Sentenze del Garante contro sistemi biometrici di rilevazione del personale nelle scuole

18/09/2013
di Leonardo

Sistema biometrico di rilevazione delle presenze dei dipendenti in una scuola – 1° agosto 2013

Registro dei provvedimenti n. 384 del 1° agosto 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti, e del dott. Giuseppe Busia, segretario generale;VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”);

VISTE

le segnalazioni pervenute in data 20 luglio, 14 agosto e 12 dicembre 2012;

ESAMINATE

le risultanze istruttorie degli accertamenti effettuati in data 28 e 29 novembre 2012 presso la sede del Liceo Scientifico Statale Omissis;ESAMINATA la documentazione acquisita agli atti;

VISTE

le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE

il dott. Antonello Soro;

PREMESSO

1.1. Il Garante, ricevute alcune segnalazioni (in data, rispettivamente, 20 luglio, 14 agosto e 12 dicembre 2012) con le quali si lamentava che presso la sede del Liceo Scientifico Omissis sarebbe stato installato un sistema biometrico di rilevazione delle presenze dei dipendenti, al fine di acquisire elementi necessari alla valutazione della complessiva liceità dei trattamenti effettuati, ha disposto accertamenti in loco che sono stati eseguiti dal Nucleo Privacy della Guardia di finanza in data 28 e 29 novembre 2012.

1.2 In particolare, in sede ispettiva, è emerso che:

a. secondo quanto dichiarato dal dirigente scolastico del Liceo, nel dicembre 2011 sarebbe stata avanzata la proposta di installare “un sistema di rilevazione di impronte digitali per attestare l´orario di entrata e […] di uscita del personale ATA [amministrativo tecnico e ausiliario]”, oggetto peraltro di una “ipotesi di accordo” con le rappresentanze sindacali (cfr. all. 1 al verbale del 28.11.2012);

b. con circolare del 7 luglio 2012 (prot. n. 8572/C1) indirizzata a tutto il personale A.T.A. – successiva “all´installazione dell´apparecchio” – il dirigente scolastico ha comunicato che “dal giorno 10 luglio 2012 l´accertamento della presenza sarà effettuato in tempo reale attraverso il sistema di rilevazione automatica […]. Il riconoscimento del dipendente avverrà attraverso un lettore di impronte digitali” (cfr. verbale 28.11.2012, All. 3);

c. a seguito della presentazione – da parte di due dipendenti e di una rappresentanza sindacale – di alcune richieste di chiarimenti, il dirigente scolastico ha inviato una nota di risposta (successivamente inoltrata anche al Garante in data 7 agosto 2012) nella quale si precisa che “la suddetta modalità di rilevazione [delle presenze] è stata oggetto di confronto con la RSU di questo istituto”, ciò alla luce di quanto stabilito dall´art. 92, comma 3, lett. g), del Ccnl 2006-2009 relativo al comparto scuola; nella nota si è altresì affermato che “il software di gestione […] ha solo la possibilità di ricevere […] le informazioni riguardanti gli orari di passaggio dei dipendenti e non i loro dati biometrici” (cfr. verbale 28.11.2012, p. 2 e All. 4);

d. le operazioni di trattamento dei dati personali dei lavoratori sarebbero iniziate nel mese di settembre 2012, data in cui “sono state acquisite le impronte digitali dei dipendenti ATA per testare il sistema. Tutt´ora il sistema è in fase di sperimentazione e verifica del funzionamento, anche in attesa della definizione dell´argomento da parte del Garante”; ad ogni buon conto “modalità ufficiale di rilevazione degli orari di entrata e di uscita del personale ATA” sarebbe costituita dall´apposizione della firma nell´apposito registro (cfr. verbale 28.11.2012, p. 2);

e. i dipendenti sarebbero stati informati “sulle caratteristiche dell´impianto e sulle modalità di utilizzo dello stesso” in sede di designazione degli incaricati del trattamento avvenuta in data 9 ottobre 2012 (cfr. verbale 28.11.2012, p. 2);

f. quanto alle finalità perseguite con l´installazione del menzionato sistema, il dirigente ha rappresentato che “si è pensato di sostituire il registro delle firme al fine di avere una puntuale ed attendibile verifica delle presenze e degli ingressi nel luogo di lavoro; è stato escluso l´utilizzo del classico tesserino magnetico in quanto cedibile tra i dipendenti” (cfr. verbale 28.11.2012, p. 3);

g. con riferimento alle caratteristiche del sistema installato – che consentirebbe di estrarre “i principali dati caratteristici dell´immagine dell´impronta digitale, generando un «modello caratteristico» criptato, necessario per identificare l´utente, e senza conservare l´immagine dell´impronta digitale” – ed al suo funzionamento, a seguito dell´accesso al software di gestione effettuato nel corso dell´ ispezione, è risultato che a partire dal mese di settembre 2012 sono stati raccolti e archiviati dati personali dei dipendenti (cfr. verbale 29.11.2012, p. 2);

h.  secondo quanto dichiarato dal dirigente scolastico, il Liceo non ha provveduto ad effettuare la notificazione del trattamento di dati biometrici previsto dall´art. 37 del Codice ritenendo dubbia la sussistenza dell´obbligo di notificazione posto “che il sistema non conserva le immagini dell´impronta digitale”; tuttavia “[q]ualora si dovesse accertare che tale trattamento possa configurarsi come trattamento di dati biometrici, provvederemo ad effettuare la notificazione al Garante prima dell´adozione di tale sistema, quale modalità di rilevazione ufficiale ed esclusiva delle presenze dei dipendenti. […] in attesa di sciogliere i prefati dubbi, il Liceo […] sospenderà l´utilizzo del sistema di rilevazione delle presenze” (cfr. verbale 29.11.2012, p. 3).

1.3. Ad integrazione degli elementi acquisiti in sede di accertamento, su richiesta dell´Ufficio, con comunicazione dell´8 luglio 2013 il Liceo ha inviato copia degli atti con i quali, in data 9 ottobre 2012, diciotto dipendenti sono stati designati incaricati delle operazioni di trattamento, contenenti altresì informazioni sintetiche sulle caratteristiche del sistema biometrico installato e, con riguardo a quindici lavoratori, anche l´assenso a che “l´apparecchiatura […] installata presso la scuola, preved[a] il rilevamento dell´impronta digitale allo scopo di poter registrare le […] entrate e uscite dall´istituto”.

2.1. Sulla base delle risultanze istruttorie risulta accertato che presso il Liceo sono stati effettuati trattamenti di dati biometrici riferiti al personale A.T.A. per finalità di rilevazione delle presenze con conseguente applicazione della disciplina posta a tutela della protezione dei dati personali.Come più volte ribadito dall´Autorità, infatti, le operazioni concernenti le impronte digitali nonché i dati biometrici dalle stesse ricavati, sia con riguardo alla fase della raccolta che in relazione alla successiva memorizzazione ed utilizzo per le conseguenti operazioni di verifica e raffronto nell´ambito di procedure di autenticazione, integrando forme (distinte) di trattamento dei dati personali (cfr. art. 4, comma 1, lett. a) e b), del Codice), sono soggette alla disciplina del Codice (sul punto cfr., tra i tanti, Provv. 19 novembre 1999, doc. web n. 42058; 26 maggio 2011, doc. web n. 1832558). Ciò anche nel caso in cui il rilievo dattiloscopico, temporaneamente raccolto ai soli fini del completamento della fase di enrollment, venga successivamente utilizzato (sotto forma di codice numerico) per le menzionate operazioni di verifica e raffronto (Provv. n. 265 del 4 ottobre 2012, doc. web n. 2059743; Provv. 23 gennaio 2008, doc. web n. 2059743; v. anche il Gruppo dei Garanti europei previsto dall´art. 29 della direttiva 95/46/Ce (di seguito “Gruppo art. 29”) dapprima nel Documento di lavoro sulla biometria, WP 80, adottato il 1° agosto 2003, punto 3.1, ed ancora nel Parere 3/2012 sugli sviluppi nelle tecnologie biometriche, WP193, adottato il 27 aprile 2012, p. 5 s.).

2.2. Ciò premesso, deve rilevarsi che in relazione alla valutazione di liceità dei trattamenti dei dati biometrici riferiti a lavoratori, il Garante ha in più occasioni individuato le condizioni in presenza delle quali i trattamenti medesimi possono ritenersi leciti.In particolare, l´Autorità ha precisato che tali dati possono essere di regola utilizzati solo in casi particolari, tenuto conto delle finalità perseguite dal titolare e del contesto in cui il trattamento viene effettuato, nonché – con specifico riguardo ai luoghi di lavoro – per presidiare l´accesso ad “aree sensibili” in considerazione della natura delle attività ivi svolte (cfr. , tra le decisioni più risalenti, Provv. 21 luglio 2005, doc. web n. 1150679 e da ultimo, con ulteriori richiami, Provv. del 31 gennaio 2013 n. 38, doc. web n. 2304669).A mente della prescrizione contenuta nella Regola 2 dell´allegato B) al Codice, il Garante ha poi talvolta prescritto, in relazione a particolari operazioni di trattamento di dati personali, il ricorso a tecniche biometriche di autenticazione quale necessaria misura di sicurezza (cfr., ad esempio, in relazione ad operazioni concernenti i dati di traffico telefonico e telematico, il Provv. 17 gennaio 2008, doc. web n. 1482111; Provv.
14 febbraio 2013, n. 64).Da ultimo, l´Autorità ha altresì riconosciuto la legittimità nonché la proporzionalità del trattamento di dati biometrici per finalità di autenticazione dell´utente nell´ambito di servizi di firma digitale remota (cfr. Provv. 31 gennaio 2013, doc. web n. 2311886).

2.3. Tali presupposti non risultano tuttavia ricorrere nella fattispecie in esame, posto che il sistema biometrico risulta essere stato installato presso il Liceo allo scopo di effettuare la rilevazione delle presenze dei dipendenti. A tale proposito, con riferimento all´applicazione dei principi di necessità nonché di pertinenza e non eccedenza (art. 11, comma 1, lett. d), del Codice) dei trattamenti effettuati in relazione alle finalità perseguite, il Garante ha di regola ritenuto sproporzionato l´impiego generalizzato di dati biometrici per finalità di rilevazione delle presenze dei lavoratori (cfr. Provv. del 31 gennaio 2013 n. 38, doc. web n. 2304669; v. già le Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico del 14 giugno 2007, punto 7.1, doc. web n. 1417809; questo orientamento è stato condiviso, proprio in sede di impugnazione di un´ordinanza-ingiunzione dell´Autorità, dal Trib. Prato, 19 settembre 2011). Tale valutazione tiene conto della possibilità di utilizzare idonee modalità alternative ‒ adottando soluzioni tecnico-organizzative che non incidano sulla libertà e la dignità stessa dei lavoratori interessati (art. 2 del Codice) ‒ preordinate all´accertamento parimenti efficace e rigoroso dell´effettiva presenza dei dipendenti in servizio.Il titolare del trattamento, infatti, allo scopo di verificare il puntuale rispetto dell´orario di lavoro ben può disporre di altri (più “ordinari”) sistemi, meno invasivi della sfera personale nonché della libertà individuale del lavoratore, che non ne coinvolgano la dimensione corporale (cfr. Provv. 31 gennaio 2013, n. 38, doc. web n. 2304669; con specifico riferimento all´impiego di analoghi sistemi di rilevazione in ambito scolastico cfr. Provv.ti 30 maggio 2013, doc. web n. 2502951 e doc. web n. 2503101). Aspetti, questi, costitutivi della dignità personale, a presidio della quale sono dettate le discipline di protezione dei dati personali, come emerge dall´art. 2 del Codice. I sistemi basati sull´utilizzo di tecnologie biometriche, infatti, possono operare solo con l´attiva collaborazione personale dei lavoratori interessati in assenza di puntuali disposizioni che la impongano (v. anche Gruppo art. 29, WP193, Parere 3/2012, cit., p. 12, secondo cui “il datore di lavoro è sempre tenuto a cercare i mezzi meno invasivi scegliendo, se possibile, un procedimento non biometrico” ).

2.4. Alla luce di tali orientamenti e degli elementi in atti, non risulta che nel caso specifico ricorrano i suindicati presupposti di legittimità, non essendo stati addotti circostanziati elementi, strettamente rapportati alla specifica realtà lavorativa in esame, da cui si possa effettivamente arguire l´inidoneità di ordinarie misure di controllo e, correlativamente, la reale indispensabilità del trattamento dei dati biometrici dei lavoratori per la finalità suindicata.

Al contrario, risulta che la scelta a favore del sistema biometrico sia stata effettuata in ragione dell´astratta possibilità di utilizzo abusivo dei più tradizionali strumenti automatici di rilevazione delle presenze d´uso comune (quali i badge) (cfr. verbale del 28 novembre 2012, p. 3), né il titolare del trattamento ha riferito che gli ordinari controlli, se del caso a campione, circa la presenza dei lavoratori presso l´istituto scolastico, effettuati per il tramite del personale direttivo (sul quale anzitutto incombe la verifica quotidiana, peraltro di immediata evidenza e comunque di agevole accertamento all´interno di un istituto scolastico), siano risultati insufficienti.Peraltro tali verifiche appaiono di agevole realizzazione con riguardo ai dipendenti dell´Istituto – rispetto ai quali non sono stati evidenziati comportamenti abusivi né ipotesi di inadempimento rispetto all´esecuzione della prestazione dovuta.

Più in generale, va poi considerato che il trattamento dei dati biometrici per la finalità qui considerata, oltre ad essere in linea di principio (nonché, per quanto detto, nel caso di specie) sproporzionato, potrebbe comunque in concreto rivelarsi di scarsa utilità nel contrasto di eventuali casi di allontanamento dal servizio atteso che tale modalità di rilevazione delle presenze, in difetto di efficaci sistemi di controllo e vigilanza sull´effettiva (operosa) presenza dei lavoratori durante l´arco dell´intera giornata lavorativa, non è di per sé in grado di assicurare l´effettiva presenza sul luogo di lavoro di dipendenti infedeli.

2.5. Nel caso considerato il trattamento risulta altresì essere stato effettuato in violazione della disciplina di protezione dei dati con riferimento al principio di correttezza (art. 11, comma 1, lett. a), del Codice) – atteso che nel corso dell´interlocuzione con i lavoratori che ha preceduto l´installazione del sistema non sono state chiaramente evidenziate le modalità peculiari del trattamento che si sarebbe effettuato (consistenti nell´impiego di tecnologie biometriche), rappresentandosi, in sede di redazione dell´ipotesi di accordo relativo alla stipula del contratto collettivo integrativo d´Istituto del 29.12.2011 (all. 1, verbale 28.11.2012 cit.), che “l´accertamento della presenza [risulterà] attraverso un sistema di rilevazione automatica” (art. 25, lett. b) – nonché in ragione dell´inidoneità delle informazioni rese agli interessati ai sensi dell´art. 13 del Codice.A quest´ultimo proposito, infatti, non è risultato comprovato che le necessarie informazioni richieste dall´art. 13 del Codice siano state rese preventivamente al personale: in atti risultano copie delle designazioni di personale A.T.A. ad incaricati del trattamento (cfr. all. 6 al verbale 28.11.2012 e nota dell´8 luglio 2013) contenenti altresì (con l´esclusione di tre lavoratori) l´”accettazione” della rilevazione della presenza tramite sistema biometrico e la contestuale indicazione di talune informazioni riferite all´apparecchiatura già installata presso l´istituto. Atteso, tuttavia, che tali designazioni recano la data del 9 ottobre 2012 e che le operazioni di trattamento dei dati biometrici dei dipendenti, secondo quanto dichiarato dal Liceo, sono iniziate nel mese di settembre 2012, non risulta essere stata fornita agli interessati  l´informativa – completa degli  elementi indicati nell´art. 13 del Codice – anteriormente all´installazione del sistema biometrico e alla sua effettiva attivazione.

2.6. Deve infine rilevarsi che non consta che l´Istituto abbia provveduto alla dovuta notificazione del trattamento ai sensi dell´art. 37, comma 1, lett. a), del Codice, profilo per il quale l´Autorità si riserva di contestare, con autonomo procedimento, la relativa violazione amministrativa.

2.7. Tanto premesso, il Garante, ritenuto che il trattamento effettuato dall´Istituto nel caso di specie sia avvenuto in violazione dei principi di liceità, correttezza, necessità, pertinenza e non eccedenza rispetto agli scopi perseguiti (artt. 11, comma 1, lett. a) e d) del Codice), nonché in violazione dell´art. 13 del Codice dichiara illecito il trattamento dei dati biometrici riferiti ai lavoratori e ne dispone il divieto ai sensi degli artt. 154, comma 1, lett. d), 144 e 143, comma 1, lett. c), del Codice.2.8. L´Autorità si riserva di valutare con autonomo procedimento la sussistenza di violazioni amministrative, con particolare riferimento all´omessa notificazione al Garante del trattamento dei dati biometrici (art. 37, comma 1, lett. a), del Codice) nonché all´inidonea informativa agli interessati rispetto al trattamento effettuato (art. 13 del Codice).

TUTTO CIÒ PREMESSO, IL GARANTE

in relazione ai descritti trattamenti di dati personali effettuati dal Liceo Scientifico Omissis dichiara illecito, nei termini di cui in motivazione, il trattamento dei dati biometrici riferiti ai lavoratori e, ai sensi degli artt. 154, comma 1, lett. d), 144 e 143, comma 1, lett. c), del Codice, ne vieta l´ulteriore trattamento.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 1° agosto 2013

IL PRESIDENTE Soro

IL RELATORE Soro

IL SEGRETARIO GENERALE Busia

Videosorveglianza e biometria all´interno di un istituto scolastico per la rilevazione delle presenze dei dipendenti – 30 maggio 2013

Registro dei provvedimentin. 261 del 30 maggio 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO

il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”);

VISTA

la segnalazione del 10 ottobre 2012 e le notizie di stampa del 12 ottobre 2012 nonché le comunicazioni della Direzione territoriale del Lavoro di Roma – Servizio Ispezione Lavoro inviate, rispettivamente, in data 15 novembre 2012 e 25 febbraio 2013, concernenti gli accertamenti dallo stesso effettuati l´11 ottobre 2012;

VISTE

altresì le comunicazioni del 19 e 29 novembre 2012;

ESAMINATA

la documentazione acquisita agli atti;

VISTE

le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE

la dott.ssa Augusta Iannini;

PREMESSO

1.1. Viste le notizie stampa (cfr. “Il Messaggero” e “la Repubblica” del 12 ottobre 2012) ed esaminato il contenuto di una segnalazione del 1o ottobre 2012 (cfr. par. 1.2), questa Autorità ha provveduto, con richiesta di informazioni del 12 ottobre 2012, ad acquisire elementi presso il Liceo Scientifico Statale Omissis circa l´installazione di alcune telecamere all´interno dell´istituto nonché in merito al trattamento di dati biometrici ricavati dalle impronte digitali di alcuni docenti (nonché del personale non docente) finalizzato alla rilevazione delle presenze dei dipendenti.

1.2. Nella menzionata segnalazione veniva rappresentato che all´interno dell´istituto scolastico sarebbero presenti, senza che ne sia stato formalmente informato il personale, alcune telecamere installate in tempi successivi. Rispetto ad una di queste, installata nel maggio 2012, “nel corridoio dell´edificio corrispondente all´ingresso di via Omissis[…] da cui accede sia il personale docente, sia il personale ATA […] e dove sono ubicati gli uffici amministrativi […], la portineria, gli uffici di presidenza e di vicepresidenza nonché i bagni del pianoterra riservati al personale”, “non sono state rese note né le ragioni della sua installazione, né l´orario in cui essa è attiva, né se vengano effettuate registrazioni, né chi sia a conoscenza delle password per accedere alle riprese o alle registrazioni […]. In prossimità dell´area videosorvegliata non sono stati apposti i dovuti cartelli di segnalazione. […] la videocamera, essendo collocata molto in alto, in posizione poco visibile, passa facilmente inosservata a coloro che attraversano o sostano nel corridoio”.Ulteriori telecamere, installate anteriormente al maggio 2012, “effettuano riprese di alcune aree dell´istituto frequentate da studenti durante il periodo di apertura del medesimo”.

1.3. Nel corso del procedimento pervenivano altresì le comunicazioni del 19 e 29 novembre 2012 da parte di personale del Liceo nelle quali si rappresentava che operazioni di rilevazione dei dati biometrici tratti dalle impronte digitali di parte del personale docente avevano avuto luogo presso l´istituto.

2. In relazione alla medesima vicenda, anche la Direzione territoriale del Lavoro di Roma – Servizio Ispezione Lavoro (di seguito, “Direzione”), con comunicazione del 15 novembre 2012, informava il Garante di aver effettuato con proprio personale ispettivo un sopralluogo presso l´istituto scolastico “al fine di verificare l´eventuale installazione di impianti di video sorveglianza nel rispetto delle prescrizioni di cui all´art. 4” della legge 20 maggio 1970, n. 300.

Posto che in sede di verifica gli ispettori della Direzione avevano rilevato l´installazione di “un impianto […] composto da n. 6 telecamere interne e un apparecchio di rilevazione digitale delle presenze del personale docente senza che la predetta installazione” risultasse avvenuta in conformità all´art. 4, comma 2, della menzionata legge n. 300/1970, veniva disposto “l´ordine di disinstallazione dell´impianto di videosorveglianza […] e del sistema di rilevazione delle impronte digitali”. Nel dare comunicazione dell´avvenuta ottemperanza a tale ordine, la Direzione rappresentava altresì che, successivamente all´effettuazione degli accertamenti ispettivi, l´istituto scolastico aveva provveduto a presentare “istanza per essere autorizzata ad installare, oltre che un impianto di videosorveglianza, […] anche un sistema di rilevamento delle presenze attraverso impronte digitali” chiedendo in merito al Garante un “parere sulla legittimità dell´utilizzo di un tale sistema di rilevazione presenze”.Successivamente, con comunicazione del 25 febbraio 2013, la Direzione trasmetteva una relazione predisposta dagli ispettori che avevano effettuato gli accertamenti nella quale si attestava “la presenza di un lettore di dati personali […] che recava l´indicazione del giorno e dell´ora e presentava una luce rossa accesa” nonché si riferiva che un professore aveva dichiarato di “aver rilasciato le proprie impronte digitali in quanto invitato dal Dirigente scolastico a farlo”.

3.1. In merito alle circostanze oggetto di segnalazione, con nota del 22 novembre 2012 diretta all´Autorità, il legale rappresentante del Liceo ha dichiarato che:

a. l´art. 3, comma 83, l. 24 dicembre 2007, n. 244 (Legge finanziaria per il 2008) “ha previsto che le PA non possono erogare compensi per lavoro straordinario se non previa attivazione di rilevazione automatica delle presenze”;

b. con riferimento al personale amministrativo tecnico e ausiliario (c.d. A.T.A.), “nel Ccln si afferma l´obbligo di rispettare l´orario di lavoro, adempiere alle formalità previste per la rilevazione delle presenze e non assentarsi dal luogo di lavoro senza l´autorizzazione del Dirigente scolastico”;

c. l´art. 7, comma 5, d.lg. n. 165/2001 prevede che “le PA non possono erogare trattamenti accessori che non corrispondono alle prestazioni effettivamente rese”;

d. il d.lg. n. 81/2008 “individua il Dirigente scolastico come datore di lavoro e intesta allo stesso l´individuazione delle misure ritenute opportune per garantire il miglioramento nel tempo dei livelli di sicurezza e le procedure per la sua attuazione”;

e. il dispositivo avrebbe consentito il “monitoraggio del sistema educativo-formativo del liceo […] anche nella parte dove il Dirigente Scolastico si assume precise responsabilità nella gestione di risorse economiche pubbliche che non trovano altro modo per essere certificate e validate contrattualmente”;

f. “l´adozione di un sistema di rilevamento [delle presenze] sin dalla «direttiva-circolare» n. 4797/92 […] con l´aggiunta delle responsabilità di cui al d.lg. 81/2008 non è stato ancora definito da nessuna norma giuridica o contrattuale”;

g. “sono state rimosse sia l´apparecchiatura non ancora attiva per la rilevazione della presenza, che si sarebbe comunque effettuata tramite o badge o password o algoritmo matematico non riproducibile dell´impronta del dito, sia tutte le telecamere dell´intero impianto di videosorveglianza già attivo e preesistente alla mia presa di servizio come Dirigente Scolastico nell´istituto”.

3.2. Nessun elemento (ancorché oggetto di espressa richiesta) è stato fornito dal titolare del trattamento con particolare riguardo ai profili concernenti l´informativa agli interessati dei trattamenti effettuati, sia attraverso il sistema biometrico, sia per il tramite delle telecamere operanti presso l´istituto, né in relazione all´osservanza dell´art 4, l. n. 300/1970 in relazione al funzionamento del sistema di videosorveglianza, né in merito all´assolvimento dell´obbligo di notificazione con riguardo al trattamento dei dati biometrici.

4.1. Alla luce degli elementi sopra rappresentati e delle dichiarazioni rese – della cui veridicità i dichiaranti possono essere chiamati a rispondere ai sensi dell´art. 168 del Codice –, risulta accertato che presso il Liceo, sono stati effettuati trattamenti di dati biometrici del personale – con particolare riferimento ad operazioni di enrollment di parte dei docenti, taluni dei quali hanno altresì fatto uso del sistema predisposto presso l´istituto e risultato funzionante in sede di accertamento in loco – con conseguente applicazione della disciplina posta a tutela della protezione dei dati personali.Come più volte ribadito dall´Autorità, infatti, le operazioni concernenti le impronte digitali nonché i dati biometrici dalle stesse ricavati, sia con riguardo alla fase della raccolta che in relazione alla successiva memorizzazione ed utilizzo per le conseguenti operazioni di verifica e raffronto nell´ambito di procedure di autenticazione, integrando forme (distinte) di trattamento dei dati personali (cfr. art. 4, comma 1, lett. a) e b), del Codice), sono soggette alla disciplina del Codice (sul punto cfr., tra i tanti, Provv. 19 novembre 1999, doc. web n. 42058; 26 maggio 2011, doc. web n. 1832558). Ciò anche nel caso in cui il rilievo dattiloscopico, temporaneamente raccolto ai soli fini del completamento della fase di enrollment, venga successivamente utilizzato (sotto forma di codice numerico) per le menzionate operazioni di verifica e raffronto (Provv. n. 265 del 4 ottobre 2012, doc. web n. 2059743; Provv. 23 gennaio 2008, doc. web n. 1487903 v. anche il Gruppo dei garanti europei previsto dall´art. 29 della direttiva 95/46/Ce (di seguito “Gruppo art. 29”) dapprima nel Documento di lavoro sulla biometria, WP 80, adottato il 1° agosto 2003, punto 3.1 ed ancora nel Parere 3/2012 sugli sviluppi nelle tecnologie biometriche, WP193, adottato il 27 aprile 2012,p. 5 s.).

4.2. Ciò premesso, deve rilevarsi che in relazione alla valutazione di liceità dei trattamenti dei dati biometrici riferiti a lavoratori, il Garante ha in più occasioni individuato le condizioni in presenza delle quali i trattamenti medesimi possono ritenersi leciti.In particolare, l´Autorità ha precisato che tali dati possono essere di regola utilizzati solo in casi particolari, tenuto conto delle finalità perseguite dal titolare e del contesto in cui il trattamento viene effettuato, nonché – con specifico riguardo ai luoghi di lavoro – per presidiare l´accesso ad “aree sensibili” in considerazione della natura delle attività ivi svolte (cfr., tra le decisioni più risalenti, Provv. 21 luglio 2005, doc. web n. 1150679 e da ultimo, con ulteriori richiami, Provv. del 31 gennaio 2013, n. 38, doc. web n. 2304669).A mente della prescrizione contenuta nella Regola 2 dell´allegato B) al Codice, il Garante ha poi talvolta prescritto, in relazione a particolari operazioni di trattamento di dati personali, il ricorso a tecniche biometriche di autenticazione quale necessaria misura di sicurezza (cfr., ad esempio, in relazione ad operazioni concernenti i dati di traffico telefonico e telematico, il Provv. 17 gennaio 2008, doc. web n. 1482111; Provv.
14 febbraio 2013, n. 64).Da ultimo, l´Autorità ha altresì riconosciuto la legittimità nonché la proporzionalità del trattamento di dati biometrici per finalità di autenticazione dell´utente nell´ambito di servizi di firma digitale remota (cfr. Provv. 31 gennaio 2013, doc. web n. 2311886).

4.3. Tali presupposti non risultano tuttavia ricorrere nella fattispecie considerata, posto che il sistema biometrico risulta essere stato installato presso il Liceo allo scopo di effettuare la rilevazione delle presenze dei dipendenti. A tale proposito, con riferimento all´applicazione dei principi di necessità nonché di pertinenza e non eccedenza (art. 11, comma 1, lett. d), del Codice) dei trattamenti effettuati in relazione alle finalità perseguite, il Garante ha di regola ritenuto sproporzionato l´impiego generalizzato di dati biometrici per finalità di rilevazione delle presenze dei lavoratori (cfr. le Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico del 14 giugno 2007, punto 7.1, doc. web n. 1417809; questo orientamento è stato condiviso, proprio in sede di impugnazione di un´ordinanza-ingiunzione dell´Autorità, dal Trib. Prato, 19 settembre 2011). Tale valutazione tiene conto della possibilità di utilizzare idonee modalità alternative ‒ adottando soluzioni tecnico-organizzative che non incidano sulla libertà e la dignità stessa dei lavoratori interessati (art. 2 del Codice) ‒ preordinate all´accertamento parimenti efficace e rigoroso dell´effettiva presenza dei dipendenti in servizio.Il titolare del trattamento, infatti, allo scopo di verificare il puntuale rispetto dell´orario di lavoro  ben può disporre di altri (più “ordinari”) sistemi, meno invasivi della sfera personale nonché della libertà individuale del lavoratore, che non ne coinvolgano la dimensione corporale. Aspetti, questi, costitutivi della dignità personale, a presidio della quale sono dettate le discipline di protezione dei dati personali, come emerge dall´art. 2 del Codice (cfr. Provv. del 31 gennaio 2013 n. 38, doc. web n. 2304669). I sistemi basati sull´utilizzo di tecnologie biometriche, infatti, possono operare  solo con l´attiva collaborazione personale dei lavoratori interessati in assenza di puntuali disposizioni che la impongano (v anche Gruppo art. 29, WP193, Parere 3/2012, cit., p. 12, secondo cui “il datore di lavoro è sempre tenuto a cercare i mezzi meno invasivi scegliendo, se possibile, un procedimento non biometrico”).Nel caso specifico, quindi, alla luce delle considerazioni svolte e delle risultanze istruttorie – non essendo stati rappresentati dal titolare del trattamento (a fronte della richiesta in merito formulata dall´Ufficio il 12 ottobre 2012) concreti elementi in base ai quali poter desumere l´inidoneità, in relazione alle legittime finalità di controllo delle presenze dei lavoratori, delle ordinarie misure di controllo e, correlativamente, la indispensabilità del trattamento dei dati biometrici – il trattamento effettuato deve ritenersi illecito.

4.4. A tale conclusione, non diversamente, si perviene prendendo in considerazione, alla luce del principio di liceità del trattamento (art. 11, comma 1, lett. a), del Codice), la disciplina di settore concernente la rilevazione delle presenze in ambito scolastico.Nell´ambito del pubblico impiego, in termini generali, la disciplina vigente in materia prevede che, “l´orario di lavoro, comunque articolato, è accertato mediante forme di controlli obiettivi e di tipo automatizzato” (cfr. art. 22, comma 3, l. 23 dicembre 1994, n. 724, Misure di razionalizzazione della finanza pubblica e già art. 7, comma 4, d.P.R. 1° febbraio 1986, n. 13; in tempi più recenti v. pure art. 3, comma 83, l. 24 dicembre 2007, n. 244, Legge finanziaria 2008), senza peraltro riferimento alcuno ai sistemi biometrici, né nella disciplina secondaria, né nella contrattazione collettiva. Deve peraltro rilevarsi che la circolare del Ministro per la funzione pubblica 20 ottobre 1992, n. 4797 (Rapporti tra pubblica amministrazione e cittadini. Contrattazione decentrata ex art. 14 della legge-quadro sul pubblico impiego 29 marzo 1983, n. 93. Organizzazione del lavoro. Orario di servizio ed orario settimanale di lavoro, pubblicata in G.U. n. 254 del 28 ottobre 1992), richiamata dal legale rappresentante del Liceo nella nota del 22 novembre 2012, ha espressamente escluso l´applicabilità di tali modalità di rilevazione delle presenze “al comparto scuola limitatamente al settore educativo-formativo”.

4.5. Infine, con riguardo al personale docente, anche nella giurisprudenza di legittimità, non essendo state rinvenute, quanto alle modalità di rilevazione delle presenze, puntuali previsioni né di fonte legale né contrattuale (v. in tal senso Cass. civ., Sez. lav., 12 maggio 2006, n. 11025), si è ritenuto che la verifica della presenza in servizio debba essere effettuata attraverso strumenti diversi (quali, la compilazione dell´apposito foglio firme ovvero del registro di classe).

4.6. Ulteriori profili di illiceità derivano dal fatto che non è stato comprovato dal titolare del trattamento se e come sia stato assolto l´obbligo di fornire agli interessati un´idonea informativa nei termini prescritti dall´art. 13 del Codice in relazione al trattamento dei dati biometrici.

4.7. A quest´ultimo riguardo, deve infine rilevarsi che non consta che il Liceo abbia provveduto alla dovuta notificazione del trattamento ai sensi dell´art. 37, comma 1, lett. a), del Codice.

4.8. Tanto premesso, il Garante, ritenuto che il trattamento dei dati biometrici dei dipendenti effettuato dal Liceo sia avvenuto in violazione dei principi di liceità, necessità, pertinenza e non eccedenza rispetto agli scopi perseguiti (art. 11, comma 1, lett. a) e d) del Codice) nonché in violazione dell´art. 13 del Codice, dichiara illecito il trattamento dei dati biometrici riferiti ai lavoratori e ne vieta il trattamento ai sensi degli artt. 154, comma 1, lett. d), 144 e 143, comma 1, lett. c), del Codice.

5.1. Quanto al trattamento dei dati personali effettuato attraverso il menzionato impianto di videosorveglianza, dagli atti risulta che:a. la Direzione territoriale del lavoro di Roma, rilevata la violazione dell´art. 4, l. n. 300/1970, ha disposto “la disinstallazione dell´impianto di videosorveglianza” (cfr. comunicazione 15 novembre 2012);b. il titolare del trattamento, dopo aver dichiarato all´Autorità che “sono state rimosse […] tutte le telecamere dell´intero impianto di videosorveglianza” (cfr. nota 22.11.2012 cit.), ha comunque “presentato istanza [alla Direzione territoriale del Lavoro] per essere autorizzato ad installare […] un impianto di videosorveglianza” (cfr. comunicazione 15 novembre 2012, cit.).Nessun elemento è stato fornito nel riscontro inviato dal Liceo né con riguardo alle ragioni che renderebbero necessaria l´installazione delle telecamere all´interno dell´istituto di istruzione, né con riguardo alle modalità con le quali l´informativa sarebbe stata resa non solo ai lavoratori, ma anche all´intera popolazione studentesca (nonché alle famiglie degli allievi).

5.2. Tanto premesso, fatte salve le specifiche competenze attribuite alla Direzione territoriale del Lavoro, deve ritenersi che il trattamento di dati personali effettuato mediante il sistema di videosorveglianza non risulta essere stato effettuato lecitamente, in quanto in violazione della disciplina prevista dagli artt. 13, 114 del Codice e 4, comma 2, l. n. 300/1970 (cfr. Provv.ti 10 novembre 2011, doc. web n. 1859569; 14 aprile 2011, doc. web n. 1810223; 24 giugno 2010, doc. web n. 1738396; 26 febbraio 2009, doc. web n. 1601522; in merito cfr. anche il punto 4.1. del Provv. 8 aprile 2010, doc. web. n. 1712680).

5.3. Peraltro, e sotto diverso profilo, il trattamento effettuato mediante il menzionato sistema di videosorveglianza, essendo idoneo a riprendere anche gli studenti che frequentano l´istituto, non risulta conforme a quanto stabilito dal Garante, in particolare, al punto 4.3 del menzionato provvedimento generale in materia di videosorveglianza dell´8 aprile 2010, atteso che (anche alla luce della previsione di cui all´art. 2, comma 2, d.P.R. n. 249/1998), in ambito scolastico l´utilizzo di sistemi di videosorveglianza deve ritersi ammissibile solo “in casi di stretta indispensabilità, al fine di tutelare l´edificio ed i beni scolastici da atti vandalici, circoscrivendo le riprese alle sole aree interessate ed attivando gli impianti negli orari di chiusura degli istituti; è vietato, altresì, attivare le telecamere in coincidenza con lo svolgimento di eventuali attività extrascolastiche che si svolgono all´interno della scuola” (punto 4.3.1).Orientamento, peraltro, riproposto e reso pubblico dal Garante anche tramite documenti di carattere divulgativo espressamente indirizzati al mondo scolastico nel 2010 e, nuovamente, nel 2012: rispettivamente, nel documento informativo intitolato “La Privacy tra i banchi di scuola”, p. 21 (e p. 19 con riguardo ai sistemi biometrici, doc. web n. 1723730) nonché nel più recente Vademecum “La privacy a scuola. Dai tablet alla pagella elettronica. Le regole da ricordare”, p. 3 (doc. web n. 1923387).

5.4. Alla luce di tali considerazioni, il Garante dichiara illecito, nei termini appena illustrati, il trattamento effettuato a mezzo del sistema di videosorveglianza anteriormente alla sua disattivazione, prescrivendo che, in caso di sua eventuale riattivazione in presenza delle garanzie previste dall´art. 4, l. n. 300/1970, siano comunque osservate le prescrizioni impartite dall´Autorità con il menzionato provvedimento generale dell´8 aprile 2010, con particolare riferimento al divieto contenuto al punto 4.3.1 del medesimo.6. Considerata, infine, la richiesta formulata con la menzionata nota del 15 novembre 2012, dispone la trasmissione del presente provvedimento alla Direzione Territoriale del Lavoro di Roma – Servizio Ispezione Lavoro per le valutazioni di competenza.7. L´Autorità si riserva di valutare con autonomo procedimento la sussistenza di violazioni amministrative, con particolare riferimento all´omessa notificazione al Garante del trattamento dei dati biometrici (art. 37, comma 1, lett. a), del Codice) nonché all´omessa informativa agli interessati rispetto ai trattamenti effettuati (art. 13 del Codice).

TUTTO CIÒ PREMESSO, IL GARANTE

in relazione ai descritti trattamenti di dati personali effettuati dal Liceo Scientifico Statale Omissis:a) dichiara illecito, nei termini di cui in motivazione, il trattamento dei dati biometrici riferiti ai lavoratori e, ai sensi degli artt. 154, comma 1, lett. d), 144 e 143, comma 1, lett. c), del Codice, ne vieta l´ulteriore trattamento (par. 4);b) dichiara illecito, nei termini di cui in motivazione, il trattamento effettuato a mezzo del sistema di videosorveglianza prescrivendo altresì, ai sensi dell´art. 154, comma 1, lett. c) e 143, comma 1, lett. b), del Codice che, in caso di riattivazione del sistema di videosorveglianza, salve le garanzie previste dall´art. 4, l. n. 300/1970, il trattamento sia effettuato in conformità alle prescrizioni impartite dal Garante con il provvedimento generale dell´8 aprile 2010, con particolare riferimento al divieto ivi contenuto al punto 4.3.1 (par. 5);c) dispone la trasmissione del presente provvedimento alla Direzione Territoriale del Lavoro di Roma – Servizio Ispezione Lavoro per le valutazioni di competenza.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 30 maggio 2013

IL PRESIDENTE Soro

IL RELATORE Iannini

IL SEGRETARIO GENERALE Busia

 

Installazione in un istituto scolastico di un dispositivo a riconoscimento biometrico (impronta digitale) per finalità di controllo del rispetto dell´orario di servizio – 30 maggio 2013

Registro dei provvedimentin. 262 del 30 maggio 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti, e del dott. Giuseppe Busia, segretario generale;VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”);

VISTA

la segnalazione inviata al Garante il 31 ottobre 2012;

ESAMINATA

la documentazione acquisita agli atti;

VISTE

le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Licia Califano;

PREMESSO

1. Con segnalazione del 31 ottobre 2012 si è lamentato che presso l´Istituto Tecnico Industriale Omissis (di seguito, Istituto) sarebbe stato installato un dispositivo “a riconoscimento biometrico (impronta digitale)” per finalità di “controllo del rispetto dell´orario di servizio” del personale amministrativo tecnico e ausiliario (c.d. A.T.A.) senza che allo stesso fosse stata prestata una “informativa specifica” (anche per quanto riguarda l´indicazione delle categorie di soggetti che hanno accesso ai dati personali biometrici trattati). Tale trattamento, secondo quanto lamentato, non rispetterebbe le condizioni di liceità stabilite dal Garante in relazione ai dati biometrici dei lavoratori.

2. Il dirigente scolastico dell´Istituto, con nota del 10 dicembre 2012 (inviata in risposta alla richiesta di informazioni dell´Ufficio), ha rappresentato – con dichiarazioni della cui veridicità si può essere chiamati a rispondere ai sensi dell´art. 168 del Codice – che:

a. a partire dal 28 novembre 2011 è stato adottato per il personale A.T.A. un “sistema di rilevazione delle presenze con sistema ad impronta capacitivo”;

b. l´adozione di tale sistema è stato ritenuto “indispensabile […] per soddisfare specifiche esigenze […] di sicurezza di beni e persone, anche alla luce di circostanze e situazioni concrete di elevato rischio”, in particolare a causa del verificarsi di “numerosi casi di allontanamento e/o di ritardo dal servizio dopo aver […] regolarmente firmato il foglio delle presenze” cui hanno fatto seguito, nei confronti di due dipendenti, l´avvio di procedimenti disciplinari nonché l´effettuazione di segnalazioni alla Procura delle Repubblica;

c. in passato presso l´Istituto si sono verificati casi di “sparizione di documenti riservatissimi” e, comunque, si è reso necessario “presidiare aree sensibili [quali] locali destinati a custodia dei beni e di documenti riservati [nonché] garantire la sicurezza delle singole persone”;

d. l´eventuale adozione di un (diverso) sistema di rilevazione delle presenze basato sull´attribuzione di badge individuali è stata ritenuta inidonea allo scopo, “atteso che non è infrequente che tra i dipendenti ci si possa scambiare [il] badge”;

e. il dirigente scolastico ha provveduto ad informare “tutto il personale A.T.A.” circa la decisione di adottare il menzionato sistema di rilevazione presenze, sia verbalmente – ricevendo, antecedentemente all´adozione del nuovo sistema, “da tutto il personale, tranne uno, il nullaosta all´uso del terminale con funzionalità biometriche” – sia con apposita circolare (non prodotta in atti) distribuita in un momento successivo all´installazione del sistema;

f. quanto alle caratteristiche del sistema adottato, l´Istituto ha prodotto un documento (“Idoneità ai sensi della normativa sulla privacy (D. Lgs. 196/2003) e delle norme di diritto del lavoro”) rilasciato dalla società che ha prodotto ed installato il dispositivo medesimo; tale documento attesta che “l´immagine acquisita dal terminale dell´impronta digitale viene memorizzata all´interno del sensore, solo per il tempo necessario a creare una stringa di caratteri numerici, e quindi viene immediatamente distrutta; dalla stringa […] così creata non è possibile ricostruire l´immagine dell´impronta digitale”;

g. pur ritenendo di aver rispettato la normativa vigente, il dirigente scolastico ha dichiarato che “qualora il Garante dovesse riscontrare la violazione di alcune norme sulla privacy, sin da ora si manifesta la più ampia disponibilità ad adottare le misure e gli accorgimenti necessari a garanzia degli interessati”.

3.1. Sulla base delle risultanze istruttorie risulta accertato che presso l´Istituto sono stati effettuati trattamenti di dati biometrici del personale A.T.A. per finalità di rilevazione delle presenze con conseguente applicazione della disciplina posta a tutela della protezione dei dati personali.Come più volte ribadito dall´Autorità, infatti, le operazioni concernenti le impronte digitali nonché i dati biometrici dalle stesse ricavati, sia con riguardo alla fase della raccolta che in relazione alla successiva memorizzazione ed utilizzo per le conseguenti operazioni di verifica e raffronto nell´ambito di procedure di autenticazione, integrando forme (distinte) di trattamento dei dati personali (cfr. art. 4, comma 1, lett. a) e b), del Codice), sono soggette alla disciplina del Codice (sul punto cfr., tra i tanti, Provv. 19 novembre 1999, doc. web n. 42058; 26 maggio 2011, doc. web n. 1832558). Ciò anche nel caso in cui il rilievo dattiloscopico, temporaneamente raccolto ai soli fini del completamento della fase di enrollment, venga successivamente utilizzato (sotto forma di codice numerico) per le menzionate operazioni di verifica e raffronto (Provv. n. 265 del 4 ottobre 2012, doc. web n. 2059743; Provv. 23 gennaio 2008, doc. web n. 1487903; v. anche il Gruppo dei garanti europei previsto dall´art. 29 della direttiva 95/46/Ce (di seguito “Gruppo art. 29”) dapprima nel Documento di lavoro sulla biometria, WP 80, adottato il 1° agosto 2003, punto 3.1 ed ancora nel Parere 3/2012 sugli sviluppi nelle tecnologie biometriche, WP193, adottato il 27 aprile 2012, p. 5 s.).

3.2. Ciò premesso, deve rilevarsi che in relazione alla valutazione di liceità dei trattamenti dei dati biometrici riferiti a lavoratori, il Garante ha in più occasioni individuato le condizioni in presenza delle quali i trattamenti medesimi possono ritenersi leciti.In particolare, l´Autorità ha precisato che tali dati possono essere di regola utilizzati solo in casi particolari, tenuto conto delle finalità perseguite dal titolare e del contesto in cui il trattamento viene effettuato, nonché – con specifico riguardo ai luoghi di lavoro – per presidiare l´accesso ad “aree sensibili” in considerazione della natura delle attività ivi svolte (cfr., tra le decisioni più risalenti, Provv. 21 luglio 2005, doc. web n. 1150679 e da ultimo, con ulteriori richiami,  Provv. del 31 gennaio 2013 n. 38, doc. web n. 2304669).A mente della prescrizione contenuta nella Regola 2 dell´allegato B) al Codice, il Garante ha poi talvolta prescritto, in relazione a particolari operazioni di trattamento di dati personali, il ricorso a tecniche biometriche di autenticazione quale necessaria misura di sicurezza (cfr., ad esempio, in relazione ad operazioni concernenti i dati di traffico telefonico e telematico, il Provv. 17 gennaio 2008, doc. web n. 1482111; Provv. 14 febbraio 2013, n. 64).Da ultimo, l´Autorità ha altresì riconosciuto la legittimità nonché la proporzionalità del trattamento di dati biometrici per finalità di autenticazione dell´utente nell´ambito di servizi di firma digitale remota (cfr. Provv. 31 gennaio 2013, doc. web n. 2311886).

3.3. Tali presupposti non risultano tuttavia ricorrere nella fattispecie in esame, posto che il sistema biometrico risulta essere stato installato presso l´Istituto allo scopo di effettuare la rilevazione delle presenze dei dipendenti. A tale proposito, con riferimento all´applicazione dei principi di necessità, nonché di pertinenza e non eccedenza (art. 11, comma 1, lett. d), del Codice) dei trattamenti effettuati in relazione alle finalità perseguite, il Garante ha di regola ritenuto sproporzionato l´impiego generalizzato di dati biometrici per finalità di rilevazione delle presenze dei lavoratori (cfr., da ultimo, Provv. 31 gennaio 2013, doc. web n. 2304669; v. già le Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico del 14 giugno 2007, punto 7.1, doc. web n. 1417809; questo orientamento è stato condiviso, proprio in sede di impugnazione di un´ordinanza-ingiunzione dell´Autorità, dal Trib. Prato, 19 settembre 2011). Tale valutazione tiene conto della possibilità di utilizzare idonee modalità alternative ‒ adottando soluzioni tecnico-organizzative che non incidano sulla libertà e la dignità stessa dei lavoratori interessati (art. 2 del Codice) ‒ preordinate all´accertamento parimenti efficace e rigoroso dell´effettiva presenza dei dipendenti in servizio.Il titolare del trattamento, infatti, allo scopo di verificare il puntuale rispetto dell´orario di lavoro ben può disporre di altre (più “ordinarie”) misure, meno invasive della sfera personale nonché della libertà individuale del lavoratore, che non ne coinvolgano la dimensione corporale. Aspetti, questi, costitutivi della dignità personale, a presidio della quale sono dettate le discipline di protezione dei dati personali, come emerge dall´art. 2 del Codice (cfr. Provv. del 31 gennaio 2013 n. 38, doc. web n. 2304669). I sistemi basati sull´utilizzo di tecnologie biometriche, infatti, possono operare  solo con l´attiva collaborazione personale dei lavoratori interessati in assenza di puntuali disposizioni che la impongano (v. anche Gruppo art. 29, WP193, Parere 3/2012, cit., p. 12, secondo cui  “il datore di lavoro è sempre tenuto a cercare i mezzi meno invasivi scegliendo, se possibile, un procedimento non biometrico” (cfr.).

3.4. Alla luce di tali orientamenti – che l´Ufficio del Garante aveva già rappresentato al dirigente scolastico dell´Istituto con nota del 12 gennaio 2012, inviata in risposta ad una richiesta di chiarimenti in materia – e degli elementi in atti, non risulta che nel caso specifico ricorrano i suindicati presupposti di liceità del trattamento.Invero, l´Istituto ha dichiarato di aver installato il sistema in esame ritenendo inidonei strumenti di controllo delle presenze alternativi (ad esempio il badge individuale) in vista della “necessità di prevenire […] condotte abusive” (indicate nel possibile “scambio dei badge e nello smarrimento degli stessi”, eventi peraltro non equiparabili), eventualità rappresentate dal titolare del trattamento in termini astratti ed ipotetici. Non sono stati addotti invece circostanziati elementi, strettamente rapportati alla specifica realtà lavorativa (quali, ad esempio, circostanze di fatto concernenti il personale tali da ostacolare un´agevole verifica della corretta esecuzione delle prestazioni lavorative), da cui si possa effettivamente arguire l´inidoneità di ordinarie misure di controllo e, correlativamente, la reale indispensabilità del trattamento dei dati biometrici dei lavoratori per la finalità suindicata. Al contrario, risulta che, a fronte del verificarsi di casi di allontanamento dal luogo di lavoro o di ritardo nel prendere servizio, l´Istituto sia stato in condizione di contestare addebiti disciplinari nei confronti di due dipendenti (senza precisarne l´esito), provvedendo a segnalare i casi all´autorità giudiziaria.Né è risultata comprovata (ma solo allegata) l´inefficacia del possibile utilizzo degli strumenti automatici di rilevazione delle presenze d´uso comune (si pensi a badge marcatempo, se del caso associati ad un codice individuale per ostacolarne l´impiego abusivo), la cui adozione da tempo è stata prevista dal legislatore (cfr. art. 22, comma 3, l. 23 dicembre 1994, n. 724, Misure di razionalizzazione della finanza pubblica e già art. 7, comma 4, d.P.R. 1° febbraio 1986, n. 13; in tempi meno risalenti v. pure art. 3, comma 83, l. 24 dicembre 2007, n. 244, Legge finanziaria 2008, disposizioni che peraltro non contengono riferimento alcuno ai sistemi biometrici), come pure degli ordinari controlli, se del caso a campione, circa la presenza dei lavoratori (che solo a domanda possono assentarsi temporaneamente dal lavoro), da effettuarsi per il tramite del personale direttivo (sul quale anzitutto incombe la verifica quotidiana, peraltro di immediata evidenza e comunque di agevole accertamento all´interno di un istituto scolastico). Verifiche, queste, di agevole realizzazione, tenuto altresì conto di quanto affermato dal dirigente scolastico circa il personale che è, per “la maggior parte, […] sempre puntuale, sia nell´arrivo sul luogo di lavoro che nell´uscita”–, delle quali nel caso di specie non è stata dimostrata l´inefficacia e che possono comunque contenere significativamente il rischio di pratiche abusive (potendo queste ultime peraltro configurarsi quali violazioni di carattere penale, oltre che disciplinare e contabile).Peraltro il trattamento dei dati biometrici per la finalità qui considerata, oltre ad essere in linea di principio (nonché, per quanto detto, nel caso di specie) sproporzionato, potrebbe comunque in concreto rivelarsi di scarsa utilità nel contrasto delle asserite (pur limitate) ipotesi di allontanamento dal servizio, atteso che, in difetto di efficaci sistemi di controllo e vigilanza sull´effettiva (operosa) presenza dei lavoratori durante l´arco dell´intera giornata lavorativa, la prospettata modalità di rilevazione delle presenze non è di per sé in grado di assicurare l´effettiva presenza sul luogo di lavoro di dipendenti infedeli.

3.5. Ciò non toglie, come enunciato anche nel presente provvedimento (cfr. par. 3.2), che l´utilizzo di sistemi biometrici, anche nell´ambito dell´Istituto, possa legittimamente avere luogo limitatamente alla diversa finalità del controllo degli accessi in aree del medesimo nelle quali sia custodita documentazione riservata od attrezzature di particolare valore (circostanza rispetto alla quale, in base alla documentazione in atti, non sono stati peraltro  forniti concreti elementi di valutazione, né indicate le porzioni di edificio eventualmente interessate da tale specifica esigenza).

3.6. Deve infine rilevarsi che non consta che l´Istituto abbia provveduto alla dovuta notificazione del trattamento ai sensi dell´art. 37, comma 1, lett. a), del Codice, profilo per il quale l´Autorità si riserva di contestare, con autonomo procedimento, la relativa violazione amministrativa.

3.7. Tanto premesso, il Garante, ritenuto che il trattamento effettuato dall´Istituto nel caso di specie sia avvenuto in violazione dei principi di liceità, necessità, pertinenza e non eccedenza rispetto agli scopi perseguiti (artt. 11, comma 1, lett. a) e d) del Codice), dichiara illecito il trattamento dei dati biometrici riferiti ai lavoratori e ne dispone il divieto ai sensi degli artt. 154, comma 1, lett. d), 144 e 143, comma 1, lett. c), del Codice.

TUTTO CIÒ PREMESSO, IL GARANTE

in relazione ai descritti trattamenti di dati personali effettuati dall´Istituto Tecnico Industriale Omissis dichiara illecito, nei termini di cui in motivazione, il trattamento dei dati biometrici riferiti ai lavoratori e, ai sensi degli artt. 154, comma 1, lett. d), 144 e 143, comma 1, lett. c), del Codice, ne vieta l´ulteriore trattamento.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 30 maggio 2013

IL PRESIDENTE Soro

IL RELATORE Califano

IL SEGRETARIO GENERALE Busia

Riproduzione riservata ©

ALTRE NEWS

Raccomandazione dell’OCSE sulla Digital Security

La versione integrale dell’Editoriale dell’Avv. Valentina Frediani su ‘Il Documento Digitale’ N. IV MMXV. “È impossibile poter eliminare totalmente il rischio digitale, ma questa sfida… Leggi Tutto

Sentenza della Cassazione in merito all’accesso abusivo ad un sistema informatico

“Le Sezioni Unite hanno stabilito il principio di diritto secondo il quale integra la fattispecie criminosa di accesso abusivo ad un sistema informatico o telematico… Leggi Tutto

E-Commerce: entrano in vigore le nuove regole dell’UE

Via libera alle nuove regole dell’Unione Europea in materia di E-commerce. Trasparenza e maggiore sicurezza saranno le parole chiave dell’ultimo capitolo del commercio elettronico, rese… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    Utilizzando questo modulo accetti la memorizzazione e la gestione dei tuoi dati da questo sito web.