| Garante per la protezione dei dati personali Sistema di rilevazione di datibiometrici dei lavoratori basato sulla lettura della geometria della mano PROVVEDIMENTO DEL 10 GENNAIO 2013 Registro dei provvedimenti n. 4 del 10 gennaio 2013 IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti, e del dott. GiuseppeBusia, segretario generale; VISTOil d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei datipersonali); VISTOil punto 4 delle VISTAla segnalazione presentata da alcuni dipendenti di Asia Napoli S.p.A., relativaall'avvenuta installazione di un sistema biometrico presso detta società; ESAMINATAla documentazione in atti; VISTEle osservazioni formulate dal segretario generale ai sensi dell'art. 15 delregolamento del Garante n. 1/2000; RELATOREla dott.ssa Giovanna Bianchi Clerici; PREMESSO Alcunidipendenti di Asia Napoli S.p.A. (società esercente attività e servizi diigiene ambientale nella provincia di Napoli) hanno prospettato la possibileviolazione della disciplina in materia di protezione dei dati personali inrelazione all'avvenuta installazione, presso detta società, di un "sistemadi identificazione dei lavoratori [a] tecnologia biometrica". Secondoquanto affermato dagli istanti, la società non avrebbe reso ai lavoratoriinteressati alcuna informativa preventiva circa il trattamento dei loro datipersonali connesso all'utilizzo di detto sistema –composto daapparecchiature ubicate lungo i "varchi di accesso di ogni singolastruttura aziendale" e "adibite alla verifica, mediante l'apposizionedella mano del lavoratore sull'apposito alloggio"–, né avrebbe provvedutoad acquisirne il relativo consenso; inoltre, tale peculiare trattamentorisulterebbe, a detta dei segnalanti, anche "sproporzionato", inragione del fatto che il sistema biometrico utilizzato dalla società nonsarebbe posto a presidio di aree "sensibili". Alla luce di taliconsiderazioni, i segnalanti hanno chiesto la rimozione delle apparecchiaturebiometriche installate dalla società, perché ritenute illegittime. 2.1.A seguito della richiesta di chiarimenti inviata dall'ufficio, la società hafatto pervenire le proprie osservazioni in merito al sistema installato,evidenziando di essere costretta ad operare in "un contestosocio-economico ad elevato rischio di criminalità organizzata, con [Š] altapossibilità di infiltrazioni camorristiche"; tale circostanza renderebbequindi necessario l'utilizzo di "sicuri criteri di identificazione [deidipendenti] all'interno delle strutture di [relativa] pertinenza". Alfine di soddisfare tale esigenza, la società ha ritenuto di dover ricorrere,sin dall'anno 2000, a un sistema di rilevazione di dati biometrici deilavoratori basato sulla "lettura della «geometria della mano»",dichiaratamente meno "invasivo rispetto al rilevamento delle improntedigitali" e "facilmente utilizzabile per la rilevazione dellapresenza" dei dipendenti. Tale sistema –che, secondo le modalità difunzionamento descritte, risulterebbe preordinato all'acquisizione, in fase diregistrazione, di "96 informazioni macrogeometriche della mano",successivamente "digitalizzate, elaborate e compresse" in un codicenumerico (template) attraverso "un algoritmo irreversibile",memorizzato sul database centrale e sul singolo terminale biometrico–sarebbe funzionalmente idoneo a verificare, previa digitazione da parte deidipendenti di un codice identificativo associato al relativo template,l'effettiva corrispondenza della conformazione della loro mano al modellomatematico precedentemente acquisito e presente sul singolo terminalebiometrico abilitato all'accesso; quest'ultimo, dialogando "con un server[centrale] sul quale sono memorizzate le informazioni anagrafiche ed il codiceimmesso" dagli utenti, consentirebbe l'accesso solo