Lavoro: impronte digitali solo per esigenze di massima sicurezza
Uso dei dati biometrici sul
posto di lavoro solo per particolari esigenze di sicurezza e per tempi
strettamente necessari. Il Garante ha autorizzato una società fornitrice di
sofisticati sistemi elettronici nel settore avionico ad utilizzare le impronte
di un gruppo limitato di lavoratori, non più di quindici, per controllare gli
accessi ad un’area particolarmente riservata dell’azienda, adibita alla
realizzazione di un progetto di difesa di rilevanza internazionale. La società
-senza creare un archivio centralizzato di impronte digitali neanche trasformate
in codici numerici-potrà utilizzare un sistema basato sulla sola lettura delle
impronte cifrate contenute in smart card, o in dispositivi analoghi,
rilasciati ai lavoratori autorizzati.
Ribadito il no ad un uso
generalizzato ed incontrollato di dati biometrici, il Garante ha ritenuto lecito
il trattamento di dati personali sottoposto all’esame, tenuto conto della
necessità della società di effettuare un accertamento più rigoroso della
legittimazione e dell’identità dei dipendenti che hanno accesso ad un’area
riservata. Ai lavoratori interessati deve essere fornita una completa
informativa scritta. Coloro che non potranno o non vorranno avvalersi del
sistema saranno interdetti dall’area o potranno accedervi solo se accompagnati
da personale identificato all’ingresso mediante la rilevazione biometria.
Accesso ad aree riservate
di particolari aziende: uso proporzionato di impronte digitali – 23 novembre
2005
IL GARANTE PER LA
PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in
presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe
Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe
Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;
Esaminata la richiesta di verifica preliminare presentata da Galileo Avionica
S.p.a. ai sensi dell’art. 17 del Codice in materia di protezione dei dati
personali (d.lg. 30 giugno 2003, n. 196), relativa al trattamento di dati
personali biometrici al fine di controllare gli accessi di alcuni dipendenti ad
un’area aziendale ad accesso limitato;
Visti gli elementi
acquisiti a seguito degli accertamenti avviati ai sensi dell’art. 154, comma 1,
lettere a), del Codice;
Viste le osservazioni
formulate dal segretario generale ai sensi dell’art. 15 del regolamento del
Garante n. 1/2000;
Relatore il dott. Mauro
Paissan;
PREMESSO
1. Trattamento
di dati personali biometrici di
dipendenti con finalità di accesso a particolari aree aziendali
Galileo Avionica S.p.a., fornitrice di tecnologie per la difesa nel settore
avionico ed elettronico (e controllata italiana della
holding SELEX Sensors and Airborne
Systems S.p.a.), ha presentato a questa Autorità una richiesta di verifica
preliminare ai sensi dell’art. 17 del Codice, relativa al trattamento di dati
biometrici di un numero ristretto di dipendenti non superiore a quindici unità,
finalizzato a controllarne gli accessi in un’area aziendale circoscritta di
superficie pari a circa trenta mq.
Tale misura, reputata dalla
società capace di assicurare un grado elevato di certezza nell’identificazione
del personale abilitato all’accesso, sarebbe a suo avviso conforme ai livelli di
"sicurezza e riservatezza richiesti in
ambiente NATO" (cfr. comunicazione Galileo Avionica S.p.A. del 30
settembre 2005) che dovrebbero essere rispettati per realizzare un particolare
programma avionico. Al riguardo la Società ha dichiarato che il numero di
lavoratori coinvolti non subirà variazioni trattandosi di personale in possesso
di nulla osta di sicurezza (Nos) rilasciato dall’Autorità nazionale di
sicurezza (A.n.s.) per trattare informazioni classificate al massimo livello di
segretezza.
Il sistema che si intende
utilizzare presuppone, in particolare, una raccolta di dati biometrici mediante
apparecchiature dotate di lettore di impronte digitali e un apposito
software; i dati verrebbero
trasformati in un codice numerico (template),
utilizzato esclusivamente per la raccolta e il successivo trattamento dei dati
ai fini predetti (cfr. comunicazione Galileo Avionica S.p.A. del 30 settembre
2005).
2. Dati biometrici e
disciplina di protezione dei dati personali: principi di liceità, finalità e
pertinenza nel trattamento
Il caso sottoposto alla verifica preliminare di questa Autorità integra
un’ipotesi di trattamento di dati personali.
Sia le impronte digitali,
sia i dati da esse ricavati successivamente utilizzati per verifiche e raffronti
nelle procedure di autenticazione o di identificazione sono informazioni
personali riconducibili ai singoli interessati (art. 4, comma 1, lett. b), del
Codice), alle quali trova applicazione la disciplina contenuta nel Codice (cfr.
provvedimenti del Garante 19 novembre 1999, in Boll.
n. 10, p. 68,
doc. web n. 42058 e 21 luglio 2005, in Boll.
n. 63,
doc. web n. 1150679; in merito v. pure il documento di lavoro sulla
biometria del Gruppo art. 29, direttiva n. 95/46/Ce -WP80-, punto 3.1).
L’uso generalizzato e
incontrollato di dati biometrici dei lavoratori non è in linea di principio
lecito, in particolare quando si tratta di impronte digitali le quali, per la
loro particolare natura, impongono che siano prevenuti eventuali utilizzi
impropri, nonchè possibili abusi.
Tuttavia, gli elementi
acquisiti nel caso di specie consentono di ritenere che il trattamento di dati
oggetto dell’odierna verifica preliminare sia configurabile in termini leciti.
Cio’, tenendo conto delle specifiche finalità perseguite nel contesto esaminato
e di alcuni accorgimenti che la società intende adottare, nonchè di quelli
prescritti con il presente provvedimento rispetto alle concrete modalità di
identificazione biometrica.
Nel caso di specie, la
finalità perseguita dalla società titolare del trattamento (identificare in
modo certo i soggetti abilitati all’accesso in un’area riservata e che vi hanno
fatto ingresso) è lecita alla luce della fattispecie, del tutto peculiare,
descritta in atti.
La stessa evidenzia
l’obiettiva necessità di effettuare un accertamento particolarmente rigoroso
sia della legittimazione all’ingresso nella predetta area aziendale dei
dipendenti autorizzati, sia dell’identità dei singoli lavoratori coinvolti (cfr.
già, a questo proposito,
Provv. del Garante 21 luglio 2005 cit.): le attività per le quali sono
approntate le misure di identificazione sopra descritte richiedono infatti
standard di sicurezza specifici ed
elevati, nonchè un quadro di certezza riguardo all’identificazione dei soggetti
che vi partecipano, in quanto coinvolgono progetti industriali rilevanti per
attività di difesa.
Il sistema è destinato ad
operare unicamente per accedere ad un’area riservata e specificamente
individuata, adibita alla realizzazione di un particolare programma avionico di
rilevanza nazionale ed internazionale nel settore della difesa.
Formano oggetto di
trattamento solo i dati pertinenti e non eccedenti rispetto alla finalità
perseguita, riferiti (non alla generalità dei dipendenti ma soltanto) ad un
numero ridotto di lavoratori interessati, individuati tra quelli in possesso di
nulla osta di sicurezza ed impiegati in attività che comportano la necessità
di trattare informazioni rigorosamente riservate.
Il sistema è, inoltre,
realizzato in modo tale da contenere fino ad un massimo di 900 transazioni in
entrata e in uscita; oltre tale soglia, i dati più risalenti vengono eliminati
automaticamente.
Il trattamento di dati
biometrici per lo scopo prefissato è cosi’ configurabile in termini
proporzionati rispetto ai diritti individuali degli interessati, alla luce della
finalità in concreto perseguita e delle modalità di trattamento che saranno
adottate.
A tal fine, il meccanismo
che la società potrà utilizzare dovrà essere basato – senza creare un
archivio centralizzato di impronte digitali o di
template – su un efficace sistema
di verifica e di identificazione, improntato sulla lettura delle impronte
digitali cifrate su uno strumento disponibile al lavoratore (smart
card o analoghi dispositivi).
Un connesso dispositivo
potrà pero’ permettere alla società di annotare nel sistema informativo, tra
le predette 900 transazioni in entrata e in uscita, altri dati personali
univocamente identificativi dei lavoratori, che siano ritenuti necessari per
registrare temporaneamente anche l’identità dei lavoratori che hanno fatto
ingresso, di volta in volta, nell’area riservata, anzichè la sola circostanza
che vi siano entrate persone autorizzate, ma non specificamente individuate in
relazione ai singoli accessi.
Dovranno essere impartite
istruzioni riguardo all’eventuale perdita e sottrazione dei dispositivi affidati
al lavoratore (anche rispetto alle tempestive comunicazioni dovute alla società),
nonchè al ciclo di utilizzazione dei dispositivi di autenticazione e, infine,
alle procedure interne per verificare il sistema ed aggiornare, ove necessario,
i dispositivi affidati ai lavoratori.
3.
Qualità dei dati e misure di sicurezza rispetto al trattamento dei dati
biometrici
Il sistema oggetto di verifica preliminare appare caratterizzabile in base ad un
adeguato livello di affidabilità (risultante dai
test di controllo realizzati dal
produttore) e di sicurezza.
Con riguardo a quest’ultimo
aspetto, le misure predisposte a protezione dei dati trasmessi dai singoli
lettori al sistema centralizzato di acquisizione dei dati (separato dai sistemi
informativi aziendali) risultano adeguate: i dati contenuti nell’archivio ad
essi espressamente dedicato sono crittografati e protetti da
password per impedirne l’accesso e
il trattamento da parte di soggetti non autorizzati.
In attuazione dell’obbligo
di adottare ogni misura anche minima di sicurezza prescritta dal Codice (art. 31
ss. e Allegato B), la società resta obbligata a farsi rilasciare
dall’installatore del sistema, e conservare presso la propria struttura,
l’attestato di cui alla regola n. 25 del Disciplinare tecnico in materia di
misure minime di sicurezza (Allegato "B" al Codice), nonchè ogni altra idonea
certificazione od omologazione dei dispositivi impiegati.
Resta parimenti ferma, con
particolare riguardo all’accesso ai dati da parte del responsabile per la
gestione delle reti aziendali, la necessità di designare per iscritto tale
soggetto come incaricato o, eventualmente, responsabile delle relative
operazioni di trattamento, impartendogli idonee istruzioni alle quali attenersi.
<p st
