Diritti interna

Doveri interna

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Biometria e rilevamento della presenza del personale aeroportuale - 12 giugno 2008 [1635731]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
1635731
Data:
12/06/09
Argomenti:
Biometria , Lavoro e previdenza , Impronte digitali
Tipologia:
Divieto del trattamento

[doc. web n. 1635731]

[vedi anche "Linee guida in materia di trattamento di dati
personali di lavoratori per finalità di gestione del rapporto
di lavoro alle dipendenze di datori di lavoro privati"
]

[vedi anche provv. 1150679]
[vedi anche provv. 130652313065301306551]

Biometria e rilevamento della presenza del personale aeroportuale - 12 giugno 2009

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Filippo Patroni Griffi, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lgs. n. 196/2003);

VISTE le "Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati" adottate dal Garante con deliberazione n. 53 del 23 novembre 2006, pubblicate sulla G.U. 7 dicembre 2006, n. 285, di seguito denominate "Linee guida";

VISTO il reclamo con il quale il "Sindacato dei lavoratori intercategoriale" ha chiesto all´Autorità di verificare la correttezza dell´installazione, da parte della società "ICTS Italia S.r.l." operante presso l´Aeroporto di Fiumicino, di un sistema di rilevazione delle presenze dei lavoratori basato sull´impiego delle loro impronte digitali;

ESAMINATE le risultanze istruttorie;

RILEVATO che dalle dichiarazioni rese dalla società è emerso che la medesima ha installato, fin dal mese di maggio 2008, un sistema di rilevazione di dati biometrici dei dipendenti basato sull´impiego delle loro impronte digitali (All. c, p.to 4 delle informazioni depositate ex art. 157 D.Lgs.196/2003 il 17 febbraio 2009);

RILEVATO, altresì, che dalle dichiarazioni rese dalla società, "la finalità per cui è stato adottato il sistema di rilevamento biometrico è volta ad assicurare la presenza dei dipendenti" e che detto sistema "una volta entrato a regime, sostituirà completamente il vecchio sistema di rilevamento meccanico delle presenze dei dipendenti" (p.ti 3 e 5 del Processo verbale del 3 febbraio 2009 nonché p.to 3 delle informazioni depositate ex art. 157 D.Lgs.196/2003 il 17 febbraio 2009);

CONSIDERATO che l´utilizzo di dati biometrici, per il quale è previsto il ricorso alla procedura di cui all´art. 17 del Codice, può essere giustificato solo in casi particolari, tenuto conto delle finalità e del contesto in cui essi sono trattati e, in relazione ai luoghi di lavoro, per presidiare accessi ad "aree sensibili", considerata la natura delle attività ivi svolte (p.to 4.1 delle "Linee guida") e che, dalla documentazione in atti e dalle dichiarazioni rese, la società non ha addotto ragioni specifiche volte a chiarire la necessità dell´utilizzo di tali peculiari modalità di trattamento per verificare il puntuale adempimento della prestazione lavorativa né ha dimostrato l´inefficacia di misure alternative di controllo (cfr. Provv. 21 luglio 2005, doc. web n. 1150679; Provv. 15 giugno 2006, docc. web nn. 130652313065301306551);

ACCERTATO che i trattamenti relativi all´utilizzo di dati biometrici sono stati svolti dalla società senza fornire agli interessati un´idonea informativa ai sensi dell´art. 13 del Codice e prescindendo dalla preventiva raccolta del consenso libero, specifico ed informato degli interessati previsto dall´art. 23 del Codice e dal p.to 4.3 delle "Linee guida" (cfr. p.to 6 e all. 5 del Processo verbale del 3 febbraio 2009, p.to 5 delle informazioni ex art. 157 D.Lgs.196/2003 presentate il 17 febbraio 2009, nonché rilievi n. 2 e 3 del Processo verbale di contestazione del 20 aprile 2009);

ACCERTATO che la società ha proceduto al trattamento dei dati personali senza la previa designazione per iscritto degli incaricati nonché la preventiva individuazione puntuale dell´ambito del trattamento consentito, in violazione dell´art. 30 del Codice nonché degli artt. 31 e segg. relativi agli obblighi di adozione di idonee e preventive misure di sicurezza (cfr. p.to 2 del Processo verbale del 3 febbraio 2009, All. c p.to 2 delle informazioni ex art. 157 D.Lgs.196/2003 presentate il 17 febbraio 2009, nonché rilievo n. 4 del Processo verbale di contestazione del 20 aprile 2009);

CONSTATATO che la mancata designazione degli incaricati del trattamento, con riferimento in particolare alla conseguente violazione degli artt. 33 e 34 del Codice relativi alle misure minime di sicurezza, appare ancora più grave in relazione alla natura dei dati trattati, atteso che per il trattamento di dati biometrici le citate "Linee guida" prevedono al punto 4.3 che "In aggiunta alle misure di sicurezza minime prescritte dal Codice, devono essere adottati ulteriori accorgimenti a protezione dei dati, impartendo agli incaricati apposite istruzioni scritte alle quali attenersi, con particolare riguardo al caso di perdita o sottrazione delle carte o dispositivi loro affidati"; che d´altra parte la società ha dichiarato che "non ha previsto misure di sicurezza per la loro conservazione" (p.to 9 e 10 del Processo verbale del 3 febbraio 2009) e che "in occasione dell´utilizzo definitivo del Sistema verranno impartite ai dipendenti istruzioni da seguire in caso di smarrimento della tessera personale di identificazione" (All. c, p.to 10 delle informazioni ex art. 157 D.Lgs.196/2003 presentate il 17 febbraio 2009);

RILEVATO che la società non ha adempiuto l´obbligo di preventiva notificazione del trattamento di cui all´art. 37, c.1 lett. a) del Codice (p.to 7 del Processo verbale del 3 febbraio 2009, nonché All. c p.to 7 delle informazioni ex art. 157 D.Lgs.196/2003 presentate il 17 febbraio 2009);

RITENUTO che, allo stato, il suddetto trattamento non risulta per le predette ragioni conforme ai princìpi di liceità, finalità e necessità (artt. 3 e 11, comma 1, lett. a), b) del Codice);

CONSIDERATO che il Garante può disporre il divieto del trattamento ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice in caso di trattamento di dati illecito o non corretto;

RITENUTO, pertanto, di dover disporre allo stato, nei confronti di "ICTS Italia S.r.l.", il divieto dell´ulteriore trattamento dei dati biometrici dei dipendenti per la finalità di rilevazione delle presenze dei lavoratori;

CONSIDERATO che resta salva, per fattispecie particolari o in ragione di situazioni eccezionali non considerate nelle "Linee guida", la presentazione da parte di titolari del trattamento che intendano discostarsi dalle prescrizioni, di apposito interpello al Garante, ai sensi dell´art. 17 del Codice (punto 4.4 delle "Linee guida");

RILEVATO che, in caso di inosservanza del provvedimento di divieto, si renderà applicabile la sanzione di cui all´art. 170 del Codice;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Giuseppe Fortunato;

TUTTO CIÒ PREMESSO, IL GARANTE

ritenuta l´illiceità del trattamento, vieta, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) del Codice il trattamento dei dati biometrici dei dipendenti da parte di "ICTS Italia S.r.l.".

Roma, 12 giugno 2009 

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
Patroni Griffi