g-docweb-display Portlet

Sistema biometrico di rilevazione delle presenze dei dipendenti in una scuola - 1° agosto 2013 [2578547]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 2578547]

Sistema biometrico di rilevazione delle presenze dei dipendenti in una scuola - 1° agosto 2013

Registro dei provvedimenti
n. 384 del 1° agosto 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito "Codice");

VISTE le segnalazioni pervenute in data 20 luglio, 14 agosto e 12 dicembre 2012;

ESAMINATE le risultanze istruttorie degli accertamenti effettuati in data 28 e 29 novembre 2012 presso la sede del Liceo Scientifico Statale "Giuseppe Battaglini" di Taranto;

ESAMINATA la documentazione acquisita agli atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Antonello Soro;

PREMESSO

1.1. Il Garante, ricevute alcune segnalazioni (in data, rispettivamente, 20 luglio, 14 agosto e 12 dicembre 2012) con le quali si lamentava che presso la sede del Liceo Scientifico Statale "Giuseppe Battaglini" di Taranto sarebbe stato installato un sistema biometrico di rilevazione delle presenze dei dipendenti, al fine di acquisire elementi necessari alla valutazione della complessiva liceità dei trattamenti effettuati, ha disposto accertamenti in loco che sono stati eseguiti dal Nucleo Privacy della Guardia di finanza in data 28 e 29 novembre 2012.

1.2 In particolare, in sede ispettiva, è emerso che:

a. secondo quanto dichiarato dal dirigente scolastico del Liceo, nel dicembre 2011 sarebbe stata avanzata la proposta di installare "un sistema di rilevazione di impronte digitali per attestare l´orario di entrata e […] di uscita del personale ATA [amministrativo tecnico e ausiliario]", oggetto peraltro di una "ipotesi di accordo" con le rappresentanze sindacali (cfr. all. 1 al verbale del 28.11.2012);

b. con circolare del 7 luglio 2012 (prot. n. 8572/C1) indirizzata a tutto il personale A.T.A. – successiva "all´installazione dell´apparecchio" – il dirigente scolastico ha comunicato che "dal giorno 10 luglio 2012 l´accertamento della presenza sarà effettuato in tempo reale attraverso il sistema di rilevazione automatica […]. Il riconoscimento del dipendente avverrà attraverso un lettore di impronte digitali" (cfr. verbale 28.11.2012, All. 3);

c. a seguito della presentazione – da parte di due dipendenti e di una rappresentanza sindacale – di alcune richieste di chiarimenti, il dirigente scolastico ha inviato una nota di risposta (successivamente inoltrata anche al Garante in data 7 agosto 2012) nella quale si precisa che "la suddetta modalità di rilevazione [delle presenze] è stata oggetto di confronto con la RSU di questo istituto", ciò alla luce di quanto stabilito dall´art. 92, comma 3, lett. g), del Ccnl 2006-2009 relativo al comparto scuola; nella nota si è altresì affermato che "il software di gestione […] ha solo la possibilità di ricevere […] le informazioni riguardanti gli orari di passaggio dei dipendenti e non i loro dati biometrici" (cfr. verbale 28.11.2012, p. 2 e All. 4);

d. le operazioni di trattamento dei dati personali dei lavoratori sarebbero iniziate nel mese di settembre 2012, data in cui "sono state acquisite le impronte digitali dei dipendenti ATA per testare il sistema. Tutt´ora il sistema è in fase di sperimentazione e verifica del funzionamento, anche in attesa della definizione dell´argomento da parte del Garante"; ad ogni buon conto "modalità ufficiale di rilevazione degli orari di entrata e di uscita del personale ATA" sarebbe costituita dall´apposizione della firma nell´apposito registro (cfr. verbale 28.11.2012, p. 2);

e. i dipendenti sarebbero stati informati "sulle caratteristiche dell´impianto e sulle modalità di utilizzo dello stesso" in sede di designazione degli incaricati del trattamento avvenuta in data 9 ottobre 2012 (cfr. verbale 28.11.2012, p. 2);

f. quanto alle finalità perseguite con l´installazione del menzionato sistema, il dirigente ha rappresentato che "si è pensato di sostituire il registro delle firme al fine di avere una puntuale ed attendibile verifica delle presenze e degli ingressi nel luogo di lavoro; è stato escluso l´utilizzo del classico tesserino magnetico in quanto cedibile tra i dipendenti" (cfr. verbale 28.11.2012, p. 3);

g. con riferimento alle caratteristiche del sistema installato – che consentirebbe di estrarre "i principali dati caratteristici dell´immagine dell´impronta digitale, generando un «modello caratteristico» criptato, necessario per identificare l´utente, e senza conservare l´immagine dell´impronta digitale" – ed al suo funzionamento, a seguito dell´accesso al software di gestione effettuato nel corso dell´ ispezione, è risultato che a partire dal mese di settembre 2012 sono stati raccolti e archiviati dati personali dei dipendenti (cfr. verbale 29.11.2012, p. 2);

h.  secondo quanto dichiarato dal dirigente scolastico, il Liceo non ha provveduto ad effettuare la notificazione del trattamento di dati biometrici previsto dall´art. 37 del Codice ritenendo dubbia la sussistenza dell´obbligo di notificazione posto "che il sistema non conserva le immagini dell´impronta digitale"; tuttavia "[q]ualora si dovesse accertare che tale trattamento possa configurarsi come trattamento di dati biometrici, provvederemo ad effettuare la notificazione al Garante prima dell´adozione di tale sistema, quale modalità di rilevazione ufficiale ed esclusiva delle presenze dei dipendenti. […] in attesa di sciogliere i prefati dubbi, il Liceo […] sospenderà l´utilizzo del sistema di rilevazione delle presenze" (cfr. verbale 29.11.2012, p. 3).

1.3. Ad integrazione degli elementi acquisiti in sede di accertamento, su richiesta dell´Ufficio, con comunicazione dell´8 luglio 2013 il Liceo ha inviato copia degli atti con i quali, in data 9 ottobre 2012, diciotto dipendenti sono stati designati incaricati delle operazioni di trattamento, contenenti altresì informazioni sintetiche sulle caratteristiche del sistema biometrico installato e, con riguardo a quindici lavoratori, anche l´assenso a che "l´apparecchiatura […] installata presso la scuola, preved[a] il rilevamento dell´impronta digitale allo scopo di poter registrare le […] entrate e uscite dall´istituto".

2.1. Sulla base delle risultanze istruttorie risulta accertato che presso il Liceo sono stati effettuati trattamenti di dati biometrici riferiti al personale A.T.A. per finalità di rilevazione delle presenze con conseguente applicazione della disciplina posta a tutela della protezione dei dati personali.

Come più volte ribadito dall´Autorità, infatti, le operazioni concernenti le impronte digitali nonché i dati biometrici dalle stesse ricavati, sia con riguardo alla fase della raccolta che in relazione alla successiva memorizzazione ed utilizzo per le conseguenti operazioni di verifica e raffronto nell´ambito di procedure di autenticazione, integrando forme (distinte) di trattamento dei dati personali (cfr. art. 4, comma 1, lett. a) e b), del Codice), sono soggette alla disciplina del Codice (sul punto cfr., tra i tanti, Provv. 19 novembre 1999, doc. web n. 42058; 26 maggio 2011, doc. web n. 1832558). Ciò anche nel caso in cui il rilievo dattiloscopico, temporaneamente raccolto ai soli fini del completamento della fase di enrollment, venga successivamente utilizzato (sotto forma di codice numerico) per le menzionate operazioni di verifica e raffronto (Provv. n. 265 del 4 ottobre 2012, doc. web n. 2059743; Provv. 23 gennaio 2008, doc. web n. 2059743; v. anche il Gruppo dei Garanti europei previsto dall´art. 29 della direttiva 95/46/Ce (di seguito "Gruppo art. 29") dapprima nel Documento di lavoro sulla biometria, WP 80, adottato il 1° agosto 2003, punto 3.1, ed ancora nel Parere 3/2012 sugli sviluppi nelle tecnologie biometriche, WP193, adottato il 27 aprile 2012, p. 5 s.).

2.2. Ciò premesso, deve rilevarsi che in relazione alla valutazione di liceità dei trattamenti dei dati biometrici riferiti a lavoratori, il Garante ha in più occasioni individuato le condizioni in presenza delle quali i trattamenti medesimi possono ritenersi leciti.

In particolare, l´Autorità ha precisato che tali dati possono essere di regola utilizzati solo in casi particolari, tenuto conto delle finalità perseguite dal titolare e del contesto in cui il trattamento viene effettuato, nonché – con specifico riguardo ai luoghi di lavoro – per presidiare l´accesso ad "aree sensibili" in considerazione della natura delle attività ivi svolte (cfr. , tra le decisioni più risalenti, Provv. 21 luglio 2005, doc. web n. 1150679 e da ultimo, con ulteriori richiami, Provv. del 31 gennaio 2013 n. 38, doc. web n. 2304669).

A mente della prescrizione contenuta nella Regola 2 dell´allegato B) al Codice, il Garante ha poi talvolta prescritto, in relazione a particolari operazioni di trattamento di dati personali, il ricorso a tecniche biometriche di autenticazione quale necessaria misura di sicurezza (cfr., ad esempio, in relazione ad operazioni concernenti i dati di traffico telefonico e telematico, il Provv. 17 gennaio 2008, doc. web n. 1482111; Provv.
14 febbraio 2013, n. 64).

Da ultimo, l´Autorità ha altresì riconosciuto la legittimità nonché la proporzionalità del trattamento di dati biometrici per finalità di autenticazione dell´utente nell´ambito di servizi di firma digitale remota (cfr. Provv. 31 gennaio 2013, doc. web n. 2311886).

2.3. Tali presupposti non risultano tuttavia ricorrere nella fattispecie in esame, posto che il sistema biometrico risulta essere stato installato presso il Liceo allo scopo di effettuare la rilevazione delle presenze dei dipendenti. A tale proposito, con riferimento all´applicazione dei principi di necessità nonché di pertinenza e non eccedenza (art. 11, comma 1, lett. d), del Codice) dei trattamenti effettuati in relazione alle finalità perseguite, il Garante ha di regola ritenuto sproporzionato l´impiego generalizzato di dati biometrici per finalità di rilevazione delle presenze dei lavoratori (cfr. Provv. del 31 gennaio 2013 n. 38, doc. web n. 2304669; v. già le Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico del 14 giugno 2007, punto 7.1, doc. web n. 1417809; questo orientamento è stato condiviso, proprio in sede di impugnazione di un´ordinanza-ingiunzione dell´Autorità, dal Trib. Prato, 19 settembre 2011). Tale valutazione tiene conto della possibilità di utilizzare idonee modalità alternative ‒ adottando soluzioni tecnico-organizzative che non incidano sulla libertà e la dignità stessa dei lavoratori interessati (art. 2 del Codice) ‒ preordinate all´accertamento parimenti efficace e rigoroso dell´effettiva presenza dei dipendenti in servizio.

Il titolare del trattamento, infatti, allo scopo di verificare il puntuale rispetto dell´orario di lavoro ben può disporre di altri (più "ordinari") sistemi, meno invasivi della sfera personale nonché della libertà individuale del lavoratore, che non ne coinvolgano la dimensione corporale (cfr. Provv. 31 gennaio 2013, n. 38, doc. web n. 2304669; con specifico riferimento all´impiego di analoghi sistemi di rilevazione in ambito scolastico cfr. Provv.ti 30 maggio 2013, doc. web n. 2502951 e doc. web n. 2503101). Aspetti, questi, costitutivi della dignità personale, a presidio della quale sono dettate le discipline di protezione dei dati personali, come emerge dall´art. 2 del Codice. I sistemi basati sull´utilizzo di tecnologie biometriche, infatti, possono operare solo con l´attiva collaborazione personale dei lavoratori interessati in assenza di puntuali disposizioni che la impongano (v. anche Gruppo art. 29, WP193, Parere 3/2012, cit., p. 12, secondo cui "il datore di lavoro è sempre tenuto a cercare i mezzi meno invasivi scegliendo, se possibile, un procedimento non biometrico" ).

2.4. Alla luce di tali orientamenti e degli elementi in atti, non risulta che nel caso specifico ricorrano i suindicati presupposti di legittimità, non essendo stati addotti circostanziati elementi, strettamente rapportati alla specifica realtà lavorativa in esame, da cui si possa effettivamente arguire l´inidoneità di ordinarie misure di controllo e, correlativamente, la reale indispensabilità del trattamento dei dati biometrici dei lavoratori per la finalità suindicata.

Al contrario, risulta che la scelta a favore del sistema biometrico sia stata effettuata in ragione dell´astratta possibilità di utilizzo abusivo dei più tradizionali strumenti automatici di rilevazione delle presenze d´uso comune (quali i badge) (cfr. verbale del 28 novembre 2012, p. 3), né il titolare del trattamento ha riferito che gli ordinari controlli, se del caso a campione, circa la presenza dei lavoratori presso l´istituto scolastico, effettuati per il tramite del personale direttivo (sul quale anzitutto incombe la verifica quotidiana, peraltro di immediata evidenza e comunque di agevole accertamento all´interno di un istituto scolastico), siano risultati insufficienti.

Peraltro tali verifiche appaiono di agevole realizzazione con riguardo ai dipendenti dell´Istituto – rispetto ai quali non sono stati evidenziati comportamenti abusivi né ipotesi di inadempimento rispetto all´esecuzione della prestazione dovuta.

Più in generale, va poi considerato che il trattamento dei dati biometrici per la finalità qui considerata, oltre ad essere in linea di principio (nonché, per quanto detto, nel caso di specie) sproporzionato, potrebbe comunque in concreto rivelarsi di scarsa utilità nel contrasto di eventuali casi di allontanamento dal servizio atteso che tale modalità di rilevazione delle presenze, in difetto di efficaci sistemi di controllo e vigilanza sull´effettiva (operosa) presenza dei lavoratori durante l´arco dell´intera giornata lavorativa, non è di per sé in grado di assicurare l´effettiva presenza sul luogo di lavoro di dipendenti infedeli.

2.5. Nel caso considerato il trattamento risulta altresì essere stato effettuato in violazione della disciplina di protezione dei dati con riferimento al principio di correttezza (art. 11, comma 1, lett. a), del Codice) – atteso che nel corso dell´interlocuzione con i lavoratori che ha preceduto l´installazione del sistema non sono state chiaramente evidenziate le modalità peculiari del trattamento che si sarebbe effettuato (consistenti nell´impiego di tecnologie biometriche), rappresentandosi, in sede di redazione dell´ipotesi di accordo relativo alla stipula del contratto collettivo integrativo d´Istituto del 29.12.2011 (all. 1, verbale 28.11.2012 cit.), che "l´accertamento della presenza [risulterà] attraverso un sistema di rilevazione automatica" (art. 25, lett. b) – nonché in ragione dell´inidoneità delle informazioni rese agli interessati ai sensi dell´art. 13 del Codice.

A quest´ultimo proposito, infatti, non è risultato comprovato che le necessarie informazioni richieste dall´art. 13 del Codice siano state rese preventivamente al personale: in atti risultano copie delle designazioni di personale A.T.A. ad incaricati del trattamento (cfr. all. 6 al verbale 28.11.2012 e nota dell´8 luglio 2013) contenenti altresì (con l´esclusione di tre lavoratori) l´"accettazione" della rilevazione della presenza tramite sistema biometrico e la contestuale indicazione di talune informazioni riferite all´apparecchiatura già installata presso l´istituto. Atteso, tuttavia, che tali designazioni recano la data del 9 ottobre 2012 e che le operazioni di trattamento dei dati biometrici dei dipendenti, secondo quanto dichiarato dal Liceo, sono iniziate nel mese di settembre 2012, non risulta essere stata fornita agli interessati  l´informativa – completa degli  elementi indicati nell´art. 13 del Codice – anteriormente all´installazione del sistema biometrico e alla sua effettiva attivazione.

2.6. Deve infine rilevarsi che non consta che l´Istituto abbia provveduto alla dovuta notificazione del trattamento ai sensi dell´art. 37, comma 1, lett. a), del Codice, profilo per il quale l´Autorità si riserva di contestare, con autonomo procedimento, la relativa violazione amministrativa.

2.7. Tanto premesso, il Garante, ritenuto che il trattamento effettuato dall´Istituto nel caso di specie sia avvenuto in violazione dei principi di liceità, correttezza, necessità, pertinenza e non eccedenza rispetto agli scopi perseguiti (artt. 11, comma 1, lett. a) e d) del Codice), nonché in violazione dell´art. 13 del Codice dichiara illecito il trattamento dei dati biometrici riferiti ai lavoratori e ne dispone il divieto ai sensi degli artt. 154, comma 1, lett. d), 144 e 143, comma 1, lett. c), del Codice.

2.8. L´Autorità si riserva di valutare con autonomo procedimento la sussistenza di violazioni amministrative, con particolare riferimento all´omessa notificazione al Garante del trattamento dei dati biometrici (art. 37, comma 1, lett. a), del Codice) nonché all´inidonea informativa agli interessati rispetto al trattamento effettuato (art. 13 del Codice).

TUTTO CIÒ PREMESSO, IL GARANTE

in relazione ai descritti trattamenti di dati personali effettuati dal Liceo Scientifico Statale "Giuseppe Battaglini" di Taranto dichiara illecito, nei termini di cui in motivazione, il trattamento dei dati biometrici riferiti ai lavoratori e, ai sensi degli artt. 154, comma 1, lett. d), 144 e 143, comma 1, lett. c), del Codice, ne vieta l´ulteriore trattamento.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 1° agosto 2013

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia


Documenti citati