Diritti interna

Doveri interna

ricerca avanzata

Trattamento di dati biometrici per finalità di autenticazione di accesso a particolari aree aziendali - 8 aprile 2009 [1610018]

[doc. web n. 1610018]

[vedi newsletter]

Trattamento di dati biometrici per finalità di autenticazione di accesso a particolari aree aziendali - 8 aprile 2009

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Filippo Patroni Griffi, segretario generale;

Esaminata la richiesta di verifica preliminare presentata da Roma Entrate S.p.A. in Roma, ai sensi dell´art. 17 del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

Visti gli atti d´ufficio;

Viste le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Francesco Pizzetti;

PREMESSO

1. Trattamento di dati biometrici nel rapporto di lavoro per finalità di autenticazione di accesso a particolari aree che ospitano l´infrastruttura tecnologica
1.1. La società Roma Entrate che gestisce servizi relativi alle entrate e al recupero dell´evasione fiscale e tributaria per conto del comune di Roma, ha rappresentato la necessità, tra gli obiettivi primari, di garantire la riservatezza e la sicurezza del complesso delle informazioni trattate, che assommano ad un consistente volume di dati, anche a carattere sensibile (quattro milioni di anagrafiche di soggetti passivi d´imposta, circa 2 milioni e mezzo di dichiarazioni ICI, estremi di circa trenta milioni di pagamenti ICI etc...). Tali dati vengono gestiti mediante sistemi informatici, collocati in due locali dedicati, in una palazzina che viene frequentata da una pluralità di soggetti, in massima parte cittadini che frequentano gli sportelli d´accoglienza.

Tale organizzazione e logistica producono un flusso giornaliero notevole di persone all´interno dell´azienda, che deve essere controllato, soprattutto per evitare l´indebito accesso ai locali dove sono allocate le strumentazioni informatiche e i data base strategici per l´azienda stessa.

1.2. L´Azienda riferisce di avere studiato diverse soluzioni atte a garantire l´accesso sicuro ai predetti ambienti "informatizzati" al solo personale autorizzato, non ritenendole però idonee e orientandosi pertanto sulla soluzione di dotare gli accessi ai locali da controllare, di apparecchiature di rilevazione del dato biometrico basate sul riconoscimento dell´impronta digitale. Sistema questo, che offre maggiore certezza che chi si presenta al sistema con le credenziali assegnate al proprio nominativo sia effettivamente la persona fisica legittimata e non ci sia la possibilità che un altro soggetto possa presentarsi al suo posto. In aggiunta, dalla documentazione qui inviata, si evince come l´attenzione posta dall´azienda ai locali che meritano particolari misure di sicurezza, protezione e gestione/controllo degli accessi in quanto aree a elevata criticità operativa, sia massima perché vengono introdotte in aggiunta, ulteriori misure di sicurezza quali rilevatori e dispositivi sonori e luminosi, che diano l´allarme anche nel solo caso ci si discosti dalle rigorose procedure stabilite per l´accesso. In particolare, esisterebbe un unico accesso ad entrambi i locali e per ciascuno di essi si prevede la dotazione di due lettori biometrici (per l´ingresso e per l´uscita).

1.3. Per quanto attiene gli utilizzatori del sistema biometrico, l´Azienda fa presente l´impiego limitato di tali apparecchiature di autenticazione su base biometrica dal momento che, a fronte di un complessivo di dodici unità, solo due o tre persone, esperti informatici, lo utilizzerebbero, previo consenso informato.

1.4. Dal punto di vista tecnico si prevede l´utilizzo di supporti (smart card) privi di indicazioni nominative, su cui registrare i codici identificativi criptati del dato biometrico dell´interessato. Tale supporto sarebbe nell´esclusivo possesso del lavoratore e integralmente autonomo nello svolgimento delle procedure di autenticazione (associazione delle coordinate geometriche crittografate contenute nel microprocessore con quelle rilevate sull´impronta digitale). L´accesso al template (modello algoritmico delle caratteristiche delle impronte digitali rilevate e registrato sulla smart-card) avverrebbe solo localmente e nessuna traccia dell´impronta biometrica o del template verrebbe trattata su supporti diversi dalla smart-card evitando in tale maniera la centralizzazione dei dati (archivio dedicato di dati biometrici).

La procedura di autenticazione avverrebbe mediante confronto del template con altro codice numerico ricavato dall´impronta rilevata in occasione di ogni ingresso o uscita del lavoratore dai locali. L´associazione tra i due codici, preceduta dalla lettura della smart card mediante i lettori, consente l´apertura delle porte ai locali ad accesso controllato.

I dati personali necessari per la realizzazione del template verrebbero trattati solo durante la fase della registrazione, mentre per quanto riguarda i tempi di conservazione dei dati relativi agli accessi effettuati, vengono indicati in sette giorni, al termine dei quali sovrascritti e quindi non più utilizzabili.

1.5. Dal punto di vista organizzativo, l´azienda ha previsto una serie di procedure per l´approvvigionamento e la custodia delle smart card vergini, per la memorizzazione dei dati su di esse, per la consegna agli interessati, oltre che a predisporre procedure in caso di smarrimento, mal funzionamento di esse o dei lettori. Infine, vengono descritti gli accorgimenti da adottare per l´accesso ai predetti locali controllati di personale estraneo (per pulizie, manutenzione, fornitura di materiale o interventi tecnici). In detti casi l´accesso avverrebbe con modalità diverse da quelle del riconoscimento biometrico.

Agli incaricati preposti alle operazioni di trattamento dei dati biometrici, come a tutti gli altri coinvolti nelle operazioni di sicurezza e trattamento dei dati, verrebbero fornite precise istruzioni alle quali attenersi.

2. Necessità, liceità, finalità e correttezza nel trattamento di dati biometrici per l´accesso a particolari aree che ospitano l´infrastruttura tecnologica
2.1. La raccolta e la registrazione di impronte digitali e dei dati biometrici ricavati e successivamente utilizzati per verifiche e raffronti nelle procedure di autenticazione o di identificazione, sono operazioni di trattamento di dati personali riconducibili ai singoli interessati (art. 4, comma 1, lett. b) del Codice), alle quali trova applicazione la normativa contenuta nel Codice cui si riferiscono diversi provvedimenti in materia.

La liceità del sistema deve essere pertanto valutata sul piano della conformità ai princìpi di necessità, proporzionalità, finalità e correttezza (artt. 3 e 11 del Codice), anche in relazione ai tempi di conservazione dei dati.

2.2. Con riguardo al trattamento di dati biometrici aventi lo scopo di regolare l´accesso ad aree controllate deve rilevarsi che, stando alle dichiarazioni rese dall´Azienda, gli ambienti di lavoro in esame si caratterizzano per la loro delicatezza in ragione dei dati trattati (in particolare anagrafiche di soggetti passivi d´imposta, dichiarazioni e pagamenti ICI, denuncie Ta.Ri., atti relativi a tributi, esenzioni e agevolazioni relativi a persone invalide o con handicap e relativi certificati medici e documenti sanitari) e del rischio di accesso a tali dati e apparecchiature da parte di soggetti non autorizzati, stante l´afflusso di personale estraneo derivante dalla presenza di sportelli aperti al pubblico nella medesima palazzina dove sono ubicati i sistemi informativi dell´Azienda.

Ad avviso di quest´ultima, l´utilizzo di sistemi di autenticazione basati su tecniche biometriche associate a una smart-card secondo le modalità sopra descritte, in possesso del personale abilitato, fornirebbe una valida soluzione al problema aumentando considerevolmente il grado di sicurezza per l´accesso ai luoghi da tenere sotto controllo, rispetto all´impiego di sistemi tradizionali che non assicurano l´autenticazione certa e univoca degli operatori abilitati ad accedere e operare nelle aree in questione. La delicatezza dei dati trattati rende proporzionata una misura di "autenticazione forte" quale l´impiego di tecniche biometriche.

2.3. Non risulta quindi sproporzionato, per questo verso, l´uso di dati tratti dalle impronte digitali, il template, atteso che esso viene memorizzato su un supporto privo di indicazioni nominative riferibili all´interessato (è presente solo un codice individuale criptato, destinato a restare nell´esclusiva disponibilità di quest´ultimo).

Per quanto riguarda la durata di conservazione dai dati (registrazione dei log degli accessi), l´Azienda ha indicato sette giorni, pur senza motivare il perché di tale durata, ma pur sempre entro il termine massimo definito nel punto 4.3 del provvedimento "Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati" (deliberazione n. 53 del 23 novembre 2006).

La società ha dichiarato che i lavoratori interessati all´utilizzo del sistema in esame riceveranno un´idonea informativa scritta.

L´informativa che la società dovrà rendere rispetto al trattamento che intende porre in essere nei confronti di tutti i lavoratori interessati deve risultare completa degli elementi previsti dal Codice (art. 13).

Nulla viene detto in ordine all´obbligo di notificazione del trattamento ai sensi degli artt. 37 e 38 del Codice al quale l´Azienda dovrà ovviamente conformarsi.

2.4. La società resta tenuta a designare per iscritto tutti i soggetti che effettuino operazioni di trattamento dei dati (con particolare riguardo alla raccolta dei dati biometrici) quali incaricati o, eventualmente, responsabili delle operazioni di trattamento, impartendo loro idonee istruzioni alle quali attenersi (artt. 29 e 30 del Codice).

2.5. In attuazione dell´obbligo di adottare ogni misura anche minima di sicurezza prescritta dal Codice (artt. 31 e ss. e Allegato "B"), la società resta obbligata a farsi rilasciare dall´installatore del sistema di rilevazione, e conservare presso la propria struttura, l´attestato di cui alla regola n. 25 del Disciplinare tecnico in materia di misure minime di sicurezza (Allegato "B" al Codice) nonché ogni altra idonea certificazione od omologazione dei dispositivi impiegati.

TUTTO CIÒ PREMESSO IL GARANTE

preso atto del trattamento di dati biometrici da effettuare mediante un sistema di verifica basato sul confronto tra le impronte digitali rilevate ad ogni accesso ai locali indicati e il template, memorizzato su un supporto che resti nell´esclusiva disponibilità dei lavoratori interessati nei termini di cui in premessa (punto 1.4), prescrive a Roma Entrate S.p.A. ai sensi degli art. 17 e 154, comma 1, lett. c) del Codice, di adottare le misure e gli accorgimenti a garanzia degli interessati nei termini di cui in motivazione e, in particolare:

1) di formulare l´informativa resa agli interessati completa degli elementi previsti dal Codice (art. 13);

2) di notificare al Garante il trattamento dei dati biometrici prima che abbia inizio (artt. 37, comma 1, lett. a) e 38 del Codice);

3) di designare per iscritto tutti i soggetti che effettuino operazioni di trattamento dei dati quali incaricati o, eventualmente, responsabili delle operazioni di trattamento, impartendo loro idonee istruzioni alle quali attenersi (artt. 29 e 30 del Codice);

4) di farsi rilasciare dall´installatore del sistema di rilevazione, e conservare presso la propria struttura, l´attestato di cui alla regola n. 25 del Disciplinare tecnico in materia di misure minime di sicurezza (Allegato "B" al Codice) nonché ogni altra idonea certificazione od omologazione dei dispositivi impiegati.

Roma, 8 aprile 2009

IL PRESIDENTE
Pizzetti

IL RELATORE
Pizzetti

IL SEGRETARIO GENERALE
Patroni Griffi