EntiOnLine
Categorie
indietro
31/12/2017 Il trattamento dei dati biometrici a protezione dei dati personali nel rapporto di lavoro pubblico e privato
Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

ll trattamento di dati biometrici

A seguito di una segnalazione presentata al Garante da un dipendente civile del Ministero della difesa è emerso che per un lungo periodo di tempo l’amministrazione ha trattato dati biometrici (mediante estrazione del template dell’impronta digitale) di tutti i dipendenti – civili e militari, indipendentemente dalla mansione svolta − che hanno chiesto il rilascio o il rinnovo della Carta multiservizi della difesa (tessera di identificazione dei dipendenti anche per finalita' di autenticazione all’accesso ai servizi forniti in rete con funzioni di carta nazionale dei servizi). Tale trattamento, secondo quanto dichiarato dall’amministrazione, era preordinato all’autenticazione dei soggetti specificamente autorizzati ad accedere alle aree della Certification Authority. Il Garante, all’esito di una complessa istruttoria, ha ritenuto illecito il trattamento sotto diversi profili (provv. 24 maggio 2017, n. 249, doc. web n. 6531525).

La disciplina sulla tessera di riconoscimento elettronica rilasciata dalle amministrazioni dello Stato prevede l’inserimento di dati personali, anche biometrici, previa attivazione di un procedimento di verifica preliminare dinnanzi al Garante ai sensi dell’art. 17 del Codice (art. 6, d.P.C.M. 24 maggio 2010, Regole tecniche delle tes- sere di riconoscimento (mod. AT) di cui al d.P.R. n. 851 del 1967 rilasciate con modalita' elettronica dalle Amministrazioni dello Stato, ai sensi dell’art. 66, comma 8, d.lgs. n. 82/2005, modificato con d.P.C.M. 18 gennaio 2016). Inoltre, in base a tale disciplina, nell’ambito delle finalita' proprie delle tessere di riconoscimento, l’amministrazione può utilizzare “per particolari esigenze di sicurezza fisica o logica [...] informazioni biometriche come le impronte digitali [...] del titolare dell’ATe. L’utilizzo di tali informazioni avviene nel rispetto della normativa in materia di protezione dei dati personali”. E' inoltre specificato che i dati biometrici possono essere inseriti nella tessera “per specifici scopi di sicurezza dell’amministrazione stessa” (all. B, d.P.C.M. cit., punti 3.1 e 6.2).

In materia di trattamento dei dati biometrici l’Autorita', in un’ottica di semplificazione, con il provvedimento generale prescrittivo in materia di biometria (12 novembre 2014, n. 513, doc. web n. 3556992) ha, tra l’altro, individuato alcune ipotesi per le quali – in presenza dei requisiti di legittimita' previsti dal Codice nonchè nel rispetto di determinate prescrizioni tecniche – il titolare del trattamento è esonerato dall’attivare l’istanza di verifica preliminare dinnanzi all’Autorita' (v. in particolare punto 4.2, relativo al controllo dell’accesso fisico ad aree sensibili e all’utilizzo di apparati e macchinari pericolosi). Resta ferma la possibilita' di trattare dati, anche biometrici, per finalita' di difesa o di sicurezza dello Stato, in base ad espresse disposizioni di legge (v. art. 58 del Codice).

Il trattamento effettuato dal Ministero della difesa non si inseriva entro tale cornice, sia perchè i dati biometrici (nell’arco temporale sopra indicato) venivano raccolti e successivamente trattati nei confronti di tutti i dipendenti, senza alcuna selezione di coloro che avrebbero avuto accesso alle particolari aree destinate ad ospitare la Certification Authority, sia perchè ai dipendenti non era stata fornita un’idonea informativa sulle caratteristiche fondamentali del trattamento; nè, infine, l’amministrazione aveva provveduto ad effettuare la notificazione al Garante.

Il Garante, ritenuto illecito il trattamento, ha prescritto all’amministrazione di effettuare un programma di aggiornamento delle Carte multiservizi contenenti i dati biometrici volto ad inibire il trattamento dei dati memorizzati in violazione delle disposizioni vigenti.

E' stata invece accolta la richiesta di verifica preliminare finalizzata, nel rispetto delle procedure previste dallo Statuto dei lavoratori, alla conservazione fino a trenta giorni delle immagini registrate dal sistema di videosorveglianza e dei dati rilevati dal sistema di controllo accessi biometrico, basata su oggettive esigenze di sicurezza, da parte di una societa' proprietaria di un complesso immobiliare adibito a centro orafo in cui sono ubicati immobili di proprieta' delle imprese socie e spazi ad uso comune di proprieta' esclusiva della societa' consortile che provvede inoltre alla gestione di tutte le attivita' di servizi e di impresa necessarie (vigilanza, custodia, sicurezza, tutela, pulizia, manutenzione, ristorazione) (provv. 20 aprile 2017, n. 198, doc. web n. 6393088).

Fonte: Garante per la protezione dei dati personali - Relazione 2017

Banca dati