Garante privacy: sistema di riconoscimento basato su modelli comportamentali
Il Garante per la protezione dei dati personali ha autorizzato, il 17 marzo 2016, in un’azienda operante nel settore dei semiconduttori, un nuovo impianto di videosorveglianza dotato di software “intelligent video”.
L’impianto è munito di sistema di riconoscimento sulla base di modelli comportamentali in grado di individuare condizioni anomale (ad esempio la rilevazione di un uomo a terra) e di telecamere termiche, che, senza effettuare alcuna identificazione, avrebbero la funzione di attivare l’allarme a seguito dell’individuazione di forme in movimento in una “no access zone”.
La società, che ha presentato domanda di verifica preliminare e che realizza, tra l’altro, prodotti che appartengono al cosiddetto comparto “secure”, (dispositivi destinati a Sim, Pos, credit card, etc.) ospita all’interno del suo perimetro anche altre due aziende sue fornitrici, per le quali svolge un servizio di vigilanza. Tutto il sito produttivo è classificato come “a rischio di incidente rilevante”.
Considerati l’ubicazione isolata del sito, il delicato settore produttivo e le specifiche esigenze del rispetto di elevati standard di sicurezza nazionali ed internazionali, l’Autorità ha ritenuto che la richiesta della società possa essere accolta perché conforme ai principi del Codice della privacy.
Con le stesse motivazioni, il Garante ha autorizzato la società anche alla conservazione delle immagini rilevate per 45 giorni, con lo scopo di monitorare lo stabilimento produttivo e individuare i responsabili di eventuali fatti illeciti, anche a seguito di intrusioni e furti già denunciati. Ad eccezione della visione da parte dell’Autorità giudiziaria, l’accesso alle immagini potrà avvenire solo nel rispetto di quanto stabilito dagli accordi sindacali aziendali e le stesse non potranno essere diffuse o comunicate.
Il Garante ha accolto anche un’altra richiesta di prolungamento dei tempi di conservazione delle immagini, presentata da una società abilitata alla trattazione di “materiale classificato” che opera principalmente nel settore marino, autorizzando la conservazione delle immagini fino a 30 giorni. La richiesta è correlata all’esigenza di tutelare la sicurezza dei prodotti giacenti presso la ditta, dei beni aziendali in genere, nonché delle persone che operano all’interno dei locali e nelle aree aziendali, in relazione alla particolare tipologia e delicatezza delle lavorazioni effettuate e delle connesse esigenze di sicurezza e segretezza.
Fonte: Garante per la protezione dei dati personali
Verifica preliminare. Sistemi di videosorveglianza dotati di software “intelligent video” – 17 marzo 2016
Registro dei provvedimenti
n. 127 del 17 marzo 2016
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti, e del dott. Giuseppe Busia, segretario generale;
Esaminata la richiesta di verifica preliminare presentata da LFoundry S.r.l. ai sensi dell’art. 17 del d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito Codice);
Visto il provvedimento generale in materia di videosorveglianza dell’8 aprile 2010 (in www.gdpd.it; doc. web n. 1712680), con particolare riferimento al punto 3.4;
Esaminata la documentazione acquisita agli atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
Relatore la prof.ssa Licia Califano;
PREMESSO
1. L’istanza della società.
In data 15 luglio 2015, LFoundry S.r.l., in ossequio a quanto prescritto dal provvedimento in materia di videosorveglianza dell’8 aprile 2010, ha fatto pervenire un’istanza di verifica preliminare (art. 17 del Codice) –regolarizzata con nota del 6 ottobre 2015- al fine di poter istallare un nuovo impianto di videosorveglianza, presso la propria sede ubicata ad Avezzano, dotato di software “intelligent video” e poter conservare le relative immagini per un periodo di 45 giorni, al fine di conformarsi agli elevati standard di qualità e sicurezza richiesti dal proprio mercato di riferimento.
La Società, che opera nel settore dei semiconduttori, offrendo servizi di design e “manifattura di dispositivi a semiconduttore”, ultimamente ha ampliato il proprio ambito di attività anche nel comparto delle “smart card”, attraverso la produzione di “dispositivi destinati a SIM, POS, terminal applications, credit cards, ePassport etc…”, prodotti che appartengono tutti al cosiddetto comparto “secure” che richiede elevati requisiti di sicurezza (cfr. nota del 15 luglio 2015).
Lo stabilimento produttivo di Avezzano, ubicato nella zona industriale della città, si sviluppa su una vasta superficie ed è composto da diversi edifici fra cui: un fabbricato dove sono collocati gli uffici, i laboratori e il magazzino; una struttura comprendente l’area di produzione vera e propria; un’area riservata alla distribuzione e allo stoccaggio dei prodotti chimici; una centrale di cogenerazione; un impianto per il trattamento delle acque reflue; un’area per lo stoccaggio temporaneo dei rifiuti.
All’interno del perimetro di LFoundry S.r.l., risiedono anche altre due aziende che si occupano rispettivamente di “produzione di dispositivi a semiconduttore” (Micron Semiconductor Italia S.r.l.) e produzione di “gas utilizzati nei processi produttivi di LFoundry” (Air Product Italia S.r.l.). Al riguardo, è stato specificato che queste due aziende, fornitrici di materiali a favore di LFoundry S.r.l. e per le quali la stessa Società svolge un servizio di vigilanza (cfr. nota del 6 ottobre 2015), “costituiscono un elemento di rischio aggiuntivo”, sia per la natura che per le tipologie di lavorazioni effettuate (cfr. nota del 15 luglio 2015).
In ragione delle attività lavorative eseguite, lo stabilimento è in possesso, tra l’altro, di un’autorizzazione specifica per “detenzione ed impiego di gas tossici”, rilasciata dal Comune di Avezzano e di un “Nulla osta alla detenzione ed impiego di sorgenti di radiazioni ionizzanti”, rilasciato dalla Prefettura, mentre tutto il sito produttivo è classificato come “a rischio di incidente rilevante ai sensi dell’art. 6 e 7 del d.lgs. n. 334/99” che ha recepito la Direttiva 96/82/CE e successive integrazioni e modificazioni.
Le aree del sito sono accessibili secondo quattro livelli di accesso, in ragione della criticità degli impianti, dei prodotti e delle informazioni che contengono.
In particolare, la nuova attività svolta da LFoundry S.r.l. nel cosiddetto comparto “secure”, ha spinto la stessa azienda ad intraprendere un percorso ufficiale di valutazione dello stabilimento di Avezzano presso l’Organismo di Certificazione della Sicurezza Informatica (OCSI), che gestisce lo Schema nazionale per la valutazione e certificazione della sicurezza di sistemi e prodotti nel settore della tecnologia dell’informazione, al fine di ottenere la certificazione nel rispetto delle previsioni dettate dai Common Criteria (standard ISO/IEC 15408).
Per ciò che riguarda l’impianto di videosorveglianza, la Società ha dichiarato che lo stesso è stato realizzato per assolvere funzioni di safety e security, essendo rivolto sia alla sicurezza del personale sia alla tutela del patrimonio aziendale, di cui fanno parte anche le zone date “in comodato d’uso” alle altre aziende citate.
Ciò premesso, LFoundry S.r.l. ha sostenuto che la ragione della richiesta di verifica preliminare, volta alla realizzazione di un sistema dotato di software “intelligent video” ed alla conservazione delle relative immagini per un periodo di 45 giorni, risiederebbe non solo nell’esigenza di rafforzare in termini generali il livello di tutela del sito, anche in considerazione di alcuni episodi criminosi relativi ad intrusioni e furti, regolarmente denunciati (cfr. nota del 6 ottobre 2015), ma anche quella di soddisfare i requisiti richiesti dai predetti Common Criteria che presuppongono la necessità di revisionare i sistemi di sicurezza del sito produttivo di Avezzano e con ciò anche il sistema di videosorveglianza presente.
Riguardo al rispetto della normativa in materia di controllo a distanza sull’attività lavorativa, la Società ha dichiarato di aver osservato la procedura prevista dall’art. 4, comma 2, della legge n. 300/1970, siglando con le RSU dello stabilimento successivi accordi sindacali in ragione delle varie modifiche intervenute sull’impianto.
2. Le modalità di funzionamento del sistema
L’impianto di videosorveglianza di cui la Società già si avvale è affiancato da un sistema di controllo accessi per l’ingresso alle aree riservate ed è provvisto di 142 videocamere (analogiche e digitali) dislocate sia all’interno dei vari edifici che compongono il sito, sia all’esterno; di queste 12 sono di tipo PTZ, caratterizzate cioè da uno zoom ottico e dalla possibilità di movimentazione dell’apparecchio sia in verticale che in orizzontale, le altre di tipo fisso (cfr. nota 15 luglio 2015).
Per ciò che riguarda l’angolo di visuale delle telecamere è stato riferito che solamente le aree di lavoro ad accesso controllato, e cioè quelle relative allo stoccaggio dei prodotti secure, nonché “i locali motori” e quelli adibiti “allo stoccaggio e distribuzione di gas tossici e sostanze pericolose” sono costantemente monitorate, per il resto, le inquadrature riguardano solamente aree di transito (parcheggi e piazzole di sosta) e varchi di accesso.
Le immagini, registrate su alcuni server collocati all’interno di un locale tecnico e convogliate tramite una rete dedicata presso la sala controllo security, sono visionabili in live solamente dalle Guardie Particolari Giurate (GPG), designate incaricate del trattamento.
L’accesso alle immagini registrate, attualmente conservate solo per 7 giorni all’interno del locale tecnico, è consentito solamente per esigenze di manutenzione degli apparati di videosorveglianza e a seguito dell’accadimento di fatti illeciti. Tale accesso è riservato ad un “ristretto numero di soggetti”, designati incaricati del trattamento, secondo il principio del “need to know” (che implica il privilegio di accedere alle immagini nella misura minima necessaria per svolgere le proprie mansioni), tramite un sistema di “strong authentication”.
Infine, per quanto riguarda l’obbligo di rendere l’informativa, LFoundry S.r.l., titolare del trattamento dei dati, ha dichiarato di aver affisso la specifica cartellonistica presso la struttura (cfr. nota del 15 luglio 2015).
Secondo gli intendimenti manifestati dalla società con la richiesta in esame, il progetto di revisione dell’impianto di videosorveglianza, da implementare anche in ragione degli elevati standard di sicurezza richiesti nel comparto “secure” (dove la Società ha cominciato ad operare), comporterebbe tre tipi di integrazioni. La prima consisterebbe in un potenziamento del sistema antintrusione (espressamente richiesto a seguito dell’audit sul sistema di sicurezza della Società, effettuato da un laboratorio accreditato dall’organismo francese ANSSI, per conto di uno dei clienti della Società), con l’aggiunta di 19 videocamere termiche perimetrali, 4 apparecchi ottici per il controllo accessi ai varchi di ingresso, 1 videocamera per il riconoscimento delle targhe dei veicoli in ingresso al sito, 1 server aggiuntivo e un software di “intelligent video” a protezione della proprietà.
In particolare, le telecamere termiche, poste lungo il perimetro, non essendo in grado di effettuare alcuna identificazione, avrebbero la funzione di attivare l’allarme in sala controllo e conseguentemente anche l’eventuale intervento delle G.P.G. presenti nel sito, a seguito dell’individuazione di forme in movimento all’interno dell’area identificata come “no access zone”.
Le telecamere ottiche, dotate del predetto sofware, avrebbero, invece, l’obiettivo di controllare la situazione laddove è necessario consentire l’accesso agli autoveicoli e cioè ai varchi di accesso “Visitatori”, “Dipendenti” e “Merci”, di per sé privi di presidio. Il meccanismo effettuerebbe, perciò, una discriminazione “tra accessi leciti ed accessi illeciti”, rilevando il verificarsi di accessi pedonali non autorizzati ai varchi riservati ai veicoli. Inoltre, in prossimità del solo “Ingresso Dipendenti” sarebbe anche collocata la videocamera per il riconoscimento delle targhe che, in azione congiunta con una sbarra, avrebbe lo scopo di consentire l’accesso ai soli veicoli censiti come autorizzati. L’accesso di altri veicoli non censiti ma autorizzati sarebbe garantita, previa identificazione, presso altri ingressi.
La seconda parte del progetto, riguarderebbe l’allungamento dei tempi di conservazione delle immagini registrate fino a 45 giorni al fine di permettere la ricostruzione di eventuali episodi anomali segnalati.
Infine, la terza integrazione consisterebbe nell’implementazione di un ulteriore software “intelligent video” da collocare in prossimità di tutte le zone ad alto rischio ed in grado di assolvere sia una funzione di protezione Safety (cioè nei confronti del personale), sia Security (cioè nei confronti del patrimonio); ciò, attraverso il posizionamento di alcune telecamere munite di sistema di riconoscimento di “pattern comportamentale”, in grado di individuare condizioni anomale, “quali la rilevazione di un uomo a terra” o “lo stato di immobilità di una persona” per un certo tempo (cfr. nota del 6 ottobre 2015), oppure condizioni di “loitering, manomissione” o sottrazione di materiali, e conseguentemente allarmare la sala di controllo, garantendo l’intervento tempestivo delle squadre di soccorso o delle guardie giurate a seconda dell’evento occorso (cfr. nota del 15 luglio 2015).
3. Presupposti di liceità del trattamento
Per una corretta valutazione dell’istanza occorre necessariamente tenere conto della peculiarità della fattispecie e, in particolare, del fatto che la realizzazione di un sistema dotato di software “intelligent video” e la conservazione delle relative immagini per un periodo di 45 giorni, è determinata in particolar modo dall’esigenza di uniformarsi ai parametri di sicurezza che trovano origine nel proprio mercato di riferimento ed in particolare negli stringenti criteri dettati dallo standard ISO/15408, che fissa i cosiddetti “Common Criteria” (volti a verificare la sicurezza dei sistemi o dei prodotti sulla base degli “obiettivi” cui essi sono preordinati, del contesto del loro impiego e delle pregresse verifiche di sicurezza su di essi eseguite); il maggiore o minore rispetto di tali standard di sicurezza incide sul conseguente livello di valutazione EAL (“Evaluation Assurance Level”), che secondo gli intendimenti della Società dovrebbe essere “+5”.
Per ciò che riguarda il valore legale delle norme tecniche “ISO” (che sono definite dalla International Organization for Standardization, di cui sono membri 157 organismi nazionali di standardizzazione, tra cui l’Ente Nazionale Italiano di Unificazione-UNI), occorre rilevare che la Direttiva 98/34/CE del Parlamento europeo e del Consiglio del 22/06/1998 (che prevede “una procedura d’informazione nel settore delle norme e delle regolamentazioni tecniche e delle regole relative ai servizi della società dell’informazione”), all’art. 1, n. 6 definisce “norma” una specificazione tecnica che, pur non essendo obbligatoria, sia stata approvata, in vista di una sua applicazione ripetuta o continuativa, da parte di un organismo “riconosciuto ad attività normativa”, e precisamente da un’organizzazione internazionale, europea o nazionale di normalizzazione che l’abbia posta “a disposizione del pubblico”. Pertanto, le norme ISO (così come quelle EN a livello europeo e quelle UNI per l’Italia) rappresentano “specificazioni tecniche” che forniscono standard qualitativi contemplati da documenti che, in ragione delle conoscenze tecniche di un determinato momento storico, definiscono le caratteristiche (dimensionali, prestazionali, ambientali, di sicurezza, di organizzazione, ecc.) di un prodotto, di un processo o di un servizio.
Ciò premesso, benché tali norme non siano giuridicamente vincolanti, non può non tenersi conto del fatto che esse si riferiscono a settori di rilevante interesse pubblico e, al contempo, tecnologicamente assai complessi, tanto che spesso sono le stesse autorità pubbliche a promuoverne l’osservanza o, addirittura, a fare diretto riferimento ad esse ; inoltre, anche sul piano privatistico, va sottolineata l’esistenza di una consolidata prassi al loro inserimento all’interno degli schemi contrattuali nazionali ed esteri, espressione di una progressiva trasformazione dei mercati e della connessa evoluzione degli standard di sicurezza in senso sovranazionale. Ne deriva che non può disconoscersi che alle specifiche tecniche in esame, di fatto, venga oramai generalmente attribuita una valenza di gran lunga superiore rispetto a quella che dovrebbe loro spettare in ragione delle modalità di adozione, sicché gli standard di sicurezza da esse fissati possono ritenersi oramai considerati –sia in sede nazionale, sia in sede internazionale- come un punto di riferimento ineludibile in occasione della fornitura di opere o della prestazione di servizi ad alto contenuto tecnologico.
Tutto ciò premesso, nel delicato settore in cui opera Lfoundry S.r.l. trovano applicazione le specifiche tecniche contenute nella ISO/15408, volte a garantire determinati standard di sicurezza in vista della realizzazione di sistemi o prodotti ITC.
Nell’ambito di tali standard può essere ricondotta la scelta della Società di installare all’interno dei siti produttivi adeguati sistemi di videosorveglianza, al fine di proteggere i propri dipendenti ma anche di prevenire accessi non autorizzati o danneggiamenti al patrimonio aziendale, comprendente informazioni, strutture e materiali.
Per ciò che riguarda l’implementazione dei sistemi di intelligent video sopra descritti, essi debbono essere valutati alla luce dei principi di necessità, proporzionalità, finalità e correttezza posti dal Codice (artt. 3 e 11 del Codice), espressamente richiamati anche nel Provvedimento generale in materia di videosorveglianza dell’8 aprile 2010.
In particolare, secondo tale provvedimento “in linea di massima tali sistemi devono considerarsi eccedenti rispetto alla normale attività di videosorveglianza , in quanto possono determinare effetti particolarmente invasivi sulla sfera di autodeterminazione dell’interessato e, conseguentemente, sul suo comportamento. Il relativo utilizzo risulta comunque giustificato solo in casi particolari, tenendo conto delle finalità e del contesto in cui essi sono trattati, da verificare caso per caso sul piano della conformità ai principi” posti dai citati artt. 3 e 11 del Codice.
In ragione di ciò, si ritiene che, innanzitutto, sia importante tenere in debito conto il particolare ambito di attività di LFoundry S.r.l., giacché nello stabilimento di Avezzano, classificato a rischio incidente rilevante, vengono prodotti delicati componenti elettronici, che oltre ad essere impiegati nel settore delle telecomunicazioni e dell’informatica, rivestono un ruolo fondamentale per la realizzazione di “dispositivi destinati a SIM, POS, terminal applications, credit cards, ePassport etc, cui sono connesse forti esigenze di salvaguardia, essendo destinati ad operare all’interno di sistemi di identificazione sicura sia in ambito pubblico, sia in ambito privato.
In tal senso, l’implementazione di un sistema intelligent video avrebbe non solo un’importante funzione di tutela della salute ed incolumità dei lavoratori, ma anche di salvaguardia delle attività economiche effettuate al suo interno.
In secondo luogo, vanno poste in evidenza l’ubicazione dello stabilimento di LFoundry S.r.l., adiacente a vie di fuga facilmente raggiungibili, l’ampiezza del sito e la presenza di altre strutture all’interno del perimetro dell’azienda per le quali la stessa LFoundry S.r.l. svolge attività di sorveglianza, che per tipologia di lavorazioni effettuate “costituiscono un elemento di rischio aggiuntivo”. Rischiosità che trova del resto conferma negli eventi delittuosi verificatisi in passato nello stabilimento medesimo, regolarmente denunciati dalla società alle autorità.
Tali obiettive circostanze già permettono di ritenere che il sito in questione sia caratterizzato da peculiarità che giustificano l’adozione di standard di sicurezza di livello superiore alla media.
Per quanto riguarda la richiesta di allungare il termine di conservazione delle immagini videoregistrate, il Provvedimento generale in materia di videosorveglianza dell’8 aprile 2010 prevede che l’allungamento dei tempi di conservazione dei dati oltre i sette giorni, deve essere adeguatamente motivato “con riferimento ad una specifica esigenza di sicurezza perseguita, in relazione a concrete situazioni di rischio riguardanti eventi realmente incombenti e per il periodo di tempo in cui venga confermata tale eccezionale necessità.
Nel caso in questione, la società ha dichiarato che il livello di certificazione Eal 5+, a cui la stessa ambisce, si riferisce all’intera “catena di fornitori” (supply chain) del prodotto oggetto di certificazione; con la conseguenza che nel caso in questione LFoundry S.r.l. si trova ad essere “responsabile contrattualmente anche delle attività di lavorazione” svolte presso un sub-contractor, essendo con ciò tenuta ad accertare eventuali violazioni dei protocolli di sicurezza sia nel proprio ciclo produttivo che in quello demandato ad aziende esterne.
Ciò premesso, la richiesta di allungamento dei tempi di conservazioni delle immagini fino a 45 giorni avrebbe il pregio di permettere all’azienda di ricostruire quanto eventualmente accaduto nel sito produttivo, in caso di anomalie segnalate da un soggetto della catena di fornitura a valle dello stabilimento, dal momento che il tempo complessivo intercorrente dal momento in cui il prodotto esce dallo stabilimento a quello in cui è disponibile al cliente sul mercato “non è inferiore a 5 settimane”.
Ad avviso di questa Autorità, all’esito dell’istruttoria sono emersi elementi che inducono a ritenere che la richiesta della società possa essere accolta perché conforme ai principi posti dagli artt. 3 e 11 del Codice.
In particolare, l’ubicazione isolata del sito, il delicato settore produttivo in cui opera LFoundry S.r.l. e la specifica attenzione posta non solo a livello internazionale ed europeo, ma anche a livello nazionale rispetto alla fissazione e alla comune osservanza di elevati standard di sicurezza nella produzione di beni e servizi relativi al settore elettronico ed informatico, valgono a giustificare la pretesa di procedere all’istallazione dei predetti sistemi di intelligent video ed alla relativa conservazione dei dati per 45 giorni, all’esclusivo fine dell’accertamento degli accadimenti e dell’individuazione degli eventuali responsabili di fatti illeciti.
Resta inteso che, ad eccezione della visione da parte dell’Autorità giudiziaria, l’accesso alle immagini in questione potrà avvenire solo nel rispetto di quanto stabilito dagli accordi sindacali aziendali, con conseguente divieto di loro comunicazione a terzi (fatte salve le esigenze dell’Autorità giudiziaria) o di diffusione.
TUTTO CIÒ PREMESSO IL GARANTE
ai sensi dell’art. 17 del Codice, a conclusione della verifica preliminare ammette l’utilizzo dei sistemi di videosorveglianza dotati di software “intelligent video” e la conservazione delle relative immagini per un periodo di 45 giorni da parte di LFoundry S.r.l., nelle forme e nei limiti di cui in motivazione.
Roma, 17 marzo 2016
IL PRESIDENTE
Soro
IL RELATORE
Califano
IL SEGRETARIO GENERALE
Busia