x

x

Redazione Comitato scientifico Autori Fotografi Partner
Cerca
ABBONAMENTI LOGIN

Privacy - Garante: rilevazione delle presenze con dati biometrici. Extrema ratio

Il Garante per la protezione dei dati personali, con Provvedimento n. 552 del 22 ottobre 2015, ha ribadito la propria posizione riguardo all’utilizzo di dati biometrici - in particolare le impronte digitali - per la rilevazione delle presenze dei dipendenti: i dati possono essere raccolti e utilizzati solo in mancanza di una procedura equivalente e meno invasiva.

La raccolta di dati attraverso riconoscimento biometrico è soggetta alla regolamentazione del Decreto Legislativo n. 196/2003 (Codice della Privacy) nonché alle particolari cautele contenute nelle Linee Guida redatte dal Garante il 12 novembre 2014, con cui sono stati stabiliti i criteri e la procedura per utilizzare modalità di accesso che siano in grado di leggere, elaborare ed immagazzinare le “caratteristiche biologiche o comportamentali di un individuo”.

Nel caso oggetto del Provvedimento un Comune aveva attivato, a seguito di un’analisi di mercato sulla conformità alle normative di legge dei dispositivi disponibili, un sistema biometrico di riconoscimento delle impronte digitali finalizzato alla registrazione degli accessi: la rilevazione elettronica del transito dei dipendenti con una strumentazione in grado di accertarne la presenza e l’assenza avrebbe aumentato l’efficienza della rendicontazione sull’attività.    

In particolare, l’Ente ha sostenuto che il controllo degli accessi con acquisizione di dati biometrici era necessario per via delle caratteristiche organizzative e fisiologiche del Comune: il rilevamento cartaceo, preso in considerazione come alternativa a quello elettronico, non avrebbe raggiunto il medesimo grado di efficacia ed attendibilità, soprattutto a fronte del fatto che i responsabili dell’amministrazione (Sindaco e Direttore Generale) non potevano compiere controlli quotidiani nella sede comunale.      

Decidendo sul caso, Il Garante ha chiarito che in ambito lavorativo l’uso di tecnologie biometriche per la registrazione degli accessi deve rispettare i criteri di necessità, proporzionalità e non eccedenza dettati dagli articoli 3 e 11 del Codice della Privacy: il titolare del trattamento deve assicurarsi che la finalità perseguita -in questo caso la rilevazione della presenza in servizio- non possa essere raggiunta con un sistema elettronico che non raccolga i dati relativi alle caratteristiche biologiche degli interessati. In particolare, l’articolo 3 del Codice impone di escludere il trattamento dei dati quando il risultato possa essere ottenuto con dati anonimi o modalità che identifichino l’interessato solo in caso di necessità, concetto rinforzato dal successivo articolo 11, al comma 1 lettera d), dove è chiarito che i dati raccolti non devono eccedere quelli necessari per la finalità del trattamento.

Il Comune non ha provato di aver rispettato detti criteri non avendo prodotto ragioni sufficienti a giustificare l’esclusione di altre tecnologie elettroniche per la gestione del personale, efficienti ma meno invasive rispetto alla registrazione di dati biometrici (ad esempio badge elettronico con PIN associato). Per questo motivo all’Ente è stato inibito l’ulteriore trattamento di dati dei propri dipendenti. 

Per completezza va ricordato che, nell’attivare il controllo degli accessi, il Comune aveva anche omesso, senza rientrare nelle ipotesi di esonero di cui al Provvedimento n. 513/2014, la richiesta di verifica preliminare nonché la notificazione del trattamento dei dati biometrici di cui, rispettivamente, agli articoli 17 e 37 del Codice della Privacy.

(Garante per la protezione dei dati personali, Provvedimento 22 ottobre 2015, n. 552)

Il Garante per la protezione dei dati personali, con Provvedimento n. 552 del 22 ottobre 2015, ha ribadito la propria posizione riguardo all’utilizzo di dati biometrici - in particolare le impronte digitali - per la rilevazione delle presenze dei dipendenti: i dati possono essere raccolti e utilizzati solo in mancanza di una procedura equivalente e meno invasiva.

La raccolta di dati attraverso riconoscimento biometrico è soggetta alla regolamentazione del Decreto Legislativo n. 196/2003 (Codice della Privacy) nonché alle particolari cautele contenute nelle Linee Guida redatte dal Garante il 12 novembre 2014, con cui sono stati stabiliti i criteri e la procedura per utilizzare modalità di accesso che siano in grado di leggere, elaborare ed immagazzinare le “caratteristiche biologiche o comportamentali di un individuo”.

Nel caso oggetto del Provvedimento un Comune aveva attivato, a seguito di un’analisi di mercato sulla conformità alle normative di legge dei dispositivi disponibili, un sistema biometrico di riconoscimento delle impronte digitali finalizzato alla registrazione degli accessi: la rilevazione elettronica del transito dei dipendenti con una strumentazione in grado di accertarne la presenza e l’assenza avrebbe aumentato l’efficienza della rendicontazione sull’attività.    

In particolare, l’Ente ha sostenuto che il controllo degli accessi con acquisizione di dati biometrici era necessario per via delle caratteristiche organizzative e fisiologiche del Comune: il rilevamento cartaceo, preso in considerazione come alternativa a quello elettronico, non avrebbe raggiunto il medesimo grado di efficacia ed attendibilità, soprattutto a fronte del fatto che i responsabili dell’amministrazione (Sindaco e Direttore Generale) non potevano compiere controlli quotidiani nella sede comunale.      

Decidendo sul caso, Il Garante ha chiarito che in ambito lavorativo l’uso di tecnologie biometriche per la registrazione degli accessi deve rispettare i criteri di necessità, proporzionalità e non eccedenza dettati dagli articoli 3 e 11 del Codice della Privacy: il titolare del trattamento deve assicurarsi che la finalità perseguita -in questo caso la rilevazione della presenza in servizio- non possa essere raggiunta con un sistema elettronico che non raccolga i dati relativi alle caratteristiche biologiche degli interessati. In particolare, l’articolo 3 del Codice impone di escludere il trattamento dei dati quando il risultato possa essere ottenuto con dati anonimi o modalità che identifichino l’interessato solo in caso di necessità, concetto rinforzato dal successivo articolo 11, al comma 1 lettera d), dove è chiarito che i dati raccolti non devono eccedere quelli necessari per la finalità del trattamento.

Il Comune non ha provato di aver rispettato detti criteri non avendo prodotto ragioni sufficienti a giustificare l’esclusione di altre tecnologie elettroniche per la gestione del personale, efficienti ma meno invasive rispetto alla registrazione di dati biometrici (ad esempio badge elettronico con PIN associato). Per questo motivo all’Ente è stato inibito l’ulteriore trattamento di dati dei propri dipendenti. 

Per completezza va ricordato che, nell’attivare il controllo degli accessi, il Comune aveva anche omesso, senza rientrare nelle ipotesi di esonero di cui al Provvedimento n. 513/2014, la richiesta di verifica preliminare nonché la notificazione del trattamento dei dati biometrici di cui, rispettivamente, agli articoli 17 e 37 del Codice della Privacy.

(Garante per la protezione dei dati personali, Provvedimento 22 ottobre 2015, n. 552)

Articoli più letti su questo argomento

Diritto /

Videosorveglianza e servitù: legittima anche senza il permesso di chi ha la servitù di passaggio

Diritto /

Attacco hacker ai sistemi informatici della regione Lazio: arrivano le sanzioni del Garante Privacy

Diritto /

Alberghi: le foto dei clienti non si devono utilizzare

Newsletter Abbonamenti