Diritti interna

Doveri interna

ricerca avanzata

Trattamenti di dati biometrici dei dipendenti. Verifica preliminare - 18 giugno 2015 [4173465]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
4173465
Data:
18/06/15
Argomenti:
Biometria , Lavoro
Tipologia:
Verifica preliminare

[doc. web n. 4173465]

Trattamenti di dati biometrici dei dipendenti. Verifica preliminare - 18 giugno 2015

Registro dei provvedimenti
n. 361 del 18 giugno 2015

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito "Codice");

VISTO il provvedimento generale del Garante n. 513 del 2014 in tema di biometria e le annesse Linee guida in materia di riconoscimento biometrico e firma grafometrica (G.U. 2.12.2014, n. 280 e in www.garanteprivacy.it, doc. web nn. 3556992 e 3563006);

ESAMINATA la richiesta di verifica preliminare presentata da LS Travel Retail Roma s.r.l. ai sensi dell´art. 17 del Codice;

VISTI gli atti d´ufficio;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

PREMESSO

1.1. LS Travel Retail Roma s.r.l., società che gestisce gli spazi commerciali duty free e duty paid degli aeroporti internazionali (Fiumicino e Ciampino) di Roma (di seguito: la società), ha presentato il 28 luglio 2014 una richiesta di verifica preliminare ai sensi dell´art. 17 del Codice, in relazione alla prospettata installazione di un sistema di rilevazione di dati biometrici, basato sulla lettura delle impronte digitali, finalizzato a consentire l´accesso dei dipendenti ad alcune aree particolari situate all´interno degli aeroporti stessi, in particolare ai magazzini ove sono conservati prodotti di pregio e alle stanze all´interno delle quali sono posizionate le cassette di sicurezza contenenti i valori provenienti dalle casse dei negozi.

L´installazione del sistema biometrico, secondo quanto dichiarato, sarebbe reso necessario dalla necessità di proteggere le merci conservate nei magazzini (ubicati in luoghi "generalmente isolati e meno controllati rispetto al resto dell´aeroporto") nonché i valori posti all´interno delle cassette di sicurezza, attraverso l´identificazione univoca dei soggetti autorizzati all´accesso alle relative aree. Specifiche esigenze di sicurezza di tali beni deriverebbero, da un lato, dal frequente verificarsi di furti (la società ha dichiarato di aver presentato nel corso del 2013 e primo semestre 2014 "circa 70 denunce" alle forze di polizia "per furto di merce e mancanze inventariali"), dall´altro dalla possibilità che i dipendenti accedano "alle aree sterili anche in momenti diversi da quelli […] assegnati" in base alla turnazione (cfr. istanza 28.7.2014, p. 2).

1.2. Il sistema sarebbe dunque finalizzato "esclusivamente a verificare che solo le persone effettivamente autorizzate accedano alle aree in questione" e non a rilevare la presenza in servizio dei dipendenti. La società ha inoltre dichiarato che intende "realizzare tutti gli adempimenti necessari con le rappresentanze sindacali al fine di implementare il Sistema nel pieno accordo con i propri dipendenti" (cfr. istanza cit., p. 3).

1.3. Quanto alle caratteristiche del sistema, questo consterebbe di "21 lettori biometrici con terminali per la lettura delle impronte digitali" collocati all´interno dell´aeroporto di Fiumicino in corrispondenza degli accessi ai magazzini di stoccaggio delle merci (n. 18) e alle stanze dove sono collocate le cassette di sicurezza ed apparecchiature di controllo del sistema informatico (n. 3). I dipendenti interessati (nel numero di 60), previamente informati sulle caratteristiche del sistema, saranno sottoposti alla fase c.d. di enrolling dell´impronta ed associati ad un distinto codice alfanumerico. Inoltre il sistema "cancellerà automaticamente i dati registrati con cadenza di 72 ore". Non saranno invece trattati i dati riferiti agli orari di ingresso e di uscita dalle aree riservate mentre il codice di attivazione sarà "collegato al nome e cognome del dipendente solo nell´archivio dati custodito in area protetta". La figura aziendale incaricata di accedere al software di gestione del sistema, e che sarà designata amministratore di sistema, "avrà la facoltà di attribuire ed eliminare codici alfanumerici in base al turnover di personale aziendale, il cui andamento è determinato dai picchi di attività stagionale proprio del settore aeroportuale" (cfr. istanza cit., p. 3). 1.4. A seguito di una richiesta di integrazioni e chiarimenti formulata dall´Autorità, la società ha chiarito che:

a. il sistema è preordinato al controllo degli accessi a locali cui può accedere solo personale specificamente autorizzato "e solo in determinati periodi di tempo (fasce orarie e/o giorni)" (cfr. documento tecnico allegato alla comunicazione ricevuta il 17.3.2015, p. 2);

