Diritti interna

Doveri interna

ricerca avanzata

Installazione in un istituto scolastico di un dispositivo a riconoscimento biometrico (impronta digitale) per finalità di controllo del rispetto dell'orario di servizio - 30 maggio 2013 [2503101]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
2503101
Data:
30/05/13
Argomenti:
Biometria , Lavoro dipendente , Scuola , Lavoro pubblico , Rilevazione orari di lavoro
Tipologia:
Prescrizioni e divieto del Garante

DOCUMENTI CITATI


[doc. web n .2503101]

Installazione in un istituto scolastico di un dispositivo a riconoscimento biometrico (impronta digitale) per finalità di controllo del rispetto dell´orario di servizio - 30 maggio 2013

Registro dei provvedimenti
n. 262 del 30 maggio 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito "Codice");

VISTA la segnalazione inviata al Garante il 31 ottobre 2012;

ESAMINATA la documentazione acquisita agli atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Licia Califano;

PREMESSO

1. Con segnalazione del 31 ottobre 2012 si è lamentato che presso l´Istituto Tecnico Industriale "Ettore Majorana" di Martina Franca (di seguito, Istituto) sarebbe stato installato un dispositivo "a riconoscimento biometrico (impronta digitale)" per finalità di "controllo del rispetto dell´orario di servizio" del personale amministrativo tecnico e ausiliario (c.d. A.T.A.) senza che allo stesso fosse stata prestata una "informativa specifica" (anche per quanto riguarda l´indicazione delle categorie di soggetti che hanno accesso ai dati personali biometrici trattati). Tale trattamento, secondo quanto lamentato, non rispetterebbe le condizioni di liceità stabilite dal Garante in relazione ai dati biometrici dei lavoratori.

2. Il dirigente scolastico dell´Istituto, con nota del 10 dicembre 2012 (inviata in risposta alla richiesta di informazioni dell´Ufficio), ha rappresentato – con dichiarazioni della cui veridicità si può essere chiamati a rispondere ai sensi dell´art. 168 del Codice – che:

a. a partire dal 28 novembre 2011 è stato adottato per il personale A.T.A. un "sistema di rilevazione delle presenze con sistema ad impronta capacitivo";

b. l´adozione di tale sistema è stato ritenuto "indispensabile […] per soddisfare specifiche esigenze […] di sicurezza di beni e persone, anche alla luce di circostanze e situazioni concrete di elevato rischio", in particolare a causa del verificarsi di "numerosi casi di allontanamento e/o di ritardo dal servizio dopo aver […] regolarmente firmato il foglio delle presenze" cui hanno fatto seguito, nei confronti di due dipendenti, l´avvio di procedimenti disciplinari nonché l´effettuazione di segnalazioni alla Procura delle Repubblica;

c. in passato presso l´Istituto si sono verificati casi di "sparizione di documenti riservatissimi" e, comunque, si è reso necessario "presidiare aree sensibili [quali] locali destinati a custodia dei beni e di documenti riservati [nonché] garantire la sicurezza delle singole persone";

d. l´eventuale adozione di un (diverso) sistema di rilevazione delle presenze basato sull´attribuzione di badge individuali è stata ritenuta inidonea allo scopo, "atteso che non è infrequente che tra i dipendenti ci si possa scambiare [il] badge";

e. il dirigente scolastico ha provveduto ad informare "tutto il personale A.T.A." circa la decisione di adottare il menzionato sistema di rilevazione presenze, sia verbalmente – ricevendo, antecedentemente all´adozione del nuovo sistema, "da tutto il personale, tranne uno, il nullaosta all´uso del terminale con funzionalità biometriche" – sia con apposita circolare (non prodotta in atti) distribuita in un momento successivo all´installazione del sistema;

f. quanto alle caratteristiche del sistema adottato, l´Istituto ha prodotto un documento ("Idoneità ai sensi della normativa sulla privacy (D. Lgs. 196/2003) e delle norme di diritto del lavoro") rilasciato dalla società che ha prodotto ed installato il dispositivo medesimo; tale documento attesta che "l´immagine acquisita dal terminale dell´impronta digitale viene memorizzata all´interno del sensore, solo per il tempo necessario a creare una stringa di caratteri numerici, e quindi viene immediatamente distrutta; dalla stringa […] così creata non è possibile ricostruire l´immagine dell´impronta digitale";

