Diritti interna

Doveri interna

ricerca avanzata

Sistema di rilevazione di dati biometrici dei dipendenti - Verifica preliminare - 26 maggio 2011

[doc. web n. 1832558]

Sistema di rilevazione di dati biometrici dei dipendenti - Verifica preliminare - 26 maggio 2011

Registro dei provvedimenti
n. 212 del 26 maggio 2011

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA RIUNIONE ODIERNA, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale;

VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali);

VISTE le "Linee guida in materia di trattamento di dati personali dei lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati" adottate dal Garante con deliberazione n. 53 del 23 novembre 2006, che prescrivono ai titolari del trattamento l´adozione di specifiche misure ed accorgimenti per il trattamento di dati biometrici dei lavoratori;

ESAMINATA la richiesta di verifica preliminare (datata 30 settembre 2010) presentata da Northrop Grumman Italia S.p.A. ai sensi dell´art. 17 del Codice;

VISTI gli atti d´ufficio e le comunicazioni della società datate 29 novembre 2010, 21 gennaio, 4 febbraio e 16 marzo 2011;

ESAMINATA la documentazione acquisita agli atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Giuseppe Fortunato;

PREMESSO

1.1. Northrop Grumman Italia S.p.A., società specializzata nelle attività di ricerca, sviluppo e produzione di sistemi e apparati elettronici, ha presentato a questa Autorità una richiesta di verifica preliminare ai sensi dell´art. 17 del Codice relativa al trattamento di dati personali di alcuni dipendenti connesso all´utilizzo di un sistema di rilevazione di dati biometrici preordinato al controllo degli accessi a due sale server ubicate presso lo stabilimento di Pomezia –adibito alla progettazione e alla realizzazione di sistemi di navigazione utilizzati a bordo di aerei militari– e "contenenti apparati con applicazioni critiche e/o informazioni riservate".

Il sistema, composto da sei "dispositivi posti su tre porte di ingresso/uscita" unitamente ad un "server dedicato", sarebbe "basato sul riconoscimento dell´impronta digitale" dei lavoratori autorizzati ad accedere alle predette sale ("circa 10 persone" su un totale di "oltre 200 dipendenti") e risponderebbe alla necessità di "identificare in maniera univoca chi accede/esce alle/dalle [medesime] sale", stante anche la dichiarata delicatezza delle informazioni ivi trattate.

1.2. Secondo quanto riferito, il sistema "estrarrebbe" dall´impronta digitale degli interessati "i tratti specifici dell´utilizzatore necessari per elaborare il «modello» biometrico" (template), successivamente "inviato in formato digitale e crittografato al server preposto per l´autorizzazione". Terminato il processo di enrollment, "l´immagine [verrebbe] subito distrutta"; inoltre, "non [sarebbe] possibile ricostruire né l´immagine, né la geometria complessiva dell´impronta originale" dall´algoritmo risultante dal processo di elaborazione.

Dall´analisi delle caratteristiche tecniche allegate dalla società emerge che i templates possono essere memorizzati su appositi dispositivi posti nell´esclusiva disponibilità degli interessati ("RF cards"), ovvero registrati, in forma centralizzata, all´interno dello stesso lettore biometrico. A tale ultimo proposito, la società ha affermato di ritenere necessaria quest´ultima soluzione, adducendo la "centralizzazione" dei templates quale elemento fondamentale a "tutela della [società] verso i clienti".

I dati relativi agli accessi alle sale server sarebbero conservati per un periodo massimo di sette giorni "dal momento della [loro] rilevazione", mentre le "impronte memorizzate [rectius: i templates] ve[rebber]o immediatamente cancellate" in caso di revoca dell´autorizzazione all´accesso (ad es., in caso di: dimissioni; pensionamento; mutamento di mansioni; ecc.).

L´accesso al server –appositamente "configurato in maniera tale da non poter essere utilizzato da remoto, ma solo attraverso la propria console locale"– sarebbe consentito "esclusivamente al responsabile infrastrutture IT e a due amministratori di sistema"; per questi ultimi, peraltro, l´accesso sarebbe consentito solo in forma congiunta e, comunque, subordinato al rilascio di una preventiva "autorizzazione formale e motivata da parte del direttore generale". Inoltre, quale ulteriore misura di sicurezza, la società si è dichiarata disposta a "inserire verifiche periodiche degli accessi al server […] per evidenziare la correttezza delle operazioni svolte e lo storico de[gl]i interventi" effettuati.

1.3. L´utilizzo del sistema, in base agli elementi forniti, sarebbe su base esclusivamente volontaria. A tal fine, la società ha dichiarato che provvederà all´acquisizione di uno specifico consenso da parte degli interessati, previo rilascio della prescritta informativa di cui all´art. 13 del Codice relativamente al trattamento dei loro dati biometrici (il cui testo, peraltro, non risulta prodotto in atti). Inoltre, per i soggetti che –benché autorizzati all´accesso alle sale server– non abbiano tuttavia rilasciato il consenso al trattamento dei loro dati biometrici, saranno previste modalità alternative di accesso; parimenti, per coloro che non sono correntemente accreditati all´accesso (ad es., i manutentori), è previsto l´accompagnamento all´interno delle sale da parte del solo personale autenticatosi attraverso il sistema biometrico, con permanenza di quest´ultimo "sino al termine dell´esigenza" che giustifica l´intervento.

1.4. I locali presso cui verrebbe installato il dispositivo biometrico sarebbero già protetti da "distinti sistemi di allarme antintrusione volumetrici a doppia tecnologia", i quali, su espressa indicazione della società, potrebbero tuttavia essere configurati in modo tale da attivarsi solo in caso di  uscita dalle sale server; più precisamente, "quando l´utente accreditato si autentica per l´ingresso [attraverso il sistema biometrico] il dispositivo [di allarme] si disattiv[erebbe], [riattivandosi], viceversa, […] quando lo stesso utente si autentica per uscire". Si tratterebbe, in sostanza, di dispositivi che opererebbero in tempi diversi, attivandosi in maniera alternata in funzione degli ingressi e delle uscite dalle sale server.

Gli ingressi a tali sale, per altro verso, risultano poi "sottoposti a videosorveglianza con registrazione dei soli eventi d´ingresso e uscita al fine di verificare lo stato delle cose e/o provocare i necessari interventi nel caso d´incidenti o allarmi"; le riprese, secondo quanto riferito, avrebbero "luogo in maniera mascherata e s[arebber]o focalizzate con ripresa di campo ristretto". A detta della società, quindi, le telecamere –posizionate "immediatamente sopra le porte" delle sale server e con angolo visuale circoscritto ai "soli eventi di ingresso e uscita"– "non consent[irebber]o di riconoscere il soggetto" che accede a tali sale.

1.5. L´adozione del sistema, secondo quanto riferito, sarebbe giustificata dalla necessità di garantire elevati standard di protezione in relazione alle informazioni contenute nelle due sale server oggetto di accesso da parte del solo personale autorizzato (riconducibili alle informazioni concernenti soprattutto "la progettazione dei sistemi di navigazione inerziale […] e le conseguenti caratteristiche funzionali e operative dei sistemi realizzati"), anche alla luce della loro delicatezza sotto il profilo militare e commerciale: la società, infatti, come detto, progetta e realizza sistemi e apparati elettronici per uso anche militare che, a suo dire, sarebbero potenzialmente suscettibili di atti di "spionaggio, […] manomission[e] o rivelazione non autorizzata". Il sistema, dunque, mirerebbe prettamente a verificare che i soggetti che accedono alle predette sale siano solo quelli a ciò debitamente autorizzati, preservando al contempo i locali "da atti di sabotaggio e da qualsiasi altra azione finalizzata ad arrecare danneggiamenti". Tanto, muovendo dall´assunto che le informazioni ivi raccolte, per la loro astratta riconducibilità (anche solo potenziale) alle informazioni "classificate" di cui alla legge 3 agosto 2007, n. 124 (recante "Sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto") e al D.P.C.M. 3 febbraio 2006 (recante "Norme unificate per la protezione e la tutela delle informazioni classificate"), richiederebbero l´adozione di un elevato livello di protezione, a tutela (e nell´interesse), tra l´altro, degli stessi clienti della società (tra cui sono annoverabili anche "forze armate nazionali e straniere").

Tale sistema, inoltre, sarebbe necessario in ragione del fatto che la società è attualmente certificata secondo gli standard stabiliti dall´ISO ("ISO 27001") e, conseguentemente, soggetta a stringenti vincoli in tema di gestione della sicurezza delle informazioni, specie per gli aspetti della sicurezza fisica, logica ed organizzativa; ciò, in quanto il punto A.7.2/ISO 27001 prevede "la classificazione delle informazioni con l´obiettivo di assicurare che le stesse ricevano un adeguato livello di protezione in base al loro valore, alle prescrizioni legali, alla sensibilità e criticità nei confronti dell´organizzazione".

1.6. La società ha comunicato a questa Autorità, benché non ritenga che il sistema in esame possa rientrare nel campo di applicazione dell´art. 4, comma 2, della legge n. 300/1970, di aver comunque ottenuto l´assenso dei sindacati al riguardo, allegando a riprova delle dichiarazioni rese la copia di un "verbale di accordo sindacale redatto dalla R.S.U. aziendale" in ordine all´installazione dell´impianto di rilevazione dei dati biometrici dei dipendenti; tale "accordo" risulta composto da una comunicazione con cui la r.s.u. aziendale, nel prendere atto delle intenzioni manifestate dalla società circa l´installazione di tale impianto, afferma che non sussistono ragioni ostative al riguardo.

La società, sotto distinto profilo, si è poi riservata di notificare il trattamento dei dati biometrici, come previsto dall´art. 37 del Codice, all´esito (positivo) del procedimento incardinato innanzi all´Autorità.

Da ultimo, è stata prodotta documentazione con cui l´azienda produttrice dell´impianto di rilevazione biometrica ne attesta la non difformità alla disciplina in materia di protezione dei dati personali.

2. Presupposti di liceità del trattamento.

2.1. La richiesta di verifica preliminare formulata da Northrop Grumman Italia S.p.A. ha per oggetto il trattamento di dati biometrici di propri dipendenti per finalità di verifica degli accessi a due sale server contenenti informazioni riservate.

Premesso che le impronte digitali e le informazioni da esse ricavate e successivamente utilizzate per verifiche e raffronti nelle procedure di autenticazione o identificazione, in quanto riconducibili alla nozione di "dato personale" di cui all´art. 4, comma 1, lett. b), del Codice, sono soggette alla disciplina del medesimo Codice (sul punto cfr., tra i tanti, Provv. 19 novembre 1999, doc. web n. 42058 e 21 luglio 2005, doc. web n. 1150679; in merito v. pure il documento di lavoro sulla biometria del Gruppo art. 29, direttiva n. 95/46/Ce -wp80-, punto 3.1.), occorre considerare che la liceità del trattamento di dati biometrici che la società intende svolgere a mezzo del sistema oggetto dell´istanza deve essere valutata, in particolare, alla luce dei principi di necessità e proporzionalità (artt. 3 e 11 del Codice).

Tenuto conto degli elementi acquisiti, deve rilevarsi che il trattamento in esame, in ragione dei presupposti addotti e delle finalità perseguite nel contesto di specie, non risulta, allo stato, illecito, né sproporzionato (artt. 11, comma 1, lett. a) e d) del Codice).

Come già affermato da questa Autorità in più di una circostanza (cfr., ex multis, Provv. 17 novembre 2010, doc. web n. 1779758; Provv. 17 settembre 2009, doc. web n. 1655708; Provv. 1° febbraio 2007, doc. web n. 1381983; Provv. 15 giugno 2006, doc. web n. 1306098; cfr. anche le Linee guida in materia di trattamento di dati personali dei lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati, doc. web n. 1364939), l´utilizzo di dati biometrici può risultare giustificato solo in casi particolari, dovendo a tal fine tenersi conto delle finalità perseguite e del contesto in cui essi sono trattati. In particolare, in relazione a luoghi di lavoro come quelli in esame, risulta proporzionato utilizzare sistemi di rilevazione di dati biometrici per presidiare accessi ad "aree sensibili", considerata anche la natura dei beni ivi custoditi (quali, ad esempio, documenti segreti o riservati, ovvero oggetti di valore: cfr., in proposito, anche Provv. 23 novembre 2005, doc. web n. 1202254).
Nel caso di specie, il trattamento risulta preordinato, conformemente a quanto previsto nelle citate Linee guida, a garantire l´accesso ad aree "sensibili" (in ragione della dichiarata peculiare natura delle informazioni ivi conservate e della loro evocata attitudine, sia pure potenziale, ad essere qualificate come "classificate" in base alla specifica disciplina di settore: in particolare, il d.p.c.m. 3 febbraio 2006) del solo personale debitamente autorizzato, peraltro individuato in un numero esiguo di dipendenti. A ciò, si aggiunga che è lo stesso d.p.c.m. sopra citato a prevedere l´adozione di adeguate misure di sicurezza "materiale" –destinate anche alla protezione dei locali– volte ad evitare che terzi non autorizzati possano avere accesso alle informazioni ivi trattate (art. 40, commi 1 e 2); ne consegue che le sale server dove la società tratta informazioni anche solo potenzialmente qualificabili come "classificate" risultano, allo stato, richiedere l´adozione di specifici ed elevati standard di sicurezza, nonché di affidabili sistemi di identificazione dei soggetti deputati ad accedervi in ragione delle mansioni concretamente svolte. Peraltro, quand´anche tali informazioni non fossero concretamente ascrivibili tra quelle "classificate", la loro peculiare destinazione ad usi militari e la loro astratta idoneità a ledere interessi di forze armate nazionali e straniere è comunque tale da far in ogni caso ritenere, in via eccezionale, come appropriata l´adozione di rigorose misure di sicurezza volte a prevenire la loro indebita acquisizione da parte di terzi non autorizzati (anche alla luce, tra l´altro, degli stringenti requisiti di affidabilità richiesti a fini di certificazione dalle disposizioni ISO 27001, cui la società ha dichiarato di attenersi). Né tale valutazione può ritenersi inficiata dalla presenza di altri sistemi di allarme già predisposti dalla società, tenuto conto che le loro concrete modalità di funzionamento, per come manifestate da quest´ultima (cfr. punto 1.3), non risultano –per sé sole– idonee a garantire in forma adeguata elevati livelli di protezione delle informazioni custodite nelle sale server oggetto di accesso controllato.

Sotto distinto profilo, risulta poi conforme alla disciplina del Codice la prevista acquisizione, da parte della società, di un apposito consenso informato degli interessati (art. 13 e 23 del Codice), come pure la predisposizione di sistemi di accesso alternativi per i lavoratori che dovessero eventualmente opporsi al trattamento dei propri dati biometrici per finalità di accesso alle menzionate sale server. Parimenti, risultano aderenti alle disposizioni del Codice in tema di misure di sicurezza (art. 31 e ss. e Allegato "B") gli accorgimenti che la società ha dichiarato di voler adottare, con particolare riferimento alle modalità di accesso ai dati da parte degli amministratori di sistema e alla "tracciabilità" dei loro interventi.

2.2. Se, dunque, il trattamento di dati biometrici che la società intende svolgere risulta lecito, occorre tuttavia evidenziare che, sulla scorta delle attuali risultanze documentali, non risulta invece necessaria la centralizzazione in un unico database delle informazioni personali (sia pure in forma di template) trattate nell´ambito del descritto procedimento di riconoscimento biometrico; da un lato, infatti, occorre considerare che l´art. 3 del Codice impone di configurare i sistemi informativi in modo da ridurre al minimo l´utilizzazione di dati personali, sì da escluderne il trattamento quando le finalità perseguite possono essere realizzate con modalità  tali da permettere di identificare l´interessato solo in caso di necessità; dall´altro, nonostante esplicita richiesta in tal senso da parte dell´ufficio, la società non ha addotto elementi utili a chiarire (e giustificare) la prospettata centralizzazione, essendosi limitata ad affermarne la necessità quale misura a "tutela della [società] verso i clienti".

Ciò evidenziato, tenuto anche conto che le caratteristiche tecniche del dispositivo in esame permettono di memorizzare i templates anche su "RF cards", deve dunque ritenersi misura adeguata e sufficiente, anche in ragione dell´esiguo numero di dipendenti coinvolti, avvalersi di modalità di memorizzazione delle impronte digitali (sotto forma di algoritmo cifrato) su un supporto posto nell´esclusiva disponibilità degli interessati (smart card o dispositivi analoghi) e privo di indicazioni immediatamente riferibili a questi ultimi. Tale modalità, infatti, risulta parimenti idonea ad assicurare che possano accedere all´area riservata solo coloro che, previamente autorizzati, decidano su base volontaria di avvalersi del dispositivo, evitando così la costituzione di un archivio di dati biometrici (sia pure sotto forma di template) e prevenendo, in pari tempo, il rischio di eventuali utilizzi impropri delle informazioni o di possibili abusi (cfr., già in questo senso, Provv. 10 dicembre 2009, doc. web n. 1689698; Provv. 17 settembre 2009, cit.; Provv. 15 giugno 2006, doc. web n. 1306098; Provv. 23 febbraio 2006, doc. web n. 1251535; Provv. 23 novembre 2005, cit.). La società potrà comunque memorizzare nel proprio sistema informativo, oltre alle registrazioni degli accessi ai locali presidiati, i soli dati personali (diversi dai template) univocamente identificativi dei lavoratori e che risultino necessari per registrare temporaneamente l´identità dei dipendenti che fanno ingresso, di volta in volta, nelle aree "riservate".

Dovranno, inoltre, essere impartite idonee istruzioni riguardo all´eventuale perdita e sottrazione dei dispositivi affidati ai lavoratori (anche rispetto alle tempestive comunicazioni da rendere alla società), nonché alle procedure interne per verificare il sistema e aggiornare, ove necessario, i dispositivi rilasciati ai dipendenti.

3. Ulteriori adempimenti.
La società dovrà provvedere a designare formalmente quali incaricati o responsabili del trattamento (nelle forme ritualmente previste dagli artt. 29 e 30 del Codice) i soggetti autorizzati a trattare i dati personali dei dipendenti accreditati all´accesso alle due sale server su cui insiste il sistema biometrico, impartendo loro idonee istruzioni alle quali attenersi.

Inoltre, dovranno essere rispettate le disposizioni di legge in tema di notificazione al Garante del trattamento (artt. 37, comma 1, lett. a), e 38 del Codice) –adempimento, peraltro, che la società si è già resa disponibile ad effettuare anche in relazione al presente provvedimento–, come pure l´obbligo di mettere a disposizione degli interessati, in conformità alle intenzioni manifestate, un´idonea informativa preventiva comprensiva di tutti gli elementi di cui all´art. 13 del Codice, unitamente a compiuti ragguagli circa le caratteristiche del dispositivo utilizzato e l´esistenza di un sistema alternativo di identificazione degli interessati.

La società potrà poi conservare i dati relativi agli accessi alle sale server per il solo periodo strettamente necessario a perseguire la finalità prefissa e, comunque, non oltre l´indicato periodo di sette giorni (art. 11, comma 1, lett. e) del Codice), prevedendo a tal fine idonei meccanismi di cancellazione (anche automatica) degli stessi alla scadenza del periodo di riferimento.

In attuazione, infine, dell´obbligo di adottare ogni misura di sicurezza, anche minima, prescritta dagli artt. 31 e ss. del Codice, la società dovrà farsi rilasciare dall´installatore del sistema (ove diverso dal produttore) il prescritto attestato di conformità e conservarlo presso la propria struttura in ottemperanza alla regola n. 25 dell´Allegato B al Codice medesimo.

I dati biometrici dei dipendenti potranno essere trattati dalla società per la sola finalità dichiarata e nel rispetto, oltre che delle modalità indicate, delle misure e accorgimenti che la stessa società ha affermato di voler adottare e di quelli prescritti con il presente provvedimento.

Resta inteso che l´installazione del sistema in esame e il correlato trattamento potranno considerarsi leciti solo ove l´accordo prodotto dalla società possa essere effettivamente ritenuto pienamente satisfattivo delle condizioni indicate nell´art. 4, secondo comma, della legge 20 maggio 1970, n. 300 (Statuto dei lavoratori), richiamato dall´art. 114 del Codice.

TUTTO CIÒ PREMESSO IL GARANTE

a conclusione della verifica preliminare relativa all´utilizzo del sistema di rilevazione di dati biometrici dei dipendenti che Northrop Grumman Italia S.p.A. intende impiegare per finalità di accesso a due sale server ubicate presso lo stabilimento di Pomezia e contenenti informazioni potenzialmente qualificabili come "classificate" ai sensi della normativa vigente in materia, prende atto del trattamento oggetto delle dichiarazioni rese e della documentazione prodotta, fermo restando, quale prescrizione ai sensi degli art. 17 e 154, comma 1, lett. c) del Codice, che:

1. la società dovrà adottare modalità di utilizzo che prevedano il confronto tra le impronte rilevate ad ogni accesso al sistema e il template memorizzato su un supporto che resti nell´esclusiva disponibilità degli interessati e privo di indicazioni immediatamente riferibili a questi ultimi;

2. siano impartite idonee istruzioni riguardo all´eventuale perdita e sottrazione dei dispositivi affidati ai lavoratori (anche rispetto alle tempestive comunicazioni da rendere alla società), nonché rispetto alle procedure interne per verificare il sistema e aggiornare, ove necessario, i dispositivi rilasciati ai dipendenti;

3. la società provveda a memorizzare nel proprio sistema informativo, oltre alle registrazioni degli accessi ai locali presidiati, i soli dati personali (diversi dal template) univocamente identificativi dei lavoratori e che risultino necessari per registrare temporaneamente l´identità dei dipendenti che fanno ingresso, di volta in volta, nelle aree riservate;

4. siano designati quali incaricati o responsabili del trattamento, in conformità agli artt. 29 e 30 del Codice, i soggetti autorizzati a trattare i dati biometrici dei dipendenti accreditati all´accesso alle due sale server, impartendo loro idonee istruzioni alle quali attenersi;

5. la società provveda a notificare previamente al Garante il trattamento in base agli artt. 37, comma 1, lett. a) e 38 del Codice, ottemperando altresì all´obbligo di mettere a disposizione degli interessati un´idonea informativa preventiva comprensiva di tutti gli elementi di cui all´art. 13 del Codice, unitamente a compiuti ragguagli circa le caratteristiche del dispositivo utilizzato e l´esistenza di un sistema alternativo di identificazione degli interessati;

6. i dati relativi agli accessi siano conservati per il solo periodo strettamente necessario a perseguire la finalità prefissa e, comunque, non oltre sette giorni (art. 11, comma 1, lett. e) del Codice), prevedendo a tal fine idonei meccanismi di cancellazione (anche automatica) degli stessi alla scadenza del periodo di riferimento;

7. la società si faccia rilasciare dall´installatore del sistema (ove diverso dal produttore) l´attestato di conformità di cui alla regola n. 25 dell´Allegato B al Codice, provvedendo altresì alla relativa conservazione presso la propria struttura;

8. i dati biometrici dei dipendenti siano trattati dalla società per la sola finalità dichiarata e nel rispetto, oltre che delle modalità indicate, delle misure e accorgimenti che la stessa società ha affermato di voler adottare e di quelli prescritti con il presente provvedimento.

Roma, 26 maggio 2011

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
De Paoli