La privacy nei controlli di sicurezza

 

ADR assicura la gestione dei controlli di sicurezza presso i varchi dedicati agli accessi dei passeggeri (interessati ai sensi dell’art. 4, Reg. UE 2016/679 GDPR) presso gli aeroporti "Leonardo da Vinci" di Fiumicino e "Giovan Battista Pastine" di Ciampino.
Ai sensi della normativa vigente in materia di privacy (artt. 13 e 14 Regolamento Europeo 2016/679 “GDPR” e D. Lgs. n. 196/03 e successive modifiche ed integrazioni) viene fornita la seguente informativa in relazione alle attività di trattamento di dati personali effettuate nell'ambito dei controlli di sicurezza svolti.

  1. TITOLARE DEL TRATTAMENTO
Aeroporti di Roma S.p.A. con sede in via Pier Paolo Racchetti, 1- 00054 Fiumicino (Roma).
 
  1. DATA PROTECTION OFFICER
ADR ha nominato un Data Protection Officer. I dati di contatto del Data Protection Officer sono disponibili su www.adr.it
  1. FINALITA’ E BASE GIURIDICA DEL TRATTAMENTO
I dati personali[1] sono trattati per le seguenti finalità:
  • per verificare la validità del titolo di viaggio in osservanza delle normative dettate in materia e consentire ai passeggeri l’accesso alle aree di imbarco;
  • per gestire la sicurezza dei passeggeri all’interno dell’aeroporto e ottimizzare lo svolgimento delle operazioni di boarding nel rispetto della normativa di settore;
  • per adempiere alle norme di legge applicabili ad ADR quale gestore aeroportuale;
  • per finalità amministrative legate.

La base giuridica che consente al Titolare di trattare i dati personali è – ai sensi dell’art. 6, lett. c, GDPR – l’adempimento di obblighi di legge quali in particolare:
  • l’adempimento degli obblighi imposti dalla normativa di sicurezza aeroportuale (ivi compresi DM 85/99, dal Regolamento CE 300/2008 e dal Regolamento UE 2015/1998, e del Piano Nazionale di Sicurezza);
  • l’adempimento di obblighi di legge in materia di fatturazione e tenuta della contabilità.
Il rifiuto di conferire i propri dati tramite presentazione del proprio titolo di viaggio impedisce l’accesso del passeggero all’aree di imbarco.
 
  1. MODALITA’ DEL TRATTAMENTO E TIPOLOGIE DI DATI TRATTATI
Aeroporti di Roma tratta le seguenti categorie di dati personali comuni dei passeggeri:
  • dati presenti sulla carta di imbarco rilevati al varco di sicurezza mediante gli appositi lettori (c.d. Pax Track);
  • dati relativi all’acquisto e all’utilizzo del servizio di cd. “fast track” che consente una via di acceso prioritaria alle aree di imbarco;
  • dati di passaggio dai varchi di sicurezza (i.e. data e orario dell’accesso);
  • dati relativi ai bagagli a mano e da stiva del passeggero sottoposti ai controlli previsti dalla normativa di riferimento e secondo le best practice di settore;
  • dati rilevati nell’ambito degli ulteriori controlli di sicurezza anche mediante l’uso del metal detector, del body scanner (laddove utilizzato) e delle macchine RX per il controllo bagagli.
I trattamenti avvengono mediante strumenti informatici, telematici e manuali, con logiche strettamente correlate alle finalità stesse e, comunque, in modo da garantire la protezione, la riservatezza e la sicurezza dei dati e con strumenti atti a garantire l'accesso alle sole persone autorizzate a compiere le operazioni di trattamento alle attività suddette.
In particolare:        
  1. il controllo del titolo di viaggio è effettuato presso gli appositi varchi attraverso l'utilizzo di appositi palmari o gate automatizzati che raccolgono – tramite lettura del codice – i dati personali dei passeggeri in procinto di imbarcarsi (quali a titolo esemplificativo, nome, cognome, vettore, data e orario volo, classe biglietto) presenti nella carta di imbarco nonché il dato di passaggio (data e orario). Questi dati sono registrati in un’apposita banca dati del Titolare;
  2. in aggiunta a quanto detto al precedente punto a), in caso di utilizzo da parte dell’utente del servizio di cd. “fast track”, i dati di passaggio sono registrati per finalità amministrative e di fatturazione, anche ai fini di fatturare il costo del passaggio alla compagnia aerea di riferimento del passeggero ove applicabile/previsto;
  3. l'accesso nelle aree di imbarco (aree sterili o Airside) da parte dei passeggeri è soggetto a controlli di sicurezza presso gli appositi varchi – presidiati da personale della società ADR Security e/o di Società che agiscono per conto della stessa – e dotati di metal detector e altre apparecchiature di sicurezza;
  4. nell'ambito dei controlli di sicurezza – effettuati da ADR Security in qualità di Responsabile del trattamento e/o  di Società che agiscono per conto della stessa – possono essere trattate ulteriori informazioni personali riferite al passeggero a seguito di ispezione manuale necessaria ai fine di garantire la sicurezza per l’accesso alle aree c.d. sterili anche attraverso il metal detector, il sistema denominato "Body Scanner" (laddove utilizzato), le macchine RX per il controllo bagagli a mano e da stiva. I bagagli vengono sottoposti a controllo radiogeno secondo quanto previsto dalla normativa di settore. In caso di anomalie vengono allertate – secondo quanto previsto dalla legge – le Autorità competenti/forze di Polizia per le procedure di competenza alla presenza del passeggero. Per il controllo delle immagini dei bagagli possono essere impiegate, sulle macchine in uso, soluzioni APIDS (Automatic Prohibited Items Detection System) volte a fornire supporto agli agenti di sicurezza, tramite algoritmi di intelligenza artificiale, nell’identificazione di articoli proibiti;
     

  5. ai sensi dei Regolamenti di Scalo di Fiumicino e Ciampino, ADR, in qualità di gestore aeroportuale riceve dai vettori operanti presso gli scali apposita messagistica sui bagagli da stiva in fase di partenza, transito e riconsegna anche in virtù di quanto previsto dalla risoluzione IATA 753 che prevede l'implementazione di meccanismi di tracking per tutti i bagagli. I sistemi presenti presso lo scalo di Fiumicino consentono ad ADR, nell'ambito dei processi di imbarco, smistamento, riconcilio e riconsegna ai passeggeri dei bagagli, di entrare in contatto con le informazioni sottese all'etichetta del bagaglio generata dalla compagnia di riferimento/handler in fase di imbarco presso l'aeroporto di partenza, quali: nome, cognome, volo, data del volo, destinazione, numero dello scontrino. I bagagli sono registrati nel sistema internazionale word trace. Questo consente, in caso di eventuali richieste di ricerca da parte del passeggero, di ricondurre i bagagli senza etichetta al medesimo passeggero.
Per lo scalo di Fiumicino, ADR rende disponibile sui sistemi di scalo, limitatamente all'arco temporale dell'imbarco del volo, la consultazione del dato di passaggio ai varchi di sicurezza (i.e. orario) dei passeggeri di un determinato volo all’Handler del medesimo volo, al fine di garantire l'ottimale gestione dei flussi in Airside e ottimizzare le operazioni di boarding. Gli Handler si configurano quali responsabili del trattamento e sono nominati da ADR ai sensi e per gli effetti dell’art. 28, GDPR. Per i voli di competenza, hanno accesso alla medesima informazione – quali autonomi titolari del trattamento – i vettori che operano in autoproduzione. 
 
  1. TEMPI DI CONSERVAZIONE DEI DATI
I dati personali vengono conservati solo per il tempo necessario alle finalità per le quali vengono raccolti nel rispetto del principio di minimizzazione ex art. 5.1, lett. c GDPR. Per un dettaglio si veda la seguente tabella.
Tipologia dati Tempo di conservazione
Dati presenti sulla carta di imbarco rilevati al varco di sicurezza 48 ore dal passaggio dal varco
Dati relativi all’utilizzo da parte dell’utente del servizio di cd. “fast track” 4 mesi dal passaggio dal varco
Dati di passaggio dai varchi di sicurezza 48 ore dal passaggio dal varco
Dati rilevati da metal detector o body scanner Non sono conservati
Dati rilevati nel corso di ispezioni manuali Non sono conservati
Dati rilevati nell’ambito dei controlli di bagagli a mano e da stiva Le immagini raccolte tramite le macchine RX per il controllo dei bagagli a mano e da stiva non sono riconducibili ai passeggeri (e non consentono ad ADR di identificare e/o rendere identificato un soggetto persona fisica) e sono conservate per il solo tempo di archiviazione impostato sui sistemi/macchinari in uso.
In caso di anomalie e avvio di procedure di sicurezza con il coinvolgimento delle autorità competenti viene tenuta traccia dell’avvenuto controllo per i successivi 6 mesi.
I dati personali contenuti nella messagistica sui bagagli da stiva vengono conservati per un anno dalla data di ricezione anche al fine di consentire eventuali ricerche in caso di smarrimento bagaglio.

In caso di incidenti, interventi per ripristinare la sicurezza, accertamenti, ispezioni e/o richieste di Pubbliche Autorità/Forze di polizia e/o di avvio di procedimenti giudiziari, i dati potranno esser conservati, nei limiti sanciti dalla legge, per un periodo di tempo maggiore rispetto a quello indicato.

  1. DESTINATARI DEI DATI
All’interno di ADR S.p.A. possono venire a conoscenza dei dati personali da lei forniti esclusivamente i soggetti incaricati del trattamento dal Titolare e autorizzati a compiere le operazioni di trattamento sulle attività suddette.
Per il perseguimento delle finalità sopra indicate i dati personali possono essere trattati dalle seguenti categorie di destinatari:
  • Società di cui ADR si avvale per lo svolgimento dei controlli di sicurezza ivi compresa ADR Security appositamente nominata responsabile del trattamento ai sensi dell’art. 28, GDPR e le eventuali società esterne della quale la stessa si avvale che operano in qualità di sub-responsabili del trattamento ai sensi dell’art. 28, GDPR;
  • Fornitori di servizi informatici, fornitori che assicurano servizi di gestione e manutenzione di server e database, produttori e fornitori di servizi di manutenzione di macchine, tecnologie e sistemi impiegati nell’ambito dei controlli di sicurezza che possono operare a vario titolo quali responsabili/sub-responsabili del trattamento ai sensi dell’art. 28, GDPR ovvero quale autonomi titolari del trattamento dei dati;
  • Soggetti terzi, quali gli operatori che gestiscono le operazioni di imbarco del passeggero (compagnie aeree autonome titolari del trattamento e handler responsabili del trattamento) – già in possesso dei dati contenuti all’interno del titolo di viaggio/carta di imbarco – ai quali vengono messe a disposizione le informazioni relative al passaggio presso i varchi di sicurezza come descritto in precedenza;
  • Pubbliche Autorità/Forze di Polizia autonomi titolari del trattamento che agiscono in virtù della normativa applicabile. 

In ogni caso i suoi dati personali non saranno oggetto di diffusione.
 
  1. TRASFERIMENTI DEI DATI PERSONALI
La gestione e la conservazione dei dati personali avvengono su server del Titolare e/o di società terze nominate quali Responsabili del trattamento. I server sui quali sono archiviati i dati personali sono ubicati in Italia e all’interno dell’Unione Europea. I dati personali non saranno oggetto di diffusione e/o comunicazione verso soggetti terzi localizzati al di fuori dello Spazio Economico Europeo.
Resta in ogni caso inteso che il Titolare, ove si rendesse necessario, avrà facoltà di spostare l’ubicazione degli archivi e dei server in Italia e/o nell’Unione Europea e/o in Paesi extra-UE. In tal caso, il Titolare assicura sin d’ora che il trasferimento dei dati extra-UE avverrà in conformità a quanto previsto dal Capo V del GDPR e dai provvedimenti adottati in materia dalle Autorità competenti.
 
  1. DIRITTI DEGLI INTERESSATI E LORO ESERCIZIO
La informiamo, infine, che gli artt. 15-22 GDPR conferiscono agli interessati la possibilità di esercitare specifici diritti al ricorrere di determinati presupposti; l’interessato può ottenere dal Titolare del trattamento: l’accesso, la rettifica, la cancellazione, la limitazione del trattamento, nonché la portabilità dei dati che lo riguardano.
L’interessato ha inoltre diritto di opposizione al trattamento. Nel caso in cui venga esercitato il diritto di opposizione il Titolare si riserva la possibilità di non dare seguito all’istanza, e quindi di proseguire il trattamento, nel caso in cui sussistano motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, diritti e libertà dell’interessato.
I diritti di cui sopra potranno essere esercitati con richiesta rivolta senza formalità al Data Protection Officer della società al seguente indirizzo dpo@adr.it
 I dati di contatto del Data Protection Officer sono disponibili su www.adr.it.
Resta fermo il diritto dell’interessato di proporre reclamo all’Autorità Garante ai sensi dell’art. 77, GDPR.
 
  1. MODIFICHE E AGGIORNAMENTO
Il Titolare si riserva il diritto di modificare e aggiornare nel tempo la presente informativa.

Ultimo aggiornamento Gennaio 2024

 
[1] I dati personali intesi ai sensi del GDPR come: “qualsiasi informazione riguardante una persona fisica identificata o identificabile; si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”(i “Dati”).

Il GDPR definisce categorie particolari di dati personali quelli idonei a rivelare “l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, [..] dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”.