Trattamento di dati biometrici per finalità di rilevazione delle presenze dei dipendenti: verifica preliminare richiesta dal Comune di Boscoreale

PROVVEDIMENTO DEL 31 GENNAIO 2013

Registro dei provvedimenti
n. 38 del 31 gennaio 2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e delladott.ssa Giovanna Bianchi Clerici, componenti, e del dott. Giuseppe Busia,segretario generale;

VISTAl'istanza di verifica preliminare formulata dal Comune di Boscoreale,regolarizzata con nota del 3 settembre 2012, relativa al trattamento di datibiometrici per finalità di rilevazione delle presenze dei dipendenti;

ESAMINATAla documentazione acquisita agli atti;

VISTEle osservazioni formulate dal segretario generale ai sensi dell'art. 15 delregolamento del Garante n. 1/2000;

RELATOREil dott. Antonello Soro;

PREMESSO

1.1.Con nota del 28 aprile 2011 il Comune di Boscoreale manifestava l'intenzione di"utilizzare la tecnologia relativa alla rilevazione dell'impronta digitaleper il controllo delle presenze del personale" al fine di "evitare ilripetersi di fenomeni di abusi derivanti da un uso improprio del tesserinomagnetico" che, presso il Comune istante, aveva "determinatol'intervento della magistratura con provvedimenti a carico di dipendentidell'Ente, con l'effetto di [comprometterne] il regolare funzionamento".Il template ricavato dalle impronte digitali dei lavoratori verrebbememorizzato su un badge individuale "senza lasciare alcuna traccia orecord in alcun database" e sarebbe "protetto da chiaved'accesso" (cfr. comunicazione del fornitore del sistema allegata allacomunicazione del 28 aprile 2011). Tale accorgimento impedirebbe di"estrarre i templates dal badge perché lo stesso è protetto dapassword".

1.2.A fronte di un primo riscontro dell'Ufficio del 26 maggio 2011 – nelquale si richiedeva di effettuare una valutazione preliminare circa la necessitàe proporzionalità del trattamento, nonché, all'esito di ciò, di provvedereall'eventuale regolarizzazione dell'istanza presentata – con nota del 31maggio 2012 il Comune istante confermava la propria volontà di procedere allaverifica preliminare, regolarizzando la stessa con comunicazione del 3settembre 2012. Con nota del 18 settembre 2012 venivano forniti gli elementiconoscitivi richiesti dall'Ufficio (con comunicazioni del 28 giugno 2012 e,nuovamente, del 5 settembre 2012), precisando:

‒   di non aver adottato"quali alternative al controllo della presenza dei dipendenti

-   misurefisiche quali tornelli o barriere";

‒   di aver eseguito"controlli a campione, facendo girare un foglio di presenza su cui gliinteressati appongono la propria firma, quale prova della loro presenza inufficio [dai quali] non sono emerse assenze ingiustificate";

‒   di aver richiamatol'attenzione del personale sulla necessità di una "stretta osservanzadell'orario di lavoro" e di aver adottato "misure disciplinari condeferimento alla commissione disciplinare, con provvedimenti motivati neiconfronti di vari dipendenti" conclusisi "con la semplice ammenda oil rimprovero scritto";

‒   che il numero deidipendenti in servizio presso il comune alla data del 19 aprile 2011 era di"179 [ä] unità, di cui 123 coinvolti nelle indagini in corso presso lacompetente autorità giudiziaria".

2.Il caso sottoposto alla verifica preliminare di questa Autorità integraun'ipotesi di trattamento di dati personali.

L'utilizzodel sistema in esame, alla luce delle modalità di configurazione e utilizzoindicate dal Comune, determina in concreto un trattamento di dati biometricinel contesto del rapporto di lavoro nella misura in cui l'Ente pubblico, nellafase di enrollment, intende acquisire le informazioni ritraibili dall'improntadei dipendenti –memorizzandole sul badge affidato nella disponibilità diquesti ultimi– per utilizzarle quindi in procedure di identificazione.Come più volte ribadito dall'Autorità, infatti, le impronte digitali e leinformazioni da esse ricavate e utilizzate per operazioni di verifica eraffronto nelle menzionate procedure di autenticazione, in quanto riconducibilialla nozione di "dato personale" di cui all'art. 4, comma 1, lett.b), del Codice, sono soggette alla disciplina del medesimo Codice (sul puntocfr., tra i tanti, Provv. 19 novembre 1999 e 21 luglio 2005; Provv. 26 maggio 2011; in merito v. pure il documento di lavoro sullabiometria del Gruppo art. 29, direttiva n. 95/46/Ce -wp80-, punto 3.1).

