Uso di sistemi biometrici e privacy

Scarica PDF Stampa Allegati

L’uso di sistemi biometrici per rilevare le presenze dei dipendenti è legittimo solo se previsto dalla legge e non si possono usare altri strumenti meno invasivi della privacy.

Garante Privacy – Provvedimento 420 del 15-12-2022

GarantePrivacy-422-9852776-1.0.pdf 62 KB

Iscriviti alla newsletter per poter scaricare gli allegati

Grazie per esserti iscritto alla newsletter. Ora puoi scaricare il tuo contenuto.

Indice

1. I fatti

Il Garante per la protezione dei dati personali apriva un’istruttoria nei confronti di un Comune per verificare la possibile violazione della normativa privacy, per i fatti lamentati in una segnalazione ricevuta dall’autorità. In particolare, il segnalante sosteneva che il Comune avesse usato un sistema di rilevazione delle presenze dei dipendenti che prevedeva il trattamento di dati biometrici.
A seguito delle indagini effettuate dal Garante veniva effettivamente accertata l’installazione del suddetto sistema di acquisizione dei dati biometrici da parte del Comune e che lo stesso era stato utilizzato per verificare il rispetto dell’orario di lavoro da parte del personale dipendente che era in servizio presso gli uffici comunali.
In considerazione di quanto emerso dagli accertamenti compiuti, il Garante invitava il Comune a fornire le proprie giustificazioni sugli addebiti mossi dall’autorità.
In primo luogo, il Comune sosteneva che il sistema era stato installato per osservare le disposizioni previste dalla Legge Concretezza del 2019, la quale aveva imposto l’obbligo per le pubbliche amministrazioni di dotarsi di sistemi biometrici per controllare le presenze dei propri dipendenti. Pertanto, il Comune aveva installato due dispositivi a ciò destinati: uno all’ingresso del Palazzo comunale e uno presso il cantiere comunale.
In secondo luogo, il Comune faceva presente che il sistema funzionava in due fasi, che non prevedevano la memorizzazione delle impronte digitali dei dipendenti, ma solo di numeri di riferimento. La prima era dedicata alla registrazione del dato biometrico, mediante l’acquisizione dell’impronta digitale tramite il lettore e la successiva sua elaborazione con un algoritmo matematico irreversibile, che ne determinava un modello matematico da usare successivamente per i controlli. Tale modello veniva poi associato al codice identificativo del dipendente e memorizzato esclusivamente all’interno di un “badge” di cui aveva la materiale disponibilità solo il dipendente medesimo. La seconda fase era dedicata alla verifica e al confronto dei dati del dipendente con il modello precedentemente registrato: in particolare, il dipendente poggiava il dito sul lettore, il quale acquisiva ed elaborava le caratteristiche dell’impronta in maniera identica a quanto fatto in fase di registrazione per ottenere un analogo modello matematico; poi questo modello veniva confrontato con quello creato in fase di registrazione e veniva così effettuata la verifica in base allo scostamento dei due modelli. In considerazione del funzionamento di detto sistema, quindi, secondo il Comune, non era possibile risalire all’impronta digitale del dipendente neanche attraverso il modello registrato.
In terzo luogo, il Comune sosteneva che – seppure non fosse mai stato emanato il decreto attuativo che avrebbe dovuto individuare le specifiche tecniche per l’adozione dei sistemi di rilevamento biometrici delle presenze previsto dalla Legge concretezza – il sistema de quo era stato realizzato dal Comune nel rispetto del provvedimento generale in tema di biometria che era stato emanato dallo stesso Garante nel 2014.
In quarto luogo, il Comune sosteneva di aver adeguatamente informato i dipendenti circa il trattamento dei loro dati mediante il sistema biometrico.
Infine, il Comune faceva presente di aver provveduto alla eliminazione del sistema di rilevazione di cui sopra, solo 9 giorni dopo l’entrata in vigore della Legge finanziaria 2021, che prevedeva l’abrogazione delle disposizioni legislative che avevano precedentemente previsto l’introduzione dei sistemi di rilevazione biometrica ed aveva quindi reintrodotto il sistema del badge.
Potrebbe interessarti anche:

2. Le valutazioni del Garante

Preliminarmente, il Garante ha ricordato che, in base alla disciplina di protezione dei dati, i soggetti pubblici anche quando sono datori di lavoro possono trattare dati personali dei lavoratori se il trattamento è necessario per la gestione del rapporto di lavoro e per adempiere ad un obbligo legale al quale è soggetto il titolare del trattamento oppure per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento, nella misura in cui il trattamento è autorizzato dal diritto dell’unione o degli Stati membri. Per quanto riguarda le categorie di dati particolari (come quelli biometrici: cioè i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici), poi, il trattamento di regola è vietato ed è consentito solo quando a quanto sopra si aggiunge la presenza di garanzie appropriate a tutela dei dati. Ma anche in tal caso, il titolare del trattamento è tenuto, comunque, a rispettare i principi in materia di protezione dei dati, fra i quali quello di liceità, correttezza e trasparenza nonché di minimizzazione dei dati.
Ciò premesso, il Garante ha ritenuto che la finalità di rilevazione delle presenze dei dipendenti in servizio comporta un trattamento necessario per assolvere gli obblighi e esercitare diritti specifici del titolare del trattamento in materia di diritto del lavoro. Tuttavia, in tale caso, il trattamento di dati biometrici può essere lecitamente effettuato solo ove lo stesso trovi il proprio fondamento in una disposizione normativa che abbia le caratteristiche richieste dalla disciplina di protezione dei dati. In particolare, la disposizione normativa “autorizzatoria” del trattamento deve prevedere i contenuti necessari e le misure appropriate e specifiche per tutelare i diritti e le libertà degli interessati, nonché deve essere proporzionale rispetto alle finalità che si intendono perseguire con la normativa stessa. Solo a queste condizioni, il diritto nazionale può essere considerato una valida condizione di liceità del trattamento.
Nel caso di specie, la Legge concretezza aveva si previsto i sistemi biometrici per rilevare la presenza dei dipendenti delle PA, ma si trattava di una normativa generica, che avrebbe dovuto essere integrata da un decreto del Presidente del Consiglio dei ministri, sentito il parere del Garante. Tale normativa tecnica non ha mai trovato la luce proprio in considerazione dei rilievi critici mossi dal Garante, che riteneva la previsione della Legge concretezza non rispettosa del principio di proporzionalità rispetto alla finalità per cui il sistema veniva previsto. Anzi, a seguito dei suddetti rilievi, la Legge di bilancio 2021 ha anche abrogato le disposizioni sui sistemi di rilevazione biometrica delle presenze.
Secondo il Garante, i principi di protezione dei dati impongono che siano preventivamente considerati altri sistemi, dispositivi e misure di sicurezza – meno invasive – che possano assicurare l’attendibile verifica delle presenze, senza fare ricorso al trattamento dei dati biometrici.

3. La decisione del Garante

Per tutto quanto sopra, il Garante ha quindi ritenuto che, in assenza di proporzionate misure legislative e di specifiche garanzie per gli interessati, il trattamento dei dati biometrici per la predetta finalità di rilevazione delle presenze dei dipendenti non poteva e non può essere effettuato e pertanto la condotta del Comune configura una violazione della normativa in materia di protezione dei dati personali.
Conseguentemente, il Garante ha applicato una sanzione amministrativa pecuniaria nei confronti dell’Ente, che ha quantificato in €. 8.000 (ottomila).

>>>Per approfondire<<<
Aggiornata alle recenti determinazioni del Garante, l’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse.
La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy.

FORMATO CARTACEO

Formulario commentato della privacy

Aggiornata alle recenti determinazioni del Garante, l’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse. La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy. L’analisi delle ricadute operative della normativa è integrata dalle specifiche formule correlate; questa combinazione costituisce il valore aggiunto dell’opera che ben può aspirare a diventare un riferimento per gli operatori del settore. Giuseppe Cassano Direttore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi. Enzo Maria Tripodi attualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici. Cristian Ercolano Partner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.

A cura di Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2022

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento