PARERE DEL 21 LUGLIO 2005

COMPITI DEL GARANTE - USO DELLE IMPRONTE DIGITALI PER I SISTEMI DI RILEVAMENTO DELLE PRESENZENEI LUOGHI DI LAVORO

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof.Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti,e del dott. Giovanni Buttarelli, segretario generale;

Esaminata la richiesta di verifica preliminarepresentata da Landini S.p.a. ai sensi dell'art. 17 del Codice in materia diprotezione dei dati personali (d.lg. 30 giugno 2003, n. 196), relativa altrattamento di dati personali biometrici al fine di verificare le presenze sulluogo di lavoro dei dipendenti;

Visti gli elementi acquisiti a seguito degliaccertamenti avviati ai sensi dell'art. 154, comma 1, lettera a), del Codice;

Viste le osservazioni formulate dal segretariogenerale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Mauro Paissan;

PREMESSO:

1. Trattamento di dati personali biometricinel rapporto di lavoro con finalità di verifica della presenza dei dipendenti

Landini S.p.a., industria di coperture infibrocemento e metalliche che occupa circa trecento dipendenti, ha presentato aquesta Autorità una richiesta di verifica preliminare ai sensi dell'art. 17 delCodice, relativa al trattamento di dati biometrici dei propri dipendentifinalizzato ad accertarne la presenza sul luogo di lavoro e commisurare, così,la retribuzione ordinaria e straordinaria da corrispondere.

Il funzionamento di questo sistema presupponeuna fase di raccolta di dati biometrici (c.d. enrollment) nella quale lasocietà, avvalendosi di apparecchiature elettroniche dotate di lettore diimpronte digitali e di apposito software, trasformerebbe l'immagine di unaporzione dell'impronta digitale dei lavoratori in un codice numerico,associandolo a ciascun lavoratore con la sua memorizzazione nel sistemainformativo aziendale (senza sottoporlo a cifratura o ad altre tecnicheequivalenti). Tale codice verrebbe utilizzato quale termine di paragone deicodici numerici ricavati dalla lettura delle (parti di) impronte digitali deilavoratori, rilevate, in occasione di ciascun ingresso e uscita dal luogo di lavoro,attraverso lettori dislocati in diverse aree dell'azienda e connessi alrelativo sistema informativo.

Il trattamento dei dati biometrici nonperseguirebbe altra finalità che quella ora descritta. Stando alledichiarazioni rese dalla società titolare del trattamento (e dal produttore delsistema), una volta terminata la fase di enrollment, non vi sarebbeulteriore memorizzazione dell'impronta digitale. Ad avviso della società, nonsarebbe possibile, inoltre, risalire all'impronta stessa a partire dal codicenumerico generato.

Il trattamento di dati biometrici vienegiustificato dall'esigenza di prevenire alcune condotte, anche abusive, daparte di alcuni dipendenti (consistenti nello scambio dei badge) e lo smarrimento delletessere magnetiche attualmente in uso; viene quindi ritenuto che il trattamentodei dati biometrici consentirebbe di ovviare a tali inconvenienti, assicurandoun grado elevato di certezza nell'identificazione dei lavoratori.

Stando alle dichiarazioni rese, verrebbecomunque assicurato ai lavoratori che siano impossibilitati a partecipare all'enrollment (in ragione delleproprie caratteristiche fisiche) o che non intendano acconsentire altrattamento, di attestare la propria presenza sul luogo di lavoro mediantel'apposizione della propria sottoscrizione in un registro delle presenzeubicato presso l'ufficio del personale con riconoscimento "a vista"o, ancora, ricorrendo ad altri "sistemi convenzionali".

2. Trattamento di dati biometrici eapplicabilità della disciplina di protezione dei dati personali

Il caso sottoposto alla verifica preliminare diquesta Autorità integra un'ipotesi di trattamento di dati personali.

I dati biometrici che verrebbero rilevati nelcaso di specie (porzione dell'impronta digitale) sono informazioni ricavatedalle caratteristiche fisiche di interessati che si vorrebbero identificare inmodo univoco, mediante un modello di riferimento (template). Quest'ultimo consistenell'insieme di valori numerici ricavati, attraverso funzioni matematiche,dalle caratteristiche individuali sopra indicate, preordinatiall'identificazione personale attraverso opportune operazioni di confronto trail codice numerico ricavato ad ogni accesso e quello originariamente raccolto.

Sia le impronte dattiloscopiche (cfr. provv. Garante 19 novembre 1999, in Boll. n. 10, p. 68),ancorché raccolte in modo parziale e solo ai fini del completamento della fasedell'enrollment, sia i codici numerici successivamente utilizzati per ledescritte operazioni di confronto, in quanto informazioni riferibili ai singolilavoratori, sono dati personali (art. 4, comma 1, lett. b), del Codice). Nediscende, pertanto, l'applicazione della disciplina contenuta nel Codice, cosìnella fase dell'enrollment, come pure in relazione alle successiveoperazioni di confronto (con il correlato tracciamento degli orari diingresso/uscita dal luogo di lavoro).

3. Qualità dei dati, misure di sicurezza einformativa rispetto al trattamento dei dati biometrici

Con riguardo al principio di qualità dei dati,dall'istruttoria svolta emergono perplessità in ordine al correttofunzionamento del sistema che si intende installare.

Allo stato, non risultano documentati ipresupposti per un elevato grado di affidabilità del sistema medesimo, tantoche è stata programmata una fase di prova per testarne l'affidabilità. Lasocietà non è inoltre in grado, al momento, di indicare il livello della suaaccuratezza ricorrendo ai parametri tecnici idonei ad individuare i "falsinegativi" (FRR–False Rejection Rate) e i "falsipositivi" (FAR–False Acception Rate). I sistemi dirilevazione di dati come quelli in esame devono invece offrire una rigorosagaranzia di affidabilità ed integrità dei dati, anche sulla base dicertificazioni od omologazioni dei dispositivi che tengano eventualmente contodelle valutazioni di comitati tecnici indipendenti.

Inoltre, dagli elementi forniti non è possibilericavare con certezza se siano adeguate le misure di sicurezza predisposte aprotezione della rete di comunicazione elettronica sulla quale i dati biometricisono trasmessi dai singoli lettori al sistema centralizzato di acquisizionedati. A tale proposito, una misura opportuna da parte del titolare deltrattamento consisterebbe ad esempio nell'utilizzo di chiavi di cifratura deidati biometrici, indicato anche a livello europeo (v., ad es., il Documentodi lavoro sulla biometria del Gruppo per la tutela dei dati personali di cui all'art.29 della direttiva n. 95/46/Ce del 1 Agosto 2003 (punto 3.6)).

Anche l'informativa predisposta non risultaadeguata rispetto al trattamento che si intende porre in essere: come detto,dalle dichiarazioni acquisite emerge che, i lavoratori sarebbero liberi diaderire o meno al sistema di rilevazione delle presenze basato sull'utilizzo didati biometrici; strumenti alternativi sarebbero previsti anche per ilavoratori impossibilitati, per ragioni fisiche, a registrare le presenzemediante l'impiego del sistema biometrico.

Tali dichiarazioni, però, non trovano confermanell'informativa predisposta per gli interessati, secondo la quale ilconferimento dei dati, ivi compresi i dati biometrici (espressamente richiamatisotto la voce "ulteriori specificazioni particolari"), avrebbe naturaobbligatoria. Ciò, ha rilievo anche per la circostanza che il sistema potrebbeoperare (con riguardo all'enrollment e ai successivi accessi nei luoghi di lavoro)solo con l'attiva collaborazione personale dei lavoratori interessati, i qualidovrebbero rendersi così disponibili –in assenza di una disposizione dilegge che lo imponga ed impregiudicati i profili eventualmente connessi alcoinvolgimento delle rappresentanze sindacali– a sottoporre una parte delproprio corpo alle operazioni necessarie per la rilevazione biometrica.

Manca, inoltre, nell'informativa ogni riferimentoa tecniche alternative per la rilevazione delle presenze, contravvenendosi,così, all'art. 13 del Codice secondo il quale è necessario che le informazionida rendere agli interessati enuncino chiaramente tutte le modalità impiegatenel trattamento e la tipologia di dati personali utilizzati per ciascuna diesse.

4. Dati biometrici e principi di protezionedei dati personali: finalità, necessità e pertinenza

Se le ragioni illustrate denotano più di unrilievo in ordine al sistema di rilevazione in esame, la sua liceità deveessere verificata altresì, sotto altri profili concernenti i principi dinecessità, proporzionalità, finalità e correttezza, nonchŽ di qualità dei dati(artt. 3 e 11 del Codice; art.6, direttiva n. 95/46/Ce).

A questo proposito, se pure rientra tra lelegittime facoltà del datore di lavoro sovrintendere all'esecuzione dellaprestazione lavorativa (art. 2094 cod. civ.) verificando le presenze deidipendenti e il rispetto dell'orario di lavoro anche ai fini del calcolo dellaretribuzione, ad esempio attraverso badge, non risulta documentato che iltrattamento di dati biometrici in esame (con particolare riguardo all'improntadigitale) sia conforme ai principi di necessità e proporzionalità.

L'utilizzo di tali dati in luoghi di lavoro puòessere giustificato in casi particolari, in relazione alle finalità e alcontesto in cui essi sono trattati (ad esempio, accessi a particolari areedell'azienda per le quali debbano essere adottati livelli di sicurezzaparticolarmente elevati in ragione di specifiche circostanze o attività ivisvolte), oppure per finalità di sicurezza del trattamento di dati personali (v.Allegato B) al Codice).

Non può invece ritenersi lecito un usogeneralizzato e incontrollato dei medesimi dati, specie se si tratta diimpronte digitali per le quali occorre anche prevenire eventuali utilizziimpropri e possibili abusi.

Considerata l'utilizzabilità di idonee modalitàalternative per un accertamento parimenti rigoroso dell'identità personale, mameno problematiche per la dignità stessa dei lavoratori interessati (art. 2 delCodice, modalità di cui non è stata rappresentata l'inefficacia nel caso dispecie), l'illustrata finalità di computo dell'orario di lavoro in un'aziendacome quella istante non risulta, dagli atti, legittimare la rilevazione diimpronte digitali le quali sono comunque associate, contrariamente a quantorilevato dall'istante, ai relativi interessati.

Al di là dei controlli ordinari e a campionecirca la presenza dei lavoratori alle uscite e nei luoghi di lavoro, peraltrodi agevole accertamento, non è stata dimostrata l'inefficacia, nel caso dispecie, di misure che (senza ricorrere al trattamento di dati biometrici, nelrispetto dell'art. 3 del Codice) possono comunque contenere significativamenteil rischio di pratiche abusive.

Il titolare del trattamento, per verificare lapuntuale osservanza dell'orario di lavoro da parte dei lavoratori, impedendo inpari tempo condotte abusive dei medesimi, può disporre di altri sistemi menoinvasivi della sfera personale, della libertà individuale e che non coinvolganoil corpo del lavoratore –aspetti entrambi costitutivi della dignitàpersonale, a presidio della quale sono dettate le discipline di protezione deidati personali (art. 2 del Codice)–.

Il trattamento in esame deve ritenersisproporzionato anche in considerazione delle modalità tecniche prefigurate(centralizzazione dei codici identificativi derivati dall'esame del datobiometrico), ben potendosi adottare, anche da questo punto di vista, misuretecnologiche meno invasive. Infatti, anche a mente della disposizione contenutanell'art. 3 del Codice, è da ritenere comunque preferibile, laddove sia ammessoil ricorso a dati biometrici, la memorizzazione del codice identificativo su unsupporto che resti nell'esclusiva disponibilità dell'interessato (una voltacompletato il c.d. enrollment), piuttosto che la registrazione dello stesso alivello centralizzato nel sistema informativo aziendale (con conseguenti piùgravi ripercussioni per i diritti individuali in caso di violazione dellemisure di sicurezza, di accessi di persone non autorizzate o, comunque, diabuso delle informazioni memorizzate, anche ad opera di terzi).

In conformità con il quadro comunitario (ilquale prescrive, non a caso, che i trattamenti di dati che comportano rischispecifici per i diritti e le libertà fondamentali degli interessati, comequello in esame, siano consentiti solo in presenza di una verifica preliminarevolta ad appurare la liceità e correttezza del trattamento e ad impartire misureed accorgimenti a garanzia degli interessati: art. 20 direttiva n. 95/46/Ce;art. 17 del Codice), deve pertanto riscontrarsi l'assenza nel caso di specienei presupposti di legge per un trattamento di dati corrispondenti ad improntedigitali.

In conclusione, il trattamento oggetto dirichiesta non può ritenersi lecito, nei termini di cui in motivazione.

TUTTO CIÒ PREMESSO, ILGARANTE:

ai sensi e per gli effetti di cui agli artt. 3,11, 17 e 154, comma 1, lett. d) del Codice dichiara che il trattamento cheLandini S.p.a. intenderebbe effettuare non risulta lecito, nei termini dicui in motivazione, e ne vieta pertanto lo svolgimento se effettuato per lefinalità e con le modalità ivi descritte.

Roma, 21 luglio 2005

IL PRESIDENTE
Pizzetti

IL RELATORE
Paissan