Registro dei provvedimenti
n. 62 del 16 febbraio 2017
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;
VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito "Codice");
VISTO il provvedimento generale del Garante dell'8 aprile 2010, in materia di trattamento di dati personali effettuato tramite sistemi di videosorveglianza (G.U. n. 99 del 29 aprile 2010 e in www.garanteprivacy.it, doc. web n. 1712680);
ESAMINATA la richiesta di verifica preliminare presentata da Costa Crociere S.p.A. ai sensi dell'articolo 17 del Codice;
VISTI gli atti d'ufficio;
VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
RELATORE la dott.ssa Augusta Iannini;
PREMESSO
1. L'istanza della società.
1.1. Costa Crociere S.p.A. (di seguito, la società) ha presentato una richiesta di verifica preliminare ai sensi dell'art. 17 del Codice, riguardante il trattamento dei dati personali connesso alla prospettata installazione di "apparecchiature audio-video in specifiche e limitate aree tecniche (c.d. Engine Control Room, vale a dire sala di controllo dell'intero apparato motore della nave) presenti sulle navi da crociera della società".
Tale sistema è finalizzato a perseguire "circoscritte e specifiche finalità di sicurezza quali […] il monitoraggio a posteriori […] a seguito del verificarsi di incidenti o di eventi occorsi a bordo di una delle navi della flotta Costa" (cfr. istanza 23.6.2016, p. 1).
1.2. Quanto alle specifiche caratteristiche del sistema che si intende utilizzare, la società ha rappresentato che:
a. l'adozione del sistema ECR consentirebbe di implementare le misure di sicurezza già adottate dalla società in base alla disciplina vigente che obbliga alla "installazione e utilizzo continuativo di un registratore di dati di viaggio ˗ c.d. Voyage Data Recorder o "VDR" ˗" ossia un dispositivo installato sul ponte di comando idoneo a registrare anche i dati audio (istanza cit., p. 1 e 2);
b. all'interno della Engine Control Room sono "centralizzate le procedure informatiche e di controllo remoto della quasi totalità delle attività di gestione e verifica del corretto funzionamento e sicurezza dell'apparato motore della nave" (istanza cit., p. 2);
c. a seguito del verificarsi di alcuni eventi che "hanno interessato la sala di controllo dell'intero apparato motore", la società ha ritenuto che l'adozione di un sistema di registrazione audio-video sia necessario "non solo per poter accertare la corretta esecuzione delle procedure e manovre di bordo ma soprattutto per poter individuare eventuali azioni correttive da implementare ed evitare quindi il ripetersi di eventi o sinistri" (istanza cit., p. 3);
d. i dati raccolti con il sistema "potrebbe[ro] essere utilizzat[i] in sede di training al personale di macchina affinché certe situazioni ed eventi non debbano più ripetersi" (istanza cit., p. 3);
e. il sistema è configurato in modo da "evitare la ripresa diretta dei volti degli operatori" (istanza cit., p. 4);
f. in applicazione del principio di minimizzazione dei dati trattati, i dati raccolti ˗ sia audio che video ˗ saranno conservati per 70 ore, corrispondenti al "periodo di tempo strettamente necessario alla ricostruzione di eventuali incidenti o eventi dannosi e all'individuazione […] delle cause tecniche e/o umane che abbiano determinato o concorso a determinare tali eventi" (istanza cit., p. 4);
g. la società provvederà a predisporre un modello di informativa sia "minima" ˗ da collocare "nelle immediate vicinanze delle telecamere e dei microfoni" ˗ sia "estesa" ˗ che sarà messa a disposizione degli interessati attraverso la Intranet aziendale; provvederà altresì a designare responsabili interni ed esterni nonché gli incaricati del trattamento, impartendo specifiche istruzioni (istanza cit., p. 4 e 5);
h. la società ha "stipulato in data 28 dicembre 2015 apposito accordo sindacale e ottenuto l'autorizzazione per l'installazione e utilizzo del Sistema ECR ai sensi dell'art. 4, l. n. 300/1970" (istanza cit., p. 5);
i. la società ha previsto, oltre alle misure di sicurezza minime prescritte dall'Allegato B al Codice in materia di protezione dei dati personali (d. lgs. 30.6.2003, n. 196) anche ulteriori misure ritenute idonee nel caso concreto a scongiurare accessi abusivi, distruzione e/o alterazione dei dati raccolti (istanza cit., p. 5 e 6).
1.3. A seguito di una richiesta di chiarimenti ed integrazioni formulata dall'Autorità, la società ha precisato che:
a. in base alla disciplina vigente ˗ nazionale, europea e internazionale ˗ la società attualmente effettua la "raccolta di dati per mezzo del Voyage Data Recorder ("VDR") ovvero dispositivo analogo alla scatola nera degli aerei che deve essere installato sul ponte di comando delle navi" (cfr. nota ricevuta il 27.10.2016, p. 1);
b. il sistema di registrazione VDR è installato obbligatoriamente "non solo al fine di supportare le indagini dopo gli incidenti navali, ma altresì per garantire un miglioramento delle condizioni di sicurezza in mare" (cfr. nota cit., p. 2);
c. i dati destinati a confluire nel sistema VDR sono raccolti attraverso una pluralità di sensori, collocati "prevalentemente [sul] Ponte di Comando e la Sala Controllo Propulsione" (cfr. nota cit., p. 5);
d. con il prospettato sistema di registrazione la società intende perseguire principalmente finalità di sicurezza, sia per consentire la "soddisfazione degli obblighi legislativi di reportistica e monitoraggio delle attività compiute nel corso della navigazione" sia per permettere "tramite la ricostruzione delle cause e delle circostanze nonché la disamina ed analisi delle attività poste in essere nel corso degli eventi, di valutare modalità più efficaci per rafforzare gli apparati tecnologici nonché le proprie procedure di sicurezza interne" (cfr. nota cit., p. 9);
e. il sistema favorirebbe altresì l'attività di ricostruzione di eventuali sinistri, posto che "alcune delle navi della Flotta Costa sono state, negli anni, oggetto di eventi dei quali, ad oggi, non è stato ancora possibile accertare concretamente le cause, in quanto occorsi all'interno della sala di controllo dell'intero apparato motore della nave" (cfr. nota cit., p. 9);
f. inoltre "l'analisi storica degli eventi occorsi, combinata con la creazione di «casistiche standard» di situazioni di pericolo […] permetterebbe alla società […], di implementare un efficace piano di formazione del personale a totale giovamento della sicurezza ed incolumità, non solo dei lavoratori dipendenti della società, bensì anche dell'elevato numero di passeggeri"(cfr. nota cit., p. 9);
g. la raccolta ed il successivo utilizzo dei dati per finalità didattico formative avverrebbe solo al verificarsi di "eventi in cui il «fattore umano» risulti rilevante" (cfr. nota cit., p. 11);
h. l'accesso ai dati raccolti avverrebbe qualora si verificassero "eventi imprevisti ed imprevedibili, straordinari, dannosi o potenzialmente dannosi, causati, connessi od occorsi durante le operazioni di una qualsiasi unità navale, non configurabile come un incidente di scarsa rilevanza, vale a dire come evento privo di conseguenze sotto un profilo tecnico o strumentale […] o rispetto alla causazione di danni a cose o persone ovvero all'ambiente marino" (cfr. nota cit., p. 10);
i. i dati raccolti attraverso il sistema ECR per finalità di sicurezza e di ricostruzione dei sinistri sarebbero accessibili "al Comandante che ha accesso al computer situato sul ponte di comando ed [al] personale del Dipartimento Investigation"; pertanto la conoscibilità nei casi prestabiliti sarebbe consentita "ad un limitato numero di persone […] oltre [che alla] autorità a ciò legittimata" (cfr. nota cit., p. 11);
j. le immagini raccolte per finalità didattico-formative "saranno soggette ad opportune procedure di anonimizzazione, ossia un processo […] che preveda l'apposizione di apposite black mask tese a coprire i soggetti ripresi", né verrebbe conservato o inserito alcun riferimento alla nave ove si sono svolti i fatti oggetto di ripresa o al momento in cui si sono verificati (cfr. nota cit., p. 12);
k. anche in relazione alle registrazioni audio la società, in caso di utilizzo per finalità didattico-formative, non intende consentire l'identificazione del personale coinvolto nelle conversazioni registrate ed in proposito chiede all'Autorità l'individuazione delle misure idonee a realizzare tale obiettivo (cfr. nota cit., p. 12);
l. considerato che l'accordo stipulato ai sensi dell'articolo 4, legge 20 maggio 1970, n. 300 in data 28 gennaio 2016 si riferisce esclusivamente all'installazione di un sistema di videosorveglianza a circuito chiuso, la società si è impegnata di "integrare l'accordo in essere anche con lo specifico riferimento alla raccolta dei dati derivanti dalla registrazione audio" (cfr. nota cit., p. 13).
1.4. La società ha da ultimo chiarito che in base all'analisi delle finalità perseguite con il sistema ECR, il termine di conservazione di 70 ore appare proporzionato e congruo anche alla luce delle indicazioni fornite dalle discipline di fonte internazionale per i dati raccolti con il sistema VDR (cfr. I.M.O. Resolution MSC.333(90), 22 May 2012).
2. Il quadro giuridico nazionale, europeo e internazionale in materia di navigazione marittima.
Le attività di trasporto marittimo, in considerazione dei rischi rilevanti per la sicurezza delle persone e dell'ambiente ad esse connessi, sono sottoposte alla regolamentazione dettata da una pluralità di discipline di settore, di fonte internazionale, europea e nazionale. In particolare, al fine di rafforzare i sistemi di sicurezza delle attività di navigazione, tutte le navi aventi determinate caratteristiche (con alcune limitate eccezioni) devono essere sottoposte a specifiche attività di monitoraggio e di raccolta di informazioni relative alla navigazione. In particolare tutte le navi nazionali e straniere che fanno scalo in un porto nazionale devono essere dotate di un registratore dei dati di viaggio (Voyage Data Recorders – VDR), in conformità alle disposizioni internazionali applicabili (cfr. artt. 6, comma 1-bis, 10 e All. II, d. lgs. 19 agosto 2005, n. 196 "Attuazione della direttiva 2002/59/CE relativa all'istituzione di un sistema comunitario di monitoraggio e di informazione sul traffico navale"; International Convention for the Safety of Life at Sea, Chapter V, Regulation 20, Annex 10). Tra le informazioni che devono essere raccolte in base alla richiamata disciplina, vi è anche la registrazione audio effettuata mediante la collocazione di microfoni sul ponte di comando e riferita a conversazioni effettuate in prossimità della postazione di comando, delle strumentazioni di bordo nonché, per quanto possibile, ai sistemi di comunicazione interni e agli allarmi sonori presenti sul ponte (cfr. International Maritime Organization – IMO, Resolution A.861(20), 27 November 1997, Performance Standards for Shipborne Voyage Data Recorders (VDRs), par. 5.4.5; Resolution MSC.163(78), 17 May 2004, Performance Standards for Shipborne Simplified Voyage Data Recorders (VDRs), par. 5.4.5; Resolution MSC.333(90), 22 May 2012, Performance Standards for Shipborne Voyage Data Recorders (VDRs), par. 5.5.5).
Tra i dati che, anche attraverso l'utilizzo di sensori, devono essere registrati vi sono informazioni relative a strumentazioni, dispositivi e parti meccaniche presenti sulla nave, quali in particolare: timone (posizione e corrispondenza agli ordini impartiti), sistema di propulsione (compresa la corrispondenza agli ordini impartiti), giri delle eliche e funzionamento del motore (cfr. International Convention for the Safety of Life at Sea, Chapter V, cit., Annex 10, 3.3., 3.4., 3.5., 3.6., 3.7.).
3. Liceità del trattamento dei dati per finalità di monitoraggio delle attività di navigazione marittima.
La società, che gestisce una flotta di navi da crociera, ha rappresentato di voler rafforzare le misure di sicurezza predisposte nel quadro della menzionata disciplina vigente sia al fine di consentire la ricostruzione a posteriori della dinamica di incidenti o avarie o anomalie nel funzionamento dei sistemi potenzialmente idonee a mettere in pericolo la sicurezza della navigazione e, dunque, dei passeggeri e del personale di equipaggio, sia allo scopo di favorire l'individuazione di possibili fattori di rischio nelle procedure adottate.
La raccolta di dati ulteriori rispetto a quelli analiticamente individuati dalla disciplina internazionale (applicabile nell'ordinamento interno in forza del rinvio operato dal menzionato art. 10, comma 1, d. lgs. 196/2005) è contemplata nel quadro delle misure predisposte per consentire la ricostruzione della dinamica di eventuali sinistri occorsi alle navi (v. IMO, Resolution MSC.333(90) cit., par. 5.3.1 e 5.5.20). In termini generali, poi, l'analitica rendicontazione delle manovre eseguite e dei fatti riferiti alla navigazione oltreché degli "avvenimenti straordinari" verificatisi durante il viaggio, è prevista espressamente dal Codice della navigazione (cfr. r. d. 30 marzo 1942, n. 327, artt. 173-174).
L'obiettivo di mantenere un elevato livello di sicurezza nel settore del trasporto marittimo tramite l'adozione di misure volte a ridurre il numero di sinistri e incidenti è preso in considerazione in numerosi atti adottati in ambito europeo (cfr. Direttiva 2009/18/CE del parlamento Europeo e del Consiglio, considerando 1 e 21).
In tale quadro la società ha dichiarato che a bordo di alcune delle navi della propria flotta si sono verificati eventi (guasti, avarie) dei quali non è stato possibile ricostruire la dinamica in quanto "occorsi all'interno della sala di controllo dell'intero apparato motore della nave", luogo nel quale allo stato non è installato alcun apparato di rilevazione audio video (nota della società 27.10.2016, p. 9).
Il sistema attualmente previsto per il ponte di comando sarebbe pertanto esteso alla sala macchine, posto che l'attività che ivi si svolge è strettamente collegata a quella effettuata sul ponte, anche alla luce delle caratteristiche tecnologiche della strumentazione di bordo.
Alla luce del quadro normativo sopra descritto, preordinato alla salvaguardia della sicurezza della navigazione marittima e la connessa esigenza di protezione della vita umana e degli ambienti marini, considerato altresì che in tale contesto è incoraggiato il rafforzamento delle misure preordinate alla individuazione di eventi idonei a mettere in pericolo la navigazione (anche attraverso il tracciamento delle attività svolte nel corso della navigazione) e alla luce della casistica rappresentata in atti dalla società, le finalità perseguite con il sistema di cui è stata prospettata l'adozione (ricostruzione di sinistri, prevenzione di incidenti, formazione del personale attraverso la creazione di "casistiche standard" di situazioni di pericolo anche solo potenziale) risultano in termini generali lecite (cfr. art., 11, comma 1, lett. a) del Codice).
Il trattamento prospettato risulta altresì lecito alla luce della disciplina in materia di controlli a distanza dei dipendenti, posto che l'impiego delle apparecchiature è esclusivamente preordinato al raggiungimento di obiettivi di sicurezza e considerato che la società ha dichiarato di voler attivare la procedura prevista dall'art. 4, comma 1, legge 20.5.1970, n. 300.
Le specifiche caratteristiche del caso concreto consentono pertanto di ammettere tale trattamento nonostante la particolare delicatezza dei dati risultanti dalla registrazione dell'audio, ferme restando le specifiche misure ed accorgimenti di seguito indicate (punto 6).
4. Pertinenza e non eccedenza dei dati trattati.
Il trattamento prospettato risulta altresì conforme al principio di pertinenza e non eccedenza (cfr. art. 11, comma 1, lett. d) del Codice) in quanto la società intende configurare il sistema in modo da:
delimitare ed individuare concretamente la tipologia di eventi in presenza dei quali è previsto l'accesso ai dati raccolti attraverso il sistema di videoregistrazione;
delimitare l'area (la sola console ECR) nella quale sarà operativo il sistema;
individuare tempi di registrazione congrui rispetto alle finalità perseguite (70 ore);
predisporre misure volte ad anonimizzare i dati che saranno utilizzati per finalità didattico formative;
predisporre misure di sicurezza nel complesso adeguate in relazione alla particolarità dei trattamenti effettuati.
5. Bilanciamento di interessi.
Si ritiene pertanto, alla luce delle valutazioni sopra esposte circa la conformità del sistema ai principi di protezione dei dati e considerate le misure poste a tutela degli interessati indicate nel successivo punto 6, che i descritti trattamenti possano essere effettuati, nei confronti dei dipendenti, per effetto del presente provvedimento che, in applicazione della disciplina sul c.d. "bilanciamento di interessi", individua un legittimo interesse al trattamento di tale tipologia di dati in relazione alle finalità rappresentate (art. 24, comma 1, lett. g) del Codice).
6. Misure ed accorgimenti posti a tutela dei diritti degli interessati.
Considerata la specificità dei dati oggetto di trattamento (registrazioni audio-video), si ritiene tuttavia necessario prescrivere con il presente provvedimento alcune misure a tutela dei diritti degli interessati.
6.1. In particolare, l'accesso al sistema ECR deve essere consentito ai soli soggetti incaricati, muniti di specifiche credenziali o dispositivi di autenticazione forte; gli accessi devono essere tracciati e le registrazioni devono comprendere i riferimenti temporali e avere caratteristiche di completezza, integrità, inalterabilità e durata della conservazione analoghe a quelle richieste per i log degli accessi degli amministratori di sistema, contenute nel Provvedimento 27 novembre 2008, doc. web n. 1577499.
6.2. Le registrazioni audio e video devono essere conservate in forma cifrata, utilizzando tecniche crittografiche con lunghezza delle chiavi adeguata alla dimensione e al ciclo di vita dei dati.
6.3. Una volta decorso il tempo di conservazione di 70 ore (fatte salve le ipotesi di sinistri e correlata conservazione dei dati per finalità di tutela dei diritti), le registrazioni audio/video devono essere cancellate irreversibilmente.
6.4. Qualora la società intenda procedere all'utilizzo delle registrazioni per finalità didattico-formative, dovrà provvedere ad anonimizzare le registrazioni effettuate, oltre che mediante le misure già indicate (cfr. punto 1.3., lett. j.), alterando le diverse voci presenti nella registrazione stessa ed eliminando nel contempo qualunque elemento che possa ricondurre all'identità delle persone coinvolte (es: nomi, appellativi, riferimenti temporali espliciti).
7. Adempimenti previsti dalla legge.
Resta fermo che la società, prima dell'inizio dei descritti trattamenti - come del resto, per alcuni aspetti, già rilevato nell'istanza - è tenuta in base alla normativa vigente a:
a. fornire ai dipendenti della società coinvolti dai descritti trattamenti un'informativa comprensiva di tutti gli elementi contenuti nell'articolo 13 del Codice (tipologia di dati, finalità e modalità del trattamento, compresi i tempi di conservazione, indicazione dei soggetti che possono venire a conoscenza dei dati in qualità di responsabili o incaricati del trattamento), anche in conformità al principio di correttezza in base al quale il titolare è tenuto a rendere chiaramente riconoscibili agli interessati i trattamenti che intende effettuare (art. 11, comma 1, lett. a), del Codice); dovranno altresì essere posizionati in prossimità del raggio di azione del sistema appositi cartelli informativi relativi all'esistenza e al funzionamento dello stesso;
b. predisporre misure al fine di garantire agli interessati l'esercizio dei diritti previsti dagli articoli 7 e seguenti del Codice.
TUTTO CIÒ PREMESSO IL GARANTE
ai sensi dell'art. 17 del Codice, a conclusione della verifica preliminare, ammette il trattamento dei dati personali da parte di Costa Crociere s.p.a. mediante l'impianto di rilevazione audio-video, illustrato nei termini di cui in motivazione, da installarsi nelle c.d. Engine Control Room presenti sulle navi da crociera della propria flotta, e prescrive che la società, quali misure necessarie, debba:
a. consentire l'accesso al sistema ECR agli incaricati, muniti di specifiche credenziali o dispositivi di autenticazione forte, provvedendo altresì al tracciamento degli accessi (punto 6.1.);
b. configurare le registrazioni in modo da comprendere i riferimenti temporali e che abbiano caratteristiche di completezza, integrità, inalterabilità e durata della conservazione analoghe a quelle richieste per i log degli accessi degli amministratori di sistema (punto 6.1.);
c. conservare le registrazioni audio e video in forma cifrata, utilizzando tecniche crittografiche con lunghezza delle chiavi adeguata alla dimensione e al ciclo di vita dei dati (punto 6.2.);
d. cancellare irreversibilmente le registrazioni audio/video una volta decorso il tempo di conservazione di 70 ore (punto 6.3.);
e. anonimizzare le registrazioni effettuate in caso di ulteriore utilizzo per finalità didattico-formative, utilizzando strumenti idonei ad alterare le diverse voci presenti nella registrazione stessa ed eliminando nel contempo qualunque elemento che possa ricondurre all'identità delle persone coinvolte (punto 6.4.).
Ai sensi degli articoli 152 del Codice e 10 del decreto legislativo n. 150 del 2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.
Roma, 16 febbraio 2017
IL PRESIDENTE
Soro
IL RELATORE
Iannini
IL SEGRETARIO GENERALE
Busia