[vedi anche "Linee guida in materia di trattamento di dati
personali di lavoratori per finalità di gestione del rapporto
di lavoro alledipendenze di datori di lavoro privati"]

[vedi anche provv. 1]
[vedi anche provv. 2, 3, 4]

Biometriae rilevamento della presenza del personale aeroportuale

PROVVEDIMENTODEL 12 GIUGNO 2009

ILGARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof.Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti,e del dott. Filippo Patroni Griffi, segretario generale;

VISTO il Codice in materia di protezione dei datipersonali (d.lgs. n. 196/2003);

VISTE le "Linee guida in materia di trattamento di dati personali dilavoratori per finalità di gestione del rapporto di lavoro alle dipendenze didatori di lavoro privati" adottate dal Garante condeliberazione n. 53 del 23 novembre 2006, pubblicate sulla G.U. 7 dicembre2006, n. 285, di seguito denominate "Linee guida";

VISTO il reclamo con il quale il "Sindacatodei lavoratori intercategoriale" ha chiesto all'Autorità di verificarela correttezza dell'installazione, da parte della società "ICTS ItaliaS.r.l." operante presso l'Aeroporto di Fiumicino, di un sistema dirilevazione delle presenze dei lavoratori basato sull'impiego delle loroimpronte digitali;

ESAMINATE le risultanze istruttorie;

RILEVATO che dalle dichiarazioni rese dalla società èemerso che la medesima ha installato, fin dal mese di maggio 2008, un sistemadi rilevazione di dati biometrici dei dipendenti basato sull'impiego delle loroimpronte digitali (All. c, p.to 4 delle informazioni depositate ex art. 157D.Lgs.196/2003 il 17 febbraio 2009);

RILEVATO, altresì, che dalle dichiarazioni rese dallasocietà, "la finalità per cui è stato adottato il sistema dirilevamento biometrico è volta ad assicurare la presenza dei dipendenti"e che detto sistema "una volta entrato a regime, sostituiràcompletamente il vecchio sistema di rilevamento meccanico delle presenze deidipendenti" (p.ti 3 e 5 del Processo verbale del 3 febbraio 2009 nonchép.to 3 delle informazioni depositate ex art. 157 D.Lgs.196/2003 il 17 febbraio2009);

CONSIDERATO che l'utilizzo di dati biometrici, per ilquale è previsto il ricorso alla procedura di cui all'art. 17 del Codice, puòessere giustificato solo in casi particolari, tenuto conto delle finalità e delcontesto in cui essi sono trattati e, in relazione ai luoghi di lavoro, perpresidiare accessi ad "aree sensibili", considerata la naturadelle attività ivi svolte (p.to 4.1 delle "Lineeguida") e che, dalla documentazione in atti e dalledichiarazioni rese, la società non ha addotto ragioni specifiche volte achiarire la necessità dell'utilizzo di tali peculiari modalità di trattamentoper verificare il puntuale adempimento della prestazione lavorativa né hadimostrato l'inefficacia di misure alternative di controllo (cfr. Provv.21 luglio 2005; Provv. 15 giugno 2006, docc. web nn. 1, 2, 3);

ACCERTATO che i trattamenti relativi all'utilizzo didati biometrici sono stati svolti dalla società senza fornire agli interessatiun'idonea informativa ai sensi dell'art. 13 del Codice e prescindendo dallapreventiva raccolta del consenso libero, specifico ed informato degliinteressati previsto dall'art. 23 del Codice e dal p.to 4.3 delle "Linee guida" (cfr. p.to 6 eall. 5 del Processo verbale del 3 febbraio 2009, p.to 5 delle informazioni exart. 157 D.Lgs.196/2003 presentate il 17 febbraio 2009, nonché rilievi n. 2 e 3del Processo verbale di contestazione del 20 aprile 2009);

ACCERTATO che la società ha proceduto al trattamentodei dati personali senza la previa designazione per iscritto degli incaricatinonché la preventiva individuazione puntuale dell'ambito del trattamentoconsentito, in violazione dell'art. 30 del Codice nonché degli artt. 31 e segg.relativi agli obblighi di adozione di idonee e preventive misure di sicurezza (cfr.p.to 2 del Processo verbale del 3 febbraio 2009, All. c p.to 2 delleinformazioni ex art. 157 D.Lgs.196/2003 presentate il 17 febbraio 2009, nonchérilievo n. 4 del Processo verbale di contestazione del 20 aprile 2009);

CONSTATATO che la mancata designazione degliincaricati del trattamento, con riferimento in particolare alla conseguenteviolazione degli artt. 33 e 34 del Codice relativi alle misure minime disicurezza, appare ancora più grave in relazione alla natura dei dati trattati,atteso che per il trattamento di dati biometrici le citate "Linee guida" prevedono al punto 4.3 che "In aggiuntaalle misure di sicurezza minime prescritte dal Codice, devono essere adottatiulteriori accorgimenti a protezione dei dati, impartendo agli incaricatiapposite istruzioni scritte alle quali attenersi, con particolare riguardo alcaso di perdita o sottrazione delle carte o dispositivi loro affidati";che d'altra parte la società ha dichiarato che "non ha previsto misuredi sicurezza per la loro conservazione" (p.to 9 e 10 del Processoverbale del 3 febbraio 2009) e che "in occasione dell'utilizzodefinitivo del Sistema verranno impartite ai dipendenti istruzioni da seguirein caso di smarrimento della tessera personale di identificazione"(All. c, p.to 10 delle informazioni ex art. 157 D.Lgs.196/2003 presentate il 17febbraio 2009);

RILEVATO che la società non ha adempiuto l'obbligo dipreventiva notificazione del trattamento di cui all'art. 37, c.1 lett. a) delCodice (p.to 7 del Processo verbale del 3 febbraio 2009, nonché All. c p.to 7delle informazioni ex art. 157 D.Lgs.196/2003 presentate il 17 febbraio 2009);

RITENUTO che, allo stato, il suddetto trattamento nonrisulta per le predette ragioni conforme ai princìpi di liceità, finalità enecessità (artt. 3 e 11, comma 1, lett. a), b) del Codice);

CONSIDERATO che il Garante può disporre il divieto deltrattamento ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1,lett. d), del Codice in caso di trattamento di dati illecito o noncorretto;

RITENUTO, pertanto, di dover disporre allo stato, neiconfronti di "ICTS Italia S.r.l.", il divieto dell'ulterioretrattamento dei dati biometrici dei dipendenti per la finalità di rilevazionedelle presenze dei lavoratori;

CONSIDERATO che resta salva, per fattispecieparticolari o in ragione di situazioni eccezionali non considerate nelle "Linee guida", la presentazione da parte dititolari del trattamento che intendano discostarsi dalle prescrizioni, diapposito interpello al Garante, ai sensi dell'art. 17 del Codice (punto 4.4delle "Linee guida");

RILEVATO che, in caso di inosservanza delprovvedimento di divieto, si renderà applicabile la sanzione di cui all'art.170 del Codice;

VISTE le osservazioni formulate dal segretariogenerale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Giuseppe Fortunato;

TUTTOCIO' PREMESSO, IL GARANTE

ritenuta l'illiceità del trattamento, vieta, ai sensidegli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) delCodice il trattamento dei dati biometrici dei dipendenti da parte di "ICTSItalia S.r.l.".

Roma, 12 giugno 2009 

Il presidente
Pizzetti

Il relatore
Fortunato

Il segretario generale
Patroni Griffi