Controllo degli accessi e biometria

Nel mese di giugno 2005, la nuova Autorità Garante per la Privacy è stata chiamata a pronunciarsi sul caso di un’azienda che ha presentato una richiesta di verifica preliminare, ai sensi dell’art. 17 del D.Lgs. 196/2003, relativa al trattamento di dati biometrici dei propri dipendenti, finalizzato ad accertarne l’identità e la presenza sul luogo di lavoro.

Un’esigenza sempre più sentita dalle aziende, che cercano di sfruttare, grazie anche al basso costo delle tecnologie informatiche, sistemi di rilevamento sempre più efficaci.

Purtroppo il fine recondito realmente perseguito non è, di solito, quello del controllo delle presenze, ma di un’attività maggiormente invasiva della sfera privata del dipendente, volta soprattutto a spaventarlo e renderlo più malleabile e rispettoso dei regolamenti interni.

Scopo che risulta legittimo fino a quando si chiede esclusivamente il rispetto della civile convivenza in azienda, e quindi dei diritti e doveri gravanti su ciascuno (lavoratore e datore di lavoro), ma che sconfina nell’illiceità quando diventa lesivo dei diritti dell’uno o dell’altro (anche il comportamento del dipendente che si rifiuta di utilizzare il cartellino marcatempo, infatti, risulta lesivo degli interessi del datore di lavoro e può comportare la risoluzione del rapporto per il venir meno dell’elemento fiduciario).

Tra le varie finalità perseguite dall’azienda in esame, vi era, in primis, una corretta elaborazione delle presenze ai fini della corresponsione della retribuzione. Altra finalità, non secondaria, secondo quanto rappresentato dall’azienda, risultava quella di evitare comportamenti negligenti (smarrimento dei badge magnetici, dimenticanza a casa, omessa custodia dovuta all’abitudine di lasciare il badge nel cassetto della scrivania, ecc.) o fraudolenti (affidamento del badge ad altro dipendente affinché facesse risultare la presenza in azienda in orario antecedente a quello di arrivo effettivo, comportamento piuttosto frequente anche nella Pubblica Amministrazione).

Ovviamente, secondo l’azienda, un sistema di rilevazione delle presenze basato su una caratteristica biometrica, come l’impronta digitale, avrebbe consentito di prevenire tali problemi, richiedendo la presenza fisica del dipendente per l’autenticazione; avrebbe garantito, inoltre, un puntuale calcolo della retribuzione (ma in tal senso risultava più che efficace anche il badge magnetico) e avrebbe facilitato l’attività del dipendente per l’ingresso e per l’uscita, anche temporanee, non essendovi più la necessità di portare con sé badge o altri segni di riconoscimento (e quindi il rischio di dover tornare indietro a prenderli o di smarrirli).

Secondo il documento elaborato dal richiedente, ad una prima fase di raccolta dei dati, finalizzata a creare il database di impronte destinato a consentire le autenticazioni, avrebbe fatto seguito la materiale implementazione di lettori di impronte digitali presso le varie sedi dell’azienda, connessi ad un elaboratore centrale in grado di conteggiare gli ingressi e le uscite e di procedere automaticamente alla compilazione del registro delle presenze e al computo delle competenze di ciascun dipendente.

L’impronta sarebbe stata trasformata in un codice numerico, dopo la prima fase di avvio e test del sistema (c.d. enrollment) e quest’ultimo associato alla scheda anagrafica del dipendente, al fine di evitare successivamente il trattamento delle impronte e permettere l’identificazione sulla base del semplice confronto tra il codice generato dal lettore e quello memorizzato.

Nella fase di analisi della situazione, il collegio fa rilevare che le informazioni tratte dalle caratteristiche fisiche degli interessati ed in grado di identificarli in modo univoco, anche mediante modelli matematici di riferimento, di fatto consentono una identificazione diretta degli interessati e, pertanto, devono essere considerati trattamenti di dati personali a tutti gli effetti.

Diverse le censure mosse alla richiesta di preventiva autorizzazione del trattamento.

Innanzitutto, secondo il Garante, un primo appunto doveva essere fatto al sistema stesso, privo di omologazioni e certificazioni e quindi insuscettibile di offrire rigorose garanzia di affidabilità ed integrità dei dati.

Nessuna certificazione risultava acquisita ed in grado di documentare il livello di accuratezza nella rilevazione dei dati, sia in relazione ai “falsi negativi” (errore che produce il rigetto dell’istanza di accesso da parte del soggetto autorizzato), sia in relazione ai “falsi positivi” (errore che produce l’accettazione dell’istanza di accesso da parte di soggetto non autorizzato).

A ben vedere, tale problematica investe direttamente gli interessi del datore di lavoro (potrebbe entrare in azienda un soggetto non autorizzato) e quelli del dipendente (potrebbe verificarsi il caso in cui il lettore consenta l’accesso ad un diverso dipendente, con l’evidente conseguenza di accreditare la giornata di lavoro ad un soggetto piuttosto che ad un altro)

Inoltre, dagli elementi forniti non era possibile ricavare con certezza se fossero adeguate le misure di sicurezza predisposte a protezione della rete di comunicazione elettronica sulla quale i dati biometrici sarebbero stati trasmessi dai singoli lettori al sistema centralizzato di acquisizione dati.

Da ultimo, il Garante ha censurato anche l’informativa predisposta per i dipendenti, che, pur rappresentando la non obbligatorietà della schedatura biometrica, di fatto non avrebbe individuato le ragioni determinanti per il ricorso al sistema biometrico, né sistemi alternativi di identificazione per i soggetti che volontariamente o per problemi di altro genere non volessero sottoporsi a tale sistema di accertamento dell’identità.

In effetti non si può non condividere la conclusione cui perviene l’Autorità Garante, di dichiarare illecito il trattamento operato dall’azienda con tali modalità, anche se la richiesta di implementare nell’informativa le ragioni dettagliate della scelta del tipo di trattamento appare poco condivisibile.

La mancanza di omologazione delle apparecchiature non tutela l’azienda né il dipendente, perché da un lato non assicura un’identificazione certa del dipendente, dall’altro ammette il rischio che il soggetto autorizzato sia respinto dal sistema.

Dal punto di vista dell’affidabilità del sistema di comunicazione e gestione dei dati, l’assenza di qualsiasi tecnica di cifratura contravviene alle stesse disposizioni in materia di misure minime di sicurezza, poiché appare evidente come il dato biometrico sia considerato dal Legislatore di rilevante importanza e come, pertanto, esso debba essere garantito dall’accesso non autorizzato e dall’intercettazione. E suona abbastanza strano che la stessa Autorità Garante non abbia rilevato tale circostanza evidenziandola nel parere reso.

La censura riguardante l’informativa ripropone, purtroppo, una prassi molto diffusa, di far ricorso a formulari preconfezionati senza adeguare la modulistica alle reali esigenze dell’azienda all’interno della quale deve essere utilizzata. Se, da un lato, non vi sono criteri analitici per la predisposizione di una informativa perfetta, dall’altro è chiaramente indicato nel Decreto Legislativo 196/2003 che essa non può essere assolutamente generica e basata su formule di stile, ma deve indicare in dettaglio almeno gli elementi richiesti dalla norma di riferimento (art. 13, D.Lgs. 196/2003).

Dal punto di vista strettamente normativo, infine, appare evidente come un sistema di rilevazione delle presenze basato sull’acquisizione di una caratteristica biometrica risulti decisamente sproporzionato in assenza di documentate esigenze di sicurezza, in relazione a particolari aree sottoposte a controllo ovvero in funzione dell’attività svolta. Entrambe situazioni che non sembravano sussistere nel caso sottoposto all’attenzione del Garante.

Non può evidentemente ritenersi lecito un uso generalizzato e incontrollato di sistemi di rilevazione biometrica, poiché a fronte di un minimo vantaggio per il titolare del trattamento (peraltro analogo a quello che si avrebbe con altri sistemi meno invasivi), si espone ciascun interessato ad eventuali utilizzi impropri e a possibili abusi.

L’utilizzo di un tale sistema di schedatura, inoltre (altra circostanza non rilevata dall’Autorità) non appare compatibile con l’art. 4 dello Statuto dei Lavoratori (L. 300/1970), che vieta qualsiasi sistema di controllo del dipendente che possa limitarne la libertà personale o la dignità.

Il trattamento in esame deve ritenersi sproporzionato anche in considerazione delle modalità tecniche prefigurate (centralizzazione dei codici identificativi derivati dall’esame del dato biometrico), ben potendosi adottare, anche da questo punto di vista, misure tecnologiche meno invasive. Infatti, anche a mente della disposizione contenuta nell’art. 3 del Codice, è da ritenere comunque preferibile, laddove sia ammesso il ricorso a dati biometrici, la memorizzazione del codice identificativo su un supporto che resti nell’esclusiva disponibilità dell’interessato (una volta completato il c.d. enrollment), piuttosto che la registrazione dello stesso a livello centralizzato nel sistema informativo aziendale (con conseguenti più gravi ripercussioni per i diritti individuali in caso di violazione delle misure di sicurezza, di accessi di persone non autorizzate o, comunque, di abuso delle informazioni memorizzate, anche ad opera di terzi).

Appare evidente, dal pronunciamento del Garante, come non sia stato “bocciato” il sistema in sé, ma la mancanza di proporzionalità tra fine perseguito ed effetto invasivo, e, soprattutto, l’eccessiva genericità delle certificazioni e della documentazione allegata al progetto, oltre che l’assenza di studi e dati riguardanti sistemi alternativi. Il diniego, in sostanza, è basato più sulla mancanza di informazioni che sulla effettiva e dimostrata illiceità del sistema.

Gianluca Pomante

Lascia una risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *