Garante per la protezione
    dei dati personali


Sistema biometrico di rilevazionedelle presenze dei dipendenti in una scuola

PROVVEDIMENTO DEL 1 AGOSTO 2013

Registro dei provvedimenti
 n. 384 del 1 agosto 2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e delladott.ssa Giovanna Bianchi Clerici, componenti, e del dott. Giuseppe Busia,segretario generale;

VISTOil d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei datipersonali, di seguito "Codice");

VISTEle segnalazioni pervenute in data 20 luglio, 14 agosto e 12 dicembre 2012;

ESAMINATEle risultanze istruttorie degli accertamenti effettuati in data 28 e 29novembre 2012 presso la sede del Liceo Scientifico Statale "GiuseppeBattaglini" di Taranto;

ESAMINATAla documentazione acquisita agli atti;

VISTEle osservazioni formulate dal segretario generale ai sensi dell'art. 15 delregolamento del Garante n. 1/2000;

RELATOREil dott. Antonello Soro;

PREMESSO

1.1.Il Garante, ricevute alcune segnalazioni (in data, rispettivamente, 20 luglio,14 agosto e 12 dicembre 2012) con le quali si lamentava che presso la sede delLiceo Scientifico Statale "Giuseppe Battaglini" di Taranto sarebbestato installato un sistema biometrico di rilevazione delle presenze deidipendenti, al fine di acquisire elementi necessari alla valutazione dellacomplessiva liceità dei trattamenti effettuati, ha disposto accertamenti inloco che sono stati eseguiti dal Nucleo Privacy della Guardia di finanza indata 28 e 29 novembre 2012.

1.2In particolare, in sede ispettiva, è emerso che:

a.secondo quanto dichiarato dal dirigente scolastico del Liceo, nel dicembre 2011sarebbe stata avanzata la proposta di installare "un sistema dirilevazione di impronte digitali per attestare l'orario di entrata e [Š] diuscita del personale ATA [amministrativo tecnico e ausiliario]", oggettoperaltro di una "ipotesi di accordo" con le rappresentanze sindacali(cfr. all. 1 al verbale del 28.11.2012);

b. concircolare del 7 luglio 2012 (prot. n. 8572/C1) indirizzata a tutto il personaleA.T.A. – successiva "all'installazione dell'apparecchio" –il dirigente scolastico ha comunicato che "dal giorno 10 luglio 2012l'accertamento della presenza sarà effettuato in tempo reale attraverso il sistemadi rilevazione automatica [Š]. Il riconoscimento del dipendente avverràattraverso un lettore di impronte digitali" (cfr. verbale 28.11.2012, All.3);

c. aseguito della presentazione – da parte di due dipendenti e di unarappresentanza sindacale – di alcune richieste di chiarimenti, ildirigente scolastico ha inviato una nota di risposta (successivamente inoltrataanche al Garante in data 7 agosto 2012) nella quale si precisa che "lasuddetta modalità di rilevazione [delle presenze] è stata oggetto di confrontocon la RSU di questo istituto", ciò alla luce di quanto stabilitodall'art. 92, comma 3, lett. g), del Ccnl 2006-2009 relativo al compartoscuola; nella nota si è altresì affermato che "il software di gestione [Š]ha solo la possibilità di ricevere [Š] le informazioni riguardanti gli orari dipassaggio dei dipendenti e non i loro dati biometrici" (cfr. verbale28.11.2012, p. 2 e All. 4);

d. leoperazioni di trattamento dei dati personali dei lavoratori sarebbero iniziatenel mese di settembre 2012, data in cui "sono state acquisite le improntedigitali dei dipendenti ATA per testare il sistema. Tutt'ora il sistema è infase di sperimentazione e verifica del funzionamento, anche in attesa delladefinizione dell'argomento da parte del Garante"; ad ogni buon conto"modalità ufficiale di rilevazione degli orari di entrata e di uscita delpersonale ATA" sarebbe costituita dall'apposizione della firmanell'apposito registro (cfr. verbale 28.11.2012, p. 2);

e. idipendenti sarebbero stati informati "sulle caratteristiche dell'impiantoe sulle modalità di utilizzo dello stesso" in sede di designazione degliincaricati del trattamento avvenuta in data 9 ottobre 2012 (cfr. verbale28.11.2012, p. 2);

f.quanto alle finalità perseguite con l'installazione del menzionato sistema, ildirigente ha rappresentato che "si è pensato di sostituire il registrodelle firme al fine di avere una puntuale ed attendibile verifica dellepresenze e degli ingressi nel luogo di lavoro; è stato escluso l'utilizzo del classicotesserino magnetico in quanto cedibile tra i dipendenti" (cfr. verbale28.11.2012, p. 3);

g. conriferimento alle caratteristiche del sistema installato – checonsentirebbe di estrarre "i principali dati caratteristici dell'immaginedell'impronta digitale, generando un «modello caratteristico» criptato,necessario per identificare l'utente, e senza conservare l'immaginedell'impronta digitale" – ed al suo funzionamento, a seguitodell'accesso al software di gestione effettuato nel corso dell' ispezione, èrisultato che a partire dal mese di settembre 2012 sono stati raccolti earchiviati dati personali dei dipendenti (cfr. verbale 29.11.2012, p. 2);

h.  secondoquanto dichiarato dal dirigente scolastico, il Liceo non ha provveduto adeffettuare la notificazione del trattamento di dati biometrici previstodall'art. 37 del Codice ritenendo dubbia la sussistenza dell'obbligo dinotificazione posto "che il sistema non conserva le immagini dell'improntadigitale"; tuttavia "[q]ualora si dovesse accertare che taletrattamento possa configurarsi come trattamento di dati biometrici, provvederemoad effettuare la notificazione al Garante prima dell'adozione di tale sistema,quale modalità di rilevazione ufficiale ed esclusiva delle presenze deidipendenti. [Š] in attesa di sciogliere i prefati dubbi, il Liceo [Š] sospenderàl'utilizzo del sistema di rilevazione delle presenze" (cfr. verbale29.11.2012, p. 3).

1.3.Ad integrazione degli elementi acquisiti in sede di accertamento, su richiestadell'Ufficio, con comunicazione dell'8 luglio 2013 il Liceo ha inviato copiadegli atti con i quali, in data 9 ottobre 2012, diciotto dipendenti sono statidesignati incaricati delle operazioni di trattamento, contenenti altresìinformazioni sintetiche sulle caratteristiche del sistema biometrico installatoe, con riguardo a quindici lavoratori, anche l'assenso a che"l'apparecchiatura [Š] installata presso la scuola, preved[a] ilrilevamento dell'impronta digitale allo scopo di poter registrare le [Š] entratee uscite dall'istituto".

2.1.Sulla base delle risultanze istruttorie risulta accertato che presso il Liceosono stati effettuati trattamenti di dati biometrici riferiti al personaleA.T.A. per finalità di rilevazione delle presenze con conseguente applicazionedella disciplina posta a tutela della protezione dei dati personali.

Comepiù volte ribadito dall'Autorità, infatti, le operazioni concernenti leimpronte digitali nonché i dati biometrici dalle stesse ricavati, sia conriguardo alla fase della raccolta che in relazione alla successivamemorizzazione ed utilizzo per le conseguenti operazioni di verifica eraffronto nell'ambito di procedure di autenticazione, integrando forme(distinte) di trattamento dei dati personali (cfr. art. 4, comma 1, lett. a) eb), del Codice), sono soggette alla disciplina del Codice (sul punto cfr., trai tanti, Provv. 19 novembre 1999; 26maggio 2011). Ciòanche nel caso in cui il rilievo dattiloscopico, temporaneamente raccolto aisoli fini del completamento della fase di enrollment, venga successivamenteutilizzato (sotto forma di codice numerico) per le menzionate operazioni diverifica e raffronto (Provv. n. 265 del 4 ottobre 2012; Provv.23 gennaio 2008; v.anche il Gruppo dei Garanti europei previsto dall'art. 29 della direttiva95/46/Ce (di seguito "Gruppo art. 29") dapprima nel Documento dilavoro sulla biometria, WP 80, adottato il 1 agosto 2003, punto 3.1, ed ancoranel Parere 3/2012 sugli sviluppi nelle tecnologie biometriche, WP193, adottatoil 27 aprile 2012, p. 5 s.).

2.2.Ciò premesso, deve rilevarsi che in relazione alla valutazione di liceità deitrattamenti dei dati biometrici riferiti a lavoratori, il Garante ha in piùoccasioni individuato le condizioni in presenza delle quali i trattamentimedesimi possono ritenersi leciti.

Inparticolare, l'Autorità ha precisato che tali dati possono essere di regolautilizzati solo in casi particolari, tenuto conto delle finalità perseguite daltitolare e del contesto in cui il trattamento viene effettuato, nonché –con specifico riguardo ai luoghi di lavoro – per presidiare l'accesso ad"aree sensibili" in considerazione della natura delle attività ivisvolte (cfr. , tra le decisioni più risalenti, Provv. 21 luglio 2005 e daultimo, con ulteriori richiami, Provv. del 31 gennaio 2013 n. 38).

Amente della prescrizione contenuta nella Regola 2 dell'allegato B) al Codice,il Garante ha poi talvolta prescritto, in relazione a particolari operazioni ditrattamento di dati personali, il ricorso a tecniche biometriche diautenticazione quale necessaria misura di sicurezza (cfr., ad esempio, inrelazione ad operazioni concernenti i dati di traffico telefonico e telematico,il Provv. 17 gennaio 2008; Provv.
14febbraio 2013, n. 64).

Daultimo, l'Autorità ha altresì riconosciuto la legittimità nonché laproporzionalità del trattamento di dati biometrici per finalità diautenticazione dell'utente nell'ambito di servizi di firma digitale remota(cfr. Provv. 31 gennaio 2013).

2.3.Tali presupposti non risultano tuttavia ricorrere nella fattispecie in esame,posto che il sistema biometrico risulta essere stato installato presso il Liceoallo scopo di effettuare la rilevazione delle presenze dei dipendenti. A taleproposito, con riferimento all'applicazione dei principi di necessità nonché dipertinenza e non eccedenza (art. 11, comma 1, lett. d), del Codice) deitrattamenti effettuati in relazione alle finalità perseguite, il Garante ha diregola ritenuto sproporzionato l'impiego generalizzato di dati biometrici perfinalità di rilevazione delle presenze dei lavoratori (cfr. Provv. del 31gennaio 2013 n. 38; v. già le Linee guida in materia ditrattamento di dati personali di lavoratori per finalità di gestione delrapporto di lavoro in ambito pubblico del 14 giugno 2007, punto 7.1; questoorientamento è stato condiviso, proprio in sede di impugnazione diun'ordinanza-ingiunzione dell'Autorità, dal Trib. Prato, 19 settembre 2011).Tale valutazione tiene conto della possibilità di utilizzare idonee modalitàalternative adottando soluzionitecnico-organizzative che non incidano sulla libertà e la dignità stessa deilavoratori interessati (art. 2 del Codice) preordinate all'accertamento parimenti efficace e rigoroso dell'effettivapresenza dei dipendenti in servizio.

Iltitolare del trattamento, infatti, allo scopo di verificare il puntualerispetto dell'orario di lavoro ben può disporre di altri (più"ordinari") sistemi, meno invasivi della sfera personale nonché dellalibertà individuale del lavoratore, che non ne coinvolgano la dimensionecorporale (cfr. Provv. 31 gennaio 2013, n. 38; conspecifico riferimento all'impiego di analoghi sistemi di rilevazione in ambitoscolastico cfr. Provv.ti 30 maggio 2013 e 30 maggio 2013).Aspetti, questi, costitutivi della dignità personale, a presidio della qualesono dettate le discipline di protezione dei dati personali, come emergedall'art. 2 del Codice. I sistemi basati sull'utilizzo di tecnologie biometriche,infatti, possono operare solo con l'attiva collaborazione personale deilavoratori interessati in assenza di puntuali disposizioni che la impongano (v.anche Gruppo art. 29, WP193, Parere 3/2012, cit., p. 12, secondo cui "ildatore di lavoro è sempre tenuto a cercare i mezzi meno invasivi scegliendo, sepossibile, un procedimento non biometrico" ).

2.4.Alla luce di tali orientamenti e degli elementi in atti, non risulta che nelcaso specifico ricorrano i suindicati presupposti di legittimità, non essendostati addotti circostanziati elementi, strettamente rapportati alla specificarealtà lavorativa in esame, da cui si possa effettivamente arguire l'inidoneitàdi ordinarie misure di controllo e, correlativamente, la reale indispensabilitàdel trattamento dei dati biometrici dei lavoratori per la finalità suindicata.

Alcontrario, risulta che la scelta a favore del sistema biometrico sia stataeffettuata in ragione dell'astratta possibilità di utilizzo abusivo dei piùtradizionali strumenti automatici di rilevazione delle presenze d'uso comune(quali i badge) (cfr. verbale del 28 novembre 2012, p. 3), né il titolare deltrattamento ha riferito che gli ordinari controlli, se del caso a campione,circa la presenza dei lavoratori presso l'istituto scolastico, effettuati peril tramite del personale direttivo (sul quale anzitutto incombe la verificaquotidiana, peraltro di immediata evidenza e comunque di agevole accertamentoall'interno di un istituto scolastico), siano risultati insufficienti.

Peraltrotali verifiche appaiono di agevole realizzazione con riguardo ai dipendentidell'Istituto – rispetto ai quali non sono stati evidenziaticomportamenti abusivi né ipotesi di inadempimento rispetto all'esecuzione dellaprestazione dovuta.

Piùin generale, va poi considerato che il trattamento dei dati biometrici per lafinalità qui considerata, oltre ad essere in linea di principio (nonché, perquanto detto, nel caso di specie) sproporzionato, potrebbe comunque in concretorivelarsi di scarsa utilità nel contrasto di eventuali casi di allontanamentodal servizio atteso che tale modalità di rilevazione delle presenze, in difettodi efficaci sistemi di controllo e vigilanza sull'effettiva (operosa) presenzadei lavoratori durante l'arco dell'intera giornata lavorativa, non è di per séin grado di assicurare l'effettiva presenza sul luogo di lavoro di dipendentiinfedeli.

2.5.Nel caso considerato il trattamento risulta altresì essere stato effettuato inviolazione della disciplina di protezione dei dati con riferimento al principiodi correttezza (art. 11, comma 1, lett. a), del Codice) – atteso che nelcorso dell'interlocuzione con i lavoratori che ha preceduto l'installazione delsistema non sono state chiaramente evidenziate le modalità peculiari deltrattamento che si sarebbe effettuato (consistenti nell'impiego di tecnologiebiometriche), rappresentandosi, in sede di redazione dell'ipotesi di accordorelativo alla stipula del contratto collettivo integrativo d'Istituto del29.12.2011 (all. 1, verbale 28.11.2012 cit.), che "l'accertamento dellapresenza [risulterà] attraverso un sistema di rilevazione automatica" (art.25, lett. b) – nonché in ragione dell'inidoneità delle informazioni reseagli interessati ai sensi dell'art. 13 del Codice.

Aquest'ultimo proposito, infatti, non è risultato comprovato che le necessarieinformazioni richieste dall'art. 13 del Codice siano state rese preventivamenteal personale: in atti risultano copie delle designazioni di personale A.T.A. adincaricati del trattamento (cfr. all. 6 al verbale 28.11.2012 e nota dell'8luglio 2013) contenenti altresì (con l'esclusione di tre lavoratori)l'"accettazione" della rilevazione della presenza tramite sistemabiometrico e la contestuale indicazione di talune informazioni riferiteall'apparecchiatura già installata presso l'istituto. Atteso, tuttavia, chetali designazioni recano la data del 9 ottobre 2012 e che le operazioni ditrattamento dei dati biometrici dei dipendenti, secondo quanto dichiarato dalLiceo, sono iniziate nel mese di settembre 2012, non risulta essere statafornita agli interessati  l'informativa – completa degli elementi indicati nell'art. 13 del Codice – anteriormenteall'installazione del sistema biometrico e alla sua effettiva attivazione.

2.6.Deve infine rilevarsi che non consta che l'Istituto abbia provveduto alladovuta notificazione del trattamento ai sensi dell'art. 37, comma 1, lett. a),del Codice, profilo per il quale l'Autorità si riserva di contestare, conautonomo procedimento, la relativa violazione amministrativa.

2.7.Tanto premesso, il Garante, ritenuto che il trattamento effettuatodall'Istituto nel caso di specie sia avvenuto in violazione dei principi diliceità, correttezza, necessità, pertinenza e non eccedenza rispetto agli scopiperseguiti (artt. 11, comma 1, lett. a) e d) del Codice), nonché in violazionedell'art. 13 del Codice dichiara illecito il trattamento dei dati biometriciriferiti ai lavoratori e ne dispone il divieto ai sensi degli artt. 154, comma1, lett. d), 144 e 143, comma 1, lett. c), del Codice.

2.8.L'Autorità si riserva di valutare con autonomo procedimento la sussistenza diviolazioni amministrative, con particolare riferimento all'omessa notificazioneal Garante del trattamento dei dati biometrici (art. 37, comma 1, lett. a), delCodice) nonché all'inidonea informativa agli interessati rispetto altrattamento effettuato (art. 13 del Codice).

TUTTO CIO' PREMESSO, IL GARANTE

inrelazione ai descritti trattamenti di dati personali effettuati dal LiceoScientifico Statale "Giuseppe Battaglini" di Taranto dichiaraillecito, nei termini di cui in motivazione, il trattamento dei dati biometriciriferiti ai lavoratori e, ai sensi degli artt. 154, comma 1, lett. d), 144 e143, comma 1, lett. c), del Codice, ne vieta l'ulteriore trattamento.

Aisensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso ilpresente provvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 1 agosto 2013

Il presidente
Soro

Il relatore
Soro

Il segretario generale
Busia