Diritti interna

Doveri interna

ricerca avanzata

Rilevazione delle presenze dei dipendenti di un Comune tramite un sistema biometrico basato sul trattamento di impronte digitali - 22 ottobre 2015 [4430740]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
4430740
Data:
22/10/15
Argomenti:
Biometria , Impronte digitali , Rilevazione orari di lavoro , Comuni
Tipologia:
Divieto del trattamento

[doc. web n. 4430740]

Rilevazione delle presenze dei dipendenti di un Comune tramite un sistema biometrico basato sul trattamento di impronte digitali - 22 ottobre 2015

Registro dei provvedimenti
n. 552 del 22 ottobre 2015

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito "Codice");

VISTO il provvedimento generale del Garante n. 513 del 2014 in tema di biometria e le annesse Linee guida in materia di riconoscimento biometrico e firma grafometrica (G.U. 2.12.2014, n. 280 e in www.garanteprivacy.it, doc. web nn. 3556992 e 3563006);

ESAMINATE le risultanze istruttorie degli accertamenti effettuati in data 14 febbraio 2013 presso il Comune di Zagarise;

ESAMINATA la documentazione acquisita agli atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Antonello Soro;

PREMESSO

1.1. A seguito di una segnalazione con la quale si è lamentato che presso il Comune di Zagarise (provincia di Catanzaro) sarebbe stato attivato per finalità di rilevazione delle presenze un sistema biometrico basato sul trattamento di impronte digitali dei dipendenti, l´Ufficio del Garante – ritenuto che una prima, parziale, nota di riscontro inviata dal Comune medesimo non consentisse una compiuta valutazione sulla liceità dei trattamenti effettuati – ha disposto accertamenti in loco che sono stati eseguiti dal Nucleo Privacy della Guardia di finanza in data 14 febbraio 2013.

1.2. All´esito degli accertamenti ispettivi è emerso che:

a. secondo quanto dichiarato dal sindaco del Comune il sistema di rilevazione di dati biometrici "è stato installato nel […] novembre del 2004" (cfr. verbale 14.2.2013, p. 2);

b. posto che antecedentemente a tale data non era stato adottato alcuno strumento di rilevazione delle presenze, il Comune ha deciso "previa attenta analisi, circa la strumentazione presente sul mercato e quindi conforme alle normative di legge, di optare per l´installazione del suddetto strumento di rilevazione" (cfr. verbale cit., p. 2);

c. in relazione all´adozione di tale sistema il Comune ha fornito "comunicazione formale della predetta installazione nei confronti di tutti i dipendenti comunali" (cfr. verbale cit., p. 2);

d. l´accesso ai dati personali trattati dal sistema, "acquisiti da un pc posto in una stanza chiusa", è consentito solamente al sindaco attraverso "un´applicazione specifica che prevede […] l´inserimento di una password personale" (cfr. verbale cit., p. 2-3);

e. quanto alle modalità di funzionamento del sistema "i template delle impronte non sono conservati all´interno degli apparecchi in disponibilità comunale […] ma solo all´interno dei badge personali"; peraltro tali supporti  "non sono nominativi ma riportano solo un codice numerico" (cfr. verbale cit., p. 3);

f. con riferimento alle ragioni che avrebbero richiesto l´utilizzo di dati biometrici per finalità di rilevazione delle presenze, il sindaco del Comune ha dichiarato che "la scelta di adottare, tra gli altri, un siffatto strumento di controllo […] è scaturito dall´esigenza di avere un sistema informatico attendibile che nell´assoluto rispetto della privacy, consentisse una più veloce rendicontazione delle presenze/assenze periodiche del personale dipendente a tutto vantaggio dell´ufficio personale comunale all´uopo preposto" (cfr. verbale cit., p. 3);

g. l´adozione di tale sistema è risultato più efficace "rispetto al rilevamento cartaceo posto che non sempre nei comuni piccoli come i nostri può essere garantita la presenza costante del Sindaco e/o del direttore generale impegnato, tra l´altro […] in più comuni" (cfr. verbale cit., p. 3);

h. con riferimento all´obbligo di fornire l´informativa agli interessati in base all´art. 13 del Codice, è stato dichiarato che tutti i dipendenti comunali "sono stati debitamente e previamente informati, sia oralmente che per iscritto, sul trattamento dei dati personali effettuato a mezzo del rilevatore biometrico"; inoltre al momento della consegna del badge "ognuno dei dipendenti ha firmato il ritiro del badge medesimo esprimendo […] il consenso al trattamento dei propri dati personali" (cfr. verbale cit., p. 4).

