Impronta della mano e privacy dei lavoratori
Dalla Newsletter n. 287 del 29 marzo 2007 del Garante per la Protezione dei dati personali
Uso dei dati biometrici per particolari esigenze di sicurezza e per tempi strettamente necessari. Il Garante ha autorizzato, con particolari cautele, l’uso dei dati ricavati dalla conformazione della mano per accedere ad un vasto complesso, nel quale sono presenti imprese che lavorano e vendono metalli e pietre preziose. Non dovrà essere creato un archivio centralizzato dei dati biometrici: l’impronta cifrata della mano dovrà essere memorizzata solo sul badge del lavoratore o del personale autorizzato all’ingresso. I dati relativi agli accessi dovranno essere cancellati automaticamente dopo sette giorni. Dovrà essere comunque garantito un sistema alternativo di accesso.
Queste le principali condizioni poste dall’Autorità, con un provvedimento di cui è stato relatore Giuseppe Fortunato, per dare il via libera a un progetto sottoposto alla sua attenzione da un consorzio di duecentotrentacinque esercizi artigianali e commerciali, situato in un’area periferica campana ad elevato rischio di criminalità organizzata, che intende, per questo motivo, avvalersi di un sistema di riconoscimento biometrico per innalzare i propri standard di sicurezza. A chi deve accedere verrà rilasciata una smart card in cui è memorizzato il codice dell’impronta della mano. Presso i sedici ingressi del complesso, dunque, responsabili, dipendenti, visitatori autorizzati passeranno uno alla volta attraverso “bussole” automatiche con porte interbloccate, al cui interno sono installati dispositivi di lettura della geometria della mano. Un software trasformerà in un codice numerico i punti predeterminati della mano e il riconoscimento avverrà tramite il confronto con il codice memorizzato nella smart card. Chi non intende avvalersi di questo sistema potrà avere accesso tramite un ingresso dotato di telecamera per il riconoscimento facciale.
Ribadito il no ad un uso generalizzato ed incontrollato dei dati biometrici, il Garante ha ritenuto lecito e proporzionato il trattamento sottoposto al suo esame, tenuto conto della necessità della società di effettuare un accertamento rigoroso dell’identità del personale e dei visitatore. Sulla smart card potrà essere inserito il codice cifrato della mano e il profilo di autorizzazione personale (fascia oraria e giorni consentiti per l’ingresso). La smart card sarà invece priva della foto e dei dati anagrafici della persona autorizzata all’ingresso, sostituiti da un codice identificativo individuale, più sicuro in caso di smarrimento. Il consorzio dovrà comunque raccogliere il consenso del personale interessato al quale va fornita una completa informativa scritta sull’uso dei dati.
IL PROVVEDIMENTO
[doc. web n. 1381983]
Provvedimento del 1 febbraio 2007
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;
Esaminata la richiesta di verifica preliminare presentata da Oromare S.p.c.a. ai sensi dell’art. 17 del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);
Visti gli atti d’ufficio;
Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
Relatore il dott. Giuseppe Fortunato;
PREMESSO
1. Trattamento di dati personali biometrici per l’accesso a un complesso polifunzionale
1.1. Oromare S.p.c.a. –società consortile proprietaria di un complesso polifunzionale sito in una zona periferica di Marcenise (Caserta) destinato ad ospitare duecentotrentacinque esercizi artigianali e commerciali dedicati alla lavorazione e commercializzazione di materiali preziosi nel settore dell’oreficeria– ha presentato a questa Autorità una richiesta di verifica preliminare ai sensi dell’art. 17 del Codice, relativa al trattamento di dati biometrici (ricavati dalla lettura della conformazione della mano) delle persone che hanno accesso alla propria sede.
Al fine di incrementare le misure di sicurezza per entrare nel complesso situato “in un contesto socio-economico ad elevato rischio di criminalità organizzata” (e considerate le caratteristiche delle attività ivi svolte, legate al commercio di materiali preziosi), la società intende “utilizzare criteri sicuri di identificazione di coloro che saranno autorizzati all’accesso” (cfr. comunicazione del 3 agosto 2006); per tali ragioni la società intenderebbe avvalersi di un sistema di riconoscimento biometrico.
