g-docweb-display Portlet

Sistema di rilevazione di dati biometrici dei lavoratori basato sulla lettura della geometria della mano - 10 gennaio 2013 [2354574]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 2354574]

Sistema di rilevazione di dati biometrici dei lavoratori basato sulla lettura della geometria della mano - 10 gennaio 2013

Registro dei provvedimenti
n. 4 del 10 gennaio 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali);

VISTO il punto 4 delle "Linee guida in materia di trattamento di dati personali dei lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati" adottate dal Garante con deliberazione n. 53 del 23 novembre 2006 (pubblicate sulla G.U. 7 dicembre 2006, n. 285), che prescrive ai titolari del trattamento l´adozione di specifiche misure e accorgimenti per il trattamento di dati biometrici dei lavoratori;

VISTA la segnalazione presentata da alcuni dipendenti di Asia Napoli S.p.A., relativa all´avvenuta installazione di un sistema biometrico presso detta società;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

PREMESSO

1. L´istanza formulata dai dipendenti della società.

Alcuni dipendenti di Asia Napoli S.p.A. (società esercente attività e servizi di igiene ambientale nella provincia di Napoli) hanno prospettato la possibile violazione della disciplina in materia di protezione dei dati personali in relazione all´avvenuta installazione, presso detta società, di un "sistema di identificazione dei lavoratori [a] tecnologia biometrica".

Secondo quanto affermato dagli istanti, la società non avrebbe reso ai lavoratori interessati alcuna informativa preventiva circa il trattamento dei loro dati personali connesso all´utilizzo di detto sistema –composto da apparecchiature ubicate lungo i "varchi di accesso di ogni singola struttura aziendale" e "adibite alla verifica, mediante l´apposizione della mano del lavoratore sull´apposito alloggio"–, né avrebbe provveduto ad acquisirne il relativo consenso; inoltre, tale peculiare trattamento risulterebbe, a detta dei segnalanti, anche "sproporzionato", in ragione del fatto che il sistema biometrico utilizzato dalla società non sarebbe posto a presidio di aree "sensibili". Alla luce di tali considerazioni, i segnalanti hanno chiesto la rimozione delle apparecchiature biometriche installate dalla società, perché ritenute illegittime.

2. Il primo riscontro della  società.

2.1. A seguito della richiesta di chiarimenti inviata dall´ufficio, la società ha fatto pervenire le proprie osservazioni in merito al sistema installato, evidenziando di essere costretta ad operare in "un contesto socio-economico ad elevato rischio di criminalità organizzata, con […] alta possibilità di infiltrazioni camorristiche"; tale circostanza renderebbe quindi necessario l´utilizzo di "sicuri criteri di identificazione [dei dipendenti] all´interno delle strutture di [relativa] pertinenza".

Al fine di soddisfare tale esigenza, la società ha ritenuto di dover ricorrere, sin dall´anno 2000, a un sistema di rilevazione di dati biometrici dei lavoratori basato sulla "lettura della «geometria della mano»", dichiaratamente meno "invasivo rispetto al rilevamento delle impronte digitali" e "facilmente utilizzabile per la rilevazione della presenza" dei dipendenti. Tale sistema –che, secondo le modalità di funzionamento descritte, risulterebbe preordinato all´acquisizione, in fase di registrazione, di "96 informazioni macrogeometriche della mano", successivamente "digitalizzate, elaborate e compresse" in un codice numerico (template) attraverso "un algoritmo irreversibile", memorizzato sul database centrale e sul singolo terminale biometrico– sarebbe funzionalmente idoneo a verificare, previa digitazione da parte dei dipendenti di un codice identificativo associato al relativo template, l´effettiva corrispondenza della conformazione della loro mano al modello matematico precedentemente acquisito e presente sul singolo terminale biometrico abilitato all´accesso; quest´ultimo, dialogando "con un server [centrale] sul quale sono memorizzate le informazioni anagrafiche ed il codice immesso" dagli utenti, consentirebbe l´accesso solo nel caso in cui venga "riconosciuta, dal confronto del dato biometrico, l´identità del lavoratore". Sul medesimo server verrebbe inoltre memorizzata "ogni operazione (movimento) di ingresso/uscita andato a buon fine o fallito, [nonché] il riferimento temporale (data/ora)".

La società, nel ribadire che l´"archiviazione dei template di riferimento [risiede] su un database centrale", ha poi precisato che sui singoli terminali biometrici vengono memorizzati i soli template dei "lavoratori autorizzati ad accedere da quella postazione di rilevazione". Peraltro, rispetto a tale specifico aspetto, la società si è dichiarata disponibile ad apportare eventuali modifiche, "garantendo in futuro la memorizzazione solo su una tessera di prossimità a disposizione del lavoratore".

2.2. L´implementazione del sistema sarebbe giustificata, a detta della società, dalla necessità di comunicare a una molteplicità di soggetti ("Procura della Repubblica"; "Tribunale"; "Polizia di Stato"), dietro loro richiesta, informazioni certe e veritiere circa l´"effettiva presenza in servizio dei dipendenti [che fruiscono di misure alternative alla detenzione], [l´]orario di ingresso e uscita dal lavoro, [i] luoghi a cui sono destinati o […] in cui hanno timbrato"; informazioni rispetto alle quali la società sarebbe gravata da "pesanti responsabilità" sul piano dell´attendibilità.

Inoltre, il ricorso al trattamento dei dati della geometria della mano sarebbe giustificato dall´esigenza -specie in un contesto ambientale ad elevato rischio di infiltrazioni camorristiche- di evitare atti intimidatori e ritorsivi nei confronti dei lavoratori che non intendessero prestarsi ad eventuali pratiche fraudolente (scambio di badge; timbrature per conto terzi; rivelazione di codici; ecc.) nell´utilizzo dei pur considerati strumenti alternativi di accesso.

Ai fini della complessiva valutazione del sistema (e del correlato trattamento di dati personali), la società ha poi dichiarato di aver tenuto in adeguata considerazione:

– il proprio regolamento interno, che permette di assumere "personale con carichi pendenti con condanna fino a tre anni";

– "l´elevata percentuale di […] persone con carichi pendenti" (circa 500 unità su un totale di 2200 addetti ai lavori);

– le garanzie "di presenza sul territorio per far fronte alla notoria emergenza rifiuti", che contraddistingue la provincia di Napoli.

2.3. Nel merito della segnalazione, poi, la società ha dichiarato che "tutti i lavoratori sin dalla prima installazione del sistema di rilevazione biometrico sono stati informati circa la finalità e le modalità di utilizzo" dello stesso attraverso apposite circolari e che i sindacati presenti in azienda "si sono tra l´altro dichiarati favorevoli all´installazione di tali apparecchiature"; pertanto, pur ritenendo di non dover acquisire il consenso espresso degli interessati, la società si è comunque resa disponibile a predisporre un´informativa specifica per il trattamento dei dati della geometria della mano dei dipendenti.

A salvaguardia dei dati degli interessati, la società ha poi dichiarato di aver adottato alcune misure atte a minimizzare i rischi di accesso non autorizzato, tra cui:

– le misure minime di sicurezza di cui all´allegato "B" del Codice per quanto concerne i sistemi ("client e server");

– un "personal firewall per filtrare le connessioni in ingresso, accettando solo quelle provenienti da indirizzi di rete preventivamente codificati";

– l´accesso selezionato ai locali che ospitano il server dialogante con i terminali biometrici.

Ad ulteriore tutela dei dati dei lavoratori, la società ha comunque dichiarato di voler implementare misure di sicurezza aggiuntive, prevedendo anche "un sistema di strong authentication per l´accesso al sistema e ai dati ivi residenti" per gli incaricati preposti al loro trattamento (ufficio personale e c.e.d.).

3. Le ulteriori comunicazioni della società.

3.1. A seguito di una nuova richiesta di informazioni dell´ufficio, la società ha ribadito di aver adottato il sistema in esame per poter fornire notizie certe alle preposte autorità circa "la presenza effettiva del dipendente [in regime alternativo alla detenzione] sul posto di lavoro" e, al contempo, di preservare da atti intimidatori o ritorsivi il personale che non intenda prestarsi a pratiche fraudolente nell´utilizzo degli strumenti alternativi di accesso (in un contesto caratterizzato, tra l´altro, da notori problemi sul fronte dello smaltimento e della rimozione dei rifiuti).

Quindi, nel confermare quanto già evidenziato in ordine alle finalità del trattamento e nel sottolineare la ritenuta inefficacia delle misure alternative prese in considerazione (perché reputate, ai predetti fini, non altrettanto valide sul piano della rigorosa identificazione degli interessati), la società ha poi paventato il rischio di incorrere in possibili responsabilità penali in caso di comunicazione di notizie false o inesatte all´autorità giudiziaria (in particolare, per procurata evasione colposa del custode, ai sensi dell´art. 387 c.p.).

La società ha inoltre riaffermato di voler apportare modifiche alle modalità di funzionamento del sistema (con specifico riferimento alla memorizzazione dei template su tessere poste nella esclusiva disponibilità dei lavoratori), predisponendo altresì un´informativa specifica (acquisita agli atti) da rendere agli interessati.

Non sarebbero in ogni caso previste, considerate anche le finalità perseguite, "modalità alternative di accesso" alle sedi della società.

3.2. Con successiva ulteriore comunicazione, la società –modificando l´originaria impostazione (cfr. punto 2.1)– ha chiesto di poter trattare i dati della geometria della mano di tutti i lavoratori in assenza del loro consenso espresso, formulando, a tal fine, un´apposita istanza di bilanciamento di interessi (art. 24, comma 1, lett. g) del Codice).

Più specificamente, secondo la società, i presupposti per procedere al richiesto bilanciamento andrebbero rinvenuti nelle garanzie generalmente offerte a tutti i lavoratori dall´accordo sindacale già dichiaratamente stipulato ai sensi dell´art. 4, comma 2, della legge n. 300/1970, suscettibile anche di eventuale rinegoziazione.

A riprova della legittimità del sistema prescelto, la società ha prodotto numerose sentenze di merito che, rigettando i ricorsi avanzati da alcuni dipendenti (uno dei quali autore della segnalazione), hanno ritenuto lecito il trattamento dei dati personali connesso all´utilizzo dello strumento in esame. Da tali sentenze, inoltre, risulta che il personale era stato informato relativamente alle finalità e alle modalità di utilizzo dello strumento biometrico e che la società, nei casi esaminati, aveva provveduto ad acquisire il consenso degli interessati; circostanza, quest´ultima, meglio precisata dalla stessa società in un´ultima nota, con la quale è stato chiarito che il consenso preso a riferimento, invero, risultava riconducibile a quello genericamente prestato dai lavoratori per il trattamento dei propri dati sensibili nell´ambito della gestione del rapporto di lavoro.

4. Le valutazioni dell´Autorità.

4.1. Al fine di valutare l´istanza di bilanciamento di interessi avanzata da Asia Napoli S.p.A. in base all´art. 24, comma 1, lett. g) del Codice, occorre muovere, più in generale, da una valutazione complessiva del trattamento dei dati biometrici svolto dalla società.

Al riguardo, questa Autorità ha già avuto modo di affermare che le caratteristiche geometriche della mano, a differenza delle impronte digitali (utilizzabili anche in altri contesti con effetti sugli interessati), non sono descrittive al punto tale da garantire l´identificazione univoca e certa di una persona, ma sono, comunque, sufficientemente descrittive per essere impiegate in circoscritti ambiti ai fini della verifica di identità (cfr. Provv. Garante 8 novembre 2007, doc. web n. 1461908). Inoltre, secondo il Gruppo per la tutela dei dati personali ex art. 29 della direttiva 95/46/Ce, "i sistemi biometrici fondati sulle caratteristiche fisiche che non lasciano tracce (ad esempio, la forma della mano, ma non le impronte digitali) […] comport[a]no un numero minore di rischi per la protezione dei diritti e delle libertà fondamentali degli individui" (cfr. "Documento di lavoro sulla biometria" del 1° agosto 2003, WP 80, p. 6; v. anche, in tema, la Cnipa –oggi Agenzia per l´Italia Digitale– I quaderni, anno I-novembre 2004, p. 25; nello stesso senso, Trib. Napoli 8 novembre 2010; 27 aprile 2011; 20 luglio 2011; 1° dicembre 2011).

Ciò premesso, con specifico riferimento al sistema in questione, si deve ritenere che il trattamento dei dati della geometria della mano ad esso connesso non sia in violazione del Codice, soprattutto alla luce delle finalità cui esso è preordinato, già vagliate positivamente dalla giurisprudenza di merito formatasi proprio in riferimento al caso in esame. Quest´ultima, infatti, ha riconosciuto la legittimità della condotta datoriale a fronte della documentata "necessità dell´azienda di prevedere un sistema di rilevamento che garantisca la certezza dell´identità del dipendente, al fine di ottemperare agli obblighi di informare l´autorità giudiziaria della effettiva presenza al lavoro di personale sottoposto a regimi alternativi alla detenzione e di non esporsi al rischio di incorrere nel reato di colpa del custode per procurata evasione di cui all´art. 387 c.p." (Trib. Napoli 1° dicembre 2011, cit.; 27 settembre 2011; 6 ottobre 2011; 20 luglio 2011, cit.; 13 maggio 2011; 27 aprile 2011, cit.; 21 aprile 2011; 8 novembre 2010, cit.; 7 luglio 2011; 20 luglio 2011); inoltre, è stato sottolineato che la "teorica compromissione del diritto alla riservatezza [sarebbe] in ogni caso ridimensionata alla luce delle esigenze di ordine pubblico e sicurezza sul luogo di lavoro sottese all´impiego del sistema biometrico" (Trib. Napoli 21 aprile 2011, cit.).

Infine, nei casi esaminati dal giudice ordinario, è risultato che la società aveva anche provveduto ad informare il personale in ordine alle modalità di utilizzo e alle finalità dello strumento biometrico (art. 13 del Codice).

A tutto ciò, poi, vanno ad aggiungersi le dichiarazioni rese dalla società (rispetto alle quali gli autori hanno assunto ogni responsabilità –anche penale– ai sensi dell´art. 168 del Codice) concernenti l´elevato numero di lavoratori che beneficia delle misure alternative alla detenzione (circa 500 su 2200 unità), il rischio della messa in atto di atti intimidatori nei confronti dei lavoratori "incensurati" (aggravati dal difficile contesto ambientale di riferimento, notoriamente soggetto a infiltrazioni camorristiche) e la notevole estensione del territorio della provincia di Napoli (tale da non consentire un agevole controllo sulla presenza e sull´osservanza dell´orario di lavoro da parte degli interessati, peraltro in un´area caratterizzata da manifeste problematiche sul fronte della rimozione e dello smaltimento dei rifiuti). Tali circostanze, appurate anche in occasione dei citati pronunciamenti giurisprudenziali, rendono il caso in esame assolutamente peculiare e inducono a valutare, in deroga al provvedimento generale del 23 novembre 2006, come necessario e proporzionato il trattamento dei dati della geometria della mano dei lavoratori (artt. 3 e 11, comma 1, lett. d) del Codice); ciò, anche in ragione dell´effettiva necessità di una continua reperibilità degli interessati (in tal senso, Cass. 5 marzo 2003, n. 18140) e delle finalità perseguite dal titolare –già riconosciute lecite dalla giurisprudenza innanzi richiamata– e rese note agli interessati (art. 11, comma 1, lett. b) del Codice).

Acclarato quanto sopra, si deve poi ritenere che sussistano i presupposti per poter dare attuazione, con il presente provvedimento (e con effetti decorrenti dalla data della pronunzia), al richiesto bilanciamento.

A tale riguardo, occorre tenere conto non solo del fatto che un eventuale diniego del consenso da parte dei lavoratori potrebbe concretamente vanificare le finalità perseguite dal titolare (e riconosciute lecite, come detto, dalla giurisprudenza), ma anche dall´obiettiva necessità di fornire, con riferimento ai dipendenti in regime alternativo alla detenzione, notizie certe alle preposte autorità (in vista, tra l´altro, dell´effettivo rispetto delle prescrizioni di cui alla legge n. 354/1975, recante "Norme sull´ordinamento penitenziario e sull´esecuzione delle misure privative e limitative della libertà", nonché del relativo regolamento attuativo di cui al d.P.R. n. 230/2000; v. anche Cass. 5 marzo 2003, cit.) per evitare di incorrere nel reato di cui all´art. 387 c.p. Inoltre, sul piano generale, occorre tenere conto dell´obbligo che l´art. 2087 c.c. pone in capo al datore di lavoro di adottare le misure necessarie a tutela dell´integrità fisica e della personalità morale dei lavoratori, nonché delle garanzie offerte a tutti i lavoratori dall´accordo sindacale dichiaratamente sottoscritto in conformità all´art. 4, comma 2, della legge n. 300/1970; tali circostanze, unitamente ai possibili benefici (in termini di maggiore efficacia nelle operazioni di rimozione e smaltimento dei rifiuti) derivanti alla collettività dall´effettiva rilevazione della presenza in servizio e dall´osservanza dell´orario di lavoro da parte dei dipendenti, inducono a ravvisare un´ipotesi in cui il trattamento di dati non sensibili degli interessati possa avvenire, nel rispetto delle finalità e degli accorgimenti che la società si è impegnata ad adottare (con particolare riferimento alla memorizzazione dei template su supporti posti nell´esclusiva disponibilità dei lavoratori in questione), senza il loro consenso per perseguire un legittimo interesse del titolare.

4.2. Al contrario, non può ritenersi conforme a legge il trattamento effettuato sino ad oggi dalla società dei dati della geometria della mano dei lavoratori in assenza del loro specifico consenso (artt. 11, comma 1, lett. a), e 23 del Codice; v. anche Provv. 20 ottobre 2011, doc. web n. 1851657; Provv. 10 giugno 2011, doc. web n. 1835792; Provv. 10 dicembre 2009, doc. web n. 1689698; Provv. 12 giugno 2009, doc. web n. 1635731; Provv. 15 febbraio 2008, doc. web n. 1497675; "Documento di lavoro sulla biometria" del Gruppo art. 29, direttiva n. 95/46/Ce -wp80-, punto 3.4) o in assenza di altro presupposto alternativo di liceità (art. 24 del Codice); della predetta non conformità, del resto, si è resa conto la stessa società, che ha presentato l´istanza di bilanciamento di interessi ai sensi dell´art. 24, comma 1, lett. g) del Codice solo in corso di procedimento.

TUTTO CIÒ PREMESSO, IL GARANTE:

a) ai sensi dell´art. 24, comma 1, lett. g) del Codice, dispone che Asia Napoli S.p.A., dalla data della pronunzia del presente provvedimento, possa trattare, senza il consenso degli interessati e per le sole finalità di cui in narrativa, i dati della geometria della mano dei lavoratori, a condizione che ciò avvenga nel rigoroso rispetto delle modalità indicate dalla società e degli accorgimenti che la stessa si è impegnata ad adottare, con particolare riferimento alla memorizzazione dei dati (template) su un supporto posto nell´esclusiva disponibilità dei dipendenti;

b) ai sensi degli artt. 11, comma 1, lett. a) e 23 del Codice, dichiara non conforme a legge il trattamento dei dati della geometria della mano dei lavoratori effettuato dalla società fino alla data di adozione del presente provvedimento, perché posto in essere in assenza di uno specifico consenso espresso da parte degli interessati, ovvero di altro valido presupposto di liceità del trattamento (art. 24 del Codice);

c) ai sensi dell´art. 154, comma 1, lett. c) del Codice, dispone che gli accorgimenti di cui alla precedente lett. a) siano adottati da Asia Napoli S.p.A. entro novanta giorni dalla data di ricezione del presente provvedimento, comunicando a questa Autorità, entro le successive 24 ore dall´adozione, l´avvenuto adempimento.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 10 gennaio 2013

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia