Garante per la protezione
    dei dati personali


Trattamento dei datibiometrici riferiti ai lavoratori presso un cantiere edile

PROVVEDIMENTO DEL 13SETTEMBRE 2012

Registro dei provvedimenti
n. 243 del 13settembre 2012

IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro,presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssaGiovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e deldott. Giuseppe Busia, segretario generale;

VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezionedei dati personali);

ESAMINATE le risultanze istruttorie degli accertamenti effettuati indata 7, 8 e 9 febbraio 2012 presso il cantiere per la ristrutturazionedell'Excelsior Hotel Gallia in Milano;

VISTE le osservazioni formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Licia Califano;

PREMESSO

1. Esito degli accertamenti ispettivieffettuati presso il cantiere per la ristrutturazione dell'Excelsior HotelGallia in Milano

1.1. A seguito delle verifiche eseguite in data 7, 8 e 9 febbraio 2012presso il cantiere per la ristrutturazione dell'Hotel Gallia di Milano –nel corso delle quali il personale delegato del Nucleo speciale privacy dellaGuardia di finanza ha interloquito con una pluralità di società ivi operanti(di seguito più precisamente individuate) – nonché dall'esamedell'ulteriore documentazione acquisita nel corso dell'istruttoria, è statoaccertato il trattamento di dati personali e biometrici riferiti alle maestranzeoperanti all'interno del cantiere poste alle dipendenze di una pluralità diimprese appaltatrici (punto 1.2 e ss.). È stata altresì rilevata l'avvenutainstallazione presso lo stesso cantiere di un impianto di videosorveglianza,che si è attestato essere non ancora funzionante al tempo delle verifiche(punto 1.5).

1.2. In particolare, dall'accertamento in loco è emerso che:

a. al fine di regolare l'accesso delle maestranze all'interno delcantiere – nel quale la complessiva attività di project management èsvolta, in nome e per conto di Excelsior Hotel Gallia s.r.l. (di seguito HotelGallia), da Bovis Lend Lease s.r.l. (di seguito BLL), società che"coordina e dirige le varie società incaricate della ristrutturazionedell'immobile che ospita l'hotel Gallia" (cfr. verbale 7 febbraio 2012, p.1) – viene rilasciato a tutti i lavoratori un tesserino personale diriconoscimento dotato di fotografia (cfr. verbale 26.4.2012 cit., p. 2); peraccedere al cantiere è stato inoltre installato in data 21 febbraio 2011, ed èrisultato regolarmente funzionante (cfr. dichiarazioni del rappresentante BLL,verb. 7 febbraio 2012, p. 1), un sistema di identificazione biometrica diciascun lavoratore. Più precisamente, l'accesso al cantiere avviene"attraverso un sistema di tornelli, ciascuno dei quali risulta dotato diun doppio lettore, uno per il badge fornito al lavoratore ed uno per larilevazione della geometria della mano" (nota BLL 9.3.2012 cit., p. 6);

b. con riferimento alle modalità di raccolta dei dati personali biometricidei lavoratori, "[a]ll'interno della guardiania risiede il sistema atto alrilascio dei codici personali e alla misurazione dei punti fissi dellamano" (cfr. verbale 26.4.2012 cit., p. 1). Più precisamente, i lavoratoridipendenti delle ditte appaltatrici, elencati in liste predisposte da ciascunadi esse, "vengono [Š] convocati presso la guardiania dove [si] procedealla rilevazione dei dati tramite un lettore della geometria della mano. I datirilevati vengono trasformati in una stringa alfanumerica che viene associata alnome e cognome del dipendente e della società di appartenenza" (cfr.verbale 8.2.2012, p. 3). Tale "sistema provvede automaticamente a generareanche il codice numerico personale di tre cifre, associandolo alla misurazionedella mano", esso pure necessario per consentire all'interessato l'accessoal cantiere (cfr. verbale 26.4.2012 cit., pp. 1 e 2);

c. i dati biometrici vengono "conservati esclusivamente neidue personal computer collegati al sistema biometrico e custoditi nel locale diguardiania, presidiato 24 ore su 24 da personale specializzato (e di nottearmato) ed al quale hanno accesso solo i due addetti alla vigilanza" (cfr.nota BLL 9.3.2012, p. 5);

d. il sistema di rilevazione biometrica è stato installato aldichiarato scopo di "garantire la sicurezza del personale e contrastare ilfenomeno del lavoro nero. Sicurezza del personale, in quanto l'accesso con ilcontrollo biometrico, in caso di eventi dannosi o pericolosi, permette disapere con sicurezza il numero dei presenti in cantiere" (verbale8.2.2012, p. 3). Al riguardo BLL ha precisato che "[s]i è ritenuto che ilsistema biometrico fosse quello più sicuro per evitare "scambi di identità"ed assicurare l'accesso al cantiere esclusivamente al personale debitamente formatoe qualificato" (nota BLL 9.3.2012 cit., p. 6).

1.3. Quanto alla titolarità del trattamento dei dati personalieffettuato in occasione dell'accesso delle maestranze nel cantiere, anchemediante l'impiego del descritto sistema biometrico, dagli accertamentieffettuati sono emerse dichiarazioni contraddittorie da parte delle diversesocietà (a vario titolo) interessate ai lavori di ristrutturazione.
Inparticolare, dagli elementi in atti risulta che:

a. la decisione di dotare il servizio di guardiania di un sistemabiometrico di controllo degli accessi è frutto dell'adempimento di obblighicontrattuali assunti nei confronti di Hotel Gallia da Impresa Minotti s.r.l. –società tenuta a fornire i servizi di soft logistic, tra i quali (consideratele definizioni riportate all'art. 2 del contratto) "il servizio diguardiania, armata e non armata, per una durata complessiva di 21 (ventuno)mesi" –, come risulta dal contratto intercorso tra dette società (inatti all'allegato 9 al verbale dell'8 febbraio 2012; v. inoltre l'esplicitamenzione del sistema biometrico nonché del servizio di guardiania nelle tabelleunite al contratto per l'affidamento di servizi soft logistic di cuiall'allegato 9 al verbale dell'8 febbraio 2012). Tale circostanza risultaulteriormente comprovata da ulteriore documentazione contrattuale acquisitaagli atti: così, nel Soft Logistic Contract annex 2.1 M sottoscritto da Minotti(redatto in inglese su carta intestata BLL), Gunnebo s.p.a. è indicata qualesoggetto che avrebbe dovuto fornire la strumentazione richiesta (cfr. all. 3alla nota di Minotti del 22 febbraio 2012, documento che la società dichiaraessere "parte integrante del contratto tra Minotti ed Excelsior HotelGallia redatto da Bovis Lend Lease"); non diversamente la necessità diprovvedere all'utilizzo di dati biometrici in sede di accesso del personale alcantiere risulta dal Contratto di soft logistic allegato 2.1 L (redatto initaliano su carta intestata BLL e prodotto da Hotel Gallia con la propriacomunicazione del 4 aprile 2012);

b. in virtù del menzionato contratto per l'affidamento di servizi"soft logistic" intercorso tra Hotel Gallia e Minotti (all. 9 alverbale dell'8 febbraio 2012), quest'ultima "è anche responsabile –nei confronti del Committente [Hotel Gallia] della scrupolosa osservanza ditutte le norme e disposizioni [Š] da parte del proprio personale (dipendentee/o collaboratore a qualsiasi titolo) come pure dei subappaltatori, con obbligodi adottare, i caso di inosservanza, i necessari provvedimenti nei confrontidegli uni e/o degli altri" (cfr. art. 7.6 nonché art. 6.8 del contratto);

c. il sistema biometrico è stato installato da Gunnebo Italias.p.a. a seguito di ordine impartito da Minotti (cfr. all. 4 al verbale dell'8febbraio 2012);

d. la consegna e il collaudo dell'impianto sono stati effettuatida personale di Gunnebo il 21 febbraio 2011, con la "installazionecompleta di pc client attivo e in rete con pc guardiania", che haimpartito le istruzioni relative al suo funzionamento a Virgilio Lanzeni (cfr.all. 5 al verbale dell'8 febbraio 2012), responsabile di cantiere per conto diMinotti (come si desume dagli all. 3, 4 e 6 al verbale dell'8 febbraio 2012);

e. i servizi di guardiania e portierato – consistenti nelcontrollo degli accessi al cantiere 24 ore su 24, mediante il processo diidentificazione, anche biometrico, del personale legittimato ad accedervi –sono stati subappaltati, a far data dal 2 gennaio 2012, da Minotti a EutaliaServizi s.r.l. (cfr. all. 6 al verbale dell'8 febbraio 2012, ove si precisa chel'accesso delle maestranze deve avvenire "dopo verifica Bovis LendLease"); i compiti attribuiti a Eutalia (identificazione del personale,verifica autorizzazione, registrazione presenze etc.) risultano altresìindicati nella sezione del "piano operativo della sicurezza" che lariguarda (cfr. p. 9 dell'all. 12 al verbale dell'8 febbraio 2012);

f. Minotti, inoltre, sempre in data 2 gennaio 2012,qualificandosi "titolare del trattamento" – qualità poicontestata dal rappresentante della stessa società in sede di accertamentoispettivo (cfr. verbale dell'8 febbraio 2012, p. 4) –, ha ancheprovveduto alla designazione quali "incaricati del trattamento"rispetto all'utilizzo del sistema biometrico di alcuni dipendenti di Eutaliache avrebbero assolto i servizi di guardiania (all. 7 al verbale dell'8febbraio 2012);

g. sotto diverso profilo, l'art. 6.7 del contratto intercorso traMinotti ed Hotel Gallia riserva a quest'ultima e al project manager (BLL) il"diritto di effettuare tutti quei controlli che, a loro insindacabilegiudizio, si rendessero necessari al fine di assicurare l'esecuzione delcompletamento dei servizi di soft logistic a regola d'arte e nei tempiprevisti, ferma restando la libertà di accesso [Š] ai luoghi ove le attivitàvengono realizzate";

h. BLL ha provveduto – peraltro in conformità con gliobblighi contrattualmente assunti con Hotel Gallia (cfr. punto 2.3 PM/CMServices agreement, all. 3 al verbale del 9 febbraio 2012) – a regolareminuziosamente con il "disciplinare delle azioni e dei comportamenti nelcantiere albergo Gallia" (all. 11 al verbale dell'8 febbraio 2012, inpart. pp. 4 e 5) le modalità di accesso al cantiere prevedendo, tra l'altro,che "tutto il personale e i visitatori all'interno delle aree di cantieredovrà sempre [Š] indossare il cartellino personale di riconoscimento" eche "il personale lavorante sarà prima idoneamente registrato "fasedi induction" e quindi autorizzato all'accesso in cantiere mediantericonoscimento biometrico della mano";

i. in data 7 febbraio 2012 – giorno in cui hanno avutoinizio gli accertamenti ispettivi presso il cantiere – Hotel Gallia haprovveduto a notificare (in qualità di titolare) il trattamento di datibiometrici.

Dalle dichiarazioni rese nel corso degli accertamenti ispettivi, nonchénelle comunicazioni inviate successivamente al loro compimento, emerge –come detto, non senza contraddizioni rispetto alla documentazione in atti nonchérispetto alle dichiarazioni rese dai rappresentanti delle diverse societàcoinvolte – che:

j. a detta del rappresentante di BLL, la società "hapreparato le specifiche tecniche del sistema di controllo per gli accessi,approvate dal cliente (Hotel Gallia) e mandate in gara" (cfr. verbale 8febbraio 2012, p. 3 ss.). Il rappresentante della società si è detto inoltrenon "in grado di identificare il titolare o eventuali responsabili deitrattamenti di dati riferibili al sistema biometrico", non risultando allostesso che "Bovis abbia ricevuto o effettuato nomine relative aresponsabili o incaricati dei trattamenti di dati" (cfr. verbale 8febbraio 2012, p. 4). Lo stesso ha precisato che BLL "non ha rilasciatoinformative né richiesto il consenso alle persone sottoposte alla rilevazionedella geometria della mano. [Š] Gli operai interessati [Š] vengono invitati aun incontro formativo denominato "Induction" durante il quale vengonotrattate le materie relative alla sicurezza compresa la descrizione e lemodalità di accesso col sistema biometrico" (cfr. verbale 8 febbraio 2012,p. 4);
k. successivamente, BLL, per il tramite dell'avv. TizianaFiorella che la rappresenta, ha fatto pervenire ulteriori osservazioni (connota del 9 marzo 2012) nelle quali ha ribadito di rivestire "un ruolo disupporto tecnico e di coordinamento delle varie società incaricate dellaristrutturazione dell'immobile" (p. 3), svolgendo un'attività dipredisposizione della pertinente documentazione sottoposta "allavalutazione ed approvazione dell'hotel Gallia, il quale stipula direttamente isingoli contratti con i soggetti aggiudicatari delle gare di appalto (p.3)". Ciò si è verificato anche in relazione ai servizi di soft logistic,richiamando a tal proposito il (sopra menzionato) contratto stipulato tra HotelGallia e Minotti nel quale, a detta della società, "espressamente si leggeche, tra gli altri, compito di Minotti è quello di far sottoscriverel'autorizzazione al trattamento dei dati personali [Š] a tutte le persone cheentrino nel cantiere (cfr. pag. 41, allegati al contratto di appalto, doc.2)" (p. 4);

l. a detta del rappresentate di Minotti, "il sistemabiometrico è stato espressamente richiesto dalla società Bovis Lend Leases.r.l. [Š]. Riguardo alle modalità di acquisizione dei dati biometrici gliappaltatori presenti presso il cantiere forniscono di volta in volta le listedegli operai da autorizzare alla società Bovis Lend Lease s.r.l., che a suavolta, successivamente, ai controlli obbligatori sulla documentazione, forniscetali liste alla società Eutalia Servizi s.r.l. che gestisce il sistema. Glistessi vengono poi convocati presso la guardiania, dove il personale dellasocietà Eutalia, da noi incaricato, procede alla rilevazione dei dati tramiteun lettore della geometria della mano. I dati rilevati vengono trasformati inuna stringa alfanumerica che viene associata al nome e cognome del dipendente edella società di appartenenza. Successivamente tali informazioni contenuteesclusivamente nel personal computer presso la guardiania vengono associatemanualmente dagli incaricati ad un numero composto di tre cifre. Le dueinformazioni, la digitazione del numero a tre cifre e l'apposizione della manosul lettore, se corrette, permette l'ingresso e l'uscita dal cantiere tramite itre tornelli presenti all'ingresso. [Š] i lettori della geometria della mano, idue personal computer con gli accessori presenti presso la guardiania e isoftware a corredo, una volta installati e collaudati, sono diventati diproprietà della società Excelsior Hotel Gallia s.r.l." (cfr. verbale 8febbraio 2012, p. 3). Anche nel verbale di operazioni del 9 febbraio 2012 (pp.2-3) la rappresentante della società ha escluso che quest'ultima rivestisse laqualifica di titolare del "trattamento effettuato tramite il sistemabiometrico [Š] non essendo proprietaria degli impianti";
m. infine,per il tramite del proprio rappresentante, Hotel Gallia ha dichiarato di nonritenersi titolare del trattamento effettuato con il sistema di rilevazione deidati biometrici, aggiungendo che "presumibilmente la titolarità riferita atale trattamento dovrebbe essere in capo a Minotti, società che ha provveduto afar installare il sistema biometrico" (cfr. verbale 9 febbraio 2012, p.1). Per tale ragione Hotel Gallia non avrebbe neanche provveduto ad effettuaredesignazione di responsabili o incaricati del trattamento, né a rendere alcunainformativa in relazione alle operazioni di trattamento. Hotel Gallia haribadito nella comunicazione del 29 febbraio 2012 di non avere "alcuncontrollo sul contenuto delle informazioni o dei dati che vengono acquisitidalla BLL o dagli appaltatori, competendo ogni decisione circa la gestione diqueste informazioni alla BLL stessa e/o all'appaltatore Minotti" (p. 2);non diversamente, ha affermato di non aver "alcun potere decisionale nédispositivo su detti trattamenti, poiché questi poteri e le relative attivitàed operazioni di trattamento competono a BLL e/o alla Minotti o forse a terzisoggetti che non sono comunque in rapporti contrattuali diretti con l'Hotel (p.2)". Peraltro, pur reiterando tali argomentazioni in più luoghi dellamenzionata comunicazione del 29 febbraio 2012, Hotel Gallia ha dichiarato che"solo da poco abbiamo appreso che un nostro consulente (attualmente stiamoverificando quanto accaduto e dei relativi poteri di firma di detto soggetto),erroneamente e per un eccesso di zelo ha provveduto a realizzare lanotificazione del trattamento in capo a Hotel Gallia circa i dati biometrici inrelazione ai lavori attualmente in corso". Per tale ragione la società,ritenendola "erronea", si è dichiarata "disponibile a cancellareo modificare la notifica effettuata".

1.4. Il Nucleo speciale privacy della Guardia di Finanza ha altresìaccertato che, con particolare riferimento al trattamento dei dati biometrici,non è stata fornita idonea informativa ai sensi dell'art. 13 del Codice ailavoratori né è stato manifestato il consenso degli stessi, come richiesto –in assenza di altri presupposti di legge – dall'art. 23 del Codice.Parimenti, l'informativa non risulta essere stata resa neanche in relazione airestanti dati personali raccolti per consentire il rilascio della tesseraindividuale di riconoscimento in vista del successivo accesso al cantiere.

In relazione, invece, alla notificazione al Garante del trattamentodei dati biometrici, prevista dall'art. 37, comma 1, lett. a) del Codice, lastessa risulta essere stata tardivamente effettuata solo da Hotel Gallia, indata 7 febbraio 2012.

1.5. Come anticipato, infine, in sede di verifica è stata altresìaccertata l'avvenuta installazione di 12 telecamere poste "all'interno delperimetro del cantiere, delle quali undici (11) sono fisse e una (1) è di tipoDome brandeggiante" (cfr. verbale 8.2.2012, p. 2). In base alledichiarazioni rese dal rappresentante di Minotti il sistema divideosorveglianza, tuttavia, sarebbe "ancora spento" ed Hotel Gallia,tramite un consulente, starebbe predisponendo la "stesura delledescrizioni tecniche, del regolamento interno e degli accordi con lerappresentanze sindacali dei lavoratori presenti presso il cantiere" (cfr.verbale 8.2.2012, p. 2).

2. Profili di illiceità del trattamento
2.1.Dall'esame della documentazione in atti e delle (contraddittorie) dichiarazionirese risulta che le società a vario titolo coinvolte nel trattamento dei datipersonali e biometrici riferiti alle maestranze presenti sul cantieredell'hotel Gallia non abbiano tenuto nella dovuta considerazione e, perl'effetto, osservato la disciplina di protezione dei dati personali, conriguardo sia alla corretta identificazione del ruolo da ciascuna rivestito –provvedendo in conformità alla legge (artt. 28 ss. del Codice) alladesignazione degli incaricati e, ricorrendone i presupposti, di eventualiresponsabili del trattamento –, sia al rispetto della complessivadisciplina di protezione dei dati personali – in relazione all'osservanzadei principi di necessità (art. 3 del Codice), di pertinenza e non eccedenza(art. 11, comma 1, lett. d) del Codice) nonché del principio di correttezza etrasparenza, con particolare riferimento all'obbligo di rendere l'informativa(artt. 11, comma 1, lett. a) e 13 del Codice).

2.2. Ciò premesso, quanto al descritto trattamento dei dati biometrici(e al di là delle operazioni effettuate con altri dati personali dellemaestranze volte al rilascio del tesserino identificativo comprensivo difotografia), deve rilevarsi che anch'esso è soggetto alla disciplina diprotezione dei dati personali, essendo i dati biometrici riconducibili allanozione di "dato personale" di cui all'art. 4, comma 1, lett. b), delCodice (sul punto cfr., tra i tanti, Provv. 19 novembre 1999;Provv. 1° febbraio 2007).Nel caso di specie, peraltro, ciò risulta ulteriormente comprovato in ragionedell'associazione (sia in sede di rilascio che ad ogni accesso) dei datibiometrici con quelli nominativi contenuti nel badge attribuito a ciascuno deilavoratori da utilizzarsi, unitamente al codice individuale, in occasione diogni accesso dell'interessato al cantiere (cfr. dichiarazioni sopra richiamate,in particolare ai punti 1.2.b e 1.3.l).

3.1. Quanto alla titolarità del trattamento dei dati personali ebiometrici riferiti alle maestranze – qualifica che, nel corso (e aseguito) degli accertamenti disposti dall'Autorità, ciascuna delle societàcoinvolte ha disconosciuto, rimettendola in capo ad altri (cfr. punto 1.3) –,questa Autorità ritiene sussistenti sufficienti elementi per attribuire lacontitolarità del trattamento ai sensi dell'art. 4, comma 1, lett. f), delCodice in capo a Hotel Gallia, a BLL nonché a Minotti. Ciò, oltre che per glielementi di seguito più puntualmente indicati rispetto a ciascuna società,anche alla luce delle valutazioni espresse dal Gruppo di lavoro articolo 29 perla protezione dei dati secondo cui "si è in presenza di una situazione dicorresponsabilità quando varie parti determinano, per specifici trattamenti, ola finalità o quegli aspetti fondamentali degli strumenti che caratterizzano[il titolare del trattamento Š]. Nel contesto della corresponsabilità,comunque, la partecipazione delle parti alla determinazione congiunta puòassumere varie forme e non deve essere necessariamente ripartita in modouguale" (così Parere 1/2010 sui concetti di titolare e incaricato deltrattamento, WP 169, adottato il 16 febbraio 2010, p. 19; nello stesso senso v.già le decisioni del Garante 3 dicembre 2009;Provv. 30 maggio 2007).

Invero, alla luce degli elementi acquisiti:

a. Hotel Gallia ha determinato finalità e strumenti deltrattamento di dati personali effettuato (dei quali, con riguardo al sistemabiometrico, è peraltro divenuta proprietaria), richiedendo espressamente,mediante la conclusione di apposito contratto di soft logistic con Minotti(cfr. sopra punto 1.3.a), l'acquisto e il successivo utilizzo di un sistemabiometrico per accedere al proprio cantiere; la società si è inoltre riservataampi diritti di verifica circa la corretta esecuzione dei servizi di softlogistic demandati a Minotti (cfr. sopra punto 1.3.g), ivi compreso quello diguardiania, espletato (per volontà di Hotel Gallia) anche mediante il sistemadi rilevazione e confronto biometrico. Al di là di tali elementi, la societàrisulta anche aver notificato, ancorché tardivamente, il trattamento di datibiometrici al Garante (cfr. sopra punto 1.3.i), salvo allegare, a seguito delleverifiche, che tale notifica sarebbe stata effettuata "erroneamente e perun eccesso di zelo" (cfr. nota del 29 febbraio 2012, sopra richiamata alpunto 1.3.m);

b. BLL risulta tenuta, in base agli impegni assunticontrattualmente con Hotel Gallia (cfr. sopra punto 1.3.h), a sovrintendere atutte le operazioni che consentono l'accesso di maestranze e visitatori all'internodel cantiere. A tal fine tratta i dati personali contenuti nelle liste dilavoratori trasmesse da ciascuna delle imprese ivi operanti (fase c.d. dipre-induction) (cfr. sopra punto 1.3.l) e ha regolamentato la fase di c.d.induction di tali soggetti, prevedendo sia il rilascio del cartellino personaledi riconoscimento, sia la procedura di riconoscimento biometrico (cfr. soprapunto 1.3.h). Peraltro, l'art. 6.7 del contratto di soft logistic intercorsotra Hotel Gallia e Minotti attribuisce pure a BLL (coerentemente con losvolgimento della complessiva attività di project management svolta dallastessa) gli stessi ampi diritti di verifica (che Hotel Gallia riservava a sé)circa la corretta esecuzione dei servizi di soft logistic demandati a Minotti(cfr. sopra punto 1.3.g);

c. Minotti è tenuta a gestire il servizio di guardiania (che comesi è visto si avvale anche del sistema di identificazione biometrica richiestodal committente) in base agli impegni assunti contrattualmente con Hotel Gallia(cfr. sopra punto 1.3.a) nonché al rispetto delle pertinenti regolamentazioni(cfr. sopra punto 1.3. lett. b). A tale società, pertanto, e al di làdell'impulso decisionale e dei poteri di verifica e controllo facenti capo aglialtri partner contrattuali, compete la gestione del sistema biometrico. Talecircostanza trova ulteriore conferma nel fatto che, eseguito il collaudo, leistruzioni relative al funzionamento di detto sistema sono state impartitedalla società installatrice al responsabile di cantiere di Minotti (cfr. soprapunto 1.3.d) e che quest'ultima, qualificandosi titolare del trattamento, hadesignato incaricati del trattamento i dipendenti di Eutalia Servizi s.r.l.(cfr. sopra punto 1.3.f). Designazione, peraltro, impropria, atteso che talesocietà avrebbe dovuto, piuttosto, essere designata responsabile deltrattamento ai sensi dell'art. 29 del Codice, individuando analiticamente icompiti alla stessa attribuiti, e quindi curare essa stessa la designazionequali incaricati del trattamento dei propri dipendenti (operando questi ultimisotto la sua diretta autorità, come previsto dall'art. 30 del Codice).

4.1. Quanto al trattamento di dati biometrici con finalità diidentificazione delle maestranze, deve rilevarsi che la disciplina in materiadi tutela della sicurezza nei luoghi di lavoro (contenuta nel d.lg. 9 aprile2008, n. 81, Attuazione dell'articolo 1 della legge 3 agosto 2007, n. 123, inmateria di tutela della salute e della sicurezza nei luoghi di lavoro), comerilevato dal Garante in una fattispecie analoga (cfr. Provv. 20 ottobre 2011),individua le modalità attraverso le quali è possibile addivenireall'identificazione dei lavoratori nell'ambito dell'esecuzione di contratti diappalto, prevedendo, tra gli obblighi posti a carico del datore di lavoro,quello di provvedere a che "il personale occupato dall'impresaappaltatrice o subappaltatrice [sia] munito di apposita tessera di riconoscimento,corredata di fotografia, contenente le generalità del lavoratore el'indicazione del datore di lavoro" (art. 26, comma 8, d.lg. n. 81/2008).Con tale disposizione il legislatore, nell'ambito della disciplina posta atutela della sicurezza nei luoghi di lavoro, ha pertanto ritenuto idonea, aifini dell'identificazione del personale, l'adozione di una tessera diriconoscimento contenente le generalità del lavoratore e una sua fotografia.

Peraltro, identiche modalità di identificazione sono stateindividuate, nell'ambito del "Piano straordinario contro le mafie",dall'art. 5, l. 13 agosto 2010, n. 136 riferito all'identificazione degliaddetti nei cantieri (norma richiamata da ultimo con comunicato del 18 giugno2012 del Ministero dell'Interno dove, ancora nell'ambito dei controlliantimafia, si prevede che i lavoratori presenti nei cantieri espongano"costantemente" una tessera di riconoscimento contenente i predettidati personali).

4.2. A fronte di tale quadro normativo, nessuna delle società titolaridel trattamento ha fornito, nel corso dell'istruttoria, specifici elementiriferiti alla concreta attività svolta, volti a comprovare l'inidoneità deiconcorrenti sistemi di accertamento dell'identità dei lavoratori (inparticolare il tesserino identificativo completo di fotografia) e di controllodegli accessi da parte di personale addetto alla vigilanza a perseguire lelegittime finalità rappresentate (tra cui quella di prevenire il paventatorischio di pratiche abusive da parte dei lavoratori), e la correlativa necessitàdel sistema biometrico di identificazione.

4.3. Posto che il sistema di rilevazione biometrica installato daltitolare è finalizzato a consentire l'accesso all'intera area del cantiere,sulla base alla documentazione in atti, si deve pertanto rilevare che non sonostati compiutamente rappresentati elementi specifici, tali da ricondurrel'utilizzo di dati biometrici solo a casi particolari, tenuto conto dellefinalità e del contesto in cui essi sono trattati, e da poter ricondurre l'areain questione – per la natura dell'attività ivi svolta ovvero per lecaratteristiche del luogo nella sua interezza – nel novero delle"aree sensibili" (come indicato nelle Linee guida in materia ditrattamento di dati personali di lavoratori per finalità di gestione delrapporto di lavoro alle dipendenze di datori di lavoro privati – cfr.Provv. 23 novembre 2006, in G.U. 7 dicembre 2006, n. 285, punto 4; cfr. ancheil documento di lavoro sulla biometria WP193 adottato dal Gruppo art. 29 il 27aprile 2012, "Opinion 3/2012 on developments in biometrictechnologies"), in applicazione dei principi di necessità, proporzionalità,finalità e correttezza dettati dagli articoli 3 e 11 del Codice.

4.4. A ciò si aggiunga che, il sistema biometrico installato, comeevidenziato dalle risultanze istruttorie, prevede la centralizzazione delleinformazioni personali (in forma di template) in un unico database senza che lasocietà abbia rappresentato, anche qui in relazione al principio di necessitàdi cui all'art. 3 del Codice – che impone di configurare i sistemiinformativi in modo da ridurre al minimo l'utilizzazione di dati personali –specifiche esigenze tali da rendere inidonea, rispetto alle finalitàperseguite, la diversa modalità di trattamento consistente nella memorizzazionedelle informazioni su un supporto che resti nella esclusiva disponibilitàdell'interessato (vedi, in particolare, le citate Linee guida, punto 4.2., e,tra gli altri, Provv. 26 maggio 2011,nonché il citato documento WP193 adottato dal Gruppo art. 29).

5. Infine, tra i profili di illiceità del trattamento effettuato devealtresì essere menzionata la violazione dell'obbligo di fornire idoneainformativa in relazione al trattamento di dati biometrici relativi allemaestranze, dovuta nei confronti degli interessati ai sensi dell'art. 13 delCodice, che non è stato provato essere stata resa da parte di alcuno deico-titolari. Peraltro, anche con riferimento all'assolvimento dell'obbligo direndere l'informativa prevista dall'art. 13 del Codice in relazione ai datipersonali necessari alla predisposizione del cartellino identificativoconsegnato a ciascuno dei lavoratori, non consta che la stessa sia stata resa.Per quanto la finalità del trattamento potesse desumersi dalla previsionelegale concernente l'obbligo di esporre la tessera di riconoscimento –rientrante tra le istruzioni impartite in fase di induction – i restantielementi previsti dall'art. 13 del Codice (con particolare riferimentoall'indicazione dei titolari del trattamento e all'indicazione dei dirittiriconosciuti dalla legge a ciascun interessato) non risultano essere statiforniti agli interessati.

6. Del pari, non è stato comprovato dai co-titolari del trattamentosulla base di quale presupposto, ai sensi degli artt. 23 ovvero 24 del Codice,il trattamento dei dati, in particolare biometrici, riferiti alle maestranzesia stato effettuato. Non giova, a tal fine, la previsione contenuta allapagina 41 dell'allegato 2.1 L della menzionata "Descrizione dei servizi disoft logistic", che fa obbligo a Minotti di acquisire il consenso degliinteressati (più precisamente la documentazione prodotta in allegato alla notadi Hotel Gallia del 4 aprile 2012 prevede che "tutte le persone prima dientrare dovranno autorizzare il trattamento dei dati personali come previsto(DL n. 196/03) consenso al trattamento dei dati personali – apponendo laloro firma sul modulo allegato"): da un lato, perché nel modello prodottoil soggetto tenuto ad esprimere il consenso è l'impresa che svolge i lavoriall'interno del cantiere (e non i singoli lavoratori cui i dati siriferiscono); d'altro canto, perché nessuna dichiarazione di consenso da partedei lavoratori (anche altrimenti risultante) è stata prodotta (o comunqueprovata) nell'ambito del procedimento.

7. Alla luce di quanto esposto, questa Autorità ritiene che, allostato degli atti, il trattamento dei dati biometrici così come effettuato daHotel Gallia, BLL e Minotti per finalità di identificazione dei lavoratoriposti alle dipendenze delle imprese appaltatrici operanti all'interno delcantiere dell'Hotel Gallia sia effettuato in violazione dei principi dinecessità, liceità, pertinenza e non eccedenza rispetto agli scopi perseguiti(artt. 3 e 11, comma 1, del Codice), nonché delle disposizioni contenute negliartt. 13, 23 e 28 del Codice; conseguentemente, ai sensi degli artt. 154, comma1, lett. d), 144 e 143, comma 1, lett. c) del Codice, ritiene di dovernevietare l'ulteriore trattamento per le suesposte finalità, con effettoimmediato dalla data di ricezione del presente provvedimento.

Con riferimento al trattamento dei restanti dati personali necessarial rilascio delle tessere individuali di riconoscimento previste dall'art. 26,comma 8, d.lg. n. 81/2008, deve essere prescritto ai titolari di adottare lemisure necessarie affinché lo stesso sia reso conforme alla disciplina diprotezione dei dati personali, con particolare riferimento all'informativa darendere agli interessati in sede di accesso al cantiere (anche medianteaffissione di idonee informazioni presso la guardiania del cantiere ovverointegrando l'eventuale modulistica che ciascun interessato è chiamato acompilare per accedere al cantiere), dandone comunicazione, ai sensi dell'art.157 del Codice, a questa Autorità, senza ritardo e comunque entro e non oltresessanta giorni dal ricevimento del presente provvedimento.

L'Autorità si riserva di valutare con autonomo procedimento lasussistenza di violazioni amministrative in capo ai co-titolari deltrattamento, fatti salvi gli effetti dei procedimenti sanzionatori giàdefiniti.

TUTTO CIÒ PREMESSO ILGARANTE

con riferimento al descritto trattamento di dati personali effettuatida Excelsior Hotel Gallia s.r.l., Bovis Lend Lease s.r.l. e Impresa Minottis.r.l. nei termini di cui in motivazione:

a) dichiara illecito il trattamento dei dati biometrici riferiti ailavoratori, effettuato in violazione degli artt. 11, comma 1, 13 e 23, con laconseguente inutilizzabilità dei dati trattati in violazione di legge, ai sensidell'art. 11, comma 2 del Codice e dispone, ai sensi degli artt. 154, comma 1,lett. d), 144 e 143, comma 1, lett. c) del Codice, il divieto dell'ulterioretrattamento dei dati biometrici riferiti ai lavoratori con effetto immediatodalla data di ricezione del presente provvedimento;

b) rispetto ai dati personali riferiti ai lavoratori, diversi dai datibiometrici, necessari al rilascio delle tessere individuali di riconoscimentopreviste dall'art. 26, comma 8, d.lg. n. 81/2008, prescrive, ai sensi degliartt. 154, comma 1, lett. c) e 143, comma 1, lett. b) del Codice, di adottarele misure necessarie affinché i trattamenti effettuati siano resi conformi alladisciplina di protezione dei dati personali, con particolare riferimentoall'informativa da rendere agli interessati in sede di accesso al cantiere,dandone comunicazione a questa Autorità, ai sensi dell'art. 157 del Codice,senza ritardo e comunque entro e non oltre sessanta giorni dal ricevimento del presenteprovvedimento.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011,avverso il presente provvedimento può essere proposta opposizione all'autoritàgiudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogoove ha la residenza il titolare del trattamento dei dati, entro il termine ditrenta giorni dalla data di comunicazione del provvedimento stesso, ovvero disessanta giorni se il ricorrente risiede all'estero.

Roma, 13 settembre 2012

Il presidente
Soro

Il relatore
Califano

Il segretario generale
Busia