b. i predetti locali sono collocati in un´area, quella aeroportuale, connotata in sé da particolari esigenze di sicurezza;

c. il codice di accesso che viene registrato al momento dell´accesso ai locali riservati "non identifica per iscritto «nome e cognome» del dipendente", posto che l´associazione con i dati identificativi del lavoratore è consentita solo previa consultazione dell´archivio dati "protetto da password e custodito in area protetta" (cfr. documento cit., p. 2);

d. i dispositivi per l´acquisizione iniziale delle caratteristiche biometriche e la postazione di controllo, gestione e conservazione dei dati biometrici sono collocati all´interno della apposita sala operativa (cfr. documento cit., p. 3);

e. la modalità di confronto effettuata dal sistema al momento del controllo dell´accesso è del tipo uno a molti;

f. i dati raccolti e registrati "non riportano orari di ingresso/uscita" (cfr. documento cit., p. 2);

g. il sistema biometrico è preordinato per cancellare "in automatico i dati registrati con cadenza programmabile di 24/48/72 ore massimo" (cfr. documento cit., p. 3);

h. "il sistema di trasmissione dati utilizza una rete dedicata (Intranet) non connessa all´esterno e non accessibile da WEB. I dati trasmessi (Template dell´impronta digitale) sono crittografati" (cfr. documento cit., p. 3);

i. "i sistemi sono protetti da Password e Login e […] per ragioni di sicurezza sono dislocati all´interno di un´area protetta" (cfr. documento cit., p. 3);

j. in presenza di casi particolari in cui sia temporaneamente impossibile procedere all´autenticazione biometrica è possibile attivare una specifica procedura richiedendo alla postazione di controllo "l´abilitazione di un codice di accesso monouso" (cfr. documento cit., p. 4).

1.5. Con nota dell´8 maggio 2015 la società ha poi chiarito che "la centralizzazione dei dati biometrici dei dipendenti si rende necessaria" in considerazione:

a. dell´elevato numero complessivo di lettori biometrici (che in totale, rettificando quanto indicato in precedenza, saranno 23) posizionati "all´interno di tutto l´aeroporto di Fiumicino per una distanza complessiva di svariati chilometri";

b. della opportunità di utilizzare la già esistente sala operativa centralizzata, "custodita 24 ore su 24 da personale di vigilanza armata", per conservare all´interno del server ivi posizionato i dati biometrici raccolti, garantendone la sicurezza;

c. della possibilità di garantire "un maggior controllo sulla rete in cui i dati transiteranno dai singoli lettori biometrici alla banca dati centralizzata".

2. Con provvedimento generale prescrittivo in tema di biometria n. 513/2014 il Garante ha ribadito che il trattamento di dati personali biometrici, considerato che essi sono "direttamente, univocamente e in modo tendenzialmente stabile nel tempo, collegati all´individuo e denotano la profonda relazione tra corpo, comportamento e identità della persona" (cfr. provv. cit., punto 4), può essere effettuato previa adozione di particolari cautele. I titolari che intendono trattare dati biometrici, in particolare, dovranno sia conformare i relativi trattamenti ai principi generali di liceità, finalità, necessità e proporzionalità (cfr. artt. 3 e 11 del Codice), sia adottare le misure e gli accorgimenti tecnici, organizzativi e procedurali prescritti dall´Autorità in relazione a talune specifiche tipologie di trattamento di dati biometrici.

3.1. Il trattamento che la società intende effettuare – che in ragione delle particolarità del sistema utilizzato non rientra nei casi di esonero dalla verifica preliminare di cui all´art. 17 del Codice previsti dal citato provvedimento di carattere generale (cfr. par. 4) – finalizzato a consentire solo ai dipendenti autorizzati l´accesso ad aree determinate (dove sono stoccate merci di particolare valore o collocate particolari apparecchiature informatiche) risulta in termini generali lecito (v. provv. generale cit., punto 4.2; relativamente al trattamento di dati biometrici per finalità di accesso ad aree riservate, cfr., tra gli altri, i provv.ti: 17 settembre 2009, doc. web n. 1655708; 8 aprile 2009, doc. web n. 1610018; 1 febbraio 2007, doc. web n. 1381983; 26 luglio 2006, doc. web n. 1318582). Infatti non tutti i lavoratori, indistintamente, verrebbero sottoposti al trattamento di dati biometrici bensì solo coloro che risultino previamente autorizzati ad accedere alle predette aree. Secondo quanto dichiarato, inoltre, il trattamento in esame non consentirebbe il controllo della presenza in servizio essendo bensì preordinato all´esclusiva finalità di tutela dei beni aziendali, a fronte di concreti rischi rappresentati dalle numerose segnalazioni di furti e/o ammanchi rilevati all´interno dei magazzini (eventi a fronte dei quali gli attuali sistemi di verifica – badge aziendale – si sono rivelati insufficienti).

3.2. Alla luce delle caratteristiche concrete del trattamento che si intende effettuare e, in particolare, considerato che i dati trattati non comprendono quelli direttamente identificativi dei dipendenti (bensì un codice alfanumerico associato al dato biometrico) né l´orario di ingresso ed uscita dai locali riservati, si ritiene che siano nel complesso rispettati i canoni di proporzionalità e pertinenza previsti dal Codice.

3.3. Per quanto riguarda, poi, la prevista conservazione dei riferimenti biometrici in un apposito server di controllo, situato all´interno della sala operativa presso l´area tecnica Alitalia di Fiumicino, si ritiene che nel caso specifico le concrete caratteristiche e modalità di utilizzo del sistema, con le misure di sicurezza complessivamente adottate e da adottarsi, facciano ritenere tale soluzione tecnologica non in contrasto con il principio di proporzionalità del trattamento (art. 11, comma 1, lett. d), del Codice). Al riguardo si può rilevare, in primo luogo, che la collocazione del server in cui andrà a risiedere la banca dati fornisca garanzie di sicurezza dal momento che l´area destinata ad ospitare tale server è sottoposta ad idonee misure di controllo e sicurezza degli accessi. In secondo luogo, viene in considerazione il numero relativamente ridotto di addetti che a regime si prevede utilizzino il sistema, nonché l´ubicazione dei terminali all´interno dell´aeroporto di Fiumicino (area ad elevato traffico di persone).

4.1. In relazione al sistema prospettato risulta tuttavia necessario, allo scopo di rafforzare le misure di sicurezza e di tenere distinto il server di controllo di cui al precedente punto 3.3. dalle altre basi di dati riferiti ai dipendenti, prescrivere alla società le seguenti misure poste a tutela dei diritti degli interessati:

a. adozione di misure di autenticazione di tipo forte (c.d. strong authentication) in relazione all´accesso al sistema effettuato dall´amministratore di sistema;

b. realizzazione di specifiche policy di sicurezza per le password dell´amministratore di sistema e degli operatori, conformemente a quanto previsto dal Disciplinare tecnico in materia di misure minime di sicurezza (Allegato B al Codice);

c. predisposizione del sistema in modo da consentire l´accesso allo stesso e in particolare alla postazione di controllo, gestione e conservazione dei dati biometrici, esclusivamente da consolle (all´interno della sala operativa) e non da postazioni remote via rete;

d. cancellazione dei dati relativi all´accesso alle aree riservate decorse 48 ore dalla raccolta;

e. cancellazione immediata dei dati biometrici riferiti a utenti del sistema che non siano più autorizzate all´accesso alle aree riservate (anche a seguito della cessazione del rapporto di lavoro);

f. il server dedicato alla conservazione dei dati biometrici non dovrà contenere ulteriori dati personali riferiti ai dipendenti.

4.2. Resta fermo che la società, prima dell´inizio dei trattamenti di dati personali biometrici, è tenuta a:

a. effettuare la notificazione al Garante ai sensi dell´art. 37, comma 1, lett. a), del Codice;

b. fornire ai dipendenti una puntuale informativa, comprensiva di tutti gli elementi contenuti nell´art. 13 del Codice.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell´art. 17 del Codice, preso atto della richiesta di verifica preliminare presentata da LS Travel Retail Roma s.r.l. in relazione ai trattamenti di dati biometrici dei dipendenti, ritiene ammissibile il trattamento da effettuarsi nei termini di cui in motivazione, fermo restando che la società, quali misure necessarie, dovrà:

a. adottare misure di autenticazione di tipo forte (c.d. strong authentication) in relazione all´accesso al sistema effettuato dall´amministratore di sistema;

b. realizzare specifiche policy di sicurezza per le password dell´amministratore di sistema e degli operatori, conformemente a quanto previsto dal Disciplinare tecnico in materia di misure minime di sicurezza (Allegato B al Codice);

c. predisporre il sistema in modo da consentire l´accesso allo stesso e in particolare alla postazione di controllo, gestione e conservazione dei dati biometrici, esclusivamente da consolle (all´interno della sala operativa) e non da postazioni remote via rete;

d. cancellare i dati relativi all´accesso alle aree riservate decorse 48 ore dalla raccolta;

e. procedere alla tempestiva cancellazione dei dati biometrici riferiti a persone che non siano più autorizzate all´accesso alle aree riservate;

f. il server dedicato alla conservazione dei dati biometrici non dovrà contenere ulteriori dati personali riferiti ai dipendenti.

Si rammenta altresì la necessità di effettuare la notificazione al Garante ai sensi dell´art. 37, comma 1, lett. a), del Codice e di fornire ai dipendenti un´informativa completa di tutti gli elementi previsti dall´art. 13 del Codice.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 18 giugno 2015

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia