g-docweb-display Portlet

Divieto di trattamento dei dati biometrici dei dipendenti per finalità di rilevazione della presenza sul posto di lavoro - 20 ottobre 2011 [1851657]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 1851657]

Divieto di trattamento dei dati biometrici dei dipendenti per finalità di rilevazione della presenza sul posto di lavoro - 20 ottobre 2011

Registro dei provvedimenti
n. 393 del 20 ottobre 2011

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

IN DATA ODIERNA, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale;

VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali);
VISTO il punto 4 delle "Linee guida in materia di trattamento di dati personali dei lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati" adottate dal Garante con deliberazione n. 53 del 23 novembre 2006 (pubblicate sulla G.U. 7 dicembre 2006, n. 285), che prescrive ai titolari del trattamento l´adozione di specifiche misure e accorgimenti per il trattamento di dati biometrici dei lavoratori;

VISTA la nota del Ministero del Lavoro, della Salute e delle Politiche Sociali-Direzione Provinciale del Lavoro di Vercelli  del 7 settembre 2010;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Giuseppe Fortunato;

PREMESSO

1. La nota del Ministero e il riscontro della società.
In occasione di un accertamento ispettivo espletato il 15 luglio 2010 presso la ditta Axa s.c. (società operante nel campo dell´edilizia per conto terzi), il Ministero del Lavoro, della Salute e delle Politiche Sociali-Direzione Provinciale del Lavoro di Vercelli ha rinvenuto la presenza di "un sistema di rilevamento delle presenze tramite uso delle impronte digitali dei lavoratori dipendenti" presso "l´unità operativa [sita in Arborio] della [medesima] ditta", "con memorizzazione [dei dati] su badges [posti] nella loro esclusiva disponibilità". Ciò premesso, la Direzione Provinciale del Lavoro ha reputato di dover interessare del fatto questa Autorità, ritenendo che la suddetta unità operativa non fosse "classificabile quale "area sensibile"" secondo quanto previsto dalle Linee guida adottate dal Garante il 23 novembre 2006, e tenuto conto del fatto che non risultava essere stato avviato il necessario procedimento di verifica preliminare ai sensi dell´art. 17 del Codice.

A seguito della richiesta di chiarimenti formulata dall´ufficio, la società ha fornito riscontro con nota del 29 ottobre 2010, illustrando sinteticamente le caratteristiche del sistema installato e le ragioni poste a fondamento della scelta di ricorrere al trattamento di dati biometrici dei lavoratori. Secondo le dichiarazioni rese e la documentazione prodotta (rilevante anche ai sensi dell´art. 168 del Codice), il sistema installato opererebbe in tre fasi:

– lettura badge: "fase in cui il lavoratore avvicina il suo badge (ad uso esclusivamente personale in quanto dotato ai sensi del D.Lgs. 136/2010 [rectius: L. n. 136/2010] di foto-tessera e dati anagrafici) all´apposita area di lettura, per permettere la lettura dell´impronta memorizzata";

– lettura impronta digitale: "fase in cui il lavoratore utilizza il sensore del terminale per la lettura dell´impronta digitale";

– riconoscimento, abilitazione e registrazione: "fase in cui il terminale confronta l´impronta digitale letta dal lettore badge con quella letta dal sensore del terminale", con conseguente autorizzazione all´accesso in caso di confronto "positivo".

La società ritiene che il sistema, in ragione delle predette modalità di configurazione e funzionamento, non sarebbe concretamente idoneo a trattare dati personali dei dipendenti, in quanto si limiterebbe ad estrarre "alcuni punti salienti dell´impronta […] e [a] registra[rli] esclusivamente all´interno della tessera" posta nella disponibilità degli interessati, con immediata cancellazione dei dati successivamente alla fase di enrollment. In ogni caso, la società ha dichiarato di aver comunque consegnato agli interessati un´apposita "informativa" riferita all´utilizzo del badge (contenente i dati biometrici sotto forma di template), sottoscritta "per ricevuta" dagli interessati e descrittiva, sia pure sinteticamente, delle principali modalità di utilizzo del tesserino affidato in dotazione ai dipendenti.

Secondo quanto riferito, "l´accesso alla tessera [sarebbe] protetto da password", con la conseguenza che in "caso di smarrimento della stessa da parte del lavoratore non [sarebbe possibile] estrapolare i dati in essa contenuti". Inoltre, non esisterebbe alcun database centralizzato con le impronte digitali dei dipendenti, stante la loro riferita registrazione, limitatamente ad "alcuni punti salienti", esclusivamente all´interno delle tessere rilasciate al personale.

Il sistema risulterebbe installato "in tutti i magazzini della […] cooperativa […] al fine di garantire un costante monitoraggio degli effettivi lavoratori presenti in cantiere"; ciò, nell´ottica di prevenire episodi di "interscambiabilità di badge, con conseguente rischio di "manipolazione degli orari di lavoro"", oltre che per accertare rigorosamente, anche ai fini dell´applicazione della disciplina in materia di sicurezza sul lavoro (e segnatamente, degli obblighi di cooperazione e coordinamento previsti dall´art. 26 del d.lg. n. 81/2008 in capo ai datori di lavoro coinvolti nell´esecuzione del contratto di appalto o subappalto), che "chi sta lavorando sia effettivamente colui che è stato assunto e denunciato agli istituti a copertura assicurativa inps-inail". A detta della società, quindi, il ricorso al trattamento dei dati biometrici dei dipendenti troverebbe giustificazione nella ritenuta inidoneità degli strumenti alternativi disponibili (cartellini, fogli firma, badge, ecc.) ad ovviare alle pratiche abusive verificatesi in passato (scambio dei badge; falsificazione delle firme; ecc.); inoltre, poiché nel magazzino e nei locali sarebbero "conservati e custoditi notevoli volumi di merci, aventi un valore economico comprensibilmente molto rilevante", questi ultimi sarebbero da qualificarsi come "aree sensibili" in aderenza alle richiamate Linee guida, con conseguente necessità per la società "di conoscere esattamente i soggetti [ivi] presenti" onde garantire "livelli di sicurezza particolarmente elevati" a vantaggio anche della committenza. Per tali ragioni, il sistema installato sarebbe in linea con i princìpi di "necessità, finalità, liceità e proporzionalità" di cui agli artt. 3 e 11 del Codice.

La società, che si è impegnata ad adempiere all´obbligo di notificazione del trattamento all´esito delle valutazioni dell´Autorità circa l´effettiva ravvisabilità di un trattamento di dati biometrici, si è dichiarata intenzionata anche a designare un responsabile del trattamento in applicazione dell´art. 29 del Codice.

A sostegno delle proprie osservazioni, la società ha prodotto specifica documentazione, e precisamente: le caratteristiche tecniche del sistema utilizzato, unitamente alla relativa attestazione rilasciata dal rivenditore; la copia dell´informativa rilasciata ai dipendenti, che reca alcune informazioni relative alla consegna del badge e al funzionamento del sistema.

2. Le osservazioni dell´Autorità.
L´utilizzo del sistema in esame, alla luce delle modalità di configurazione e utilizzo indicate dalla società, determina in concreto un trattamento di dati biometrici nel contesto del rapporto di lavoro nella misura in cui la stessa società, nella fase di  enrollment, acquisisce le informazioni ritraibili dall´impronta dei dipendenti –memorizzandole sul badge affidato nella esclusiva disponibilità di questi ultimi– per utilizzarle successivamente in procedure di autenticazione o identificazione. Come più volte ribadito dall´Autorità, infatti, le impronte digitali e le informazioni da esse ricavate e utilizzate per operazioni di verifica e raffronto nelle menzionate procedure di autenticazione o identificazione, in quanto riconducibili alla nozione di "dato personale" di cui all´art. 4, comma 1, lett. b), del Codice, sono soggette alla disciplina del medesimo Codice (sul punto cfr., tra i tanti, Provv. 19 novembre 1999, doc. web n. 42058 e 21 luglio 2005, doc. web n. 1150679; Provv. 26 maggio 2011, doc. web n. 1832558; in merito v. pure il documento di lavoro sulla biometria del Gruppo art. 29, direttiva n. 95/46/Ce -wp80-, punto 3.1).

Ciò premesso, ai fini di una complessiva valutazione della liceità del trattamento svolto da Axa s.c., occorre tener presente quanto segue.

Questa Autorità, in più occasioni, ha avuto modo di indicare le condizioni alle quali il trattamento dei dati biometrici dei lavoratori può ritenersi lecito, precisando che tali dati possono essere utilizzati solo in casi particolari, tenuto conto delle finalità perseguite dal titolare e del contesto in cui il trattamento viene effettuato, nonché –con specifico riguardo ai luoghi di lavoro– per presidiare l´accesso ad "aree sensibili" in considerazione della natura delle attività ivi svolte (cfr. le citate Linee guida, punto 4.2.; cfr., tra gli altri, anche Provv. 21 luglio 2005, doc. web n. 1150679; Provv. 23 novembre 2005, doc. web n. 1202254; Provv. 15 giugno 2006, docc. web nn. 1306098130652313065301306551; Provv. 26 luglio 2006, doc. web n. 131858; Provv. 2 ottobre 2008, doc. web n. 1571502; Provv. 15 ottobre 2009, doc. web n. 1664257; Provv. 10 marzo 2011, doc. web n. 1807683). Tali presupposti, però, allo stato non risultano ricorrere nel caso di specie, tenuto conto che, così come già ritenuto dalla Direzione provinciale del lavoro segnalante, non è stato possibile appurare che presso i locali in questione vengano espletate attività tali da consentirne la riconduzione al novero delle "aree sensibili" richiamate dalle suddette Linee guida; sul punto, peraltro, la società non ha apportato elementi probatori neanche nel corso del procedimento, essendosi limitata a rendere affermazioni assai generiche sul volume e sul valore delle merci ivi custodite (peraltro neanche specificate), non suffragate da alcuna adeguata documentazione.

Inoltre, occorre sottolineare che il predetto trattamento di dati biometrici, allo stato, non risulta giustificato neanche in ragione dell´ulteriore esigenza prospettata dalla società, costituita dalla necessità di individuare esattamente i lavoratori così come previsto dalla disciplina in materia di sicurezza del lavoro (con particolare riferimento agli obblighi di cui all´art. 26 del d.lg. n. 81/2008), atteso che tale accertamento, attualmente, sembra essere già sufficientemente garantito dall´obbligo di dotare il personale occupato dall´impresa appaltatrice o subappaltatrice "di apposita tessera di riconoscimento" (la cui esposizione da parte dei dipendenti, tra l´altro, è obbligatoria: cfr. art. 20, comma 3 del menzionato decreto legislativo); tale tessera, infatti, oltre a contenere le generalità del lavoratore, deve essere corredata della relativa "fotografia" (al riguardo, cfr. anche l´art. 5 della legge n. 136/2010 in tema di identificazione degli addetti ai cantieri), elementi, questi, evidentemente già ritenuti sufficienti dal legislatore ai fini della corretta identificazione del personale.

È opportuno ancora evidenziare che la società, in relazione all´ulteriore esigenza di prevenire e contenere il rischio di pratiche abusive da parte dei dipendenti, si è limitata ad asserire l´inefficacia delle misure di rilevazione delle presenze alternativamente prospettate ("cartellini, fogli firma e badge"), senza addurre circostanziati elementi, strettamente rapportati alla specifica realtà produttiva, da cui si possa effettivamente arguire l´inutilità di dette misure (e, correlativamente, la reale indispensabilità del trattamento dei dati biometrici dei lavoratori per la finalità suindicata); infatti, se è vero che il datore di lavoro ha la facoltà di sovrintendere all´esecuzione della prestazione lavorativa (art. 2094 cod. civ.), verificando le presenze dei dipendenti e il rispetto dell´orario di lavoro, nel caso di specie, tuttavia, non risulta provata la concreta inefficacia di misure che, senza dover ricorrere al trattamento dei dati biometrici dei lavoratori, possano comunque contenere (nel rispetto, tra l´altro, dell´art. 3 del Codice) il rischio di pratiche abusive da parte dei lavoratori (ad esempio, l´adozione di un servizio di vigilanza).

Sotto altro profilo, vale poi rilevare che la società, nonostante l´esplicita richiesta in tal senso formulata dall´ufficio (cfr. nota in atti), non ha dimostrato di aver acquisito il libero consenso espresso dei dipendenti in ordine a tale peculiare trattamento (art. 23 del Codice), né ha addotto elementi tali da giustificarne il relativo esonero (art. 24 del Codice); ciò riverbera i propri effetti –negativi– anche sul piano della liceità e correttezza del trattamento svolto (art. 11, comma 1, lett. a) del Codice), non essendo stata prospettata, al riguardo, nemmeno l´esistenza di possibili modalità alternative di accesso per coloro che si fossero eventualmente opposti.

Infine, è da rilevare che la società, sulla base della documentazione prodotta, non risulta aver neanche rilasciato un´idonea informativa preventiva ai dipendenti relativamente al trattamento dei loro dati biometrici (art. 13 del Codice), essendosi limitata a fornire agli interessati indicazioni concernenti la consegna e l´utilizzo del badge e del sistema, senza tuttavia renderli adeguatamente edotti (nemmeno in forma sintetica) di tutti gli elementi previsti dal citato art. 13; considerato che, dagli elementi acquisiti, non risulta poi che questi ultimi siano stati comunque altrimenti informati (neppure in forma orale) in termini conformi al menzionato art. 13 del Codice, deve conclusivamente ritenersi che, nel caso di specie, sia stato violato anche il principio di finalità, che impone di trattare i dati, tra l´altro, per scopi "espliciti" (art. 11, comma 1, lett. b), del Codice).

Alla luce di quanto precede, questa Autorità, nel riservarsi ogni verifica in vista dell´eventuale contestazione delle violazioni amministrative di cui agli artt. 161 e 163 del Codice, ritiene che il trattamento dei dati biometrici dei dipendenti svolto da Axa Servizi s.c. per le finalità sopra indicate sia non solo non necessario, ma anche sproporzionato rispetto agli scopi perseguiti e, comunque, contrario ai princìpi di liceità, correttezza e finalità; conseguentemente, ai sensi degli artt. 143, comma 1, lett. c), 144 e 154, comma 1, lett. d) del Codice, ritiene di dover disporre nei confronti della stessa Axa s.c. il divieto dell´ulteriore trattamento dei dati biometrici dei dipendenti per finalità di rilevazione della loro presenza sul posto di lavoro, perché posto in essere in violazione degli artt. 3 e 11, comma 1, lett. a), b) e d) del Codice.

Resta ovviamente impregiudicata la facoltà per la società, ai sensi dell´art. 17 del Codice, di presentare un apposito interpello al Garante (fondato su presupposti diversi da quelli già indicati –e disattesi– con il presente provvedimento) in relazione a fattispecie particolari o a situazioni eccezionali non considerate nell´ambito delle menzionate Linee guida (punto 4.4).

TUTTO CIÒ PREMESSO IL GARANTE

accertata l´illiceità del trattamento, ai sensi degli artt. 143, comma 1, lett. c), 144 e 154, comma 1, lett. d) del Codice, dispone nei confronti di Axa s.c. il divieto dell´ulteriore trattamento dei dati biometrici dei dipendenti per finalità di rilevazione della loro presenza sul posto di lavoro, perché in violazione degli artt. 3 e 11, comma 1, lett. a), b) e d) del Codice.

Avverso il presente provvedimento, ai sensi dell´art. 152 del Codice, può essere proposta opposizione davanti al tribunale ordinario del luogo ove ha sede il titolare del trattamento entro il termine di trenta giorni dalla notificazione del provvedimento medesimo.

Roma, 20 ottobre 2011

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
De Paoli