| Garante per la protezione dei dati personali Trattamento sproporzionato di dati biometrici dei dipendenti per finalità di accesso alla sede aziendale PROVVEDIMENTO DEL 10MARZO 2011 Registro dei provvedimenti n. 100 del 10marzo 2011 IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI NELLA RIUNIONE ODIERNA, in presenza del prof. Francesco Pizzetti,presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. MauroPaissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele DePaoli, segretario generale; VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezionedei dati personali); VISTO il punto 4 delle " VISTA la nota del 17 luglio 2009, con cui A.B. harappresentato l'esistenza, presso la sede di Logos S.p.A. (società checontrolla imprese operanti principalmente nel campo delle traduzioni e deiservizi di interpretariato e presso cui il segnalante ha collaborato inpassato), di un sistema di rilevazione delle impronte digitali dei lavoratoriper finalità di accesso ai locali della società; VISTO il riscontro fornito in data 7 dicembre 2009, con cui la società,a seguito della richiesta di chiarimenti formulata dall'Autorità, ai sensi eper gli effetti di cui all'art. 168 del Codice ha dichiarato di aver installatoil sistema in esame "per ragioni di sicurezza ed incolumità dei luoghie delle persone", attenendo esso "unicamente alla sfera dellasalvaguardia dei locali ove si svolge l'attività di impresa e dei relativibeni, anche immateriali, ivi contenuti"; PRESO ATTO delle precisazioni rese, con particolare riferimento allemodalità di funzionamento del sistema, il quale opererebbe secondo la seguentelogica: "1. Acquisizione del dato biometrico (impronta digitale); 2.Elaborazione istantanea del dato biometrico da parte del programma software, edimmediata trasformazione in codice numerico; 3. Registrazione del codicenumerico; 4. Utilizzo del solo codice numerico per il riconoscimento dellapersona"; RILEVATO che detto sistema, secondo quanto preliminarmente riferito,non consentirebbe "di risalire all'identità dei soggetti rilevati",permettendo alla società "unicamente [di] conoscere il numero degliaccessi avvenuti, ma nessuna informazione su chi, in particolare, o quantevolte abbia avuto accesso alla struttura"; RILEVATO che, in base alle dichiarazioni rese, il "calcolodelle ore di lavoro [prestate dai dipendenti] non avviene affatto tramite ilsistema di acquisizione del dato biometrico [Š], bensì nei moditradizionali"; PRESO ATTO che, secondo la società, "la compatibilità di talesistema con i principi di necessità, finalità e proporzionalità di cui alCodice Privacy deriva in realtà dall'esigenza, comune a qualsiasi soggettodell'ordinamento [Š] di tutelare la propria sede da accessi di soggetti esterninon autorizzati"; VISTA l'ulteriore comunicazione del 25 marzo 2010, con cui la società –nelchiarire di aver installato il sistema "a seguito di una serie diintrusioni avvenute nei locali della società da parte di personale nonautorizzato che ha sottratto effetti personali dei lavoratori e danneggiatostrumentazioni aziendali", ritenendo "l'utilizzo di strumentialternativi quali servizio di portineria fisso o l'utilizzo di badge [Š] nonrisolutivi"– ha confermato di perseguire con lo strumento inesame "finalità di tutela dell'incolumità dei lavoratori, dei loro benipersonali [Š] e degli strumenti dell'azienda"; VISTE le precisazioni rese, con particolare riferimento allamemorizzazione in una banca dati centralizzata delle informazioni acquisite ("icodici sono conservati sulla memoria del lettore stand alone, custoditoall'interno dello stabile aziendale e protetto da software con user epassword") e –diversamente da quanto originariamente sostenuto–alla riconducibilità delle stesse agli interessati ("non risultapossibilità di associare detti codici a dati dei soggetti autorizzatiall'ingresso diversi dal nome"); PRESO ATTO che, secondo la società, "non esiste il rischio dicontrollo a distanza dei lavoratori in quanto il meccanismo in questione [Š]non controlla l'uscita degli stessi dalla sede", non esistendo"analoga regolazione per l'uscita, che avviene manualmente, né èinstallato alcun tornello o meccanismo analogo"; RILEVATO che la società ha dichiarato che "agli interessati èstata preventivamente messa a disposizione [l']informativa sul trattamento deidati, informativa tutt'ora affissa in azienda", che "è statoaltresì raccolto [il loro] consenso scritto" e che per "coloroche non hanno ritenuto di fornire il [proprio] consenso" è statacomunque prevista la possibilità di accedere "attraverso l'ordinariocitofono che è stato conservato accanto al nuovo sistema"; RILEVATO che presso la società risulta già installato un sistema diallarme (benché inattivo durante l'orario di lavoro) e che l'impiego di sistemialternativi a quello biometrico (servizio di portineria; badge) è statooggetto di mera considerazione da parte della società ("sono statiesaminati in passato ma ritenuti non risolutivi"); RITENUTO che, alla luce delle dichiarazioni rese (che hannoevidenziato una generica necessità di "salvaguardia dei locali ove sisvolge l'attività di impresa e dei relativi beni, anche immateriali, ivicontenuti"), allo stato non risulta dimostrata l'esistenza dieventuali "aree sensibili" che astrattamente possanogiustificare l'utilizzo, da parte della società, di dati biometrici deilavoratori in ragione della natura delle attività ivi svolte (cfr. p.4.1 delle citate Linee guida; cfr. altresì, ex multis, Provv.15 giugno 2006; Provv. 23 novembre 2005; Provv. 15 giugno 2006; Provv. 26 luglio 2006). Ciò, nonostante le richieste dichiarimenti in tal senso formulate dall'ufficio; CONSIDERATO che, allo stato degli atti, non risulta neanche provatoche il trattamento di dati biometrici sia conforme ai principi di necessità(art. 3 del Codice) e proporzionalità (art. 11, comma 1, lett. d) del Codice),atteso che la società risulta essersi già dotata di un sistema di allarme e chenon risulta nemmeno documentata l'effettiva inefficacia delle ulteriori misuredi protezione prospettate dalla società ("servizio di portineria"e "utilizzo di badge") rispetto alle dichiarate esigenze ditutela; RITENUTO, altresì, che le modalità di trattamento attualmenteosservate non rispettino le prescrizioni formulate dal Garante al punto 4 dellecitate "Linee guida", non avendo la società fornito un'adeguatamotivazione per giustificare la scelta di centralizzare in una banca dati leinformazioni personali trattate in occasione del riconoscimento biometrico,anziché privilegiare una loro trasposizione su supporti lasciati nell'esclusivadisponibilità degli interessati (smart card o dispositivi analoghi); RILEVATO che la società non ha provveduto a notificare il trattamentoconformemente a quanto previsto dall'art. 37 del Codice; CONSIDERATO che il Garante può disporre il divieto del trattamentoillecito o non corretto dei dati, ai sensi dell'art. 154, comma 1, lett. d) delCodice; RITENUTO, pertanto, sulla scorta delle attuali risultanze istruttorie,di dover disporre nei confronti di Logos S.p.A. il divieto dell'ulterioretrattamento dei dati biometrici dei dipendenti per finalità di accesso allasede aziendale (artt. 143, comma 1, lett. c), 144 e 154, comma 1, lett. d) delCodice); FATTA salva la verifica, con autonomo procedimento, deipresupposti per l'eventuale contestazione della violazione amministrativa dicui all'art. 163 del Codice; RILEVATO che, in caso di inosservanza del presente provvedimento, sirenderà applicabile la sanzione di cui all'art. 170 del Codice; VISTE le osservazioni formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000; RELATORE il prof. Francesco Pizzetti; TUTTO CIÒ PREMESSO ILGARANTE ai sensi degli artt. 143, comma 1, lett. c), 144 e 154, comma 1, lett.d) del Codice, dispone nei confronti di Logos S.p.A. il divieto dell'ulterioretrattamento dei dati biometrici dei dipendenti per finalità di accesso allasede aziendale, perché in violazione degli artt. 3 e 11, comma 1, lett. d) delCodice. Roma, 10 marzo 2011
|