Biometria e controllo accessi: la normativa italiana

di Alessia Valentini

scritto il

La biometria per la rilevazione presenze in Italia è vincolata da direttive del Garante della Privacy e non solo: facciamo il punto con Tito Gaudio, Ad Elex srl, sui sistemi elettronici per il controllo degli accessi e la gestione delle presenze.

La biometria per la rilevazione presenze in Italia è vincolata da direttive del Garante della Privacy e non solo. Gli accorgimenti tecnici che potrebbero mettere l’azienda al riparo dalla normativa vigente, dunque, non sono percorribili con la certezza di un avallo legale.

La rilevazione automatica delle presenze, oltre che alle linee guida del Garante Privacy, deve essere conforme allo Statuto dei lavoratori, al Libro Unico del Lavoro, alle raccomandazioni INAIL e INPS, alle prescrizioni dell’Ispettorato del lavoro: non tutte le soluzioni tecnologiche in commercio rispettano gli standard richiesti dal nostro Paese, limitandosi ad “adattarsi” ai veti del Garante Privacy.

=> Leggi quando biometria e rilevamento presenze violano la Privacy

Sul tema, PMI.it ha incontrato Tito Gaudio, A.d. della Elex srl di Torino, azienda produttrice di sistemi elettronici per il controllo degli accessi e la gestione delle presenze.

La sua tesi è netta: in Italia la rilevazione delle presenze di tipo biometrico è nei fatti proibita. Una “anomalia” italiana ed europea: una direttiva CEE di oltre dieci anni fa rassicura sulla liceità della rilevazione presenze attraverso l’impronta della mano, ma ad oggi non vi sono ancora implementazioni in tal senso.

I veti del Garante

Nelle linee guida in materia di trattamento di dati personali dei lavoratori pubblici e privati per finalità di gestione del rapporto di lavoro (delibere 53/2006 e 23/2007), si afferma che “non è consentito utilizzare sistemi di rilevazione automatica delle presenze dei dipendenti mediante la raccolta di dati biometrici, specie se ricavati dalle impronte digitali”.  Dal punto di vista tecnico, tuttavia, questa preoccupazione  appare “non proporzionata”, per usare lo stesso metro di valutazione del Garante.

Non sembrano valere neanche le richieste preventive che una azienda potrebbe sottoporre al Garante con motivazioni e specifiche: tutte le richieste al riguardo presentate al Garante ai sensi dell’art. 17 del Testo unico della privacy (verifica preliminare) sono state respinte per trattamento illecito e “modalità sproporzionata” rispetto alle finalità.

=> Scopri le applicazioni della Biometria: dalla banca al business

L’ultimo provvedimento significativo è il n. 81 del marzo scorso e purtroppo conferma che non basta ottenere il consenso di tutti i lavoratori e delle organizzazioni sindacali. La pratica, vietata a prescindere, è la creazione di una banca dati delle impronte o dei tratti somatici degli utenti,  utilizzata per il confronto con l’utente al momento dell’accesso.

L’alternativa di confrontare l’impronta reale con quella registrata in precedenza sul badge individuale al momento della timbratura, mantenendo il badge nelle mani del dipendente, non permette comunque di procedere all’implementazione della biometria: la modalità “verifica” –  cioè il confronto fra l’impronta rilevata al momento e il “template” registrato in una contactless card – è consentita dal Garante solo per controllare gli accessi fisici e logici come quelli alle aree ad alto rischio o alle risorse informatiche (aree sensibili), sostituendo User Id e password ma mai per il controllo presenze.

=> Consulta le norme in azienda in tema di Privacy sul Lavoro

Le alternative

Anche per il controllo delle aree sensibili, l’azienda deve fare richiesta preventiva al Garante, adducendo reali e motivate ragioni di sicurezza ma sotto certe condizioni il Garante non ha mai negato l’autorizzazione: elencare le motivate ragioni di sicurezza, consentire ai dipendenti contrari a rilasciare le proprie impronte l’attuazione di una procedura alternativa utilizzando una carta neutra (bianca) in cui è registrato il “template” mantenuta in esclusivo possesso dell’utente, l’implementazione di hardware e software sicuri e forniti in conformità della legislazione vigente.

Il rischio che un’azienda possa rilevare gli orari d’inizio e fine lavoro sfruttando un sistema biometrico per il controllo degli accessi in aree sensibili ovviamente esiste ma, è bene sapere, il  Garante più di una volta ha scoperto il trucco intimando la dismissione del sistema. Il compito ispettivo attinente ai problemi di privacy è affidato alla Guardia di Finanza.

=> Leggi al riguardo gli usi e abusi della Biometria in azienda

Opzioni per PMI

Nell’attesa che le cose cambino, secondo Gaudio una PMI (a partire già da quindici dipendenti) che voglia gestire le presenze in modo sicuro ed efficace dovrebbe prendere in considerazione l’introduzione in azienda di un sistema elettronico di gestione presenze professionale.

Quando si sceglie la soluzione, tuttavia, è bene ricordare che il fornitore dovrebbe informare il potenziale cliente sui rischi che corre adottando soluzioni illecite, e mostrarsi dunque un partner tecnologico invece di un semplice venditore “mordi e fuggi”.

A parte l’impiego di un badge RFId a radiofrequenza – che rispetto alla banda magnetica è più sicuro, durevole e facile da usare – occorre poi sensibilizzare il lavoratore: una ricetta semplice che su base empirica funziona più di tanti controlli.