La società ha dichiarato che al complesso potranno accedere solo i “responsabili dello stesso, i membri della società consortile […] e i visitatori esterni previamente autorizzati e registrati dai singoli membri del consorzio” (comunicazione cit.); ciò, avverrebbe attraverso “bussole automatiche con porte interbloccate con accesso consentito ad una persona per volta, all’interno delle quali è installato un riconoscitore biometrico”.
Secondo la società, il passaggio attraverso i varchi dotati del sistema di riconoscimento biometrico (posto a presidio di sedici accessi al complesso) garantirebbe un accertamento più rigoroso dell’identità del personale e dei visitatori autorizzati e ne snellirebbe il flusso, non dovendo essere predisposti ulteriori processi di identificazione.
Il sistema, destinato a prevenire condotte criminose, non troverebbe applicazione per ulteriori finalità rispetto a quella sopra rappresentata, essendo mirato esclusivamente ad “elevare il grado di sicurezza di beni e persone”; in particolare, non sarebbe utilizzato per rilevare la presenza dei dipendenti operanti presso gli esercizi commerciali presenti nel complesso.
1.2. Il sistema di verifica biometrica che si intende installare è costituito da dispositivi di lettura della geometria della mano non centralizzati e integralmente autonomi nello svolgimento della procedura di identificazione biometria.
I dispositivi sarebbero dotati di un microprocessore e di una memoria di lavoro, nonché di un software per trasformare in un codice numerico i punti predeterminati dell’immagine della mano rilevati in occasione di ciascun ingresso al complesso polifunzionale; il codice verrebbe poi confrontato con il modello (template ) precedentemente ricavato dalla lettura dell’immagine della mano.
Il modello sarebbe conservato “soltanto su una smart card consegnata agli interessati al trattamento e [posta] nella loro esclusiva disponibilità”. L’associazione tra i due codici, preceduta dalla lettura della tessera, consentirebbe la verifica dell’identità dell’interessato e il suo accesso al complesso.
I dati trattati, oltre a quelli biometrici estratti dall’analisi della conformazione della mano, consisterebbero nel nome e cognome dell’interessato, nel codice assegnato al badge utilizzato quale supporto del template, nell’immagine dell’interessato e nel profilo di autorizzazione individuale (fascia oraria e giorni consentiti per l’accesso).
1.3. Qualora l’interessato non intenda prestare il consenso al trattamento dei dati biometrici la società procederebbe in via alternativa ad acquisire l’immagine del volto, associandola ad un codice personale permanente (pin ).
L’accesso avverrebbe esclusivamente attraverso una delle bussole automatiche con porte interbloccate equipaggiate con telecamera e dispositivo a codice, sita nella reception della struttura.
Digitata l’esatta sequenza numerica sarebbero visualizzate automaticamente, su apposito terminale dedicato, l’immagine video dell’utente che richiede l’accesso, ripresa dalla menzionata telecamera e quella, relativa al volto, acquisita precedentemente assieme ai dati anagrafici e memorizzata su una banca-dati remota. Un operatore appositamente incaricato provvederebbe a confermare l’identità e ad autorizzare (ovvero negare) l’accesso.
2. I principi di necessità, liceità, finalità e pertinenza nel trattamento di dati biometrici
2.1. La raccolta e la registrazione di caratteristiche fisiche, quali la conformazione della mano, nonché dei dati biometrici da esse ricavati e successivamente utilizzati per l’autenticazione o l’identificazione degli interessati, sono operazioni di trattamento di dati personali, alle quali trova applicazione la normativa contenuta nel Codice (art. 4, comma 1, lett. b), del Codice: v. Provv. 19 novembre 1999, in Boll. n. 10, p. 68, doc. web n. 42058; 21 luglio 2005, in Boll. n. 63, doc. web n. 1150679; 23 novembre 2005, in Boll. n. 66, doc. web n. 1202254; in merito, v. pure il documento di lavoro sulla biometria del Gruppo art. 29, direttiva 95/46/Ce- Wp 80 -, punto 3.1.).
Deve essere quindi valutata la liceità del sistema, unitamente ai principi di necessità, proporzionalità, finalità e correttezza (artt. 3 e 11 del Codice).
2.2. Come già affermato da questa Autorità, l’utilizzo di dati biometrici risulta giustificato solo in casi particolari, tenendo conto delle finalità e del contesto in cui essi sono trattati.
Dagli elementi acquisiti il trattamento in esame risulta lecito e proporzionato, sempreché siano adottati gli accorgimenti e le misure di seguito indicati. In relazione alle peculiarità della fattispecie in esame (considerate, oltre alla natura dei beni da commercializzare in un’unica area –quella del predetto complesso–, le caratteristiche della relativa area geografica, ad alto tasso di criminalità), l’impiego di dati biometrici tratti dalla geometria della mano risulta infatti proporzionato (in tal senso v. Provv. 15 giugno 2006, in www.garanteprivacy.it, doc. web n. 1306098).
Ciò, tenendo conto dell’esclusiva finalità perseguita (limitare l’accesso al complesso ai soli soggetti autorizzati) e del fatto che il modello, memorizzato sulla smart card e protetto con una chiave crittografica (cfr. punto 9, comunicazione del 30 ottobre 2006), è destinato a restare nell’esclusiva disponibilità dell’interessato.
3. Qualità dei dati, sicurezza, informativa e notificazione
3.1. Risulta però necessario che il sistema basato sulla lettura della geometria della mano (con memorizzazione dei dati personali solo sotto forma di modello cifrato su un supporto posto nell’esclusiva disponibilità dell’interessato, smart card o dispositivo analogo) sia privo dell’immagine dell’interessato e di indicazioni nominative (essendo sufficiente attribuire a ciascun interessato un codice individuale), sì che, anche in caso di smarrimento, siano remote le possibilità di abuso rispetto ai dati memorizzati.
La società dovrà fornire anche a chi non intenda consentire il trattamento di dati biometrici, unitamente al codice individuale, un supporto sprovvisto di immagine dell’interessato. L’identità di quest’ultimo potrà essere comunque verificata agevolmente dal personale di vigilanza, confrontando l’immagine digitalizzata (raccolta in precedenza e memorizzata in una banca-dati della società) con quella ricavata mediante la telecamera posta nella bussola.
3.2. Dagli atti, le misure di sicurezza che si intende predisporre a protezione dei dati risultano conformi alle disposizioni fissate dal Codice. Ciò, sulla base di quanto dichiarato dalla società riguardo al fatto che: i modelli verrebbero cifrati; il software di gestione (protetto da password) e il server che ospita la base di dati contenente l’anagrafica degli utenti sarà ubicato in una struttura centrale sorvegliata permanentemente per prevenire accessi non autorizzati al sistema e trattamenti da parte di soggetti non autorizzati; l’attestato di cui alla regola n. 25 del Disciplinare tecnico in materia di misure minime di sicurezza (Allegato “B” al Codice), nonché ogni altra idonea certificazione od omologazione dei dispositivi impiegati, verranno rilasciati dall’installatore del sistema e conservati dalla società presso la propria struttura; la società designerà per iscritto gli incaricati del trattamento, con particolare riferimento al personale preposto alla raccolta dei dati biometrici e all’attivazione delle smart card, impartendo loro idonee istruzioni alle quali attenersi (art. 30 del Codice).
In aggiunta alle misure di sicurezza prescritte dal Codice, la società dovrà comunque adottare ulteriori accorgimenti a protezione dei dati, impartendo agli interessati apposite istruzioni scritte alle quali attenersi, con particolare riguardo al caso di perdita o sottrazione delle smart card (in conformità a quanto indicato a p. 6 della comunicazione della società del 3 agosto 2006) e in relazione alle immagini raccolte.
3.2. Va dato atto di quanto dichiarato dalla società (cfr. allegati I e II alla comunicazione del 3 agosto 2006) circa il fatto che tutti i soggetti interessati all’utilizzo del sistema in esame riceveranno un’informativa scritta completa degli elementi previsti dal Codice (art. 13) rispetto al trattamento di dati personali e biometrici che si intende porre in essere. La medesima informativa dovrà tenere comunque conto delle prescrizioni contenute nel presente provvedimento.
3.3. La società dovrà raccogliere il consenso degli interessati (per l’utilizzo di dati biometrici); in relazione all’eventualità che taluno non possa o non intenda aderire alla rilevazione biometrica effettuata nei termini di cui in motivazione, deve essere predisposto un sistema alternativo di identificazione (anche nei termini indicati dalla società al punto 1.3.). L’esistenza di modalità alternative di accesso al complesso polifunzionale deve essere evidenziata chiaramente nell’informativa resa agli interessati.
3.4. La società resta tenuta a notificare al Garante il trattamento dei dati biometrici prima che abbiano inizio le operazioni di trattamento (art. 37, comma 1, lett. a ), del Codice) e a rispettare la disciplina del controllo a distanza dei lavoratori (art. 4, comma 2, l. 20 maggio 1970, n. 300; art. 114 del Codice).
4. Conservazione dei dati
I dati personali necessari per realizzare il modello potranno essere trattati esclusivamente durante la fase di raccolta.
I dati memorizzati dovranno essere accessibili al personale preposto al rispetto delle misure di sicurezza all’interno della società per l’esclusiva finalità dell’osservanza delle medesime. L’ulteriore utilizzo dei dati potrà avvenire esclusivamente per ragioni di giustizia, anche in riferimento all’eventuale tutela dei diritti del consorzio e dei consorziati.
I dati memorizzati relativi agli accessi giornalieri potranno essere conservati per il tempo massimo di sette giorni assicurando, oltre tale arco temporale, meccanismi di cancellazione automatica. Tale intervallo temporale risulta, valutate le circostanze del caso, congruo, tenendo conto dei beni commercializzati nel complesso polifunzionale (che si intendono con tale sistema proteggere), la cui sottrazione potrebbe essere scoperta dopo alcuni giorni rispetto al momento in cui il personale e i visitatori hanno avuto accesso al complesso (in tal senso v. altresì Provv. 26 luglio 2006, doc. web 1318582; 15 giugno 2006, doc. web n. 1306098).
Resta ferma la facoltà di una conservazione ulteriore per il periodo di tempo necessario per le predette ragioni di giustizia, anche in riferimento all’eventuale tutela dei diritti del consorzio e dei consorziati.
5. Conclusioni
La società potrà effettuare il trattamento di dati personali dichiarati solo se verranno rispettati gli accorgimenti e le misure a garanzia degli interessati prescritti, in attuazione del Codice, con il presente provvedimento.
TUTTO CIÒ PREMESSO IL GARANTE
preso atto del trattamento di dati biometrici effettuato mediante un sistema di verifica basato sul confronto delle caratteristiche della mano per accedere al complesso polifunzionale indicato al punto 1 e il modello, memorizzato e criptato su un supporto che resti nell’esclusiva disponibilità dei lavoratori interessati (punti 1. e 2.2.), prescrive ad Oromare S.c.p.a., ai sensi degli artt. 17 e 154, comma 1, lett. c ), del Codice, di adottare tutte le misure e gli accorgimenti a garanzia degli interessati nei termini di cui in motivazione e, in particolare, di:
- trattare, oltre ai dati biometrici estratti dall’analisi della conformazione della mano, i soli, seguenti dati necessari al funzionamento del sistema biometrico: un codice identificativo individuale, un codice assegnato al badge utilizzato quale supporto del modello e il profilo di autorizzazione individuale;
- indicare chiaramente nell’informativa resa agli interessati l’esistenza di modalità alternative di accesso e di identificazione;
- conservare i dati relativi agli accessi individuali al complesso polifunzionale per il tempo massimo di sette giorni (punto 4).
Roma, 1° febbraio 2007
IL PRESIDENTE
Pizzetti
IL RELATORE
Fortunato
IL SEGRETARIO GENERALE
Buttarelli