IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale;
Esaminata la richiesta di verifica preliminare presentata da Compagnia Alfa, ai sensi dell'art. 17 del d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali);
Visto il provvedimento adottato dal Garante in data 23 novembre 2006, recante le "Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati" (doc. web n. 1364939), con particolare riferimento al punto 3.2;
Visto il provvedimento del 29 ottobre 2009, con cui il Garante ha disposto, nei confronti di Compagnia Alfa, "il blocco del trattamento dei dati biometrici dei dipendenti già trattati ed eventualmente conservati per la finalità di rilevazione dell'orario di ingresso e di uscita dei lavoratori, con conseguente possibilità, per la società, di procedere alla sola conservazione temporanea dei medesimi dati senza poter compiere ogni altra operazione di trattamento";
Esaminata la documentazione acquisita agli atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore il dott. Mauro Paissan;
PREMESSO
1. Trattamento di dati personali dei dipendenti attraverso un sistema di autenticazione su base biometrica (impronte digitali).
Compagnia Alfa, società che effettua il servizio di trasporto pubblico di persone su tutto il territorio della Regione Campania e, in parte, in altre regioni limitrofe, intende adottare un sistema di rilevazione di dati biometrici basato sulla elaborazione di template originati dalla lettura delle impronte digitali di alcuni dipendenti della società. In particolare, si tratterebbe di un "dispositivo di rilevazione delle presenze per il personale addetto al controllo degli automezzi e del personale di guida e per quello autorizzato ad entrare nelle aree ad accesso controllato (…) finalizzato ad assicurare, inequivocabilmente, la presenza del suddetto personale in servizio", con esclusione della sua utilizzazione "per verificare l'orario di lavoro ai fini del calcolo della retribuzione ordinaria e straordinaria".
La società ha affermato che il trattamento di dati biometrici che intenderebbe effettuare per verificare la presenza in servizio del personale addetto al controllo sugli automezzi e sul personale di guida, oltre ad essere connesso alla sicurezza del trasporto pubblico, sarebbe giustificato dall'esigenza di prevenire condotte irregolari poste in essere da alcuni dipendenti, tra cui lo scambio dei badge attestanti la presenza in servizio; secondo la società, detti inconvenienti sarebbero ovviabili attraverso il sistema di rilevazione biometrica che si intenderebbe installare, perché in grado di assicurare un elevato grado di certezza nell'identificazione dei lavoratori e, di conseguenza, di impedire eventuali false attestazioni relative a controlli effettuati sull'efficienza dei mezzi e sullo stato di salute del personale addetto alla guida, con evidenti benefici per l'incolumità degli utenti e del personale viaggiante.
L'azienda ha precisato che il controllo preliminare sull'efficienza degli automezzi – avente ad oggetto, in particolare, le parti elettriche, le parti meccaniche, l'usura delle gomme e la funzionalità delle porte - viene effettuato da meccanici, mentre quello sugli autisti – concernente il rispetto dei turni di lavoro e la verifica sommaria delle loro condizioni psico-fisiche – viene effettuato da personale con qualifica di capo servizio.
Per quanto concerne, invece, il controllo degli accessi dei lavoratori ad alcuni locali dove sono custodite le banche dati cartacee ed informatiche, la società ha dichiarato che le stesse conterrebbero dati sensibili relativi ai dipendenti, informazioni concernenti eventuali procedimenti disciplinari, dati giudiziari relativi a partecipanti a gare, informazioni "su utenti colpiti da multe e terzi coinvolti in sinistri", "dati relativi ai turni di servizio del personale viaggiante" e informazioni connesse a transazioni commerciali (contratti e fatture). Da qui deriverebbe l'esigenza di un dispositivo di verifica degli accessi assolutamente affidabile, che dovrebbe riguardare 7 dipendenti appositamente incaricati del trattamento di tali dati.
1.2. Caratteristiche tecnico-organizzative del sistema
Il sistema oggetto di verifica preliminare comporterebbe un trattamento di dati personali biometrici (impronta del dito indice), i quali, al termine della fase di enrollment, verrebbero memorizzati su una card rilasciata nell'esclusiva disponibilità degli interessati e priva dei dati anagrafici di costoro.
Nella fase di enrollment, la predisposizione delle card verrebbe affidata al responsabile della sicurezza informatica (designato anche responsabile del trattamento dei dati ex art.29 del d.lgs. 196/03), il quale, dopo la consegna della card, avrebbe anche il compito di verificare l'inesistenza di tracce dei dati biometrici rilevati sulle apparecchiature informatiche aziendali.
Per prevenire accessi non autorizzati al sistema, sarebbero state previste alcune misure di sicurezza, consistenti in:
• utilizzazione di un computer "stand alone", non collegato quindi ad alcuna rete;
• cancellazione dal computer dei dati al termine dell'operazione di enrollment;
• esecuzione dell'operazione a cura del solo responsabile della sicurezza informatica (ingegnere informatico dirigente dell'azienda) particolarmente formato sul d.lgs 196/2003
I dipendenti sottoposti al rilevamento biometrico, inserirebbero la card in un'apposita fessura, poggiando l'indice in un alloggio predisposto dell'apparecchio. Il dispositivo rileverebbe la corrispondenza dei dati contenuti nella card con quelli dell'indice e, conseguentemente, poiché ad essa sarebbe associato un numero di identificazione del dipendente, ne rileverebbe la presenza al lavoro.
Il sistema, tuttavia, non verrebbe utilizzato per verificare il rispetto dell'orario di lavoro ai fini del calcolo della retribuzione ordinaria e straordinaria.
Stando a quanto dichiarato dalla società, il personale tenuto a servirsi del sistema di autenticazione, una volta informato, sarebbe invitato a prestare il proprio consenso al trattamento dei dati sin dalla fase di enrollment; inoltre, sarebbe comunque previsto un sistema di rilevazione delle presenze alternativo, da utilizzare nel caso in cui i dipendenti fossero impossibilitati a partecipare all'enrollment (in ragione delle proprie caratteristiche fisiche) o non intendessero acconsentire al trattamento.
2. Dati biometrici e principi di protezione dei dati personali: finalità, necessità e pertinenza
La raccolta e la registrazione di impronte digitali e dei dati biometrici ricavati e successivamente utilizzati per verifiche e raffronti nelle procedure di autenticazione sono operazioni di trattamento di dati personali riconducibili ai singoli interessati [art. 4, comma 1, lett. b) del Codice], operazioni alle quali trova applicazione la normativa contenuta nel Codice.
La liceità del sistema deve essere pertanto valutata sul piano della conformità ai princìpi di necessità, proporzionalità, finalità e correttezza (artt. 3 e 11 del Codice; art. 6, direttiva n. 95/46/Ce).
Secondo il costante orientamento del Garante, l'utilizzo dei dati biometrici può essere giustificato solo in casi particolari, in relazione alle finalità e al contesto in cui essi sono trattati e, in relazione ai luoghi di lavoro, per presidiare accessi ad "aree sensibili", in considerazione della natura delle attività ivi svolte: si pensi, ad esempio, a processi produttivi pericolosi o sottoposti a segreti di varia natura o al fatto che particolari locali siano destinati alla custodia di beni, documenti segreti o riservati e/o oggetti di valore (in tal senso, vedi il punto 4.1 delle "Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati", emanate dall'Autorità in data 23 novembre 2006 (doc. web n. 1364939).
Con riferimento al caso di specie, dagli elementi forniti dalla società nel corso dell'istruttoria non sono emerse circostanze atte a giustificare la necessità di un trattamento di dati biometrici in vista dell'accesso ai locali dove sarebbero custodite le banche dati aziendali. Infatti, i dati che risultano conservati negli archivi cartacei ed informatici, lungi dall'essere caratterizzati da specifiche peculiarità, si sostanziano in informazioni che solitamente sono trattate negli uffici amministrativi di qualsiasi azienda, mentre le loro attuali modalità di custodia, "in appositi locali ove è stato permesso l'accesso al solo personale dipendente che deve lavorare su di esse", risultano più che sufficienti per impedire la loro presa di conoscenza da parte di soggetti diversi dai singoli incaricati del trattamento. Pertanto, allo stato, tenuto conto della natura e della tipologia delle informazioni conservate nelle banche dati ubicate nei predetti locali, si deve ritenere che la procedura di accesso selezionato attualmente adottata dalla società sia adeguata per garantirne la riservatezza, senza che possano ravvisarsi ragioni per ritenere giustificato l'impiego di un delicato sistema di rilevazione delle impronte digitali nei confronti di un numero estremamente ridotto di dipendenti (soltanto 7 unità).
Con particolare riferimento all'esigenza di verificare la presa di servizio dei dipendenti addetti ai controlli di sicurezza sugli autisti e sui mezzi di trasporto pubblico, la società ha sostenuto che essa scaturirebbe da "una realtà lavorativa alquanto delicata e, comunque, tale da indurre l'azienda a cercare misure di controllo più efficaci" di quelle attuali. In particolare, la società ha dichiarato di aver ricevuto reclami con i quali era stata lamentata la "mancata effettuazione di alcune corse, senza alcuna segnalazione degli autisti responsabili del disservizio da parte degli addetti ai controlli che, comunque, risultavano regolarmente in servizio", nonché di essere stata impossibilitata a verificare tardive partenze dei mezzi dal deposito per assenza del preposto "alla registrazione e alla verifica", il quale, però, risultava regolarmente in servizio; infine, la società ha dichiarato di aver accertato alcune sostituzioni arbitrarie tra autisti nell'ambito dei turni di servizio, senza possibilità di accertare i fatti attraverso l'addetto al controllo perché arbitrariamente assente, nonché casi di addetti al controllo assenti dal posto di lavoro ma la cui scheda marcatempo risultava regolarmente timbrata.
Ciò premesso, occorre sottolineare che, pur rientrando tra le legittime facoltà del datore di lavoro quella di sovrintendere all'esecuzione della prestazione lavorativa (art. 2094 cod. civ.), verificando le presenze dei dipendenti e il rispetto dell'orario di lavoro, nel caso di specie non risulta dimostrata la necessità e proporzionalità del trattamento dei dati biometrici che si intenderebbe attuare.
In primo luogo va rilevato che benché il personale della società ammonti a ben 93 dipendenti, il sistema biometrico sarebbe preordinato a verificare la presenza in servizio di un numero di unità lavorative assai esiguo (7 operai per il controllo sui mezzi e 3 capi servizio per il controllo sugli autisti), obiettivo questo certamente perseguibile attraverso l'utilizzazione dei tradizionali e meno invasivi sistemi di controllo, quali l'uso di un normale badge accompagnato da accorgimenti tecnici ed organizzativi (es. disponendo ulteriori controlli da affidare a corpi di vigilanza esterna) atti a scongiurare manomissioni del congegno marcatempo o sostituzioni nell'impiego del supporto stesso.
Inoltre, dalla documentazione prodotta dalla società, si rileva un solo caso in cui un dipendente con qualifica di "addetto all'esercizio" (responsabile del settore Movimento addetto all'organizzazione dei turni di servizio giornalieri degli autisti e al controllo sui medesimi prima dell'inizio del turno di lavoro), manomettendo il sistema di rilevazione delle presenze, avrebbe inserito la propria timbratura "solo a posteriori rispetto all'orario effettivo di lavoro", mentre la quasi totalità degli altri documenti depositati attiene per lo più a contestazioni disciplinari mosse direttamente nei confronti dei soli operatori d'esercizio (autisti), i quali avrebbero osservato condotte non conformi ad una regolare esecuzione della prestazione lavorativa; nei casi di sostituzione non autorizzata nei turni di servizio, poi, risulta che le contestazioni sono state mosse agli autisti proprio in ragione di accertamenti effettuati da personale gerarchicamente sovraordinato, dotato di potere di controllo. Pertanto, alla luce delle acquisizioni istruttorie, i controlli attualmente effettuati dalla società appaiono sufficienti a garantire una verifica sulla presa di servizio degli addetti e dei collaboratori d'esercizio, mentre i precedenti disciplinari cui la società ha fatto riferimento per giustificare la propria richiesta non risultano –sia dal punto di vista numerico, sia dal punto di vista qualitativo- significativi per dimostrare l'esistenza di una diffusa situazione di disobbedienza da parte del personale, tale da rendere necessaria l'adozione di un sistema di rilevazione biometrica delle presenze.
Da ultimo si rileva che il trattamento di dati biometrici non risulterebbe conforme a legge anche in ragione del fatto che, allo stato, non risulta neanche osservata la procedura prevista dall'art. 4, comma 2 della legge 20 maggio 1970, n. 300 (cui fa espresso riferimento l'art. 114 del Codice), che trova applicazione anche in relazione all'installazione di apparecchiature che consentano "di controllare il rispetto o non degli orari di entrata e uscita e presenza sul luogo di lavoro da parte dei dipendenti" (cfr. Cass., 17 luglio 2007, n. 15892).
Da quanto detto deriva che la richiesta di verifica preliminare dev'essere rigettata.
L'odierna pronunzia, resa sulla scorta delle attuali acquisizioni istruttorie, non preclude all'Autorità di adottare una diversa determinazione nel caso in cui la Compagnia Alfa offra una più documentata motivazione delle ragioni atte a giustificare l'adozione del rappresentato sistema di rilevazione biometrica, da valutare alla luce della normativa esistente.
TUTTO CIÒ PREMESSO, IL GARANTE
rigetta la richiesta di verifica preliminare presentata dalla Compagnia Trasporti Irpini – ATI S.p.A..
Roma, 17 novembre 2010
IL PRESIDENTE
Pizzetti
IL RELATORE
Paissan
IL SEGRETARIO GENERALE
De Paoli
Nessun commento:
Posta un commento