Trattamento di dati biometrici ricavati dalla lettura delle impronte digitali - Verifica preliminare

Trattamento di dati biometrici ricavatidalla lettura delle impronte digitali - Verifica preliminare

PROVVEDIMENTO DEL 10 GIUGNO 2011

Registro dei provvedimenti n. 228 del10 giugno 2011

IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti,presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. MauroPaissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele DePaoli, segretario generale;

VISTA la richiesta di verifica preliminare presentata da XYs.r.l., in ordine al trattamento di dati personali dei dipendenti medianterilevazione di dati biometrici;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30giugno 2003, n. 196);

VISTA la deliberazione del Garante n. 53 del 23novembre 2006, recante "Linee guida in materia di trattamento di datipersonali di lavoratori per finalit‡ di gestione del rapporto di lavoro alledipendenze di datori di lavoro privati";

VISTE le osservazioni formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Mauro Paissan;

PREMESSO

1. Trattamento di dati personali biometricidi dipendenti con finalit‡ di accesso a particolari aree aziendali XY s.r.l.,societ‡ che opera nel settore della sicurezza privata, ha presentato unarichiesta di verifica preliminare ai sensi dell'art. 17 del Codice relativa altrattamento di dati biometrici ricavati dalla lettura delle impronte digitaliriferite ad un numero ristretto di dipendenti. Tale trattamento Ë finalizzato aconsentire l'accesso dei lavoratori a determinate aree dello stabile aziendalesito in Roma, denominate "area valori" e "sala contazione",destinate alla custodia di beni di rilevante valore. L'accesso a tali aree daparte dei dipendenti, organizzati in pi˘ turni di lavoro, ha luogo, nell'arcodell'intero anno solare, durante l'intera giornata.

Il sistema di autenticazione biometrica, che non comunica con altrisistemi informativi della societ‡, Ë finalizzato esclusivamente a"limitare l'accesso al complesso ai soli soggetti autorizzati" (cfr.nota 31 agosto 2010) e non viene utilizzato per finalit‡ ulteriori: inparticolare la societ‡ esclude il suo impiego per "rilevare la presenzadei dipendenti e [ä] per vigilare sulle attivit‡ lavorate" (cfr.comunicazione 5 gennaio 2011, in atti).

Come da ultimo dichiarato dalla societ‡ nella comunicazione del 24maggio 2011 (a precisazione dell'istanza originariamente presentata cheprevedeva anche l'identificazione biometrica dei singoli lavoratori), iltrattamento oggetto della richiesta di verifica preliminare Ë limitato allasola "finalit‡ di autorizzazione all'accesso nelle aree c.d.riservate", sÏ che "da parte della societ‡ non sar‡ effettuata alcunaforma di trattamento che comporti la conservazione" dei dati relativi agliaccessi effettuati dai lavoratori (segnatamente, dell'orario e di elementiidentificativi riferiti a chi accede).

Il sistema che si intende utilizzare, la cui installazione e gestioneverr‡ rimessa ad altra societ‡ da designarsi responsabile del trattamento (comedichiarato dalla societ‡ nella comunicazione del 5 gennaio 2011), presuppone,nella c.d. fase di enrollment, una raccolta di dati biometrici medianteapparecchiature dotate di lettore di impronte digitali che (grazie ad un"sensore capacitivo") generano (mediante un apposito software) untemplate destinato ad essere archiviato nella memoria interna unitamente a uncodice numerico individuale dei dispositivi che consentono di accedere allearee riservate. L'anagrafica degli interessati e i relativi codici numericiindividuali sono invece memorizzati all'interno di un distinto sistemainformativo del titolare del trattamento (c.d. "sistema dicentralizzazione"), senza che lo stesso memorizzi alcun dato biometricorilevato.

Nelle fasi successive di rilevazione dell'impronta di chi intendeaccedere all'area riservata, il semplice appoggio del dito sul "sensorecapacitivo" consente di elaborare ogni volta una sequenza biometrica (c.d.stringa alfanumerica) della "matrice capacitiva" rilevata, la quale,elaborata con lo stesso algoritmo irreversibile utilizzato in fase dienrollment, viene confrontata con quella archiviata nel dispositivo,consentendo, in caso di loro concordanza, l'accesso alle aree riservatemediante l'apertura di una serratura elettronica.

2. Dati biometrici e disciplina diprotezione dei dati personali: principi di liceit‡, finalit‡ e pertinenza neltrattamento

2.1. Il caso sottoposto alla verifica preliminare di questa Autorit‡integra un'ipotesi di trattamento di dati personali.

Sia le impronte digitali, sia i dati da esse ricavati esuccessivamente utilizzati per verifiche e raffronti nelle procedure diautenticazione, sono informazioni personali riconducibili ai singoliinteressati (art. 4, comma 1, lett. b), del Codice), alle quali trovaapplicazione la disciplina contenuta nel Codice (cfr., tra i tanti, Provv. 21luglio 2005; in merito v. pure il Documento dilavoro sulla biometria, adottato dal Gruppo art. 29, direttiva 95/46/Ce il 1∞agosto 2003, WP80, punto 3.1).

L'uso generalizzato e incontrollato di dati biometrici dei lavoratorinon Ë in linea di principio lecito, in particolare quando si tratta di improntedigitali le quali, per la loro particolare natura, impongono che sianoprevenuti eventuali utilizzi impropri, nonchÈ possibili abusi.

Tuttavia, gli elementi acquisiti nel caso di specie consentono diritenere che il trattamento di dati oggetto dell'odierna verifica preliminaresia configurabile in termini leciti. CiÚ, tenendo conto delle specifichefinalit‡ perseguite nel contesto esaminato e degli accorgimenti che la societ‡intende adottare rispetto alle concrete modalit‡ di autenticazione biometricadei dipendenti interessati.

2.2. Nel caso di specie, la finalit‡ perseguita dalla societ‡ titolaredel trattamento (consentire l'accesso ai soli soggetti autorizzati in due areedestinate alla contazione e custodia di valori) Ë lecita alla luce dellapeculiare fattispecie descritta in atti, dalla quale emerge l'obiettivanecessit‡, dal punto di vista organizzativo, di effettuare un accertamentoparticolarmente rigoroso della legittimazione all'ingresso nella predetta areaaziendale dei dipendenti autorizzati: l'attivit‡ ivi espletata giustificainfatti standard di sicurezza elevati che la societ‡ ritiene di assicuraremediante il ricorso al descritto sistema di autenticazione biometrica.

2.3. Formano oggetto di trattamento solo i dati pertinenti e noneccedenti rispetto alla finalit‡ perseguita, riferiti non alla generalit‡ deidipendenti ma soltanto ad un numero ridotto di lavoratori interessati,individuati tra coloro i quali, per le mansioni svolte nella societ‡, debbonopoter avere accesso alle aree sopra indicate.

Nei dispositivi di lettura verr‡ custodito il template dei solisoggetti autorizzati ad accedere alla aree di rispettiva pertinenza perl'esecuzione della prestazione lavorativa e il corrispondente codice numericoindividuale.

2.4. Il trattamento di dati biometrici per lo scopo prefissato Ëconfigurabile in termini proporzionati rispetto ai diritti individuali degliinteressati, alla luce della finalit‡ in concreto perseguita e delle modalit‡di trattamento che si intendono adottare, anche considerato che, in base alledichiarazioni della societ‡:

Ä il software di gestione e il server con l'anagrafica sonocollocati in un'area permanentemente sorvegliata e sono protetti da misure disicurezza conformi alle disposizioni del Codice;

Ä i terminali di lettura sono dotati di meccanismi di protezionemeccanica (contro furto o manomissione) e di protezione elettronica (accessotramite password) che impediscono al personale non autorizzato l'accesso allememorie interne e ai template ivi memorizzati.

A tal fine, il sistema che la societ‡ utilizzer‡ dovr‡ essere basatosu un efficace sistema di verifica, fondato sulla lettura delle improntedigitali e sul successivo confronto della stringa numerica che ne risulta conquella memorizzata sul lettore in fase di enrollment (c.d. matching on device),senza tuttavia che vengano memorizzati ulteriori dati personali riferiti ailavoratori che hanno accesso all'area riservata.

Tale accorgimento – grazie al quale la societ‡ d‡ attuazione alprincipio di necessit‡ nel trattamento dei dati contenuto nell'art. 3 delCodice – consente di elevare il livello di sicurezza rispetto allaverifica degli accessi alle aree riservate, escludendo che il sistema siasuscettibile di essere utilizzato quale strumento di controllo a distanza deilavoratori, atteso che, una volta verificata la corrispondenza tra i template(quello generato in occasione dell'accesso e quello precedentemente memorizzatosul dispositivo di lettura), viene accordato l'accesso al dipendente nell'areariservata di sua pertinenza senza che le informazioni relative a tale accessovengano memorizzate nel sistema.

3. Qualit‡ dei dati e misure di sicurezzarispetto al trattamento dei dati biometrici Ilsistema oggetto di verifica preliminare appare dotato di un adeguato livello diaffidabilit‡ (risultante dai test di controllo realizzati dal produttore) e disicurezza. Con riguardo a quest'ultimo aspetto, le misure predisposte aprotezione dei dati memorizzati nei singoli dispositivi di lettura risultanoadeguate considerato che il sistema non comunica con altri sistemi informatividella societ‡ (punto 1) e in ragione dei meccanismi di protezione meccanica edelettronica posti a salvaguardia dei dispositivi di lettura (punto 2.4).

In attuazione dell'obbligo di adottare ogni misura anche minima disicurezza prescritta dal Codice (art. 31 ss. e Allegato B), la societ‡ restaobbligata a farsi rilasciare dall'installatore del sistema, e conservare pressola propria struttura, l'attestato di cui alla regola n. 25 del Disciplinaretecnico in materia di misure minime di sicurezza (Allegato "B" alCodice), nonchÈ ogni altra idonea certificazione od omologazione del sistema diautenticazione biometrica.

Resta parimenti ferma, con particolare riguardo alle operazioni ditrattamento relative all'installazione e al corretto funzionamento del sistemabiometrico, la necessit‡ di designare per iscritto la societ‡ individuatadall'istante quale responsabile delle relative operazioni di trattamento,impartendole idonee istruzioni alle quali attenersi.

4. Conservazione dei dati Idati devono essere conservati per un arco di tempo non superiore a quellonecessario per il conseguimento delle finalit‡ per le quali sono stati raccoltie trattati (art. 11, comma 1, lett. e) del Codice).

Come precisato nelle dichiarazioni in atti, durante il suo funzionamento,il sistema di accesso biometrico Ë realizzato in modo tale da conservare suisingoli dispositivi di lettura, oltre al codice numerico individuale, i solitemplate dei dipendenti autorizzati dalla societ‡ ad accedere alle areeriservate. Non sono invece memorizzati dalla societ‡ ulteriori dati personali,direttamente o indirettamente riferibili agli interessati, relativi agliaccessi effettuati alle aree riservate per dare esecuzione alla prestazionelavorativa.

5. Informativa agli interessati e notificazionedel trattamento La societ‡ ha dichiarato che i lavoratoriinteressati all'utilizzo del sistema in esame riceveranno un'idonea informativascritta, il cui testo Ë stato allegato alla comunicazione del 14 settembre2010, e che "sar‡ certamente offerta la possibilit‡ per l'interessato diopporsi o revocare il consenso al trattamento dei dati a sÈ riferiti"(cfr. comunicazione 5 gennaio 2011).

Per coloro i quali non vorranno o non potranno, anche in ragione delleproprie caratteristiche fisiche, avvalersi del sistema biometrico, l'accessosar‡ regolato secondo modalit‡ alternative, indicate dalla societ‡"nell'utilizzo del badge e di un PIN" (cfr. comunicazione 5 gennaio2011).

L'informativa che la societ‡ dovr‡ rendere rispetto al trattamento cheintende porre in essere nei confronti di tutti i lavoratori interessati deverisultare completa degli elementi previsti dal Codice (art. 13), puntualizzandola finalit‡ del trattamento effettuato (nei termini descritti ai punti 1 e 2.2,con esclusione dell'identificazione degli interessati) e rettificando, allaluce delle precisazioni formulate nel corso del procedimento, la descrizionedelle modalit‡ del trattamento dei dati personali rispetto a quelleoriginariamente rappresentate. A questo proposito, la societ‡ preciser‡ lacircostanza che non verranno memorizzati tramite il sistema biometrico datipersonali, direttamente o indirettamente riferibili agli interessati, relativiagli accessi effettuati alle aree riservate nel dare esecuzione allaprestazione lavorativa.

Si prende atto della dichiarazione della societ‡ a voler effettuare lanotificazione al Garante del trattamento dei dati biometrici prima che lostesso abbia inizio (art. 37, comma 1, lett. a), del Codice) (cfr.comunicazione del 12 luglio 2010).

TUTTO CIO' PREMESSO ILGARANTE:

prescrive al titolare del trattamento, ai sensi degli artt. 17 e 154,comma 1, lett. c) del Codice, al fine di conformarsi alle disposizioni vigenti,di adottare le misure e gli accorgimenti a garanzia degli interessati nei terminidi cui in motivazione e, con particolare riguardo a quanto indicato ai punti 2)e 5) del provvedimento:

a. di predisporre un sistema di verifica basato sul confronto trail template delle impronte rilevate ad ogni accesso alle aree riservatedestinate alla custodia dei valori e alla contazione, e quello memorizzato suidispositivi di lettura, senza che vengano memorizzati dati personali riferitiai lavoratori in relazione agli accessi effettuati a dette aree;

b. di rendere l'informativa completa degli elementi previstidall'art. 13 del Codice nei confronti dei lavoratori interessati dalfunzionamento del sistema di autenticazione biometrica oggetto di verificapreliminare, precisando la finalit‡ del trattamento e la circostanza che nonverranno memorizzati dalla societ‡ dati personali, direttamente oindirettamente riferibili agli interessati, relativi agli accessi effettuatialle aree riservate nel dare esecuzione alla prestazione lavorativa.

Roma, 10 giugno 2011

Il presidente
Pizzetti

Il relatore
Paissan

Il segretario generale
De Paoli