nel caso in cui venga"riconosciuta, dal confronto del dato biometrico, l'identità dellavoratore". Sul medesimo server verrebbe inoltre memorizzata "ognioperazione (movimento) di ingresso/uscita andato a buon fine o fallito, [nonché]il riferimento temporale (data/ora)". Lasocietà, nel ribadire che l'"archiviazione dei template di riferimento[risiede] su un database centrale", ha poi precisato che sui singoliterminali biometrici vengono memorizzati i soli template dei "lavoratoriautorizzati ad accedere da quella postazione di rilevazione". Peraltro,rispetto a tale specifico aspetto, la società si è dichiarata disponibile adapportare eventuali modifiche, "garantendo in futuro la memorizzazionesolo su una tessera di prossimità a disposizione del lavoratore". 2.2.L'implementazione del sistema sarebbe giustificata, a detta della società,dalla necessità di comunicare a una molteplicità di soggetti ("Procuradella Repubblica"; "Tribunale"; "Polizia di Stato"),dietro loro richiesta, informazioni certe e veritiere circa l'"effettivapresenza in servizio dei dipendenti [che fruiscono di misure alternative alladetenzione], [l']orario di ingresso e uscita dal lavoro, [i] luoghi a cui sonodestinati o [Š] in cui hanno timbrato"; informazioni rispetto alle qualila società sarebbe gravata da "pesanti responsabilità" sul pianodell'attendibilità. Inoltre,il ricorso al trattamento dei dati della geometria della mano sarebbegiustificato dall'esigenza -specie in un contesto ambientale ad elevato rischiodi infiltrazioni camorristiche- di evitare atti intimidatori e ritorsivi neiconfronti dei lavoratori che non intendessero prestarsi ad eventuali pratichefraudolente (scambio di badge; timbrature per conto terzi; rivelazione dicodici; ecc.) nell'utilizzo dei pur considerati strumenti alternativi diaccesso. Aifini della complessiva valutazione del sistema (e del correlato trattamento didati personali), la società ha poi dichiarato di aver tenuto in adeguataconsiderazione: 2.3.Nel merito della segnalazione, poi, la società ha dichiarato che "tutti ilavoratori sin dalla prima installazione del sistema di rilevazione biometricosono stati informati circa la finalità e le modalità di utilizzo" dellostesso attraverso apposite circolari e che i sindacati presenti in azienda"si sono tra l'altro dichiarati favorevoli all'installazione di taliapparecchiature"; pertanto, pur ritenendo di non dover acquisire ilconsenso espresso degli interessati, la società si è comunque resa disponibilea predisporre un'informativa specifica per il trattamento dei dati dellageometria della mano dei dipendenti. Asalvaguardia dei dati degli interessati, la società ha poi dichiarato di averadottato alcune misure atte a minimizzare i rischi di accesso non autorizzato,tra cui: Adulteriore tutela dei dati dei lavoratori, la società ha comunque dichiarato divoler implementare misure di sicurezza aggiuntive, prevedendo anche "unsistema di strong authentication per l'accesso al sistema e ai dati iviresidenti" per gli incaricati preposti al loro trattamento (ufficiopersonale e c.e.d.). 3.1.A seguito di una nuova richiesta di informazioni dell'ufficio, la società haribadito di aver adottato il sistema in esame per poter fornire notizie certealle preposte autorità circa "la presenza effettiva del dipendente [inregime alternativo alla detenzione] sul posto di lavoro" e, al contempo,di preservare da atti intimidatori o ritorsivi il personale che non intendaprestarsi a pratiche fraudolente nell'utilizzo degli strumenti alternativi diaccesso (in un contesto caratterizzato, tra l'altro, da notori problemi sulfronte dello smaltimento e della rimozione dei rifiuti). Quindi,nel confermare quanto già evidenziato in ordine alle finalità del trattamento enel sottolineare la ritenuta inefficacia delle misure alternative prese inconsiderazione (perché reputate, ai predetti fini, non altrettanto valide sulpiano della rigorosa identificazione degli interessati), la società ha poipaventato il rischio di incorrere in possibili responsabilità penali in caso dicomunicazione di notizie false o inesatte all'autorità giudiziaria (inparticolare, per procurata evasione colposa del custode, ai sensi dell'art. 387c.p.). Lasocietà ha inoltre riaffermato di voler apportare modifiche alle modalità difunzionamento del sistema (con specifico riferimento alla memorizzazione deitemplate su tessere poste nella esclusiva disponibilità dei lavoratori),predisponendo altresì un'informativa specifica (acquisita agli atti) da rendereagli interessati. Nonsarebbero in ogni caso previste, considerate anche le finalità perseguite,"modalità alternative di accesso" alle sedi della società. 3.2.Con successiva ulteriore comunicazione, la società –modificandol'originaria impostazione (cfr. punto 2.1)– ha chiesto di poter trattarei dati della geometria della mano di tutti i lavoratori in assenza del loroconsenso espresso, formulando, a tal fine, un'apposita istanza di bilanciamentodi interessi (art. 24, comma 1, lett. g) del Codice). Piùspecificamente, secondo la società, i presupposti per procedere al richiestobilanciamento andrebbero rinvenuti nelle garanzie generalmente offerte a tuttii lavoratori dall'accordo sindacale già dichiaratamente stipulato ai sensidell'art. 4, comma 2, della legge n. 300/1970, suscettibile anche di eventualerinegoziazione. Ariprova della legittimità del sistema prescelto, la società ha prodottonumerose sentenze di merito che, rigettando i ricorsi avanzati da alcunidipendenti (uno dei quali autore della segnalazione), hanno ritenuto lecito iltrattamento dei dati personali connesso all'utilizzo dello strumento in esame.Da tali sentenze, inoltre, risulta che il personale era stato informatorelativamente alle finalità e alle modalità di utilizzo dello strumentobiometrico e che la società, nei casi esaminati, aveva provveduto ad acquisireil consenso degli interessati; circostanza, quest'ultima, meglio precisatadalla stessa società in un'ultima nota, con la quale è stato chiarito che ilconsenso preso a riferimento, invero, risultava riconducibile a quellogenericamente prestato dai lavoratori per il trattamento dei propri datisensibili nell'ambito della gestione del rapporto di lavoro. 4.1.Al fine di valutare l'istanza di bilanciamento di interessi avanzata da AsiaNapoli S.p.A. in base all'art. 24, comma 1, lett. g) del Codice, occorremuovere, più in generale, da una valutazione complessiva del trattamento deidati biometrici svolto dalla società. Alriguardo, questa Autorità ha già avuto modo di affermare che le caratteristichegeometriche della mano, a differenza delle impronte digitali (utilizzabilianche in altri contesti con effetti sugli interessati), non sono descrittive alpunto tale da garantire l'identificazione univoca e certa di una persona, masono, comunque, sufficientemente descrittive per essere impiegate incircoscritti ambiti ai fini della verifica di identità (cfr. Provv. Garante 8novembre 2007, doc. web n. 1461908). Inoltre, secondo il Gruppo per la tuteladei dati personali ex art. 29 della direttiva 95/46/Ce, "i sistemibiometrici fondati sulle caratteristiche fisiche che non lasciano tracce (adesempio, la forma della mano, ma non le impronte digitali) [Š] comport[a]no unnumero minore di rischi per la protezione dei diritti e delle libertàfondamentali degli individui" (cfr. "Documento di lavoro sullabiometria" del 1° agosto 2003, WP 80, p. 6; v. anche, in tema, la Cnipa –oggiAgenzia per l'Italia Digitale– I quaderni, anno I-novembre 