1.3. Con riferimento alla notificazione del trattamento di dati biometrici previsto dall´art. 37 del Codice, con successiva comunicazione il Comune ha rappresentato che "non è stato possibile rinvenire traccia dell´avvenuto invio al Garante della comunicazione dell´installazione del dispositivo, come previsto per legge" (cfr. nota 3.4.2013). In relazione a tale profilo la Guardia di Finanza, con verbale n. 17 del 3 aprile 2013, ha contestato al Comune la violazione amministrativa relativa all´omessa notificazione al Garante, unitamente alla mancata attivazione del procedimento di verifica preliminare ai sensi dell´art. 17 del Codice.

1.4. Con nota inviata in risposta ad una specifica richiesta di informazioni formulata dall´Ufficio, il Comune ha dichiarato che, allo stato, il sistema biometrico di rilevazione delle presenze è attivo (cfr. nota ricevuta il 14.7.2015).

2.1. In base alle risultanze dell´attività istruttoria, emerge che il Comune di Zagarise ha effettuato a far data dal 2004 – e tutt´ora effettua – per finalità di rilevazione delle presenze trattamenti di dati biometrici dei propri dipendenti (ricavati, in particolare, da impronte digitali e riconducibili ad interessati individuati o individuabili), con conseguente applicazione della disciplina posta in materia di protezione dei dati personali.

Con riferimento alle specifiche ragioni che renderebbero necessario il trattamento di dati biometrici di tutti i dipendenti per finalità di ordinaria gestione del rapporto di lavoro, in particolare allo scopo di rilevare la presenza in servizio, il Comune ha rappresentato esigenze di efficienza della relativa attività ("consenti[r]e una più veloce rendicontazione delle presenze/assenze periodiche del personale dipendente a tutto vantaggio dell´ufficio personale comunale all´uopo preposto") anche in relazione alle peculiarità organizzative di un piccolo ente locale, ed in particolare alla circostanza che figure apicali dell´amministrazione (Sindaco e direttore generale) non possono essere presenti in sede quotidianamente. La valutazione comparativa, in particolare, è stata effettuata dal Comune in relazione al "rilevamento cartaceo" (v. p. 1.2., lett. e) e f)).

2.2. Le circostanze rappresentate non sono idonee a soddisfare i principi di necessità e proporzionalità (in relazione alla finalità perseguita) dei trattamenti effettuati (artt. 3 e 11 del Codice). Il Comune infatti non ha indicato specifiche e concrete ragioni in base alle quali altri e diversi strumenti automatizzati (ad es. il badge, normalmente utilizzato presso le pubbliche amministrazioni, se del caso associabile a Pin individuale), risulterebbero inadatti a realizzare legittimi obiettivi di efficienza nell´attività di gestione del personale. Così come non sono stati indicati i motivi in base ai quali non sarebbe possibile effettuare la doverosa attività di controllo sulla corretta esecuzione della prestazione lavorativa dei dipendenti – attraverso gli strumenti posti dall´ordinamento a disposizione dei dirigenti (o comunque del personale direttivo) – stante l´impossibilità, per alcune specifiche figure apicali, di garantire la quotidiana presenza in sede. Né, per altro verso, sono stati dedotti concreti episodi di violazione dei doveri d´ufficio da parte dei dipendenti o il fondato timore di abusi.

2.3. Quanto all´osservanza degli specifici obblighi posti in capo al titolare del trattamento dalla disciplina in materia di protezione dei dati non risulta essere stata effettuata la notificazione al Garante ai sensi dell´art. 37 del Codice, né è stata presentata la richiesta di verifica preliminare di cui all´art. 17 del Codice.

2.4. Più in generale, si rappresenta, altresì, che in relazione alla valutazione di liceità dei trattamenti di dati biometrici effettuati nel contesto lavorativo, il Garante ha ammesso (tenuto conto del contesto e delle concrete modalità del trattamento stesso) l´utilizzo di dati biometrici dei dipendenti per finalità di accesso ad aree "sensibili" o riservate (cfr., tra gli altri, i Provv.ti 18.6.2015, n. 361, doc. web n. 4173465; 17 settembre 2009, doc. web n. 1655708; 8 aprile 2009, doc. web n. 1610018; 1 febbraio 2007, doc. web n. 1381983). Con provvedimento generale prescrittivo in tema di biometria n. 513 del 2014 il Garante ha, in proposito, individuato il controllo di accesso fisico ad aree "sensibili" dei soggetti addetti e l´utilizzo di apparati e macchinari pericolosi come una delle ipotesi di esonero dalla presentazione di istanza di verifica preliminare ai sensi dell´art. 17 del Codice, a condizione che siano rispettati i presupposti di legittimità contenuti nel Codice e che vengano adottate le misure e gli accorgimenti tecnici idonei a raggiungere gli obiettivi di sicurezza individuati con il provvedimento stesso.

In termini generali con il citato provvedimento generale il Garante ha altresì ribadito che il trattamento di dati personali biometrici, considerato che essi sono "direttamente, univocamente e in modo tendenzialmente stabile nel tempo, collegati all´individuo e denotano la profonda relazione tra corpo, comportamento e identità della persona" (cfr. provv. cit., punto 4), può essere effettuato solo previa adozione di particolari cautele. I titolari che intendono trattare dati biometrici, in particolare, dovranno sia conformare i relativi trattamenti ai principi generali di liceità, finalità, necessità e proporzionalità (cfr. artt. 3 e 11 del Codice), sia adottare le misure e gli accorgimenti tecnici, organizzativi e procedurali prescritti in relazione a talune specifiche tipologie di trattamento.

Con riferimento al contesto lavorativo, l´uso di tecnologie biometriche per finalità di rilevazione delle presenze in alcuni casi concreti è stato ritenuto dall´Autorità generalizzato e dunque non consentito, posto che in base al principio di necessità il titolare del trattamento è tenuto ad accertare se la finalità perseguita possa essere realizzata senza utilizzare dati biometrici o comunque conformandosi al principio di proporzionalità del trattamento (artt. 3 e 11 del Codice; si vedano, ad esempio, Provv.to 31 gennaio 2013, n. 38, doc. web n. 2304669 nei confronti di un comune e Provv.ti 30 maggio 2013, nn. 261 e 262 e 1° agosto 2013, n. 384, doc. web nn. 2502951, 2503101 e 2578547 nei confronti di alcuni istituti scolastici; cfr. Trib. Prato, 19.9.2011, n. 964; v. già le Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico, punto 7.1). In un caso, invece, il Garante ha ammesso il trattamento per finalità di accertamento della presenza in servizio dei dipendenti in ragione delle peculiarità del trattamento strettamente connesso a quel particolare contesto lavorativo (cfr. Provv.to 10 gennaio 2013, n. 4, doc. web n. 2354574 nei confronti di una società a partecipazione pubblica).

3. Alla luce di quanto esposto, il descritto trattamento di dati biometrici effettuato dal Comune non risulta lecito, in quanto effettuato in violazione dei richiamati principi di liceità, necessità, proporzionalità, pertinenza e non eccedenza dei trattamenti effettuati (art. 11, comma 1, lett. a) e d) del Codice), in assenza della previa notificazione al Garante (art. 37 del Codice), nonché della preventiva richiesta di verifica preliminare (art. 17 del Codice).

Si ritiene, pertanto, di vietare al Comune di Zagarise, ai sensi degli artt. 144, 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice, l´ulteriore trattamento dei dati biometrici dei dipendenti effettuato al fine di verificare le presenze/assenze del personale.

Si ricorda che, ai sensi dell´art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni e che, ai sensi dell´art. 162, comma 2-ter del Codice, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro

4. Restano salvi gli esiti del procedimento avviato con verbale di contestazione di violazione amministrativa n. 17 del 3 aprile 2013.

TUTTO CIÒ PREMESSO, IL GARANTE

rilevata l´illiceità dell´utilizzo dei dati biometrici del personale dipendente, effettuato nei termini di cui in premessa, vieta al Comune di Zagarise, ai sensi degli artt. 154, comma 1, lett. d), 144 e 143, comma 1, lett. c), del Codice, l´ulteriore trattamento dei dati medesimi.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 22 ottobre 2015

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia