Garante per la protezione
    dei dati personali


Divieto di trattamentodei dati biometrici dei dipendenti per finalità di rilevazione della presenzasul posto di lavoro

PROVVEDIMENTO DEL 20OTTOBRE 2011

Registro dei provvedimenti
n. 393 del 20ottobre 2011

IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI

IN DATA ODIERNA, in presenza del prof. Francesco Pizzetti, presidente,del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan edel dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli,segretario generale;

VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezionedei dati personali);
VISTO il punto 4 delle "Linee guida in materiadi trattamento di dati personali dei lavoratori per finalità di gestione delrapporto di lavoro alle dipendenze di datori di lavoro privati" adottatedal Garante con deliberazione n. 53 del 23 novembre 2006 (pubblicate sulla G.U.7 dicembre 2006, n. 285), che prescrive ai titolari del trattamento l'adozionedi specifiche misure e accorgimenti per il trattamento di dati biometrici deilavoratori;

VISTA la nota del Ministero del Lavoro, della Salute e delle PoliticheSociali-Direzione Provinciale del Lavoro di Vercelli  del 7 settembre2010;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Giuseppe Fortunato;

PREMESSO

1. La nota del Ministero e il riscontrodella società.
In occasione di un accertamento ispettivoespletato il 15 luglio 2010 presso la ditta Axa s.c. (società operante nelcampo dell'edilizia per conto terzi), il Ministero del Lavoro, della Salute edelle Politiche Sociali-Direzione Provinciale del Lavoro di Vercelli harinvenuto la presenza di "un sistema di rilevamento delle presenze tramiteuso delle impronte digitali dei lavoratori dipendenti" presso "l'unitàoperativa [sita in Arborio] della [medesima] ditta", "conmemorizzazione [dei dati] su badges [posti] nella loro esclusiva disponibilità".Ciò premesso, la Direzione Provinciale del Lavoro ha reputato di doverinteressare del fatto questa Autorità, ritenendo che la suddetta unitàoperativa non fosse "classificabile quale "area sensibile""secondo quanto previsto dalle Linee guida adottate dal Garante il 23 novembre2006, e tenuto conto del fatto che non risultava essere stato avviato ilnecessario procedimento di verifica preliminare ai sensi dell'art. 17 delCodice.

A seguito della richiesta di chiarimenti formulata dall'ufficio, lasocietà ha fornito riscontro con nota del 29 ottobre 2010, illustrandosinteticamente le caratteristiche del sistema installato e le ragioni poste afondamento della scelta di ricorrere al trattamento di dati biometrici deilavoratori. Secondo le dichiarazioni rese e la documentazione prodotta(rilevante anche ai sensi dell'art. 168 del Codice), il sistema installatoopererebbe in tre fasi:

– lettura badge: "fase in cui il lavoratore avvicinail suo badge (ad uso esclusivamente personale in quanto dotato ai sensi delD.Lgs. 136/2010 [rectius: L. n. 136/2010] di foto-tessera e dati anagrafici)all'apposita area di lettura, per permettere la lettura dell'improntamemorizzata";

– lettura impronta digitale: "fase in cui illavoratore utilizza il sensore del terminale per la lettura dell'improntadigitale";

– riconoscimento, abilitazione e registrazione: "fasein cui il terminale confronta l'impronta digitale letta dal lettore badge conquella letta dal sensore del terminale", con conseguente autorizzazioneall'accesso in caso di confronto "positivo".

La società ritiene che il sistema, in ragione delle predette modalitàdi configurazione e funzionamento, non sarebbe concretamente idoneo a trattaredati personali dei dipendenti, in quanto si limiterebbe ad estrarre "alcunipunti salienti dell'impronta [] e [a] registra[rli] esclusivamente all'internodella tessera" posta nella disponibilità degli interessati, con immediatacancellazione dei dati successivamente alla fase di enrollment. In ogni caso,la società ha dichiarato di aver comunque consegnato agli interessatiun'apposita "informativa" riferita all'utilizzo del badge (contenentei dati biometrici sotto forma di template), sottoscritta "perricevuta" dagli interessati e descrittiva, sia pure sinteticamente, delleprincipali modalità di utilizzo del tesserino affidato in dotazione aidipendenti.

