Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Trattamento di dati biometrici per la verifica della presenza dei dipendenti e l'accesso ad aree produttive (mulino) - 15 giugno 2006 [1306530]

[doc. web n. 1306530]

Trattamento di dati biometrici per la verifica della presenza dei dipendenti e l'accesso ad aree produttive (mulino) - 15 giugno 2006

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;

Esaminata la richiesta di verifica preliminare presentata da Semolifici Andriesi s.r.l. ai sensi dell'art. 17 del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

Visti gli atti d'ufficio;

Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Giuseppe Fortunato;

PREMESSO

1. Trattamento di dati personali biometrici nel rapporto di lavoro con finalità di verifica della presenza dei dipendenti e di accesso a particolari aree produttive
Semolifici Andriesi s.r.l., società che svolge attività industriale di carattere molitorio (lavorazione di grano duro finalizzata a produrre semola per pastificazione), ha presentato a questa Autorità una richiesta di verifica preliminare ai sensi dell'art. 17 del Codice, relativa al trattamento di dati biometrici (ricavati dalla lettura delle impronte digitali) di un numero circoscritto di dipendenti (diciannove unità su circa sessanta che accedono all'area produttiva), finalizzato a controllarne gli accessi a due stabilimenti ove si effettua l'attività molitoria rilevandone in pari tempo la presenza per determinare la retribuzione da corrispondere.

Il sistema ipotizzato, installato in prossimità dell'accesso agli impianti molitori, è ritenuto dalla società idoneo ad identificare il personale addetto alle lavorazioni svolte senza interruzioni presso "[...] impianti classificati come molitori e a rischio di incendio medio a norma del d.m. I. del 16 febbraio 1982 [...]", nonché "[...] soggetti alla direttiva Atex riguardante luoghi con pericolo di esplosione per la presenza di polveri [...] " (cfr. punto 18 della comunicazione Semolifici Andriesi s.r.l. del 20 febbraio 2006).

La società ha dichiarato che i lavoratori interessati alla rilevazione biometrica sarebbero solo gli operai addetti agli impianti, che operano in due turni diurni ed uno notturno. Ciò in quanto l'accesso di personale non specializzato esporrebbe a rischio l'incolumità di tutti i lavoratori. Resterebbe escluso il personale impiegatizio, il quale accede ai soli uffici amministrativi –ubicati nello stesso edificio di uno dei due impianti di lavorazione, ma "[...] senza diritto di accesso all'impianto [...] "– e la cui presenza giornaliera verrebbe rilevata mediante una tessera magnetica di prossimità.

Il sistema che si intenderebbe utilizzare presuppone, in particolare, una raccolta di dati biometrici mediante apparecchiature dotate di lettore di impronte digitali e di un apposito software. I dati verrebbero trasformati in un template cifrato su una smart card posta nell'esclusiva disponibilità del lavoratore. Il template sarebbe confrontato con altro codice numerico ricavato dall'impronta rilevata in occasione di ogni ingresso del lavoratore all'impianto. L'associazione tra i due codici, preceduta da una lettura della tessera di prossimità (effettuata mediante il menzionato lettore), consentirebbe l'accesso all'impianto, mentre l'uscita sarebbe "sempre possibile per motivi di sicurezza " (cfr. punti 8-14 della comunicazione Semolifici Andriesi s.r.l. del 20 febbraio 2006; cfr., inoltre, la comunicazione della società del 10 dicembre 2005).

 

2. I principi di necessità, liceità, finalità e pertinenza nel trattamento di dati biometrici dei lavoratori

2.1. La raccolta e la registrazione di impronte digitali e dei dati biometrici ricavati e successivamente utilizzati per verifiche e raffronti nelle procedure di autenticazione o di identificazione, sono operazioni di trattamento di dati personali riconducibili ai singoli interessati (art. 4, comma 1, lett. b), del Codice), alle quali trova applicazione la normativa contenuta nel Codice (v. Provv. 19 novembre 1999, in Boll. n. 10, p. 68, doc.  web n. 42058; 21 luglio 2005, in Boll. n. 63, doc.  web n. 1150679; 23 novembre 2005, in Boll. n. 66, doc.  web n. 1202254; in merito v. pure il documento di lavoro sulla biometria del Gruppo art. 29, direttiva 95/46/Ce -Wp80-, punto 3.1.).

La liceità del sistema deve essere pertanto valutata sul piano della conformità ai principi di necessità, proporzionalità, finalità e correttezza (artt. 3 e 11 del Codice).

2.2. Con riguardo al trattamento di dati biometrici allo scopo di regolare l'accesso ad aree particolari dell'azienda deve rilevarsi che, in base alle dichiarazioni rese dalla società, gli ambienti di lavoro in esame, per la natura e le modalità di svolgimento delle lavorazioni in essi effettuate, si caratterizzano per la loro pericolosità. In ragione di ciò, essi sono inclusi nell'elenco delle attività soggette a visite e controlli periodici dei vigili del fuoco al fine del rilascio del certificato di prevenzione incendi (v. il punto 35 del decreto del Ministero dell'interno 16 febbraio 1982) e sono soggetti all'ambito applicativo di due direttive europee denominate "ATEX–ATmosfere EXplosive", relative al rischio di presenza di atmosfera esplosiva in ambienti di lavoro, nonché alle successive norme di attuazione (cfr. direttiva 94/9/Ce, in vigore dal 1° luglio 2003, relativa alle attrezzature e/o strumenti di lavoro; direttiva 99/92/Ce, in vigore dal 10 settembre 2003, relativa all'uomo e all'ambiente di lavoro in cui opera; d.lg. 12 giugno 2003, n. 233 di attuazione della direttiva 99/92/Ce).

Atteso che rientra tra gli obblighi del datore di lavoro adottare le misure necessarie a tutelare l'integrità fisica dei lavoratori (art. 2087 c.c.; v. anche d.lg. n. 626/1994 e successive modifiche ed integrazioni), l'accesso ai predetti impianti può essere limitato al solo personale addetto, tecnicamente specializzato. Ciò, anche attraverso la verifica dell'identità di coloro i quali accedono a tali luoghi di lavoro, resa in tal caso possibile, con maggiore accuratezza, grazie all'impiego di sistemi biometrici.

Allo stato attuale delle conoscenze tecnologiche, nel caso di specie non appare sproporzionato l'uso di dati biometrici tratti delle impronte digitali, atteso che il template viene memorizzato su un supporto, privo di indicazioni nominative riferibili all'interessato (essendo sufficiente inserire un codice individuale), destinato a restare nell'esclusiva disponibilità di quest'ultimo. Inoltre, come dichiarato dalla società (cfr. punto 12 della comunicazione Semolifici Andriesi s.r.l. del 20 febbraio 2006) il template memorizzato sulla smart card (senza che ricorrano, peraltro, esigenze di interoperabilità) risulta essere protetto con una chiave crittografica e con un codice alfanumerico per la lettura.

2.3. Il trattamento di dati biometrici sopra descritto non risulta invece lecito in rapporto al perseguimento della diversa finalità di rilevazione della presenza dei dipendenti, rispetto alla quale la società non ha peraltro addotto ragioni specifiche volte a chiarire la necessità dell'utilizzo di tali peculiari modalità di trattamento per verificare il puntuale adempimento della prestazione lavorativa. Verifica che, dato il numero esiguo di lavoratori presenti per ciascun turno nei due impianti molitori, può essere ad esempio svolta agevolmente dal responsabile di ciascun turno sì da apparire, oltre che non necessario, anche sproporzionato il ricorso ai dati biometrici per la descritta finalità (artt. 3 e 11 del Codice).

Peraltro, tale peculiare modalità di verifica dell'osservanza dell'orario di lavoro verrebbe ad essere introdotta solo nei confronti di un gruppo di dipendenti, anziché ai restanti lavoratori per i quali la società non pone in discussione le modalità di rilevazione delle presenze in uso che continuerebbero, quindi, ad essere utilizzate.

La finalità in esame può dunque essere legittimamente perseguita, nel caso di specie, senza ricorrere ad alcun trattamento di dati biometrici (nel rispetto dell'art. 3 del Codice), avvalendosi del sistema già in uso o di un altro idoneo sistema.

 

3. Informativa e consenso degli interessati, misure di sicurezza e notificazione del trattamento

3.1. L'informativa allo stato predisposta dalla società –peraltro non chiara in ordine alle finalità che si intenderebbero perseguire (non menzionando chiaramente la finalità di commisurazione del tempo di lavoro che, nel caso di specie, non può peraltro essere perseguita con le modalità ipotizzate dalla società)– dovrà essere riformulata (nei soli confronti dei lavoratori interessati) in modo da tener conto delle misure sopra indicate e da includere tutti gli elementi previsti all'art. 13 del Codice.

3.2. Preso atto che la società raccoglie un consenso specifico degli interessati (per l'utilizzo di dati biometrici), in relazione all'eventualità che alcuni lavoratori non possano o non intendano aderire alla rilevazione biometrica effettuata nei termini di cui in motivazione, risulta praticabile il sistema di identificazione alternativo prospettato dalla società, consistente nel riconoscimento del personale entrante negli impianti da parte di quello uscente.

3.3. La società dovrà notificare al Garante il trattamento dei dati biometrici prima che abbiano inizio le operazioni di trattamento (art. 37, comma 1, lett. a), del Codice).

3.4. In attuazione dell'obbligo di adottare ogni misura di sicurezza, anche minima, prescritta dal Codice (art. 31 ss. e Allegato B), la società dovrà farsi rilasciare dall'installatore del sistema il prescritto attestato di conformità e conservarlo presso la propria struttura (regola n. 25 dell'Allegato B al Codice).

3.5. La società resta tenuta a designare per iscritto tutti i soggetti che effettuino operazioni di trattamento dei dati (con particolare riguardo alla registrazione del template sul supporto assegnato al dipendente), quali incaricati o, eventualmente, responsabili delle operazioni di trattamento, impartendo loro idonee istruzioni alle quali attenersi (artt. 29 e 30 del Codice).

 

4. Conservazione dei dati
I dati personali necessari alla realizzazione del template potranno essere trattati esclusivamente durante tale fase.

I dati relativi agli orari di ingresso agli impianti molitori, accessibili al personale preposto al rispetto delle misure di sicurezza all'interno dell'azienda e per l'esclusiva finalità dell'osservanza delle medesime, potranno essere conservati per il tempo massimo di 48 ore, assicurando, oltre il predetto arco temporale, meccanismi di cancellazione automatica dei dati.

TUTTO CIÒ PREMESSO IL GARANTE

  • preso atto del trattamento di dati biometrici effettuato mediante un sistema di verifica basato sul confronto tra le impronte rilevate ad ogni accesso all'area riservata e il template, memorizzato e cifrato su un supporto che resti nell'esclusiva disponibilità dei lavoratori interessati (punto 2.1. e 2.2.), prescrive a Semolifici Andriesi s.r.l., ai sensi degli artt. 17 e 154, comma 1, lett. c), del Codice, di adottare le misure e gli accorgimenti a garanzia degli interessati nei termini di cui in motivazione e, in particolare:
  1. di riformulare l'informativa resa ai lavoratori interessati dal trattamento dei dati biometrici, indicando con chiarezza nella medesima le finalità perseguite e gli ulteriori elementi indicati all'art. 13 del Codice (punto 3.1.);
  2. di conservare i dati relativi agli orari di accesso agli impianti molitori per il tempo massimo di 48 ore (punto 4);
  • vieta, ai sensi dell'art. 154, comma 1, lett. d), del Codice, il trattamento dei dati biometrici mediante il sistema descritto in narrativa per le finalità di rilevazione della presenza dei lavoratori (punto 2.3.).

Roma, 15 giugno 2006

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
Buttarelli