3.Ciò premesso, ai fini di una complessiva valutazione della liceità deltrattamento che il Comune intende effettuare, occorre rilevare che questaAutorità, in più occasioni, ha avuto modo di indicare le condizioni alle qualiil trattamento dei dati biometrici dei lavoratori può ritenersi lecito,precisando che tali dati possono essere di regola utilizzati solo in casiparticolari, tenuto conto delle finalità perseguite dal titolare e del contestoin cui il trattamento viene effettuato, nonché – con specifico riguardoai luoghi di lavoro – per presidiare l'accesso ad "areesensibili" in considerazione della natura delle attività ivi svolte (cfr.,tra gli altri, anche Provv. 21 luglio 2005; Provv. 23 novembre 2005; Provv. 1 15 giugno 2006; Provv. 2 15 giugno 2006; Provv. 3 15 giugno 2006; Provv. 4 15 giugno 2006; Provv. 26 luglio 2006; Provv. 2 ottobre 2008; Provv. 15 ottobre 2009; Provv. 10 marzo 2011) oppure per finalità di sicurezza del trattamento di dati personali (cfr. Allegato B) al Codice).

4.1.Tali presupposti non risultano ricorrere nel caso di specie nel quale la finalitàperseguita dal Comune è quella di effettuare il descritto trattamento di datibiometrici allo scopo di verificare le presenze dei lavoratori e, in tal modo,contrastare il fenomeno di assenteismo che, come rappresentato dall'istante, hainteressato la stessa amministrazione comunale con il coinvolgimento inun'indagine giudiziaria di larga parte dei propri dipendenti.

Emergonoperplessità in relazione alle modalità che si intendono utilizzare conspecifico riferimento al rispetto dei principi di necessità nonché dipertinenza e non eccedenza (artt. 3 e 11, comma 1, lett. d), del Codice).

Alriguardo, in più occasioni il Garante ha ritenuto  sproporzionatol'impiego generalizzato di dati biometrici per finalità di rilevazione dellepresenze dei lavoratori (cfr. le Linee guida in materia di trattamento di datipersonali di lavoratori per finalità di gestione del rapporto di lavoro inambito pubblico del 14 giugno 2007, punto 7.1; tale orientamento è stato condiviso, proprio in sededi impugnazione di un'ordinanza-ingiunzione dell'Autorità, dal Trib. Prato, 19settembre 2011). Tanto, considerata l'utilizzabilità di idonee modalitàalternative ‒ conl'adozione di modalità tecnico-organizzative meno problematiche per la libertàe la dignità stessa dei lavoratori interessati (art. 2 del Codice) e la cuieffettiva osservanza sia purtuttavia efficacemente presidiatadall'amministrazione ‒ per unaccertamento parimenti rigoroso dell'effettiva presenza dei dipendenti.

Iltitolare del trattamento, infatti, per verificare il puntuale rispettodell'orario di lavoro, impedendo condotte abusive degli interessati, ben puòdisporre di altri (più "ordinari") sistemi, meno invasivi della sferapersonale nonché della libertà individuale del lavoratore, che non necoinvolgano la dimensione corporale. Aspetti, questi, costitutivi della dignitàpersonale, a presidio della quale sono dettate le discipline di protezione deidati personali, come emerge dall'art. 2 del Codice. Ciò, considerato che ilsistema potrebbe operare (sia in occasione dell'enrollment, sia dei successiviaccessi nei luoghi di lavoro) solo con l'attiva collaborazione personale deilavoratori interessati, i quali dovrebbero rendersi così disponibili asottoporre una parte del proprio corpo alle operazioni necessarie per larilevazione biometrica in assenza di puntuali disposizioni che le impongano (edimpregiudicati i profili eventualmente connessi al coinvolgimento dellerappresentanze sindacali).

4.2.A questo proposito, alla luce degli elementi acquisiti in atti, non sono statiaddotti circostanziati elementi, strettamente rapportati alla specifica realtàlavorativa (quale, ad esempio, la dislocazione decentrata degli uffici tale daostacolare un'agevole verifica della corretta esecuzione delle prestazionilavorative), da cui si possa effettivamente arguire l'inutilità di ordinariemisure di controllo (e, correlativamente, la reale indispensabilità deltrattamento dei dati biometrici dei lavoratori per la finalità suindicata); èinvece risultato comprovato che l'amministrazione non abbia provveduto adotarsi di sistemi fisici volti ad assicurare la presenza effettiva deilavoratori durante l'orario di lavoro, senza che ciò richieda, nel rispettodell'art. 3 del Codice, il trattamento di dati biometrici (ad esempio,associando un codice individuale ai badge già attribuiti ai dipendenti ovveroprendendo in considerazione l'eventuale installazione dei c.d. tornelli).

Néè risultata comprovata (ma solo allegata) l'inefficacia dei controlli ordinaricirca la presenza dei lavoratori presso l'amministrazione istante per iltramite dei dirigenti (sui quali anzitutto incombe la verifica quotidiana,peraltro di immediata evidenza, della presenza del personale agli stessiassegnato, il quale, a domanda, può assentarsi dal lavoro solo a seguito divalutazione del superiore gerarchico preposto all'unità organizzativa pressocui presta servizio) ovvero dei controlli a campione da parte delle competentistrutture dell'amministrazione comunale ‒ nonrisultando dalle dichiarazioni rese né la frequenza, né le modalità in concretoosservate di utilizzo, in sede di verifica, dei fogli-presenza (che si èdichiarato aver fatto "circolare" tra il personale).

Verifiche,queste, di agevole realizzazione, anche considerato il numero contenuto didipendenti del Comune istante (numero ancor più ridotto ove il fenomenodell'assenteismo risultasse consolidato), delle quali nel caso di specie non è statadimostrata l'inefficacia e che possono comunque contenere significativamente ilrischio di pratiche abusive ‒ oveefficacemente contrastate, potendo le stesse configurarsi quali violazioni dicarattere penale, oltre che disciplinare e contabile –.

Peraltroil trattamento dei dati biometrici per la finalità qui considerata, oltre adessere in linea di principio sproporzionato, potrebbe comunque in concretorivelarsi di scarsa utilità nel contrasto dell'assenteismo. Invero, talemodalità di rilevazione delle presenze non è in grado di assicurare, di per sé,l'effettiva presenza sul luogo di lavoro dei dipendenti infedeli in difetto diefficaci sistemi di controllo e vigilanza sull'effettiva (operosa) presenza deilavoratori durante l'arco dell'intera giornata lavorativa (specie ove ilfenomeno assuma le proporzioni segnalate nel caso in esame).

Sottoun diverso profilo, si tengano altresì in considerazione i più recenti sviluppidel Gruppo dei garanti europei previsto dall'ar. 29 della direttiva 95/46/Ce –secondo cui "il datore di lavoro è sempre tenuto a cercare i mezzi menoinvasivi scegliendo, se possibile, un procedimento non biometrico" (cfr.WP193, Parere 3/2012 sugli sviluppi nelle tecnologie biometriche, adottato il27 aprile 2012, p. 12) –, deve pertanto riscontrarsi l'assenza nel casodi specie dei presupposti di legge per un trattamento di dati biometrici perfinalità di rilevazione delle presenze dei lavoratori.

TUTTO CIO' PREMESSO, IL GARANTE

aisensi dell'art. 17 del Codice, preso atto della richiesta di verificapreliminare presentata dal Comune di Boscoreale, ritiene sproporzionato e,quindi, inammissibile il sistema di trattamento di dati personali che ilmedesimo Comune intende effettuare, per le motivazioni di cui in premessa.

Aisensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso ilpresente provvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 31 gennaio 2013

Il presidente
Soro

Il relatore
Soro

Il segretario generale
Busia