Biometria e controllo degli accessi dei dipendenti

È stato recentemente pubblicato sul sito dell’Autorità garante per la protezione dei dati personali un interessante provvedimento in tema di biometria.

Si tratta di una decisione succintamente motivata, che ha il pregio di chiarire un equivoco che si è generato dopo l’emanazione del provvedimento generale prescrittivo in tema di biometria n. 513 del 2014. Infatti, come sarà capitato di notare a più di un addetto ai lavori, un “effetto collaterale” del provvedimento è che esso, con buona dose di approssimazione, è stato percepito da alcuni come una sorta di “liberalizzazione” dell’utilizzo di misure biometriche per “esigenze di sicurezza”.

Non è così, però, e il Garante, a fronte di un utilizzo non compiutamente giustificato di accesso biometrico nell’ambito del rapporto di lavoro, per non troppo circostanziate “finalità di sicurezza” sintetizza in poche ed efficaci righe la necessità di procedere alla verifica preliminare (oltre che alla notifica) prima di iniziare il trattamento.

Il caso

Un Comune aveva attivato, per finalità di rilevazione delle presenze dei dipendenti, un sistema biometrico basato sul trattamento di impronte digitali, senza aver previamente fornito un’adeguata informativa ai dipendenti stessi né aver raccolto il loro consenso.

Tale sistema era volto a soddisfare “le specifiche esigenze di sicurezza di persone e beni in quanto in linea con i doveri propri dei dipendenti di assicurare e rilevare con un sistema indiscutibile la propria presenza in servizio” dato che nella Regione, i controlli svolti avevano portato a denunce alla procura della Repubblica per prassi diffuse di scambi di badge, pertanto occorreva ricorrere a una modalità di rilevazione diversa dal badge, precedentemente in uso;

Il Comune specificava che l’impronta biometrica rilevata era detenuta esclusivamente dal dipendente stesso e ciò era ritenuto proporzionale rispetto alla finalità perseguita e che i lavoratori erano stati informati del trattamento cui i loro dati personali sarebbero stati esposti.

L’Autorità Garante all’esito dell’istruttoria ha rilevato che, con riferimento alle specifiche ragioni che avrebbero reso necessario il trattamento di dati biometrici di tutti i dipendenti per finalità di ordinaria gestione del rapporto di lavoro, il Comune aveva rappresentato la sussistenza di “esigenze di sicurezza” e di certezza nell’attività di verifica della presenza in servizio dei dipendenti. In relazione a ciò era stato fatto riferimento (sebbene non circostanziato) a episodi di abusi – consistenti nello scambio di badge – avvenuti presso Comuni della medesima Regione di appartenenza.

In ordine all’osservanza degli specifici obblighi posti in capo al titolare del trattamento dalla disciplina in materia di protezione dei dati, l’Autorità ha osservato che non risultava essere stata effettuata la notificazione al Garante ai sensi dell’art. 37 del Codice, e che non era stata presentata la richiesta di verifica preliminare di cui all’art. 17 del Codice (cfr. le Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico, punto 7.1.).

 Verifica preliminare e provvedimento generale prescrittivo in tema di biometria n. 513 del 2014

Il Garante ha precisato che l’istanza di verifica preliminare, nel caso in esame, era necessaria in quanto non risultavano integrati gli estremi delle fattispecie di esonero previste dal provvedimento generale prescrittivo in tema di biometria n. 513 del 2014, che ha individuato alcune condizioni tassative al ricorrere delle quali può prescindersi da tale adempimento.

Il Garante ha pertanto vietato l’ulteriore trattamento dei dati, essendo il trattamento  illecito, in quanto posto in essere in assenza dei necessari presupposti, riservandosi di valutare, con autonomo procedimento, la sussistenza di violazioni amministrative in capo al titolare del trattamento.

In particolare, ed è il passaggio che appare più interessante in relazione all’equivoco di cui si parlava all’inizio, il Garante in ordine alla necessità di procedere a verifica preliminare ha puntualizzato che il provvedimento generale prescrittivo in tema di biometria n. 513 del 2014 “ha, in particolare, individuato il controllo di accesso fisico, da parte dei soggetti addetti ad aree “sensibili” e l’utilizzo di apparati e macchinari pericolosi tra le ipotesi esimenti l’obbligo di richiesta di verifica preliminare, a condizione che siano rispettati i presupposti di legittimità contenuti nel Codice e che vengano adottate le misure e gli accorgimenti tecnici idonei a raggiungere gli obiettivi di sicurezza individuati con il provvedimento stesso”.

Non si può pertanto ritenere che attraverso il provvedimento generale del 2014 siano stati “sdoganati” sistemi di monitoraggio degli accessi sulla scorta di generiche esigenze di sicurezza, invece bisogna valutare attentamente se ricorrono tutti gli elementi previsti dal provvedimento stesso, facendo particolare attenzione agli aspetti tecnici, e, in difetto, rivolgere al Garante un’istanza di verifica preliminare ex art. 17 del Codice della privacy.

Per altro, sarà bene valutare attentamente anche la contingente situazione dell’interessato: se il provvedimento del Garante definisce i presupposti di esonero da verifica preliminare con riferimento all’acceso di “utenti”, tali condizioni non potranno essere estese ai “dipendenti”: il provvedimento è tassativo e non lascia spazio a interpretazioni estensive.

Non si dimentichi, infine, qualora si rientri nelle ipotesi di esonero dalla verifica preliminare, di redigere la relazione tecnica da mantenere a disposizione del Garante (relazione descrittiva degli aspetti tecnici e organizzativi delle misure messe in atto dal titolare, che fornisca altresì la valutazione della necessità e della proporzionalità del trattamento biometrico rispetto alle finalità, che deve essere conservata aggiornata, con verifica di controllo almeno annuale, per tutto il periodo di esercizio del sistema biometrico e mantenuta a disposizione del Garante), o la documentazione equipollente (il provvedimento prevede che i titolari dotati di certificazione del sistema di gestione per la sicurezza delle informazioni (SGSI) secondo la norma tecnica ISO/IEC 27001 che inseriscono il sistema biometrico nel campo di applicazione della certificazione sono esentati dall’obbligo di redigere la relazione, potendo utilizzare la documentazione prodotta nell’ambito della certificazione, integrandola con la valutazione della necessità e della proporzionalità del trattamento biometrico).

La notificazione

Sarà bene ricordare, infine, che anche qualora si rientri nelle ipotesi di esenzione previste dal citato provvedimento, occorrerà comunque procedere alla notifica, a meno che non si rientri in uno dei casi da sottrarre all’obbligo di notificazione, in ragione della particolare attività svolta dal titolare e come individuati dal Garante stesso: si vedano in proposito il Provvedimento relativo ai casi da sottrarre all’obbligo di notificazione, 31 marzo 2004 (in G.U. n. 81 del 6 aprile 2004, doc. web n. 85261); il provvedimento recante “Chiarimenti sui trattamenti da notificare al Garante” 23 aprile 2004 (doc. web n. 993385) ed il provvedimento riguardante le “Notificazioni in ambito sanitario: precisazioni del Garante” 26 aprile 2004 (doc. web n. 996680).

Tutti i contenuti presenti nel blog, ove non diversamente specificato, sono distribuiti con licenza Creative Commons Attribuzione – Condividi allo stesso modo 4.0 Internazionale.

Il GDPR per le piccole (e piccolissime) imprese
07/07/2018

GDPR: le utilità gratuite per implementarlo
09/02/2018

Regolamento UE  2016/679: che fine fa il responsabile interno?
19/11/2017

La figura del DPO, nomina posizione e compiti
08/11/2017

Possibili effetti dell’estensione della data retention a 6 anni
12/09/2017

Eccezione per trattamenti a fini personali nel RGPD
08/06/2017