PRIVACY - Rfid, monitoraggio accessi e controllo a distanza dei lavoratori.
Il sistema Radio Frequency IDentification (identificazione a radio frequenza, RFID) è una tecnologia che consente d'identificare informazioni in modo automatico, traendoli da tag (dispositivi elettronici muniti di chip) posti su oggetti, animali o persone, sfruttando le capacità di memorizzazione dei dati mediante dispositivi elettronici (c.d. transponder) e di interpretazione dei contenuti di tali tag, che, se interrogati a distanza (con comunicazione in chiaro o cifrata) con lettori senza fili a radiofrequenza fissi o mobili, risultano particolarmente affidabili e che prescindono dalla necessità di "vedere" l'etichetta (il tag rilevato, appunto, senza dover essere "a contatto" come le bande magnetiche, operando quindi come circuiti integrati contactless) in relazione alla connessione a un sistema informativo di gestione.
Sono molte le applicazioni che ad oggi usufruiscono del sistema RFID, tra le quali i passaporti (c.d. e-passport), la carte di credito, movimentazioni bibliotecarie, monitoraggio rifiuti, i servizi di bigliettazione elettronica con smartcard per l'accesso ai mezzi pubblici di trasposrto, la logistica per le giacenze di magazzino e il monitoraggio dei trasporti (come il telepass) e il controllo dei bagagli aeroportuali, l'automazione degli archivi cartacei, il tracciamento di manufatti industriali a scopi manutentivi, marchiatura di bestiame, controlli merci ai varchi antitaccheggio, rilevazione di parametri climatici ambientali, controllo accessi, etc.
Proprio la questione del controllo accessi costituisce un profilo assai delicato, in materia di riservatezza: infatti, il sistema RFID rappresenta un'alternativa ai badge e alla rilevazione di parametri biometrici individuali, perchè non richiede contatto visivo e funziona anche a distanza.
Il Garante privacy si è occupato di recente di questa tecnologia, affrontando sia il nodo dell'identificazione tramite RFID di veicoli a motore in transito nelle z.t.l., sia quell' dell'uso aziendale nei confronti dei dipendenti, per finalità connesse al rilevamento delle presenze dei lavoratori nei cui badge sia stato inserito il chip e per la determinazione dei compensi ai dipendenti. La pratica della lettura da remoto dei dati presenti sul tag potrebbe costituire violazione delle disposizioni in materia di divieto di controllo a distanza dei lavoratori.
Dalla lettura combinata dei due provvedimenti qui di seguito riportati - il secondo dei quali, reso ex art. 17 D.L.vo n° 196/03, richiama il Provvedimento Generale 09.03.2005 sull'uso delle c.d. etichette intelligenti - emerge, da un lato, che sistema di rilevamento delle presenze a radiofrequenza abbinato al badge dei lavoratori non assurge a illecito se l'azienda abbia previamente informato in modo completo i lavoratori circa le modalità di funzionamento del sistema e, dall'altro, che è corretta la procedura di identificazione degli interessati per il tramite della targa dei veicoli adibiti al trasporto merci, se finalizzata soltanto all'accertamento d'eventuali violazioni delle regole sugli orari d'ingresso ed uscita dei mezzi dalle Z.t.l., sempre previa idonea informativa, e a condizione che dal tag non si traggano ulteriori e diverse informazioni e che si eviti il trattamento sistematico dei dati , consentendo soltanto la raccolta dei numeri d'identificazione personali tali da non consentire di risalire immediatamente all'identità dell'interessato (mere targhe) dei veicoli autorizzati.
Decisioni su ricorsi - 01 marzo 2012 [doc. web n. 1882100]
Provvedimento del 1° marzo 2012
Registro dei provvedimenti n° 81 del 1° marzo 2012
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele De Paoli, segretario generale;
Visto il ricorso presentato il 23 novembre 2011 nei confronti di C. S.p.A. con il quale P.C., dopo l'introduzione di "un nuovo sistema di rilevamento delle presenze a radiofrequenza (RFID)" da parte dell'azienda resistente di cui è dipendente, nel richiamare quanto già chiesto con l'interpello preventivo, si è opposto all'ulteriore raccolta di dati personali che lo riguardano mediante tale sistema, ritenendolo in violazione delle disposizioni in materia di divieto di controllo a distanza dei lavoratori e di quelle in materia di protezione dei dati personali e ha chiesto la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge; rilevato che il ricorrente ha chiesto di porre a carico della società resistente le spese sostenute per il procedimento;
Visti gli ulteriori atti d'ufficio e, in particolare, la nota del 1° dicembre 2011 con la quale questa Autorità, ai sensi dell'art. 149 del Codice, ha invitato il titolare del trattamento a fornire riscontro alle richieste dell'interessato, nonché l'ulteriore nota del 20 gennaio 2012 con cui, ai sensi dell'art. 149, comma 7, del Codice, è stato prorogato il termine per la decisione sul ricorso;
Vista la memoria datata 16 dicembre 2011 con la quale la resistente nel dichiarare di aver informato i dipendenti dell'introduzione "del nuovo sistema di rilevamento delle presenze dei lavoratori mediante sistema di prossimità a radiofrequenza (RFID)" già in data 10 giugno 2011, "mediante affissione in bacheca" della descrizione di tale nuova modalità (nota di cui la società ha allegato copia), ha precisato, tra l'altro, che "la timbratura con terminali a prossimità rileva le sole informazioni pertinenti e non eccedenti ossia il codice del cartellino e l'orario di ingresso e di uscita" e ciò – "come nel precedente sistema a timbratura" per la verifica dell'esatto adempimento della prestazione, la "commisurazione dell'importo della retribuzione, anche per lavoro straordinario, o dei premi da corrispondere, la quantificazione di ferie e permessi"; rilevato che la resistente, nel descrivere il sistema in questione ha altresì precisato che "la lettura del dispositivo necessita una distanza minima tra il badge e il lettore, oltre la quale non è possibile rilevare il movimento di entrata o uscita del dipendente" e che lo stesso "conferma la transazione mediante un suono e la visualizzazione a display di una risposta scritta";
Viste le note pervenute il 21 e il 30 dicembre 2011 e la memoria del 5 gennaio 2012 con cui il ricorrente, nel contestare la validità della memoria fatta pervenire dalla resistente, riportando la stessa in calce "una firma senza alcuna specifica indicazione delle generalità di colui il quale ha sottoscritto il documento", ha ribadito le istanze già avanzate;
Vista la nota datata 31 gennaio 2012 con la quale la società resistente ha inoltrato copia della precedente nota con sottoscrizione autenticata del direttore responsabile delle risorse umane che l'ha sottoscritta;
VISTA la nota datata 11 febbraio 2012 con la quale il ricorrente ha ribadito le proprie richieste, ritenendo comunque non idonea l'informativa resa dalla società;
Rilevato che il trattamento dei dati personali effettuato dalla società resistente per mezzo del sistema di rilevamento delle presenze a radiofrequenza (RFID) inserito nel badge del ricorrente non risulta effettuato in violazione di legge; rilevato infatti che, sulla base della documentazione acquisita in atti, la resistente – che risulta aver provveduto ad informare i lavoratori circa le modalità di funzionamento di tale sistema – non risulta raccogliere dati personali eccedenti rispetto alle finalità di gestione del rapporto di lavoro, essendo raccolti esclusivamente i dati relativi all'entrata o all'uscita del lavoratore, non più attraverso la "timbratura manuale" prevista dal precedente sistema, ma attraverso l'accostamento dell'attuale badge al lettore, il quale segnala, in modo evidente, la registrazione dei dati medesimi ed evita pertanto la raccolta di dati all'insaputa del lavoratore;
Ritenuto alla luce di ciò di dover dichiarare infondato il ricorso avanzato dal ricorrente;
Ritenuto che sussistono giusti motivi per compensare le spese tra le parti;
Visti gli artt. 145 e s. del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);
Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore il dott. Giuseppe Fortunato;
Tutto ciò premesso, il Garante
a) dichiara infondato il ricorso;
b) dichiara compensate le spese tra le parti.
Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.
