IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
In data odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;
VISTA la richiesta di autorizzazione presentata da So.Ri.Cal.- Società risorse idriche calabresi S.p.A., in ordine al trattamento di dati personali dei dipendenti mediante rilevazione di dati biometrici;
VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);
VISTA la deliberazione del Garante n. 53 del 23 novembre 2006, recante “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati”;
VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore il dott. Giuseppe Fortunato;
1. Trattamento di dati personali dei lavoratori mediante sistemi biometrici per finalità di sicurezza del sistema idrico calabrese
1.1. So.Ri.Cal.- Società risorse idriche calabresi S.p.A., di seguito, la società), gestore dei servizi idrici calabresi, ha inoltrato al Garante una richiesta di verifica preliminare ai sensi dell'art. 17 del Codice, relativa al trattamento di dati biometrici dei propri dipendenti finalizzato a controllarne gli accessi a impianti di potabilizzazione appartenenti alla rete di distribuzione idrica e alle sedi della società, centrale e periferiche, distribuiti sul territorio regionale.
Tale misura, reputata dalla società idonea ad assicurare un grado elevato di certezza nell'identificazione del personale autorizzato all'accesso presso le proprie sedi, sarebbe altresì atta a incrementare l'integrità della rete e degli impianti appartenenti al sistema idrico calabrese (cfr. istanza dell'8 agosto 2007).
Il sistema che si intende utilizzare presuppone, in particolare, una raccolta di dati biometrici mediante apparecchiature dotate di lettore di impronte digitali e di un apposito software; l'impronta digitale verrebbe trasformata in un codice numerico (template), memorizzato su smart card e utilizzato esclusivamente per la raccolta e il successivo trattamento dei dati ai fini predetti. A livello centralizzato verrebbero raccolti e memorizzati per sette giorni i dati personali relativi all'orario degli accessi giornalieri e i codici numerici che consentono alla società di risalire al dipendente (cfr. comunicazione del 19 novembre 2007).
1.2. La società ha dichiarato che il trattamento dei dati biometrici verrà effettuato in base al consenso dei dipendenti interessati; per coloro i quali non lo presteranno (o che, comunque, per ragioni particolari non possono avvalersi di tale sistema di identificazione), verrebbe realizzato “un sistema alternativo di accesso nelle aree aziendali, tramite videosorveglianza con telecamere poste unicamente all'ingresso delle aree” che, a giudizio della società, non si porrebbe in contrasto con l'art. 4 della l. n. 300/1970 (Statuto dei lavoratori).
2. Dati biometrici e disciplina di protezione dei dati personali: principi di liceità, finalità e pertinenza nel trattamento
2.1. Il caso sottoposto alla verifica preliminare ai sensi dell'art. 17 del Codice (anche in base alla prescrizione contenuta nel Provv. 29 aprile 2004, doc. web n. 1003482, punto 3.2.) integra un'ipotesi di trattamento di dati personali. Come ripetutamente rilevato dal Garante, sia le impronte digitali, sia i dati da esse ricavati e successivamente utilizzati per verifiche e raffronti nelle procedure di autenticazione o di identificazione sono informazioni personali riconducibili ai singoli interessati (art. 4, comma 1, lett. b), del Codice), alle quali trova applicazione la disciplina contenuta nel Codice (cfr. Provv. 21 luglio 2005, in www.garanteprivacy.it, doc. web n. 1150679; da ultimo, ancora, Provv. 23 novembre 2006, Linee guida cit., punto 4; in merito v. pure il documento di lavoro sulla biometria del Gruppo art. 29, direttiva n. misión Europea (95/46/CE, 97/66/CE, entre otras). En cuanto a la entidad homóloga a la Agencia de Protección de datos de España, en el derecho portugués existe la “COMISSÃO NACIONAL DE PROTECÇÃO DE DADOS” –CNPD–, la cual se ocupa, entre otras funciones, en controlar y fiscalizar el cumplimiento de las disposiciones legales y reglamentarias destinadas a la protección de datos personales, respetando en forma estricta los derechos del hombre y las libertades y garantías consagradas en la Constitución y la ley
2.2. L'uso generalizzato e incontrollato di dati biometrici dei lavoratori non è in linea di principio lecito, in particolare quando si tratta di impronte digitali le quali, per la loro particolare natura, impongono che siano prevenuti eventuali utilizzi impropri, nonché possibili abusi.
Gli elementi acquisiti nel caso di specie consentono di ritenere che il trattamento di dati oggetto dell'odierna verifica preliminare (volto a identificare in modo certo i soggetti abilitati all'accesso in un'area riservata e che vi hanno fatto ingresso) sia configurabile in termini leciti. Ciò, tenendo conto della specifica finalità perseguita nel contesto esaminato, volta a incrementare la sicurezza dell'impianto idrico calabrese, anche con l'implementazione di misure preventive a tutela della qualità delle acque (peraltro oggetto del d.lg. 2 febbraio 2001, n. 31, recante Attuazione della direttiva 98/83/CE relativa alla qualità delle acque destinate al consumo umano) e per assicurare, mediatamente, la salute pubblica.
La società evidenzia l'obiettiva necessità di effettuare un accertamento particolarmente rigoroso sia della legittimazione all'ingresso nella predetta area aziendale dei dipendenti autorizzati, sia dell'identità dei singoli lavoratori coinvolti (cfr., in particolare, comunicazione del 19 novembre 2007). Le attività per le quali sono approntate le misure di identificazione sopra descritte richiederebbero infatti standard di sicurezza specifici ed elevati, nonché un quadro di certezza riguardo all'identificazione dei soggetti che vi partecipano (per fattispecie che presentava comparabili esigenze di sicurezza cfr. Provv. 23 novembre 2005, doc. web n. 1202254), in ragione delle esigenze di salute pubblica coinvolte.
A tal fine, il sistema potrebbe quindi essere realizzato in modo tale da memorizzare in una central room le informazioni personali (codice identificativo e tempo dell'accesso) relative agli accessi per l'intervallo di tempo di una settimana; i dati più risalenti verrebbero cancellati automaticamente (cfr. comunicazione dell'8 agosto 2007, p. 13).
2.3. Il Garante constata la necessità che il trattamento di dati biometrici per lo scopo prefissato riguardi solo il personale interessato a operare presso gli impianti di potabilizzazione dell'acqua, nonché quello che, per le mansioni svolte, ha accesso ai locali presidiati dal sistema biometrico nei quali sono custodite planimetrie e, più in generale, la documentazione tecnica relativa alle reti idriche.
Per effetto del presente provvedimento, potranno quindi formare oggetto di trattamento solo i dati (pertinenti e non eccedenti rispetto alla finalità perseguita) riferiti non alla generalità dei dipendenti, ma ai lavoratori per i quali, a seguito di una ricognizione preventiva che tenga conto delle mansioni svolte, la società constati e documenti l'effettiva necessità di accedere alle aree meritevoli di protezione appena indicate.
A tal fine, il meccanismo che la società potrà utilizzare dovrà essere basato sulla lettura delle impronte digitali cifrate su uno strumento disponibile al lavoratore (smart card o analoghi dispositivi), senza creare un archivio centralizzato dei template derivati dall'analisi delle impronte digitali.
La società potrà memorizzare nel proprio sistema informativo, oltre alle predette registrazioni orarie degli accessi ai locali presidiati, i dati personali (diversi dal template) univocamente identificativi dei lavoratori, che risultino necessari per registrare temporaneamente anche l'identità dei lavoratori che fanno ingresso, di volta in volta, nelle aree riservate.
2.4. In ogni caso, dovranno essere impartite istruzioni riguardo all'eventuale perdita e sottrazione dei dispositivi affidati al lavoratore (anche rispetto alle tempestive comunicazioni dovute alla società), nonché al ciclo di utilizzazione dei dispositivi di autenticazione e, infine, alle procedure interne per verificare il sistema ed aggiornare, ove necessario, i dispositivi affidati ai lavoratori.
2.5. I dati relativi agli accessi potranno essere conservati per un periodo non superiore a una settimana e dovranno essere registrati cronologicamente in modo tale da consentire il loro pronto reperimento anche sulla base di un'opportuna organizzazione per giorni di rilevazione.
Dovranno essere predisposti meccanismi di integrale cancellazione automatica delle informazioni allo scadere del termine previsto, evitando ogni prolungamento surrettizio dei tempi di conservazione attraverso la creazione di copie di sicurezza.
La società potrà assicurare la disponibilità dei dati raccolti solo in presenza di una richiesta di accesso da parte dell'interessato, oppure di eventi criminosi verificatisi o, ancora, di una richiesta da parte dell'autorità giudiziaria. In tali casi, dovranno essere adottate misure volte a consentire la conservazione prolungata dei dati personali memorizzati.
2.6. Resta ferma la necessità che, atteso che tale trattamento di dati biometrici può comportare un controllo a distanza dei lavoratori (cfr. Provv. 23 novembre 2006, Linee guida cit., punto 4; da ultimo, v. anche Cass. 17 luglio 2007, n. 15892), peraltro anche in ragione della prospettata collocazione di telecamere di sorveglianza (cfr. punto 2.1.), il sistema biometrico sia attivato solo dopo aver soddisfatto le condizioni indicate nell'art. 4, secondo comma, della legge 20 maggio 1970, n. 300 (Statuto dei lavoratori), richiamato dall'art. 114 del Codice.
prescrive a So.Ri.Cal.-Società risorse idriche calabresi S.p.A., ai sensi degli artt. 17 e 154, comma 1, lett. c) del Codice, al fine di conformarsi alle disposizioni vigenti, di adottare preventivamente al trattamento, nei termini di cui in motivazione, accorgimenti e misure a garanzia degli interessati, affinché in relazione al funzionamento del sistema biometrico e di videosorveglianza in esame, siano trattati i dati biometrici riferiti non alla generalità dei dipendenti, ma soltanto ai lavoratori per i quali, a seguito di una ricognizione preventiva che tenga conto delle mansioni svolte, la società constati e documenti l'effettiva necessità di accedere alle aree meritevoli di protezione indicate nel presente provvedimento; ciò, per l'esclusiva finalità di controllo degli accessi agli impianti di potabilizzazione appartenenti alla rete di distribuzione idrica e alle sedi, centrale e periferiche della società, distribuiti sul territorio regionale (punto 2.3.).
Roma, 15 febbraio 2008
IL PRESIDENTE
Pizzetti
IL RELATORE
Fortunato
IL SEGRETARIO GENERALE
Buttarelli