[doc. web n. 4430740]
Rilevazione
delle presenze dei dipendenti di un Comune tramite un sistema
biometrico basato sul trattamento di impronte digitali - 22 ottobre 2015
Registro dei provvedimenti
n. 552 del 22 ottobre 2015
n. 552 del 22 ottobre 2015
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA
riunione odierna, in presenza del dott. Antonello Soro, presidente,
della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia
Califano e della dott.ssa Giovanna Bianchi Clerici, componenti, e del
dott. Giuseppe Busia, segretario generale;
VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito "Codice");
VISTO
il provvedimento generale del Garante n. 513 del 2014 in tema di
biometria e le annesse Linee guida in materia di riconoscimento
biometrico e firma grafometrica (G.U. 2.12.2014, n. 280 e in
www.garanteprivacy.it, doc. web nn. 3556992 e 3563006);
ESAMINATE le risultanze istruttorie degli accertamenti effettuati in data 14 febbraio 2013 presso il Comune di Zagarise;
ESAMINATA la documentazione acquisita agli atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
RELATORE il dott. Antonello Soro;
PREMESSO
1.1.
A seguito di una segnalazione con la quale si è lamentato che presso il
Comune di Zagarise (provincia di Catanzaro) sarebbe stato attivato per
finalità di rilevazione delle presenze un sistema biometrico basato sul
trattamento di impronte digitali dei dipendenti, l'Ufficio del Garante –
ritenuto che una prima, parziale, nota di riscontro inviata dal Comune
medesimo non consentisse una compiuta valutazione sulla liceità dei
trattamenti effettuati – ha disposto accertamenti in loco che sono stati
eseguiti dal Nucleo Privacy della Guardia di finanza in data 14
febbraio 2013.
1.2. All'esito degli accertamenti ispettivi è emerso che:
a.
secondo quanto dichiarato dal sindaco del Comune il sistema di
rilevazione di dati biometrici "è stato installato nel […] novembre del
2004" (cfr. verbale 14.2.2013, p. 2);
b.
posto che antecedentemente a tale data non era stato adottato alcuno
strumento di rilevazione delle presenze, il Comune ha deciso "previa
attenta analisi, circa la strumentazione presente sul mercato e quindi
conforme alle normative di legge, di optare per l'installazione del
suddetto strumento di rilevazione" (cfr. verbale cit., p. 2);
c.
in relazione all'adozione di tale sistema il Comune ha fornito
"comunicazione formale della predetta installazione nei confronti di
tutti i dipendenti comunali" (cfr. verbale cit., p. 2);
d.
l'accesso ai dati personali trattati dal sistema, "acquisiti da un pc
posto in una stanza chiusa", è consentito solamente al sindaco
attraverso "un'applicazione specifica che prevede […] l'inserimento di
una password personale" (cfr. verbale cit., p. 2-3);
e.
quanto alle modalità di funzionamento del sistema "i template delle
impronte non sono conservati all'interno degli apparecchi in
disponibilità comunale […] ma solo all'interno dei badge personali";
peraltro tali supporti "non sono nominativi ma riportano solo un codice
numerico" (cfr. verbale cit., p. 3);
f.
con riferimento alle ragioni che avrebbero richiesto l'utilizzo di dati
biometrici per finalità di rilevazione delle presenze, il sindaco del
Comune ha dichiarato che "la scelta di adottare, tra gli altri, un
siffatto strumento di controllo […] è scaturito dall'esigenza di avere
un sistema informatico attendibile che nell'assoluto rispetto della
privacy, consentisse una più veloce rendicontazione delle
presenze/assenze periodiche del personale dipendente a tutto vantaggio
dell'ufficio personale comunale all'uopo preposto" (cfr. verbale cit.,
p. 3);
g.
l'adozione di tale sistema è risultato più efficace "rispetto al
rilevamento cartaceo posto che non sempre nei comuni piccoli come i
nostri può essere garantita la presenza costante del Sindaco e/o del
direttore generale impegnato, tra l'altro […] in più comuni" (cfr.
verbale cit., p. 3);
h.
con riferimento all'obbligo di fornire l'informativa agli interessati
in base all'art. 13 del Codice, è stato dichiarato che tutti i
dipendenti comunali "sono stati debitamente e previamente informati, sia
oralmente che per iscritto, sul trattamento dei dati personali
effettuato a mezzo del rilevatore biometrico"; inoltre al momento della
consegna del badge "ognuno dei dipendenti ha firmato il ritiro del badge
medesimo esprimendo […] il consenso al trattamento dei propri dati
personali" (cfr. verbale cit., p. 4).
1.3.
Con riferimento alla notificazione del trattamento di dati biometrici
previsto dall'art. 37 del Codice, con successiva comunicazione il Comune
ha rappresentato che "non è stato possibile rinvenire traccia
dell'avvenuto invio al Garante della comunicazione dell'installazione
del dispositivo, come previsto per legge" (cfr. nota 3.4.2013). In
relazione a tale profilo la Guardia di Finanza, con verbale n. 17 del 3
aprile 2013, ha contestato al Comune la violazione amministrativa
relativa all'omessa notificazione al Garante, unitamente alla mancata
attivazione del procedimento di verifica preliminare ai sensi dell'art.
17 del Codice.
1.4.
Con nota inviata in risposta ad una specifica richiesta di informazioni
formulata dall'Ufficio, il Comune ha dichiarato che, allo stato, il
sistema biometrico di rilevazione delle presenze è attivo (cfr. nota
ricevuta il 14.7.2015).
2.1.
In base alle risultanze dell'attività istruttoria, emerge che il Comune
di Zagarise ha effettuato a far data dal 2004 – e tutt'ora effettua –
per finalità di rilevazione delle presenze trattamenti di dati
biometrici dei propri dipendenti (ricavati, in particolare, da impronte
digitali e riconducibili ad interessati individuati o individuabili),
con conseguente applicazione della disciplina posta in materia di
protezione dei dati personali.
Con
riferimento alle specifiche ragioni che renderebbero necessario il
trattamento di dati biometrici di tutti i dipendenti per finalità di
ordinaria gestione del rapporto di lavoro, in particolare allo scopo di
rilevare la presenza in servizio, il Comune ha rappresentato esigenze di
efficienza della relativa attività ("consenti[r]e una più veloce
rendicontazione delle presenze/assenze periodiche del personale
dipendente a tutto vantaggio dell'ufficio personale comunale all'uopo
preposto") anche in relazione alle peculiarità organizzative di un
piccolo ente locale, ed in particolare alla circostanza che figure
apicali dell'amministrazione (Sindaco e direttore generale) non possono
essere presenti in sede quotidianamente. La valutazione comparativa, in
particolare, è stata effettuata dal Comune in relazione al "rilevamento
cartaceo" (v. p. 1.2., lett. e) e f)).
2.2.
Le circostanze rappresentate non sono idonee a soddisfare i principi di
necessità e proporzionalità (in relazione alla finalità perseguita) dei
trattamenti effettuati (artt. 3 e 11 del Codice). Il Comune infatti non
ha indicato specifiche e concrete ragioni in base alle quali altri e
diversi strumenti automatizzati (ad es. il badge, normalmente utilizzato
presso le pubbliche amministrazioni, se del caso associabile a Pin
individuale), risulterebbero inadatti a realizzare legittimi obiettivi
di efficienza nell'attività di gestione del personale. Così come non
sono stati indicati i motivi in base ai quali non sarebbe possibile
effettuare la doverosa attività di controllo sulla corretta esecuzione
della prestazione lavorativa dei dipendenti – attraverso gli strumenti
posti dall'ordinamento a disposizione dei dirigenti (o comunque del
personale direttivo) – stante l'impossibilità, per alcune specifiche
figure apicali, di garantire la quotidiana presenza in sede. Né, per
altro verso, sono stati dedotti concreti episodi di violazione dei
doveri d'ufficio da parte dei dipendenti o il fondato timore di abusi.
2.3.
Quanto all'osservanza degli specifici obblighi posti in capo al
titolare del trattamento dalla disciplina in materia di protezione dei
dati non risulta essere stata effettuata la notificazione al Garante ai
sensi dell'art. 37 del Codice, né è stata presentata la richiesta di
verifica preliminare di cui all'art. 17 del Codice.
2.4.
Più in generale, si rappresenta, altresì, che in relazione alla
valutazione di liceità dei trattamenti di dati biometrici effettuati nel
contesto lavorativo, il Garante ha ammesso (tenuto conto del contesto e
delle concrete modalità del trattamento stesso) l'utilizzo di dati
biometrici dei dipendenti per finalità di accesso ad aree "sensibili" o
riservate (cfr., tra gli altri, i Provv.ti 18.6.2015, n. 361, doc. web
n. 4173465; 17 settembre 2009, doc. web n. 1655708; 8 aprile 2009, doc. web n. 1610018; 1 febbraio 2007, doc. web n. 1381983).
Con provvedimento generale prescrittivo in tema di biometria n. 513 del
2014 il Garante ha, in proposito, individuato il controllo di accesso
fisico ad aree "sensibili" dei soggetti addetti e l'utilizzo di apparati
e macchinari pericolosi come una delle ipotesi di esonero dalla
presentazione di istanza di verifica preliminare ai sensi dell'art. 17
del Codice, a condizione che siano rispettati i presupposti di
legittimità contenuti nel Codice e che vengano adottate le misure e gli
accorgimenti tecnici idonei a raggiungere gli obiettivi di sicurezza
individuati con il provvedimento stesso.
In
termini generali con il citato provvedimento generale il Garante ha
altresì ribadito che il trattamento di dati personali biometrici,
considerato che essi sono "direttamente, univocamente e in modo
tendenzialmente stabile nel tempo, collegati all'individuo e denotano la
profonda relazione tra corpo, comportamento e identità della persona"
(cfr. provv. cit., punto 4), può essere effettuato solo previa adozione
di particolari cautele. I titolari che intendono trattare dati
biometrici, in particolare, dovranno sia conformare i relativi
trattamenti ai principi generali di liceità, finalità, necessità e
proporzionalità (cfr. artt. 3 e 11 del Codice), sia adottare le misure e
gli accorgimenti tecnici, organizzativi e procedurali prescritti in
relazione a talune specifiche tipologie di trattamento.
Con
riferimento al contesto lavorativo, l'uso di tecnologie biometriche per
finalità di rilevazione delle presenze in alcuni casi concreti è stato
ritenuto dall'Autorità generalizzato e dunque non consentito, posto che
in base al principio di necessità il titolare del trattamento è tenuto
ad accertare se la finalità perseguita possa essere realizzata senza
utilizzare dati biometrici o comunque conformandosi al principio di
proporzionalità del trattamento (artt. 3 e 11 del Codice; si vedano, ad
esempio, Provv.to 31 gennaio 2013, n. 38, doc. web n. 2304669 nei confronti di un comune e Provv.ti 30 maggio 2013, nn. 261 e 262 e 1° agosto 2013, n. 384, doc. web nn. 2502951, 2503101 e 2578547 nei
confronti di alcuni istituti scolastici; cfr. Trib. Prato, 19.9.2011,
n. 964; v. già le Linee guida in materia di trattamento di dati
personali di lavoratori per finalità di gestione del rapporto di lavoro
in ambito pubblico, punto 7.1). In un caso, invece, il Garante ha
ammesso il trattamento per finalità di accertamento della presenza in
servizio dei dipendenti in ragione delle peculiarità del trattamento
strettamente connesso a quel particolare contesto lavorativo (cfr.
Provv.to 10 gennaio 2013, n. 4, doc. web n. 2354574 nei confronti di una società a partecipazione pubblica).
3.
Alla luce di quanto esposto, il descritto trattamento di dati
biometrici effettuato dal Comune non risulta lecito, in quanto
effettuato in violazione dei richiamati principi di liceità, necessità,
proporzionalità, pertinenza e non eccedenza dei trattamenti effettuati
(art. 11, comma 1, lett. a) e d) del Codice), in assenza della previa
notificazione al Garante (art. 37 del Codice), nonché della preventiva
richiesta di verifica preliminare (art. 17 del Codice).
Si
ritiene, pertanto, di vietare al Comune di Zagarise, ai sensi degli
artt. 144, 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice,
l'ulteriore trattamento dei dati biometrici dei dipendenti effettuato
al fine di verificare le presenze/assenze del personale.
Si
ricorda che, ai sensi dell'art. 170 del Codice, chiunque, essendovi
tenuto, non osserva il presente provvedimento di divieto è punito con la
reclusione da tre mesi a due anni e che, ai sensi dell'art. 162, comma
2-ter del Codice, in caso di inosservanza del medesimo provvedimento, è
altresì applicata in sede amministrativa, in ogni caso, la sanzione del
pagamento di una somma da trentamila a centottantamila euro
4.
Restano salvi gli esiti del procedimento avviato con verbale di
contestazione di violazione amministrativa n. 17 del 3 aprile 2013.
TUTTO CIÒ PREMESSO, IL GARANTE
rilevata
l'illiceità dell'utilizzo dei dati biometrici del personale dipendente,
effettuato nei termini di cui in premessa, vieta al Comune di Zagarise,
ai sensi degli artt. 154, comma 1, lett. d), 144 e 143, comma 1, lett.
c), del Codice, l'ulteriore trattamento dei dati medesimi.
Ai
sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il
presente provvedimento può essere proposta opposizione all'autorità
giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del
luogo ove ha la residenza il titolare del trattamento dei dati, entro
il termine di trenta giorni dalla data di comunicazione del
provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede
all'estero.
Roma, 22 ottobre 2015
IL PRESIDENTE
Soro
Soro
IL RELATORE
Soro
Soro
IL SEGRETARIO GENERALE
Busia
Busia