Secondo quanto riferito, "l'accesso alla tessera [sarebbe]protetto da password", con la conseguenza che in "caso di smarrimentodella stessa da parte del lavoratore non [sarebbe possibile] estrapolare i datiin essa contenuti". Inoltre, non esisterebbe alcun database centralizzatocon le impronte digitali dei dipendenti, stante la loro riferita registrazione,limitatamente ad "alcuni punti salienti", esclusivamente all'internodelle tessere rilasciate al personale.

Il sistema risulterebbe installato "in tutti i magazzini della []cooperativa [] al fine di garantire un costante monitoraggio degli effettivilavoratori presenti in cantiere"; ciò, nell'ottica di prevenire episodi di"interscambiabilità di badge, con conseguente rischio di"manipolazione degli orari di lavoro"", oltre che per accertarerigorosamente, anche ai fini dell'applicazione della disciplina in materia disicurezza sul lavoro (e segnatamente, degli obblighi di cooperazione ecoordinamento previsti dall'art. 26 del d.lg. n. 81/2008 in capo ai datori dilavoro coinvolti nell'esecuzione del contratto di appalto o subappalto), che"chi sta lavorando sia effettivamente colui che è stato assunto edenunciato agli istituti a copertura assicurativa inps-inail". A dettadella società, quindi, il ricorso al trattamento dei dati biometrici deidipendenti troverebbe giustificazione nella ritenuta inidoneità degli strumentialternativi disponibili (cartellini, fogli firma, badge, ecc.) ad ovviare allepratiche abusive verificatesi in passato (scambio dei badge; falsificazionedelle firme; ecc.); inoltre, poiché nel magazzino e nei locali sarebbero"conservati e custoditi notevoli volumi di merci, aventi un valoreeconomico comprensibilmente molto rilevante", questi ultimi sarebbero daqualificarsi come "aree sensibili" in aderenza alle richiamate Lineeguida, con conseguente necessità per la società "di conoscere esattamentei soggetti [ivi] presenti" onde garantire "livelli di sicurezzaparticolarmente elevati" a vantaggio anche della committenza. Per taliragioni, il sistema installato sarebbe in linea con i princìpi di"necessità, finalità, liceità e proporzionalità" di cui agli artt. 3e 11 del Codice.

La società, che si è impegnata ad adempiere all'obbligo dinotificazione del trattamento all'esito delle valutazioni dell'Autorità circal'effettiva ravvisabilità di un trattamento di dati biometrici, si è dichiarataintenzionata anche a designare un responsabile del trattamento in applicazionedell'art. 29 del Codice.

A sostegno delle proprie osservazioni, la società ha prodottospecifica documentazione, e precisamente: le caratteristiche tecniche delsistema utilizzato, unitamente alla relativa attestazione rilasciata dal rivenditore;la copia dell'informativa rilasciata ai dipendenti, che reca alcuneinformazioni relative alla consegna del badge e al funzionamento del sistema.

2. Le osservazioni dell'Autorità.
L'utilizzodel sistema in esame, alla luce delle modalità di configurazione e utilizzoindicate dalla società, determina in concreto un trattamento di dati biometricinel contesto del rapporto di lavoro nella misura in cui la stessa società,nella fase di  enrollment, acquisisce le informazioni ritraibilidall'impronta dei dipendenti –memorizzandole sul badge affidato nellaesclusiva disponibilità di questi ultimi– per utilizzarle successivamentein procedure di autenticazione o identificazione. Come più volte ribaditodall'Autorità, infatti, le impronte digitali e le informazioni da esse ricavatee utilizzate per operazioni di verifica e raffronto nelle menzionate proceduredi autenticazione o identificazione, in quanto riconducibili alla nozione di"dato personale" di cui all'art. 4, comma 1, lett. b), del Codice,sono soggette alla disciplina del medesimo Codice (sul punto cfr., tra i tanti,Provv. 19 novembre 1999, doc. web n. 42058 e 21 luglio 2005, doc. web n. 1150679; Provv. 26 maggio 2011, doc. web n. 1832558; in merito v. pure il documento dilavoro sulla biometria del Gruppo art. 29, direttiva n. 95/46/Ce -wp80-, punto3.1).

Ciò premesso, ai fini di una complessiva valutazione della liceità deltrattamento svolto da Axa s.c., occorre tener presente quanto segue.

Questa Autorità, in più occasioni, ha avuto modo di indicare lecondizioni alle quali il trattamento dei dati biometrici dei lavoratori puòritenersi lecito, precisando che tali dati possono essere utilizzati solo incasi particolari, tenuto conto delle finalità perseguite dal titolare e delcontesto in cui il trattamento viene effettuato, nonché –con specificoriguardo ai luoghi di lavoro– per presidiare l'accesso ad "areesensibili" in considerazione della natura delle attività ivi svolte (cfr.le citate Linee guida, punto 4.2.; cfr., tra gli altri, anche Provv. 21 luglio2005, doc. web n. 1150679; Provv. 23 novembre 2005, doc. web n. 1202254; Provv. 15 giugno 2006, docc. web nn. 1306098; 1306523; 1306530; 1306551; Provv. 26 luglio 2006, doc. web n. 131858; Provv. 2 ottobre 2008, doc. web n. 1571502; Provv. 15 ottobre 2009, doc. web n. 1664257; Provv. 10 marzo 2011, doc. web n. 1807683). Tali presupposti, però, allo statonon risultano ricorrere nel caso di specie, tenuto conto che, così come giàritenuto dalla Direzione provinciale del lavoro segnalante, non è statopossibile appurare che presso i locali in questione vengano espletate attivitàtali da consentirne la riconduzione al novero delle "aree sensibili"richiamate dalle suddette Linee guida; sul punto, peraltro, la società non haapportato elementi probatori neanche nel corso del procedimento, essendosilimitata a rendere affermazioni assai generiche sul volume e sul valore dellemerci ivi custodite (peraltro neanche specificate), non suffragate da alcunaadeguata documentazione.

Inoltre, occorre sottolineare che il predetto trattamento di datibiometrici, allo stato, non risulta giustificato neanche in ragionedell'ulteriore esigenza prospettata dalla società, costituita dalla necessitàdi individuare esattamente i lavoratori così come previsto dalla disciplina inmateria di sicurezza del lavoro (con particolare riferimento agli obblighi dicui all'art. 26 del d.lg. n. 81/2008), atteso che tale accertamento,attualmente, sembra essere già sufficientemente garantito dall'obbligo didotare il personale occupato dall'impresa appaltatrice o subappaltatrice"di apposita tessera di riconoscimento" (la cui esposizione da partedei dipendenti, tra l'altro, è obbligatoria: cfr. art. 20, comma 3 delmenzionato decreto legislativo); tale tessera, infatti, oltre a contenere legeneralità del lavoratore, deve essere corredata della relativa"fotografia" (al riguardo, cfr. anche l'art. 5 della legge n.136/2010 in tema di identificazione degli addetti ai cantieri), elementi,questi, evidentemente già ritenuti sufficienti dal legislatore ai fini dellacorretta identificazione del personale.

opportuno ancora evidenziare che la società, in relazioneall'ulteriore esigenza di prevenire e contenere il rischio di pratiche abusiveda parte dei dipendenti, si è limitata ad asserire l'inefficacia delle misuredi rilevazione delle presenze alternativamente prospettate ("cartellini,fogli firma e badge"), senza addurre circostanziati elementi, strettamenterapportati alla specifica realtà produttiva, da cui si possa effettivamentearguire l'inutilità di dette misure (e, correlativamente, la realeindispensabilità del trattamento dei dati biometrici dei lavoratori per lafinalità suindicata); infatti, se è vero che il datore di lavoro ha la facoltàdi sovrintendere all'esecuzione della prestazione lavorativa (art. 2094 cod.civ.), verificando le presenze dei dipendenti e il rispetto dell'orario dilavoro, nel caso di specie, tuttavia, non risulta provata la concretainefficacia di misure che, senza dover ricorrere al trattamento dei datibiometrici dei lavoratori, possano comunque contenere (nel rispetto, tral'altro, dell'art. 3 del Codice) il rischio di pratiche abusive da parte deilavoratori (ad esempio, l'adozione di un servizio di vigilanza).

Sotto altro profilo, vale poi rilevare che la società, nonostantel'esplicita richiesta in tal senso formulata dall'ufficio (cfr. nota in atti),non ha dimostrato di aver acquisito il libero consenso espresso dei dipendentiin ordine a tale peculiare trattamento (art. 23 del Codice), né ha addottoelementi tali da giustificarne il relativo esonero (art. 24 del Codice); ciòriverbera i propri effetti –negativi– anche sul piano della liceitàe correttezza del trattamento svolto (art. 11, comma 1, lett. a) del Codice),non essendo stata prospettata, al riguardo, nemmeno l'esistenza di possibilimodalità alternative di accesso per coloro che si fossero eventualmenteopposti.

Infine, è da rilevare che la società, sulla base della documentazioneprodotta, non risulta aver neanche rilasciato un'idonea informativa preventivaai dipendenti relativamente al trattamento dei loro dati biometrici (art. 13del Codice), essendosi limitata a fornire agli interessati indicazioniconcernenti la consegna e l'utilizzo del badge e del sistema, senza tuttavia renderliadeguatamente edotti (nemmeno in forma sintetica) di tutti gli elementiprevisti dal citato art. 13; considerato che, dagli elementi acquisiti, nonrisulta poi che questi ultimi siano stati comunque altrimenti informati(neppure in forma orale) in termini conformi al menzionato art. 13 del Codice,deve conclusivamente ritenersi che, nel caso di specie, sia stato violato ancheil principio di finalità, che impone di trattare i dati, tra l'altro, per scopi"espliciti" (art. 11, comma 1, lett. b), del Codice).

Alla luce di quanto precede, questa Autorità, nel riservarsi ogniverifica in vista dell'eventuale contestazione delle violazioni amministrativedi cui agli artt. 161 e 163 del Codice, ritiene che il trattamento dei datibiometrici dei dipendenti svolto da Axa Servizi s.c. per le finalità sopraindicate sia non solo non necessario, ma anche sproporzionato rispetto agliscopi perseguiti e, comunque, contrario ai princìpi di liceità, correttezza efinalità; conseguentemente, ai sensi degli artt. 143, comma 1, lett. c), 144 e154, comma 1, lett. d) del Codice, ritiene di dover disporre nei confrontidella stessa Axa s.c. il divieto dell'ulteriore trattamento dei dati biometricidei dipendenti per finalità di rilevazione della loro presenza sul posto di lavoro,perché posto in essere in violazione degli artt. 3 e 11, comma 1, lett. a), b)e d) del Codice.

Resta ovviamente impregiudicata la facoltà per la società, ai sensidell'art. 17 del Codice, di presentare un apposito interpello al Garante(fondato su presupposti diversi da quelli già indicati –e disattesi–con il presente provvedimento) in relazione a fattispecie particolari o asituazioni eccezionali non considerate nell'ambito delle menzionate Linee guida(punto 4.4).

TUTTO CI PREMESSO ILGARANTE

accertata l'illiceità del trattamento, ai sensi degli artt. 143, comma1, lett. c), 144 e 154, comma 1, lett. d) del Codice, dispone nei confronti diAxa s.c. il divieto dell'ulteriore trattamento dei dati biometrici deidipendenti per finalità di rilevazione della loro presenza sul posto di lavoro,perché in violazione degli artt. 3 e 11, comma 1, lett. a), b) e d) del Codice.

Avverso il presente provvedimento, ai sensi dell'art. 152 del Codice,può essere proposta opposizione davanti al tribunale ordinario del luogo ove hasede il titolare del trattamento entro il termine di trenta giorni dallanotificazione del provvedimento medesimo.

Roma, 20 ottobre 2011

Il presidente
Pizzetti

Il relatore
Fortunato

Il segretario generale
De Paoli