Privacy: un nuovo modello di sicurezza

La richiesta di un nuovo modello di sicurezza è giunta dalla società consortile “Il Tarì” che ha sottoposto in via preliminare al Garante della protezione dei dati personali la conformità dell’utilizzo di un sistema multimediale di sicurezza rivolto principalmente ai dipendenti delle imprese consorziate e basato sul riscontro delle impronte digitali registrate su una smart card dotata anche di Rfid.
L’esigenza della società, che si occupa della realizzazione e gestione di centri attrezzati per la lavorazione, produzione, distribuzione e commercio all'ingrosso di preziosi ed affini, è quella di garantire una maggior sicurezza per il “Centro orafo Il Tarì” ubicato in una frazione isolata del Comune di Marcianise (CE) ed esposto a possibili furti, rapine ed estorsioni anche a causa della forte presenza di criminalità in zona. Il tutto complicato dall'estensione del complesso (pari a mq. 130.000) che rende particolarmente problematica la gestione ed il controllo di tutte le sue aree.
Il progetto sottoposto a verifica preliminare del Garante, ai sensi dell’art. 17, 2° comma del codice della Privacy (D.Lgs. 196/2003), prevede per l'accesso alla struttura un sistema di doppie porte automatiche e l'utilizzo di una smart card dotata di Rfid, in esclusiva disponibilità di dipendenti e fornitori, in cui viene inserito un codice alfanumerico ricavato dall'impronta digitale. In prossimità della prima porta, un sistema a radiofrequenza (Rfid) "legge" la smart card e verifica le credenziali d'accesso ed il codice ricavato dall'impronta. Superata la prima porta, un lettore biometrico accerta la corrispondenza tra l'impronta di chi sta entrando ed il codice registrato. Quanto alla tutela della riservatezza,  agli interessati del trattamento viene fornita idonea informativa ex art. 13 del Codice della Privacy contenente tra l'altro la chiara indicazione di modalità alternative di accesso al Centro per coloro che non intendano o possano usufruire di tale modalità d'accesso basata sulla rilevazione biometrica ed inoltre l’indicazione che i dati memorizzati sulla card – accessibili esclusivamente al personale preposto al rispetto delle misure di sicurezza all’interno della società – sono conservati dal sistema di controllo per sette giorni trascorsi i quali questi vengono cancellati automaticamente.
Sulla base di quanto precede, l'Autorità ha ritenuto proporzionato e conforme alla disciplina privacy il sistema proposto, anche tenendo conto degli effettivi e concreti problemi di sicurezza del complesso orafo. Ha tuttavia prescritto all'azienda una serie di obblighi che dovranno sempre essere osservati e tra i quali figurano quello di non utilizzare il sistema per finalità diverse (come, ad esempio, per controllare l'orario di lavoro dei dipendenti) e di fornire agli interessati l'informativa in cui vengano chiarite le modalità alternative di accesso al centro per chi non possa o non intenda usufruire del sistema. Dovranno essere, infine, predisposte dalla società misure idonee per inibire tempestivamente l'uso delle smart card in caso di smarrimento o furto e dovrà essere notificato al Garante il trattamento dei dati biometrici prima che esso abbia inizio.