2004, p. 25;nello stesso senso, Trib. Napoli 8 novembre 2010; 27 aprile 2011; 20 luglio2011; 1° dicembre 2011). Ciòpremesso, con specifico riferimento al sistema in questione, si deve ritenereche il trattamento dei dati della geometria della mano ad esso connesso non siain violazione del Codice, soprattutto alla luce delle finalità cui esso èpreordinato, già vagliate positivamente dalla giurisprudenza di meritoformatasi proprio in riferimento al caso in esame. Quest'ultima, infatti, hariconosciuto la legittimità della condotta datoriale a fronte della documentata"necessità dell'azienda di prevedere un sistema di rilevamento chegarantisca la certezza dell'identità del dipendente, al fine di ottemperareagli obblighi di informare l'autorità giudiziaria della effettiva presenza allavoro di personale sottoposto a regimi alternativi alla detenzione e di nonesporsi al rischio di incorrere nel reato di colpa del custode per procurataevasione di cui all'art. 387 c.p." (Trib. Napoli 1° dicembre 2011, cit.;27 settembre 2011; 6 ottobre 2011; 20 luglio 2011, cit.; 13 maggio 2011; 27aprile 2011, cit.; 21 aprile 2011; 8 novembre 2010, cit.; 7 luglio 2011; 20luglio 2011); inoltre, è stato sottolineato che la "teorica compromissionedel diritto alla riservatezza [sarebbe] in ogni caso ridimensionata alla lucedelle esigenze di ordine pubblico e sicurezza sul luogo di lavoro sotteseall'impiego del sistema biometrico" (Trib. Napoli 21 aprile 2011, cit.). Infine,nei casi esaminati dal giudice ordinario, è risultato che la società avevaanche provveduto ad informare il personale in ordine alle modalità di utilizzoe alle finalità dello strumento biometrico (art. 13 del Codice). Atutto ciò, poi, vanno ad aggiungersi le dichiarazioni rese dalla società(rispetto alle quali gli autori hanno assunto ogni responsabilità –anchepenale– ai sensi dell'art. 168 del Codice) concernenti l'elevato numerodi lavoratori che beneficia delle misure alternative alla detenzione (circa 500su 2200 unità), il rischio della messa in atto di atti intimidatori neiconfronti dei lavoratori "incensurati" (aggravati dal difficilecontesto ambientale di riferimento, notoriamente soggetto a infiltrazionicamorristiche) e la notevole estensione del territorio della provincia diNapoli (tale da non consentire un agevole controllo sulla presenza esull'osservanza dell'orario di lavoro da parte degli interessati, peraltro inun'area caratterizzata da manifeste problematiche sul fronte della rimozione edello smaltimento dei rifiuti). Tali circostanze, appurate anche in occasionedei citati pronunciamenti giurisprudenziali, rendono il caso in esame assolutamentepeculiare e inducono a valutare, in deroga al provvedimento generale del 23novembre 2006, come necessario e proporzionato il trattamento dei dati dellageometria della mano dei lavoratori (artt. 3 e 11, comma 1, lett. d) delCodice); ciò, anche in ragione dell'effettiva necessità di una continuareperibilità degli interessati (in tal senso, Cass. 5 marzo 2003, n. 18140) edelle finalità perseguite dal titolare –già riconosciute lecite dallagiurisprudenza innanzi richiamata– e rese note agli interessati (art. 11,comma 1, lett. b) del Codice). Acclaratoquanto sopra, si deve poi ritenere che sussistano i presupposti per poter dareattuazione, con il presente provvedimento (e con effetti decorrenti dalla datadella pronunzia), al richiesto bilanciamento. Atale riguardo, occorre tenere conto non solo del fatto che un eventuale diniegodel consenso da parte dei lavoratori potrebbe concretamente vanificare lefinalità perseguite dal titolare (e riconosciute lecite, come detto, dallagiurisprudenza), ma anche dall'obiettiva necessità di fornire, con riferimentoai dipendenti in regime alternativo alla detenzione, notizie certe allepreposte autorità (in vista, tra l'altro, dell'effettivo rispetto delleprescrizioni di cui alla legge n. 354/1975, recante "Normesull'ordinamento penitenziario e sull'esecuzione delle misure privative elimitative della libertà", nonché del relativo regolamento attuativo dicui al d.P.R. n. 230/2000; v. anche Cass. 5 marzo 2003, cit.) per evitare diincorrere nel reato di cui all'art. 387 c.p. Inoltre, sul piano generale,occorre tenere conto dell'obbligo che l'art. 2087 c.c. pone in capo al datoredi lavoro di adottare le misure necessarie a tutela dell'integrità fisica edella personalità morale dei lavoratori, nonché delle garanzie offerte a tuttii lavoratori dall'accordo sindacale dichiaratamente sottoscritto in conformitàall'art. 4, comma 2, della legge n. 300/1970; tali circostanze, unitamente aipossibili benefici (in termini di maggiore efficacia nelle operazioni dirimozione e smaltimento dei rifiuti) derivanti alla collettività dall'effettivarilevazione della presenza in servizio e dall'osservanza dell'orario di lavoroda parte dei dipendenti, inducono a ravvisare un'ipotesi in cui il trattamentodi dati non sensibili degli interessati possa avvenire, nel rispetto dellefinalità e degli accorgimenti che la società si è impegnata ad adottare (conparticolare riferimento alla memorizzazione dei template su supporti postinell'esclusiva disponibilità dei lavoratori in questione), senza il loroconsenso per perseguire un legittimo interesse del titolare. 4.2.Al contrario, non può ritenersi conforme a legge il trattamento effettuato sinoad oggi dalla società dei dati della geometria della mano dei lavoratori inassenza del loro specifico consenso (artt. 11, comma 1, lett. a), e 23 delCodice; v. anche Provv. 20 ottobre 2011; Provv. 10 giugno2011; Provv. 10 dicembre 2009; Provv. 12 giugno 2009; Provv. 15 febbraio 2008; "Documento di lavoro sulla biometria" delGruppo art. 29, direttiva n. 95/46/Ce -wp80-, punto 3.4) o in assenza di altropresupposto alternativo di liceità (art. 24 del Codice); della predetta nonconformità, del resto, si è resa conto la stessa società, che ha presentatol'istanza di bilanciamento di interessi ai sensi dell'art. 24, comma 1, lett.g) del Codice solo in corso di procedimento. TUTTO CIO' PREMESSO, IL GARANTE: a)ai sensi dell'art. 24, comma 1, lett. g) del Codice, dispone che Asia NapoliS.p.A., dalla data della pronunzia del presente provvedimento, possa trattare,senza il consenso degli interessati e per le sole finalità di cui in narrativa,i dati della geometria della mano dei lavoratori, a condizione che ciò avvenganel rigoroso rispetto delle modalità indicate dalla società e degliaccorgimenti che la stessa si è impegnata ad adottare, con particolareriferimento alla memorizzazione dei dati (template) su un supporto postonell'esclusiva disponibilità dei dipendenti; b)ai sensi degli artt. 11, comma 1, lett. a) e 23 del Codice, dichiara nonconforme a legge il trattamento dei dati della geometria della mano deilavoratori effettuato dalla società fino alla data di adozione del presenteprovvedimento, perché posto in essere in assenza di uno specifico consensoespresso da parte degli interessati, ovvero di altro valido presupposto diliceità del trattamento (art. 24 del Codice); c)ai sensi dell'art. 154, comma 1, lett. c) del Codice, dispone che gliaccorgimenti di cui alla precedente lett. a) siano adottati da Asia NapoliS.p.A. entro novanta giorni dalla data di ricezione del presente provvedimento,comunicando a questa Autorità, entro le successive 24 ore dall'adozione,l'avvenuto adempimento. Aisensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso ilpresente provvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero. Roma, 10 gennaio 2013
|