Roma, 1° marzo 2012
Il Presidente, Pizzetti
Il Relatore, Fortunato
Il Segretario Generale, De Paoli
* * *
Verifica preliminare (art. 17 del Codice) - 02 febbraio 2012 [doc. web n. 1875840]
Sistema Rfid per il controllo degli ingressi e delle uscite dalle zone a traffico limitato (Ztl) dei veicoli adibiti al trasporto delle merci. Verifica preliminare richiesta da Comune di Verona - 2 febbraio 2012
Registro dei provvedimenti n° 46 del 2 febbraio 2012
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele De Paoli, segretario generale;
Visto il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);
Vista la nota con la quale il Comune di Verona ha richiesto la verifica preliminare del Garante, ai sensi dell'art. 17 del Codice, in relazione al trattamento di dati personali che intende effettuare attraverso un sistema "Rfid" per il controllo degli ingressi e delle uscite dalle zone a traffico limitato (Ztl) dei veicoli adibiti al trasporto delle merci (nota 8 novembre 2011, prot. n. 271879);
Visto il provvedimento generale del 9 marzo 2005, con il quale il Garante ha individuato specifiche garanzie per l'uso delle c.d. "Etichette intelligenti" (Rfid) (doc. web 1109493);
Visto il Nuovo codice della strada (d.lg. 30 aprile 1992, n. 285);
Visto il d.P.R. 22 giugno 1999, n. 250, Regolamento recante norme per l'autorizzazione alla installazione e all'esercizio di impianti per la rilevazione degli accessi di veicoli ai centri storici e alle zone a traffico limitato, a norma dell'articolo 7, comma 133-bis , della l. 15 maggio 1997, n. 127;
Visto il Provvedimento generale in materia di videosorveglianza del Garante dell'8 aprile 2010 (doc. web. n. 1712680);
Vista la documentazione in atti;
Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore il dott. Giuseppe Chiaravalloti;
PREMESSA
Il Comune di Verona ha richiesto la verifica preliminare del Garante, ai sensi dell'art. 17 del Codice, in relazione al trattamento di dati personali che intende effettuare attraverso un sistema Rfid per la registrazione dell'"orario di ingresso e il successivo orario di uscita dalla Ztl" (zona a traffico limitato) dei veicoli adibiti al trasporto delle merci.
Con riferimento alle finalità che intende perseguire tramite l'istallazione del predetto sistema, il Comune di Verona ha rappresentato che "il primo obbiettivo (…) è quello di impedire che i veicoli autorizzati allo scarico-carico merci in Ztl rimangano all'interno dell'area oltre il limite concesso dalle ordinanze".
Al riguardo, il Comune ha evidenziato che la normativa di settore vigente prevede, allo stato, solo sistemi di controllo degli accessi alla Ztl finalizzati a sanzionare l'ingresso di veicoli privi di autorizzazione, mentre non è prevista alcuna sanzione per la trasgressione delle regole concernenti gli orari di ingresso e di uscita dalla predetta zona (cfr. d.p.r. 22 giugno 1999, n. 250).
Il Comune, rappresentando le modalità di funzionamento del sistema, ha evidenziato che esso è composto "da un‘antenna posta su un palo collegata ad una piccola unità locale che registra una sola informazione e cioè il numero univoco", con cui il Tag è identificato dal produttore. "Tali antenne sono poste sia in corrispondenza degli ingressi (varchi ZTL esistenti) sia in corrispondenza di tutte le uscite dove è presente un varco elettronico".(…). Per sapere a chi appartiene il veicolo/permesso associato occorre abbinare il Tag alla targa/permesso, associazione già presente nel gestionale dei permessi, già soggetto a rigorose misure di sicurezza informatica sotto il profilo della privacy". Il Comune ha precisato, inoltre, che il sistema potrebbe essere attivo 24 ore su 24, registrare i Tag (ingresso e uscita) e consentire di penalizzare i veicoli che risulteranno essere usciti dalla Ztl oltre l'orario consentito. Al riguardo, è stato evidenziato che le sanzioni da applicare ai trasgressori sono "ancora oggetto di discussione, ma che un'ipotesi potrebbe essere la sospensione dell'autorizzazione per un periodo di tempo a seguito della reiterata uscita oltre i limiti (per esempio alla terza volta). Successivamente (…), il trasgressore verrebbe sanzionato solo se accedesse comunque alla Ztl nel periodo di sospensione".
Il Comune ha precisato, altresì, che non avrà la "possibilità di tracciare in modo continuativo i veicoli da monitorare, perché non viene registrata alcuna informazione sul percorso seguito e l'unica informazione restituita dal sistema è il Tag".
Il Comune di Verona ha dichiarato di essere il titolare del trattamento dei dati personali effettuato attraverso il predetto sistema e che "il responsabile sarà il Comandante del Corpo di Polizia Municipale, il quale definirà le modalità e i criteri di accesso da parte degli incaricati, anche sotto il profilo della sicurezza".
Il Comune di Verona ha evidenziato, infine, che il trattamento di dati personali mediante il sistema sopra descritto–allo stato non ancora iniziato- sarà effettuato "nel rispetto di misure e accorgimenti a garanzia degli interessati, ove prescritti, in conformità al provvedimento a carattere generale del 9 marzo 2005, con il quale il Garante ha individuato specifiche garanzie per l'uso delle c.d. "Etichette intelligenti" (Rfid).
OSSERVA
1. La radiotecnologia Rfid.
La Radio Frequency Identification (Rfid) è un sistema che usa onde elettromagnetiche per l'identificazione automatica di cose o persone. Il sistema si compone di un Tag (cioè di un'etichetta costituita da una memoria elettronica leggibile e talvolta scrivibile, nonché da antenne) e di un lettore. I Tag Rfid possono contenere un codice identificativo unico o anche ulteriori informazioni. I lettori Rfid sono utilizzati, appunto, per leggere le informazioni contenute nei Tag.
Con sempre maggiore frequenza i sistemi Rfid comportano il trattamento di dati personali nella misura in cui nei Tag vengono registrate anche informazioni idonee a identificare, direttamente o indirettamente, gli interessati quali nome, cognome, data di nascita, numero di targa, etc..
In considerazione della peculiarità di questi sistemi - molto diffusi e praticamente invisibili-, deve essere prestata particolare attenzione, sia nella fase della loro creazione che del relativo utilizzo, alla tutela dei diritti e delle libertà fondamentali, nonché della dignità dell'interessato, con particolare riferimento alla riservatezza, all'identità personale e al diritto alla protezione dei dati personali.
2. L'uso del Rfid da parte del Comune di Verona.
Il Comune di Verona ha rappresentato a questa Autorità di voler attivare un sistema di controllo e registrazione degli orari di ingresso e di uscita dalla Ztl dei veicoli adibiti al trasporto delle merci attraverso l'uso di un sistema Rfid, al fine di sanzionare i veicoli che si trattengono all'interno della predetta zona oltre l'orario consentito.
Il Comune di Verona ha, quindi, richiesto la verifica preliminare di questa Autorità, ai sensi dell'art. 17 del Codice, in relazione al trattamento di dati personali che verrà effettuato attraverso il predetto sistema.
Al riguardo, occorre dapprima evidenziare che non si ritiene necessario sottoporre alla verifica preliminare del Garante il predetto trattamento di dati personali, non rinvenendosi -allo stato e sulla base degli elementi forniti- alcune delle caratteristiche -di seguito evidenziate- in presenza delle quali occorre richiedere tale verifica preliminare.
2.1. La verifica preliminare.
In via generale il Codice prevede che debba essere effettuata una verifica preliminare del Garante, anche a seguito di un interpello del titolare, con riferimento al trattamento dei dati personali - diversi da quelli sensibili e giudiziari - che presenta rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell'interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare, al fine di consentire all'Autorità di prescrivere, ove necessario, ulteriori misure ed accorgimenti a garanzia dell'interessato (art. 17).
Con specifico riferimento all'utilizzo di sistemi Rfid, nel provvedimento generale del 9 marzo 2005, il Garante si è riservato di prescrivere ai titolari del trattamento di sottoporre alla verifica preliminare dell'Autorità i sistemi di Rfid destinati all'impianto sottocutaneo che, in quanto tali, presentano rischi specifici per i diritti, le libertà fondamentali e la dignità degli interessati.
Per completezza, si evidenzia, inoltre che, nel provvedimento generale in materia di videosorveglianza dell'8 aprile 2010, una delle ipotesi per le quali il Garante ha prescritto che debba essere richiesta una verifica preliminare dell'Autorità concerne i sistemi di videosorveglianza c.d. intelligenti, che non si limitano a riprendere e registrare le immagini, ma sono in grado di rilevare automaticamente comportamenti o eventi anomali, segnalarli ed eventualmente registrarli (cfr. punto 3.2.1. del citato provvedimento).
2.2. Il sistema Rfid che il Comune di Verona intende installare.
In tale quadro, con riferimento all'ipotesi generale di cui all'art. 17 del Codice, si rileva che il trattamento di dati personali che il Comune di Verona intende effettuare tramite il sistema Rfid descritto in premessa non necessita della verifica preliminare del Garante, non presentando rischi specifici per i diritti e le libertà fondamentali degli interessati. Ciò, innanzi tutto in considerazione delle garanzie rappresentate dal titolare in relazione alle modalità del trattamento che verranno di seguito illustrate (cfr. infra punto 3); inoltre, perché il trattamento riguarda unicamente dati personali -diversi da quelli sensibili e giudiziari- non direttamente identificativi degli interessati e, infine, perché le uniche operazioni di trattamento che il Comune di Verona intende effettuare sono la rilevazione e la conservazione di dati personali che non determinano, sulla base di quanto rappresentato, alcun effetto particolare sulla vita privata degli interessati, nel caso di specie gli intestatari delle targhe dei veicoli utilizzati per il trasporto delle merci nella Ztl.
Il predetto trattamento di dati personali non rientra, inoltre, nelle particolari ipotesi, puntualmente individuate dal Garante nei provvedimenti generali del 9 marzo 2005 e dell'8 aprile 2010 sopra citati, per le quali è stato prescritto ai titolari l'obbligo di richiedere una verifica preliminare.
3. Il progetto del Comune di Verona: garanzie a tutela degli interessati.
Il Garante ha individuato, nel citato provvedimento generale del 2005, specifiche garanzie a tutela degli interessati in relazione al trattamento di dati personali effettuato attraverso i sistemi Rfid. In tale ambito, l'Autorità ha ritenuto necessario che sia assicurato un rigoroso rispetto di tutti i principi dettati dal Codice, con particolare riferimento ai principi di necessità, liceità, finalità, qualità e proporzionalità dei dati, nonché del divieto di controllo a distanza dell'attività dei lavoratori (cfr. artt. 3, 11, 18-22 e 114 del Codice; art. 4, l. 20 maggio 1970, n. 300).
In tale quadro, si rileva, in primo luogo, che il trattamento dei dati personali in esame attiene alle funzioni istituzionali del Comune, in quanto è finalizzato ad individuare i trasgressori delle regole concernenti gli orari di ingresso e di uscita dalla Ztl dai veicoli adibiti al trasporto merci. Il Codice della strada, infatti, prevede che nei centri abitati i comuni possono, con ordinanza del Sindaco, prescrivere orari e riservare spazi per i veicoli autorizzati per il carico e lo scarico delle cose (cfr. artt. 11, comma 1, lett. a) e 18 del Codice; art. 7, comma 1, lett. g) del Codice della strada).
Inoltre, in conformità ai principio di necessità, il sistema Rfid descritto in premessa consente l'identificazione dell'interessato solo in caso di necessità (cfr. art. 3 del Codice). Il sistema, invero, non comporta il trattamento sistematico di dati identificativi diretti, ma di soli numeri di identificazione personali che non consentono di risalire immediatamente all'identità dell'interessato. Il sistema, infatti, effettua la rilevazione e la registrazione delle targhe, associate al codice univoco con cui il Tag è identificato dal produttore, dei veicoli autorizzati all'accesso alla Ztl per il carico e lo scarico delle merci. In tale modo, quindi, l'identificazione dell'interessato può avvenire solo nel momento in cui, attraverso la targa, si intende risalire all'intestatario del veicolo, unicamente quando sia necessario individuare il trasgressore delle regole concernenti gli orari di ingresso e di uscita dalla Ztl dei veicoli adibiti al trasporto merci.
Si rileva, inoltre, la pertinenza e non eccedenza delle informazioni trattate rispetto alla finalità perseguita (cfr. art. 11, comma 1, lett. d) del Codice). Da una parte, infatti, le targhe dei veicoli autorizzati all'accesso alla Ztl sono indispensabili al Comune di Verona per identificare i trasgressori delle regole concernenti gli orari di ingresso e di uscita dalla Ztl dei veicoli adibiti al trasporto merci; dall'altra non risulta, sulla base di quanto rappresentato, che il predetto Comune intenda trattare ulteriori informazioni.
A tutela della libertà e dignità degli interessati, nonché a garanzia del divieto di controllo a distanza dell'attività dei lavoratori, il Comune di Verona ha rappresentato, infine, che il sistema Rfid in esame non consente "di tracciare in modo continuativo i veicoli da monitorare, perché non viene registrata alcuna informazione sul percorso seguito".
4. Specifiche prescrizioni e raccomandazioni.
Con specifico riferimento alla tutela degli interessati in relazione al trattamento dei loro dati personali, il Comune di Verona ha fornito le garanzie richiamate al punto 3 del presente provvedimento ed ha rappresentato di volere attenersi alle prescrizioni fornite dal Garante nel citato provvedimento generale del 9 marzo 2005, con il quale l'Autorità ha evidenziato che, nell'ambito del trattamento di dati personali tramite sistemi Rfid è necessario assicurare un rigoroso rispetto dei principi di necessità, liceità, finalità, qualità e proporzionalità dei dati, nonché del divieto di controllo a distanza dell'attività dei lavoratori (cfr. artt. 3, 11, 18-22 e 114 del Codice; art. 4, l. 20 maggio 1970, n. 300).
Ciò premesso, in considerazione di quanto previsto dal predetto provvedimento generale, secondo cui il Garante può impartire ulteriori prescrizione necessarie in relazione a specifici trattamenti di dati personali effettuati mediante Rfid, anche in vista dell'evoluzione rapida e costante di tali sistemi e della loro sempre maggiore diffusione, l'Autorità ritiene opportuno formulare talune specifiche prescrizioni in relazione al trattamento dei dati personali effettuato mediante il sistema Rfid in esame.
4.1. Informativa.
Preliminarmente, si richiama l'obbligo per il Comune di Verona di fornire idonea informativa agli interessati in relazione al trattamento di dati personali che intende effettuare attraverso il sistema Rfid descritto in premessa (cfr. art. 13 del Codice).
A tal fine, si prescrive al Comune di Verona di informare, ai sensi dell'art. 13 del Codice, gli intestatari delle targhe dei veicoli utilizzati per il trasporto delle merci nella Ztl, sul trattamento dei dati personali che intende effettuare tramite il sistema Rfid, all'atto della richiesta del permesso per l'accesso alla Ztl per il trasporto merci e comunque prima dell'istallazione del sistema Rfid sui veicoli autorizzati ovvero, qualora tali sistemi siano già stati installati, prima della loro attivazione.
4.2. Identificazione degli interessati.
Come sopra rappresentato, il sistema in esame consente di rilevare e registrare dati personali non direttamente identificativi degli interessati.
Al riguardo, si prescrive che l'identificazione degli interessati, per il tramite della targa (numeri di identificazione personale idonei a identificare indirettamente il proprietario del relativo veicolo), possa essere effettuata dal Comune di Verona solo per l'accertamento della violazione delle regole concernenti gli orari di ingresso e di uscita dalla Ztl dei veicoli adibiti al trasporto delle merci e per l'applicazione della relativa sanzione.
4.3. Conservazione dei dati.
Con riferimento al tempo di conservazione dei dati trattati nell'ambito del sistema Rfid in esame, si ritiene che possano essere applicati i medesimi principi di garanzia previsti, al riguardo, per i sistemi di controllo degli accessi alla Ztl sia nella normativa di settore (d.P.R. 22 giugno 1999, n. 250), sia nel provvedimento generale del Garante in materia di videosorveglianza dell'8 aprile 2010 (cfr. in particolare punto 5.3).
In tale quadro, pertanto, il Comune di Verona nel rilevare, tramite l'impianto in esame, il numero di targa dei veicoli che entrano ed escono dalla Ztl per il trasporto delle merci, può conservare tali informazioni solo per il tempo a tale scopo necessario. A tal fine, si prescrive al Comune di Verona:
a) in caso di ingresso e di uscita di un veicolo nei tempi consentiti, di cancellare subito dopo l'uscita il numero di targa e le altre informazioni raccolte -secondo le modalità di seguito descritte (cfr, punto 4.4., lett. b);
b) in caso di infrazione, di conservare le informazioni rilevate, per il periodo necessario alla contestazione dell'infrazione stessa, all'applicazione dalla sanzione e alla definizione dell'eventuale contenzioso.
4.4. Misure di sicurezza.
Con riferimento alla sicurezza dei dati trattati, si richiama l'obbligo per il Comune di Verona di adottare idonee e preventive misure di sicurezza che riducano al minimo i rischi di distruzione, perdita, anche accidentale, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta (artt. 31 e ss. del Codice e Allegato B al medesimo Codice).
In tale ambito, si prescrive, in particolare, al Comune di Verona di:
a) adottare specifiche misure tecniche ed organizzative che consentano di verificare l'attività espletata da parte di chi accede alle informazioni raccolte;
b) predisporre misure tecniche ed organizzative per la cancellazione, anche in forma automatica, dei dati raccolti mediante il sistema Rfid in esame, allo scadere del termine di conservazione consentito (cfr. punto 4.3.).
4.5. Incaricati del trattamento.
Si richiama, infine, l'obbligo per il Comune di Verona di:
a) designare, anche per il tramite del responsabile, per iscritto le persone fisiche, incaricate del trattamento delle informazioni raccolte e, nei casi in cui sia indispensabile per lo scopo perseguito, autorizzate anche a identificare gli interessati (art. 30 del Codice);
b) individuare diversi livelli di accesso in corrispondenza delle specifiche mansioni attribuite ad ogni singolo operatore, ivi compresi gli addetti alla gestione e alla manutenzione del sistema, distinguendo coloro che sono unicamente abilitati ad accedere ai dati trattati dai soggetti che, invece, possono anche effettuare, a determinate condizioni, ulteriori operazioni (es. registrare, copiare, identificare gli interessati attraverso l'incrocio con ulteriori informazioni, al fine di applicare le sanzioni previste) (cfr. punti 13 e 15, Allegato B al Codice).
Tutto ciò premesso, il Garante
1. ai sensi dell'art. 154, comma 1, lett. c) del Codice, in relazione al trattamento di dati personali che il Comune di Verona intende effettuare attraverso il sistema Rfid per il controllo e la registrazione degli orari di ingresso e di uscita dalla Ztl dei veicoli adibiti al trasporto delle merci, ferme restando le specifiche garanzie individuate per l'uso dei sistemi Rfid nel provvedimento generale del 9 marzo 2005, prescrive al Comune di Verona di:
a) informare, ai sensi dell'art. 13 del Codice, gli intestatari delle targhe dei veicoli utilizzati per il trasporto delle merci nella Ztl, sul trattamento dei dati personali che intende effettuare tramite il sistema Rfid, all'atto della richiesta del permesso per l'accesso alla Ztl per il trasporto merci e comunque prima dell'istallazione del sistema Rfid sui veicoli autorizzati ovvero, qualora tali sistemi siano già stati installati, prima della loro attivazione (cfr. punto 4.1.);
b) identificare gli interessati, per il tramite della targa, solo per l'accertamento della violazione delle regole concernenti gli orari di ingresso e di uscita dalla Ztl dei veicoli adibiti al trasporto delle merci e per l'applicazione della relativa sanzione (cfr. punto 4.2.);
c) in caso di ingresso e di uscita di un veicolo nei tempi consentiti, cancellare subito dopo l'uscita il numero di targa e le altre informazioni raccolte (cfr. punto 4.3.lett. a);
d) in caso di infrazione, conservare le informazioni rilevate, per il periodo necessario alla contestazione dell'infrazione stessa, all'applicazione dalla sanzione e alla definizione dell'eventuale contenzioso (cfr. punto. 4.3. lett. b);
e) implementare sul sistema in esame le misure di sicurezza descritte alle lettere a) e b) del punto 4.4. del presente provvedimento.
2. raccomanda, inoltre, al Comune di Verona il rispetto degli obblighi di:
a) adottare idonee e preventive misure di sicurezza che riducano al minimo i rischi di distruzione, perdita, anche accidentale, accesso non autorizzato e di trattamento non consentito o non conforme alle finalità della raccolta dei dati trattati (cfr. punto 4.4.)
b) designare, anche per il tramite del responsabile, per iscritto le persone fisiche, incaricate del trattamento delle informazioni raccolte, e, nei casi in cui sia indispensabile per lo scopo perseguito, autorizzate anche a identificare gli interessati (cfr. punto 4.5.);
c) individuare diversi livelli di accesso in corrispondenza delle specifiche mansioni attribuite ad ogni singolo operatore, ivi compresi gli addetti alla gestione e alla manutenzione del sistema, distinguendo coloro che sono unicamente abilitati ad accedere ai dati trattati dai soggetti che invece possono anche effettuare, a determinate condizioni, ulteriori operazioni (cfr. punto 4.5.).
Roma, 2 febbraio 2012
Il Presidente, Pizzetti
Il Relatore, Fortunato
Il Segretario Generale, De Paoli