamenti alle opere interne al museo.

2. Il funzionamento del sistema.

Il sistema di fotoriproduzione di cui l´Opera di Santa Maria del Fiore si vorrebbe avvalere è tecnicamente strutturato nel modo seguente.

L´applicazione denominata "Photo Compare" (fornito da Skidata) è uno strumento software, costituito da una fotocamera collegata al lettore del biglietto, in grado di scattare una foto al momento della lettura del ticket nel singolo punto di accesso e di inviarla al database dedicato presente sul server situato presso la sede dell´Opera in modo da essere utilizzata per il controllo agli altri varchi di accesso nell´arco delle successive 48 ore (periodo di validità del ticket) ed essere perciò cancellata automaticamente allo scadere di tale termine (cfr. nota del 23 novembre 2015).

Il sistema sarebbe perciò costruito in modo tale che il confronto tra le foto facenti capo al singolo biglietto sarebbe effettuato al momento dell´obliterazione del ticket ai singoli monumenti del suddetto complesso dal personale del settore Relazioni con il pubblico che, deputato a detta verifica e ritualmente designato incaricato al trattamento dei dati (nonché munito di speciale autorizzazione prefettizia), avrebbe accesso al server tramite una propria username e password.
In tale circostanza, l´addetto al controllo del singolo varco verificherebbe la somiglianza del soggetto tramite una comparazione visiva e non automatica con le foto già acquisite, limitandosi perciò a guardare l´immagine collegata al biglietto obliterato sul monitor. In caso di abuso, pertanto, il personale preposto avrebbe la facoltà di intervenire, segnalando al possessore del ticket l´eventuale non corrispondenza con la foto della persona che ha utilizzato il medesimo biglietto in occasione delle entrate precedenti.

Il sistema nel suo complesso non sarebbe dotato di alcun software in grado di effettuare un controllo di tipo biometrico, né permetterebbe di associare l´immagine con altri dati personali dell´utilizzatore, non potendosi perciò individuare direttamente l´utente (cfr. nota del 7 marzo 2014).

Per ciò che riguarda le misure di sicurezza, è stato evidenziato che il database, posto nel server fisicamente collocato presso la sede dell´Opera, è accessibile tramite credenziali di amministratore (con caratteristiche di sicurezza aderenti alle normative in vigore) solo ed esclusivamente dai tecnici manutentori, certificati della ditta Skidata (cfr. nota del 23 novembre 2015)

Per ciò che riguarda l´obbligo di informare gli utenti della presenza del suddetto sistema, è stato precisato che un´apposita informativa sarebbe collocata a fianco delle macchine obliteratrici, nonché del dispositivo fotoriproduttore, contenenti, oltre le informazioni relative al Titolare del trattamento (cioè, l´Opera di Santa Maria del Fiore), anche tutte le indicazioni relative alla tipologia dei dati trattati, alle modalità di trattamento ed alla conservazione degli stessi, nonché ai diritti degli interessati.

3. Presupposti di liceità del trattamento.

L´odierna richiesta relativa all´utilizzo del meccanismo di fotoriproduzione sopra descritto, deve essere valutata alla luce dei principi di necessità, proporzionalità, finalità e correttezza posti dal Codice (artt. 3 e 11 del Codice), espressamente richiamati anche nel Provvedimento generale in materia di videosorveglianza dell´8 aprile 2010.

In ragione di ciò, si ritiene che sia importante tenere in debito conto la finalità sottesa all´istallazione del predetto sistema consistente nell´esigenza di tutela del patrimonio artistico e del patrimonio dell´Opera di Santa Maria del Fiore, nonché nella necessità non meno rilevante di alzare i livelli di sicurezza del sito.

Ad avviso di questa Autorità, all´esito dell´istruttoria sono emersi elementi che inducono a ritenere che, nel rispetto dei principi posti dagli artt. 3 e 11 del Codice, la richiesta dell´Ente possa essere accolta.

L´utilizzo del sistema in questione, con la possibilità di conservare i dati relativi alle immagini degli utenti per 48 ore avrebbe il pregio di poter esercitare un´attività di controllo puntuale.

Rispetto al principio di proporzionalità, vale osservare che i brevi tempi di conservazione delle foto, nonché le modalità di riconoscimento del visitatore, peraltro basato su un´immagine fotografica a bassa risoluzione, che si compirebbe attraverso un mero controllo visivo da parte dell´operatore, senza alcun tipo di associazione di tipo anagrafico, essendo il ticket privo di riferimenti personali, farebbero rientrare l´intero trattamento dei dati nei termini previsti dal Provvedimento generale sulla videosorveglianza.

Dal punto di vista tecnologico, inoltre, è emerso che non verrebbe effettuato alcun trattamento di dati di tipo biometrico, né alcun tipo di meccanismo di segnalazione automatica, ottica e/o acustica (cfr. nota del 14 novembre 2016), essendo appunto lasciato al solo operatore il compito di individuare eventuali anomalie e, se del caso, intervenire o denunciare eventuali abusi o comportamenti illeciti.

Sul piano della sicurezza dei dati, la procedura di accesso risulta adeguata, consentendo di prendere visione delle registrazioni, per il tramite di appositi soggetti designati "incaricati del trattamento" e con l´osservanza di un sistema di autenticazione basato su credenziali individualmente assegnate (v. artt. 30, 33 e ss. del Codice, nonché par. 3.3 del citato provvedimento sulla videosorveglianza). Inoltre, l´invio delle immagini dal singolo apparecchio al server avverrebbe tramite una rete privata protetta, separata dalla "rete locale accessibile da altri utenti della LAN Opera" (cfr. nota del 23 novembre 2015).

Infine, la conservazione dei dati avverrebbe all´interno di un PC posto presso la sede dell´Opera e si protrarrebbe fino al termine di validità del singolo ticket, cioè 48 ore, dopodiché le immagini verrebbero cancellate.

Al riguardo, peraltro, questa Autorità – in considerazione delle evidenziate ragioni di sicurezza che, unitamente alle rappresentate esigenze tecnico/organizzative, hanno ispirato l´istallazione dell´impianto in questione – ritiene  che le immagini in  oggetto debbano essere conservate per le 48 ore successive alla scadenza del ticket, anche ai fini dell´eventuale acquisizione da parte dell´autorità giudiziaria
In conclusione, alla luce delle dichiarazioni rese (della cui veridicità l´Opera di Santa Maria del Fiore ha assunto ogni responsabilità - anche penale - ai sensi dell´art. 168 del Codice) questa Autorità ritiene che la richiesta di verifica preliminare possa essere accolta nei termini sopra precisati.

La predetta applicazione potrà essere attivata, alle medesime condizioni, anche presso altri siti artistici e museali da parte di diversi titolari del trattamento.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell´art. 17 del Codice, a conclusione della verifica preliminare, ammette il trattamento, di cui in motivazione, effettuato tramite il meccanismo di fotoriproduzione descritto dall´Opera di Santa Maria del Fiore, secondo le modalità prospettate in premessa, ivi compresa l´ulteriore conservazione delle immagini per le ulteriori 48 ore successive alla scadenza del ticket.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150 del 2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 2 febbraio 2017

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia