Garante per la protezione
    dei dati personali


Installazione in un istitutoscolastico di un dispositivo a riconoscimento biometrico (impronta digitale)per finalità di controllo del rispetto dell'orario di servizio

PROVVEDIMENTO DEL 30 MAGGIO 2013

Registro dei provvedimenti
n. 262 del 30 maggio 2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e delladott.ssa Giovanna Bianchi Clerici, componenti, e del dott. Giuseppe Busia,segretario generale;

VISTOil d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei datipersonali, di seguito "Codice");

VISTAla segnalazione inviata al Garante il 31 ottobre 2012;

ESAMINATAla documentazione acquisita agli atti;

VISTEle osservazioni formulate dal segretario generale ai sensi dell'art. 15 delregolamento del Garante n. 1/2000;

RELATOREla prof.ssa Licia Califano;

PREMESSO

1.Con segnalazione del 31 ottobre 2012 si è lamentato che presso l'IstitutoTecnico Industriale "Ettore Majorana" di Martina Franca (di seguito,Istituto) sarebbe stato installato un dispositivo "a riconoscimentobiometrico (impronta digitale)" per finalità di "controllo delrispetto dell'orario di servizio" del personale amministrativo tecnico eausiliario (c.d. A.T.A.) senza che allo stesso fosse stata prestata una"informativa specifica" (anche per quanto riguarda l'indicazionedelle categorie di soggetti che hanno accesso ai dati personali biometricitrattati). Tale trattamento, secondo quanto lamentato, non rispetterebbe lecondizioni di liceità stabilite dal Garante in relazione ai dati biometrici deilavoratori.

2.Il dirigente scolastico dell'Istituto, con nota del 10 dicembre 2012 (inviata inrisposta alla richiesta di informazioni dell'Ufficio), ha rappresentato –con dichiarazioni della cui veridicità si può essere chiamati a rispondere aisensi dell'art. 168 del Codice – che:

a. apartire dal 28 novembre 2011 è stato adottato per il personale A.T.A. un"sistema di rilevazione delle presenze con sistema ad improntacapacitivo";

b.l'adozione di tale sistema è stato ritenuto "indispensabile [Š] persoddisfare specifiche esigenze [Š] di sicurezza di beni e persone, anche allaluce di circostanze e situazioni concrete di elevato rischio", inparticolare a causa del verificarsi di "numerosi casi di allontanamentoe/o di ritardo dal servizio dopo aver [Š] regolarmente firmato il foglio dellepresenze" cui hanno fatto seguito, nei confronti di due dipendenti,l'avvio di procedimenti disciplinari nonché l'effettuazione di segnalazionialla Procura delle Repubblica;

c. inpassato presso l'Istituto si sono verificati casi di "sparizione didocumenti riservatissimi" e, comunque, si è reso necessario "presidiarearee sensibili [quali] locali destinati a custodia dei beni e di documentiriservati [nonché] garantire la sicurezza delle singole persone";

d.l'eventuale adozione di un (diverso) sistema di rilevazione delle presenzebasato sull'attribuzione di badge individuali è stata ritenuta inidonea alloscopo, "atteso che non è infrequente che tra i dipendenti ci si possascambiare [il] badge";

e. ildirigente scolastico ha provveduto ad informare "tutto il personaleA.T.A." circa la decisione di adottare il menzionato sistema dirilevazione presenze, sia verbalmente – ricevendo, antecedentementeall'adozione del nuovo sistema, "da tutto il personale, tranne uno, ilnullaosta all'uso del terminale con funzionalità biometriche" – siacon apposita circolare (non prodotta in atti) distribuita in un momentosuccessivo all'installazione del sistema;

f.quanto alle caratteristiche del sistema adottato, l'Istituto ha prodotto undocumento ("Idoneità ai sensi della normativa sulla privacy (D. Lgs.196/2003) e delle norme di diritto del lavoro") rilasciato dalla societàche ha prodotto ed installato il dispositivo medesimo; tale documento attestache "l'immagine acquisita dal terminale dell'impronta digitale vienememorizzata all'interno del sensore, solo per il tempo necessario a creare unastringa di caratteri numerici, e quindi viene immediatamente distrutta; dallastringa [Š] così creata non è possibile ricostruire l'immagine dell'improntadigitale";

g. purritenendo di aver rispettato la normativa vigente, il dirigente scolastico hadichiarato che "qualora il Garante dovesse riscontrare la violazione dialcune norme sulla privacy, sin da ora si manifesta la più ampia disponibilitàad adottare le misure e gli accorgimenti necessari a garanzia degliinteressati".

3.1.Sulla base delle risultanze istruttorie risulta accertato che presso l'Istitutosono stati effettuati trattamenti di dati biometrici del personale A.T.A. perfinalità di rilevazione delle presenze con conseguente applicazione delladisciplina posta a tutela della protezione dei dati personali.

Comepiù volte ribadito dall'Autorità, infatti, le operazioni concernenti leimpronte digitali nonché i dati biometrici dalle stesse ricavati, sia conriguardo alla fase della raccolta che in relazione alla successivamemorizzazione ed utilizzo per le conseguenti operazioni di verifica eraffronto nell'ambito di procedure di autenticazione, integrando forme(distinte) di trattamento dei dati personali (cfr. art. 4, comma 1, lett. a) eb), del Codice), sono soggette alla disciplina del Codice (sul punto cfr., trai tanti, Provv. 19 novembre 1999; 26 maggio 2011). Ciò anche nel caso in cui il rilievo dattiloscopico,temporaneamente raccolto ai soli fini del completamento della fase dienrollment, venga successivamente utilizzato (sotto forma di codice numerico)per le menzionate operazioni di verifica e raffronto (Provv. n. 265 del 4ottobre 2012; Provv. 23 gennaio 2008; v. anche il Gruppo dei garanti europei previstodall'art. 29 della direttiva 95/46/Ce (di seguito "Gruppo art. 29")dapprima nel Documento di lavoro sulla biometria, WP 80, adottato il 1° agosto2003, punto 3.1 ed ancora nel Parere 3/2012 sugli sviluppi nelle tecnologiebiometriche, WP193, adottato il 27 aprile 2012, p. 5 s.).

3.2.Ciò premesso, deve rilevarsi che in relazione alla valutazione di liceità deitrattamenti dei dati biometrici riferiti a lavoratori, il Garante ha in piùoccasioni individuato le condizioni in presenza delle quali i trattamentimedesimi possono ritenersi leciti.

Inparticolare, l'Autorità ha precisato che tali dati possono essere di regola utilizzatisolo in casi particolari, tenuto conto delle finalità perseguite dal titolare edel contesto in cui il trattamento viene effettuato, nonché – conspecifico riguardo ai luoghi di lavoro – per presidiare l'accesso ad"aree sensibili" in considerazione della natura delle attività ivisvolte (cfr., tra le decisioni più risalenti, Provv. 21 luglio 2005e da ultimo, con ulteriori richiami,  Provv. del31 gennaio 2013 n. 38).

Amente della prescrizione contenuta nella Regola 2 dell'allegato B) al Codice,il Garante ha poi talvolta prescritto, in relazione a particolari operazioni ditrattamento di dati personali, il ricorso a tecniche biometriche diautenticazione quale necessaria misura di sicurezza (cfr., ad esempio, inrelazione ad operazioni concernenti i dati di traffico telefonico e telematico,il Provv. 17 gennaio 2008; Provv. 14 febbraio 2013, n. 64).

Daultimo, l'Autorità ha altresì riconosciuto la legittimità nonché laproporzionalità del trattamento di dati biometrici per finalità diautenticazione dell'utente nell'ambito di servizi di firma digitale remota(cfr. Provv. 31 gennaio 2013).

3.3.Tali presupposti non risultano tuttavia ricorrere nella fattispecie in esame,posto che il sistema biometrico risulta essere stato installato pressol'Istituto allo scopo di effettuare la rilevazione delle presenze deidipendenti. A tale proposito, con riferimento all'applicazione dei principi dinecessità, nonché di pertinenza e non eccedenza (art. 11, comma 1, lett. d),del Codice) dei trattamenti effettuati in relazione alle finalità perseguite,il Garante ha di regola ritenuto sproporzionato l'impiego generalizzato di datibiometrici per finalità di rilevazione delle presenze dei lavoratori (cfr., daultimo, Provv. 31 gennaio 2013; v. già le Linee guida in materia di trattamento didati personali di lavoratori per finalità di gestione del rapporto di lavoro inambito pubblico del 14 giugno 2007, punto 7.1; questo orientamento è stato condiviso, proprio insede di impugnazione di un'ordinanza-ingiunzione dell'Autorità, dal Trib.Prato, 19 settembre 2011). Tale valutazione tiene conto della possibilità diutilizzare idonee modalità alternative adottando soluzioni tecnico-organizzative che non incidano sulla libertà e ladignità stessa dei lavoratori interessati (art. 2 del Codice) preordinate all'accertamentoparimenti efficace e rigoroso dell'effettiva presenza dei dipendenti inservizio.

Iltitolare del trattamento, infatti, allo scopo di verificare il puntualerispetto dell'orario di lavoro ben può disporre di altre (più"ordinarie") misure, meno invasive della sfera personale nonché dellalibertà individuale del lavoratore, che non ne coinvolgano la dimensionecorporale. Aspetti, questi, costitutivi della dignità personale, a presidiodella quale sono dettate le discipline di protezione dei dati personali, comeemerge dall'art. 2 del Codice (cfr. Provv. del 31 gennaio 2013 n. 38). I sistemi basati sull'utilizzo di tecnologiebiometriche, infatti, possono operare  solo con l'attiva collaborazionepersonale dei lavoratori interessati in assenza di puntuali disposizioni che laimpongano (v. anche Gruppo art. 29, WP193, Parere 3/2012, cit., p. 12, secondocui  "il datore di lavoro è sempre tenuto a cercare i mezzi menoinvasivi scegliendo, se possibile, un procedimento non biometrico" (cfr.).

3.4.Alla luce di tali orientamenti – che l'Ufficio del Garante aveva giàrappresentato al dirigente scolastico dell'Istituto con nota del 12 gennaio2012, inviata in risposta ad una richiesta di chiarimenti in materia – edegli elementi in atti, non risulta che nel caso specifico ricorrano isuindicati presupposti di liceità del trattamento.

Invero,l'Istituto ha dichiarato di aver installato il sistema in esame ritenendoinidonei strumenti di controllo delle presenze alternativi (ad esempio il badgeindividuale) in vista della "necessità di prevenire [Š] condotteabusive" (indicate nel possibile "scambio dei badge e nellosmarrimento degli stessi", eventi peraltro non equiparabili), eventualitàrappresentate dal titolare del trattamento in termini astratti ed ipotetici.Non sono stati addotti invece circostanziati elementi, strettamente rapportatialla specifica realtà lavorativa (quali, ad esempio, circostanze di fattoconcernenti il personale tali da ostacolare un'agevole verifica della correttaesecuzione delle prestazioni lavorative), da cui si possa effettivamentearguire l'inidoneità di ordinarie misure di controllo e, correlativamente, lareale indispensabilità del trattamento dei dati biometrici dei lavoratori perla finalità suindicata. Al contrario, risulta che, a fronte del verificarsi dicasi di allontanamento dal luogo di lavoro o di ritardo nel prendere servizio,l'Istituto sia stato in condizione di contestare addebiti disciplinari neiconfronti di due dipendenti (senza precisarne l'esito), provvedendo a segnalarei casi all'autorità giudiziaria.

Néè risultata comprovata (ma solo allegata) l'inefficacia del possibile utilizzodegli strumenti automatici di rilevazione delle presenze d'uso comune (si pensia badge marcatempo, se del caso associati ad un codice individuale per ostacolarnel'impiego abusivo), la cui adozione da tempo è stata prevista dal legislatore(cfr. art. 22, comma 3, l. 23 dicembre 1994, n. 724, Misure dirazionalizzazione della finanza pubblica e già art. 7, comma 4, d.P.R. 1°febbraio 1986, n. 13; in tempi meno risalenti v. pure art. 3, comma 83, l. 24dicembre 2007, n. 244, Legge finanziaria 2008, disposizioni che peraltro noncontengono riferimento alcuno ai sistemi biometrici), come pure degli ordinaricontrolli, se del caso a campione, circa la presenza dei lavoratori (che solo adomanda possono assentarsi temporaneamente dal lavoro), da effettuarsi per iltramite del personale direttivo (sul quale anzitutto incombe la verificaquotidiana, peraltro di immediata evidenza e comunque di agevole accertamento all'internodi un istituto scolastico). Verifiche, queste, di agevole realizzazione, tenutoaltresì conto di quanto affermato dal dirigente scolastico circa il personaleche è, per "la maggior parte, [Š] sempre puntuale, sia nell'arrivo sulluogo di lavoro che nell'uscita"–, delle quali nel caso di specienon è stata dimostrata l'inefficacia e che possono comunque conteneresignificativamente il rischio di pratiche abusive (potendo queste ultimeperaltro configurarsi quali violazioni di carattere penale, oltre chedisciplinare e contabile).

Peraltroil trattamento dei dati biometrici per la finalità qui considerata, oltre adessere in linea di principio (nonché, per quanto detto, nel caso di specie)sproporzionato, potrebbe comunque in concreto rivelarsi di scarsa utilità nelcontrasto delle asserite (pur limitate) ipotesi di allontanamento dal servizio,atteso che, in difetto di efficaci sistemi di controllo e vigilanzasull'effettiva (operosa) presenza dei lavoratori durante l'arco dell'interagiornata lavorativa, la prospettata modalità di rilevazione delle presenze non èdi per sé in grado di assicurare l'effettiva presenza sul luogo di lavoro didipendenti infedeli.

3.5.Ciò non toglie, come enunciato anche nel presente provvedimento (cfr. par.3.2), che l'utilizzo di sistemi biometrici, anche nell'ambito dell'Istituto,possa legittimamente avere luogo limitatamente alla diversa finalità delcontrollo degli accessi in aree del medesimo nelle quali sia custoditadocumentazione riservata od attrezzature di particolare valore (circostanzarispetto alla quale, in base alla documentazione in atti, non sono statiperaltro  forniti concreti elementi di valutazione, né indicate leporzioni di edificio eventualmente interessate da tale specifica esigenza).

3.6.Deve infine rilevarsi che non consta che l'Istituto abbia provveduto alladovuta notificazione del trattamento ai sensi dell'art. 37, comma 1, lett. a),del Codice, profilo per il quale l'Autorità si riserva di contestare, conautonomo procedimento, la relativa violazione amministrativa.

3.7.Tanto premesso, il Garante, ritenuto che il trattamento effettuatodall'Istituto nel caso di specie sia avvenuto in violazione dei principi diliceità, necessità, pertinenza e non eccedenza rispetto agli scopi perseguiti(artt. 11, comma 1, lett. a) e d) del Codice), dichiara illecito il trattamentodei dati biometrici riferiti ai lavoratori e ne dispone il divieto ai sensi degliartt. 154, comma 1, lett. d), 144 e 143, comma 1, lett. c), del Codice.

TUTTO CIO' PREMESSO, IL GARANTE

inrelazione ai descritti trattamenti di dati personali effettuati dall'IstitutoTecnico Industriale "Ettore Majorana" di Martina Franca dichiara illecito,nei termini di cui in motivazione, il trattamento dei dati biometrici riferitiai lavoratori e, ai sensi degli artt. 154, comma 1, lett. d), 144 e 143, comma1, lett. c), del Codice, ne vieta l'ulteriore trattamento.

Aisensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso ilpresente provvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 30 maggio 2013

Il presidente
Soro

Il relatore
Califano

Il segretario generale
Busia