g-docweb-display Portlet

Trattamento di dati biometrici ricavati dalla lettura delle impronte digitali - Verifica preliminare - 10 giugno 2011 [1835792]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 1835792]

Trattamento di dati biometrici ricavati dalla lettura delle impronte digitali - Verifica preliminare

Registro dei provvedimenti
n. 228 del 10 giugno 2011

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale;

VISTA la richiesta di verifica preliminare presentata da XY s.r.l., in ordine al trattamento di dati personali dei dipendenti mediante rilevazione di dati biometrici;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

VISTA la deliberazione del Garante n. 53 del 23 novembre 2006, recante "Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati";

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Mauro Paissan;

PREMESSO

1. Trattamento di dati personali biometrici di dipendenti con finalità di accesso a particolari aree aziendali
XY s.r.l., società che opera nel settore della sicurezza privata, ha presentato una richiesta di verifica preliminare ai sensi dell´art. 17 del Codice relativa al trattamento di dati biometrici ricavati dalla lettura delle impronte digitali riferite ad un numero ristretto di dipendenti. Tale trattamento è finalizzato a consentire l´accesso dei lavoratori a determinate aree dello stabile aziendale sito in Roma, denominate "area valori" e "sala contazione", destinate alla custodia di beni di rilevante valore. L´accesso a tali aree da parte dei dipendenti, organizzati in più turni di lavoro, ha luogo, nell´arco dell´intero anno solare, durante l´intera giornata.

Il sistema di autenticazione biometrica, che non comunica con altri sistemi informativi della società, è finalizzato esclusivamente a "limitare l´accesso al complesso ai soli soggetti autorizzati" (cfr. nota 31 agosto 2010) e non viene utilizzato per finalità ulteriori: in particolare la società esclude il suo impiego per "rilevare la presenza dei dipendenti e […] per vigilare sulle attività lavorate" (cfr. comunicazione 5 gennaio 2011, in atti).

Come da ultimo dichiarato dalla società nella comunicazione del 24 maggio 2011 (a precisazione dell´istanza originariamente presentata che prevedeva anche l´identificazione biometrica dei singoli lavoratori), il trattamento oggetto della richiesta di verifica preliminare è limitato alla sola "finalità di autorizzazione all´accesso nelle aree c.d. riservate", sì che "da parte della società non sarà effettuata alcuna forma di trattamento che comporti la conservazione" dei dati relativi agli accessi effettuati dai lavoratori (segnatamente, dell´orario e di elementi identificativi riferiti a chi accede).

Il sistema che si intende utilizzare, la cui installazione e gestione verrà rimessa ad altra società da designarsi responsabile del trattamento (come dichiarato dalla società nella comunicazione del 5 gennaio 2011), presuppone, nella c.d. fase di enrollment, una raccolta di dati biometrici mediante apparecchiature dotate di lettore di impronte digitali che (grazie ad un "sensore capacitivo") generano (mediante un apposito software) un template destinato ad essere archiviato nella memoria interna unitamente a un codice numerico individuale dei dispositivi che consentono di accedere alle aree riservate. L´anagrafica degli interessati e i relativi codici numerici individuali sono invece memorizzati all´interno di un distinto sistema informativo del titolare del trattamento (c.d. "sistema di centralizzazione"), senza che lo stesso memorizzi alcun dato biometrico rilevato.

Nelle fasi successive di rilevazione dell´impronta di chi intende accedere all´area riservata, il semplice appoggio del dito sul "sensore capacitivo" consente di elaborare ogni volta una sequenza biometrica (c.d. stringa alfanumerica) della "matrice capacitiva" rilevata, la quale, elaborata con lo stesso algoritmo irreversibile utilizzato in fase di enrollment, viene confrontata con quella archiviata nel dispositivo, consentendo, in caso di loro concordanza, l´accesso alle aree riservate mediante l´apertura di una serratura elettronica.

2. Dati biometrici e disciplina di protezione dei dati personali: principi di liceità, finalità e pertinenza nel trattamento

2.1. Il caso sottoposto alla verifica preliminare di questa Autorità integra un´ipotesi di trattamento di dati personali.

Sia le impronte digitali, sia i dati da esse ricavati e successivamente utilizzati per verifiche e raffronti nelle procedure di autenticazione, sono informazioni personali riconducibili ai singoli interessati (art. 4, comma 1, lett. b), del Codice), alle quali trova applicazione la disciplina contenuta nel Codice (cfr., tra i tanti, Provv. 21 luglio 2005, doc. web n. 1150679; in merito v. pure il Documento di lavoro sulla biometria, adottato dal Gruppo art. 29, direttiva 95/46/Ce il 1° agosto 2003, WP80, punto 3.1).

L´uso generalizzato e incontrollato di dati biometrici dei lavoratori non è in linea di principio lecito, in particolare quando si tratta di impronte digitali le quali, per la loro particolare natura, impongono che siano prevenuti eventuali utilizzi impropri, nonché possibili abusi.

Tuttavia, gli elementi acquisiti nel caso di specie consentono di ritenere che il trattamento di dati oggetto dell´odierna verifica preliminare sia configurabile in termini leciti. Ciò, tenendo conto delle specifiche finalità perseguite nel contesto esaminato e degli accorgimenti che la società intende adottare rispetto alle concrete modalità di autenticazione biometrica dei dipendenti interessati.

2.2. Nel caso di specie, la finalità perseguita dalla società titolare del trattamento (consentire l´accesso ai soli soggetti autorizzati in due aree destinate alla contazione e custodia di valori) è lecita alla luce della peculiare fattispecie descritta in atti, dalla quale emerge l´obiettiva necessità, dal punto di vista organizzativo, di effettuare un accertamento particolarmente rigoroso della legittimazione all´ingresso nella predetta area aziendale dei dipendenti autorizzati: l´attività ivi espletata giustifica infatti standard di sicurezza elevati che la società ritiene di assicurare mediante il ricorso al descritto sistema di autenticazione biometrica.

2.3. Formano oggetto di trattamento solo i dati pertinenti e non eccedenti rispetto alla finalità perseguita, riferiti non alla generalità dei dipendenti ma soltanto ad un numero ridotto di lavoratori interessati, individuati tra coloro i quali, per le mansioni svolte nella società, debbono poter avere accesso alle aree sopra indicate.

Nei dispositivi di lettura verrà custodito il template dei soli soggetti autorizzati ad accedere alla aree di rispettiva pertinenza per l´esecuzione della prestazione lavorativa e il corrispondente codice numerico individuale.

2.4. Il trattamento di dati biometrici per lo scopo prefissato è configurabile in termini proporzionati rispetto ai diritti individuali degli interessati, alla luce della finalità in concreto perseguita e delle modalità di trattamento che si intendono adottare, anche considerato che, in base alle dichiarazioni della società:

• il software di gestione e il server con l´anagrafica sono collocati in un´area permanentemente sorvegliata e sono protetti da misure di sicurezza conformi alle disposizioni del Codice;

• i terminali di lettura sono dotati di meccanismi di protezione meccanica (contro furto o manomissione) e di protezione elettronica (accesso tramite password) che impediscono al personale non autorizzato l´accesso alle memorie interne e ai template ivi memorizzati.

A tal fine, il sistema che la società utilizzerà dovrà essere basato su un efficace sistema di verifica, fondato sulla lettura delle impronte digitali e sul successivo confronto della stringa numerica che ne risulta con quella memorizzata sul lettore in fase di enrollment (c.d. matching on device), senza tuttavia che vengano memorizzati ulteriori dati personali riferiti ai lavoratori che hanno accesso  all´area riservata.

Tale accorgimento – grazie al quale la società dà attuazione al principio di necessità nel trattamento dei dati contenuto nell´art. 3 del Codice – consente di elevare il livello di sicurezza rispetto alla verifica degli accessi alle aree riservate, escludendo che il sistema sia suscettibile di essere utilizzato quale strumento di controllo a distanza dei lavoratori, atteso che, una volta verificata la corrispondenza tra i template (quello generato in occasione dell´accesso e quello precedentemente memorizzato sul dispositivo di lettura), viene accordato l´accesso al dipendente nell´area riservata di sua pertinenza senza che le informazioni relative a tale accesso vengano memorizzate nel sistema.

3. Qualità dei dati e misure di sicurezza rispetto al trattamento dei dati biometrici
Il sistema oggetto di verifica preliminare appare dotato di un adeguato livello di affidabilità (risultante dai test di controllo realizzati dal produttore) e di sicurezza. Con riguardo a quest´ultimo aspetto, le misure predisposte a protezione dei dati memorizzati nei singoli dispositivi di lettura risultano adeguate considerato che il sistema non comunica con altri sistemi informativi della società (punto 1) e in ragione dei meccanismi di protezione meccanica ed elettronica posti a salvaguardia dei dispositivi di lettura (punto 2.4).

In attuazione dell´obbligo di adottare ogni misura anche minima di sicurezza prescritta dal Codice (art. 31 ss. e Allegato B), la società resta obbligata a farsi rilasciare dall´installatore del sistema, e conservare presso la propria struttura, l´attestato di cui alla regola n. 25 del Disciplinare tecnico in materia di misure minime di sicurezza (Allegato "B" al Codice), nonché ogni altra idonea certificazione od omologazione del sistema di autenticazione biometrica.

Resta parimenti ferma, con particolare riguardo alle operazioni di trattamento relative all´installazione e al corretto funzionamento del sistema biometrico, la necessità di designare per iscritto la società individuata dall´istante quale responsabile delle relative operazioni di trattamento, impartendole idonee istruzioni alle quali attenersi.

4. Conservazione dei dati
I dati devono essere conservati per un arco di tempo non superiore a quello necessario per il conseguimento delle finalità per le quali sono stati raccolti e trattati (art. 11, comma 1, lett. e) del Codice).

Come precisato nelle dichiarazioni in atti, durante il suo funzionamento, il sistema di accesso biometrico è realizzato in modo tale da conservare sui singoli dispositivi di lettura, oltre al codice numerico individuale, i soli template dei dipendenti autorizzati dalla società ad accedere alle aree riservate. Non sono invece memorizzati dalla società ulteriori dati personali, direttamente o indirettamente riferibili agli interessati, relativi agli accessi effettuati alle aree riservate per dare esecuzione alla prestazione lavorativa.

5. Informativa agli interessati e notificazione del trattamento
La società ha dichiarato che i lavoratori interessati all´utilizzo del sistema in esame riceveranno un´idonea informativa scritta, il cui testo è stato allegato alla comunicazione del 14 settembre 2010, e che "sarà certamente offerta la possibilità per l´interessato di opporsi o revocare il consenso al trattamento dei dati a sé riferiti" (cfr. comunicazione 5 gennaio 2011).

Per coloro i quali non vorranno o non potranno, anche in ragione delle proprie caratteristiche fisiche, avvalersi del sistema biometrico, l´accesso sarà regolato secondo modalità alternative, indicate dalla società "nell´utilizzo del badge e di un PIN" (cfr. comunicazione 5 gennaio 2011).

L´informativa che la società dovrà rendere rispetto al trattamento che intende porre in essere nei confronti di tutti i lavoratori interessati deve risultare completa degli elementi previsti dal Codice (art. 13), puntualizzando la finalità del trattamento effettuato (nei termini descritti ai punti 1 e 2.2, con esclusione dell´identificazione degli interessati) e rettificando, alla luce delle precisazioni formulate nel corso del procedimento, la descrizione delle modalità del trattamento dei dati personali rispetto a quelle originariamente rappresentate. A questo proposito, la società preciserà la circostanza che non verranno memorizzati tramite il sistema biometrico dati personali, direttamente o indirettamente riferibili agli interessati, relativi agli accessi effettuati alle aree riservate nel dare esecuzione alla prestazione lavorativa.

Si prende atto della dichiarazione della società a voler effettuare la notificazione al Garante del trattamento dei dati biometrici prima che lo stesso abbia inizio (art. 37, comma 1, lett. a), del Codice) (cfr. comunicazione del 12 luglio 2010).

TUTTO CIÒ PREMESSO IL GARANTE:

prescrive al titolare del trattamento, ai sensi degli artt. 17 e 154, comma 1, lett. c) del Codice, al fine di conformarsi alle disposizioni vigenti, di adottare le misure e gli accorgimenti a garanzia degli interessati nei termini di cui in motivazione e, con particolare riguardo a quanto indicato ai punti 2) e 5) del provvedimento:

a. di predisporre un sistema di verifica basato sul confronto tra il template delle impronte rilevate ad ogni accesso alle aree riservate destinate alla custodia dei valori e alla contazione, e quello memorizzato sui dispositivi di lettura, senza che vengano memorizzati dati personali riferiti ai lavoratori in relazione agli accessi effettuati a dette aree;

b. di rendere l´informativa completa degli elementi previsti dall´art. 13 del Codice nei confronti dei lavoratori interessati dal funzionamento del sistema di autenticazione biometrica oggetto di verifica preliminare, precisando la finalità del trattamento e la circostanza che non verranno memorizzati dalla società dati personali, direttamente o indirettamente riferibili agli interessati, relativi agli accessi effettuati alle aree riservate nel dare esecuzione alla prestazione lavorativa.

Roma, 10 giugno 2011

IL PRESIDENTE
Pizzetti

IL RELATORE
Paissan

IL SEGRETARIO GENERALE
De Paoli