g. pur ritenendo di aver rispettato la normativa vigente, il dirigente scolastico ha dichiarato che "qualora il Garante dovesse riscontrare la violazione di alcune norme sulla privacy, sin da ora si manifesta la più ampia disponibilità ad adottare le misure e gli accorgimenti necessari a garanzia degli interessati".

3.1. Sulla base delle risultanze istruttorie risulta accertato che presso l´Istituto sono stati effettuati trattamenti di dati biometrici del personale A.T.A. per finalità di rilevazione delle presenze con conseguente applicazione della disciplina posta a tutela della protezione dei dati personali.

Come più volte ribadito dall´Autorità, infatti, le operazioni concernenti le impronte digitali nonché i dati biometrici dalle stesse ricavati, sia con riguardo alla fase della raccolta che in relazione alla successiva memorizzazione ed utilizzo per le conseguenti operazioni di verifica e raffronto nell´ambito di procedure di autenticazione, integrando forme (distinte) di trattamento dei dati personali (cfr. art. 4, comma 1, lett. a) e b), del Codice), sono soggette alla disciplina del Codice (sul punto cfr., tra i tanti, Provv. 19 novembre 1999, doc. web n. 42058; 26 maggio 2011, doc. web n. 1832558). Ciò anche nel caso in cui il rilievo dattiloscopico, temporaneamente raccolto ai soli fini del completamento della fase di enrollment, venga successivamente utilizzato (sotto forma di codice numerico) per le menzionate operazioni di verifica e raffronto (Provv. n. 265 del 4 ottobre 2012, doc. web n. 2059743; Provv. 23 gennaio 2008, doc. web n. 1487903; v. anche il Gruppo dei garanti europei previsto dall´art. 29 della direttiva 95/46/Ce (di seguito "Gruppo art. 29") dapprima nel Documento di lavoro sulla biometria, WP 80, adottato il 1° agosto 2003, punto 3.1 ed ancora nel Parere 3/2012 sugli sviluppi nelle tecnologie biometriche, WP193, adottato il 27 aprile 2012, p. 5 s.).

3.2. Ciò premesso, deve rilevarsi che in relazione alla valutazione di liceità dei trattamenti dei dati biometrici riferiti a lavoratori, il Garante ha in più occasioni individuato le condizioni in presenza delle quali i trattamenti medesimi possono ritenersi leciti.

In particolare, l´Autorità ha precisato che tali dati possono essere di regola utilizzati solo in casi particolari, tenuto conto delle finalità perseguite dal titolare e del contesto in cui il trattamento viene effettuato, nonché – con specifico riguardo ai luoghi di lavoro – per presidiare l´accesso ad "aree sensibili" in considerazione della natura delle attività ivi svolte (cfr., tra le decisioni più risalenti, Provv. 21 luglio 2005, doc. web n. 1150679 e da ultimo, con ulteriori richiami,  Provv. del 31 gennaio 2013 n. 38, doc. web n. 2304669).

A mente della prescrizione contenuta nella Regola 2 dell´allegato B) al Codice, il Garante ha poi talvolta prescritto, in relazione a particolari operazioni di trattamento di dati personali, il ricorso a tecniche biometriche di autenticazione quale necessaria misura di sicurezza (cfr., ad esempio, in relazione ad operazioni concernenti i dati di traffico telefonico e telematico, il Provv. 17 gennaio 2008, doc. web n. 1482111; Provv. 14 febbraio 2013, n. 64).

Da ultimo, l´Autorità ha altresì riconosciuto la legittimità nonché la proporzionalità del trattamento di dati biometrici per finalità di autenticazione dell´utente nell´ambito di servizi di firma digitale remota (cfr. Provv. 31 gennaio 2013, doc. web n. 2311886).

3.3. Tali presupposti non risultano tuttavia ricorrere nella fattispecie in esame, posto che il sistema biometrico risulta essere stato installato presso l´Istituto allo scopo di effettuare la rilevazione delle presenze dei dipendenti. A tale proposito, con riferimento all´applicazione dei principi di necessità, nonché di pertinenza e non eccedenza (art. 11, comma 1, lett. d), del Codice) dei trattamenti effettuati in relazione alle finalità perseguite, il Garante ha di regola ritenuto sproporzionato l´impiego generalizzato di dati biometrici per finalità di rilevazione delle presenze dei lavoratori (cfr., da ultimo, Provv. 31 gennaio 2013, doc. web n. 2304669; v. già le Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico del 14 giugno 2007, punto 7.1, doc. web n. 1417809; questo orientamento è stato condiviso, proprio in sede di impugnazione di un´ordinanza-ingiunzione dell´Autorità, dal Trib. Prato, 19 settembre 2011). Tale valutazione tiene conto della possibilità di utilizzare idonee modalità alternative ‒ adottando soluzioni tecnico-organizzative che non incidano sulla libertà e la dignità stessa dei lavoratori interessati (art. 2 del Codice) ‒ preordinate all´accertamento parimenti efficace e rigoroso dell´effettiva presenza dei dipendenti in servizio.

Il titolare del trattamento, infatti, allo scopo di verificare il puntuale rispetto dell´orario di lavoro ben può disporre di altre (più "ordinarie") misure, meno invasive della sfera personale nonché della libertà individuale del lavoratore, che non ne coinvolgano la dimensione corporale. Aspetti, questi, costitutivi della dignità personale, a presidio della quale sono dettate le discipline di protezione dei dati personali, come emerge dall´art. 2 del Codice (cfr. Provv. del 31 gennaio 2013 n. 38, doc. web n. 2304669). I sistemi basati sull´utilizzo di tecnologie biometriche, infatti, possono operare  solo con l´attiva collaborazione personale dei lavoratori interessati in assenza di puntuali disposizioni che la impongano (v. anche Gruppo art. 29, WP193, Parere 3/2012, cit., p. 12, secondo cui  "il datore di lavoro è sempre tenuto a cercare i mezzi meno invasivi scegliendo, se possibile, un procedimento non biometrico" (cfr.).

3.4. Alla luce di tali orientamenti – che l´Ufficio del Garante aveva già rappresentato al dirigente scolastico dell´Istituto con nota del 12 gennaio 2012, inviata in risposta ad una richiesta di chiarimenti in materia – e degli elementi in atti, non risulta che nel caso specifico ricorrano i suindicati presupposti di liceità del trattamento.

Invero, l´Istituto ha dichiarato di aver installato il sistema in esame ritenendo inidonei strumenti di controllo delle presenze alternativi (ad esempio il badge individuale) in vista della "necessità di prevenire […] condotte abusive" (indicate nel possibile "scambio dei badge e nello smarrimento degli stessi", eventi peraltro non equiparabili), eventualità rappresentate dal titolare del trattamento in termini astratti ed ipotetici. Non sono stati addotti invece circostanziati elementi, strettamente rapportati alla specifica realtà lavorativa (quali, ad esempio, circostanze di fatto concernenti il personale tali da ostacolare un´agevole verifica della corretta esecuzione delle prestazioni lavorative), da cui si possa effettivamente arguire l´inidoneità di ordinarie misure di controllo e, correlativamente, la reale indispensabilità del trattamento dei dati biometrici dei lavoratori per la finalità suindicata. Al contrario, risulta che, a fronte del verificarsi di casi di allontanamento dal luogo di lavoro o di ritardo nel prendere servizio, l´Istituto sia stato in condizione di contestare addebiti disciplinari nei confronti di due dipendenti (senza precisarne l´esito), provvedendo a segnalare i casi all´autorità giudiziaria.

Né è risultata comprovata (ma solo allegata) l´inefficacia del possibile utilizzo degli strumenti automatici di rilevazione delle presenze d´uso comune (si pensi a badge marcatempo, se del caso associati ad un codice individuale per ostacolarne l´impiego abusivo), la cui adozione da tempo è stata prevista dal legislatore (cfr. art. 22, comma 3, l. 23 dicembre 1994, n. 724, Misure di razionalizzazione della finanza pubblica e già art. 7, comma 4, d.P.R. 1° febbraio 1986, n. 13; in tempi meno risalenti v. pure art. 3, comma 83, l. 24 dicembre 2007, n. 244, Legge finanziaria 2008, disposizioni che peraltro non contengono riferimento alcuno ai sistemi biometrici), come pure degli ordinari controlli, se del caso a campione, circa la presenza dei lavoratori (che solo a domanda possono assentarsi temporaneamente dal lavoro), da effettuarsi per il tramite del personale direttivo (sul quale anzitutto incombe la verifica quotidiana, peraltro di immediata evidenza e comunque di agevole accertamento all´interno di un istituto scolastico). Verifiche, queste, di agevole realizzazione, tenuto altresì conto di quanto affermato dal dirigente scolastico circa il personale che è, per "la maggior parte, […] sempre puntuale, sia nell´arrivo sul luogo di lavoro che nell´uscita"–, delle quali nel caso di specie non è stata dimostrata l´inefficacia e che possono comunque contenere significativamente il rischio di pratiche abusive (potendo queste ultime peraltro configurarsi quali violazioni di carattere penale, oltre che disciplinare e contabile).

Peraltro il trattamento dei dati biometrici per la finalità qui considerata, oltre ad essere in linea di principio (nonché, per quanto detto, nel caso di specie) sproporzionato, potrebbe comunque in concreto rivelarsi di scarsa utilità nel contrasto delle asserite (pur limitate) ipotesi di allontanamento dal servizio, atteso che, in difetto di efficaci sistemi di controllo e vigilanza sull´effettiva (operosa) presenza dei lavoratori durante l´arco dell´intera giornata lavorativa, la prospettata modalità di rilevazione delle presenze non è di per sé in grado di assicurare l´effettiva presenza sul luogo di lavoro di dipendenti infedeli.

3.5. Ciò non toglie, come enunciato anche nel presente provvedimento (cfr. par. 3.2), che l´utilizzo di sistemi biometrici, anche nell´ambito dell´Istituto, possa legittimamente avere luogo limitatamente alla diversa finalità del controllo degli accessi in aree del medesimo nelle quali sia custodita documentazione riservata od attrezzature di particolare valore (circostanza rispetto alla quale, in base alla documentazione in atti, non sono stati peraltro  forniti concreti elementi di valutazione, né indicate le porzioni di edificio eventualmente interessate da tale specifica esigenza).

3.6. Deve infine rilevarsi che non consta che l´Istituto abbia provveduto alla dovuta notificazione del trattamento ai sensi dell´art. 37, comma 1, lett. a), del Codice, profilo per il quale l´Autorità si riserva di contestare, con autonomo procedimento, la relativa violazione amministrativa.

3.7. Tanto premesso, il Garante, ritenuto che il trattamento effettuato dall´Istituto nel caso di specie sia avvenuto in violazione dei principi di liceità, necessità, pertinenza e non eccedenza rispetto agli scopi perseguiti (artt. 11, comma 1, lett. a) e d) del Codice), dichiara illecito il trattamento dei dati biometrici riferiti ai lavoratori e ne dispone il divieto ai sensi degli artt. 154, comma 1, lett. d), 144 e 143, comma 1, lett. c), del Codice.

TUTTO CIÒ PREMESSO, IL GARANTE

in relazione ai descritti trattamenti di dati personali effettuati dall´Istituto Tecnico Industriale "Ettore Majorana" di Martina Franca dichiara illecito, nei termini di cui in motivazione, il trattamento dei dati biometrici riferiti ai lavoratori e, ai sensi degli artt. 154, comma 1, lett. d), 144 e 143, comma 1, lett. c), del Codice, ne vieta l´ulteriore trattamento.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 30 maggio 2013

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia