Con l’ordinanza n. 25686 del 15.10.2018, la Cassazione afferma che senza l’autorizzazione del Garante della privacy è vietato raccogliere le impronte della mano dei dipendenti, attraverso un badge per vedere se sono presenti, posto che tale condotta viola i precetti contenuti nel Codice sulla protezione dei dati personali.
Il fatto affrontato
La società, operante nel settore dei servizi di igiene ambientale, impugna giudizialmente l'ordinanza-ingiunzione, con la quale il Garante per la protezione dei dati personali le aveva irrogato la sanzione pecuniaria di € 66.000,00, previa contestazione della violazione degli artt. 13, 17, 23, 33, 37, 38, 161, 162, comma 2 -bis, 162 del D.Lgs. 196/2003 (codice in materia di protezione dei dati personali).
Tale sanzione era stata comminata a causa dell’installazione, da parte dell’azienda, di un sistema di raccolta dei dati biometrici della mano per la rilevazione delle presenze dei dipendenti.
L’ordinanza
La Cassazione non ritiene di poter aderire alla tesi espressa dalla sentenza di merito, secondo la quale, nel caso di specie, non sussisteva alcuna violazione dei precetti di cui al D.Lgs. 196/2003, posto che, da un lato, le apparecchiature non prelevavano e non trattavano i dati (che erano utilizzati come individualizzanti e non come identificanti) e, dall’altro, detti dati non erano conservati in alcuna banca dati.
I Giudici di legittimità sottolineano, invece, come il Codice definisce “trattamento”, qualunque operazione che riguardi “la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati” e come “dato personale” qualsivoglia “informazione relativa ad una persona fisica, identificata o identificabile, anche indirettamente, attraverso altre informazioni, ivi compreso un numero”.
Per la sentenza, ne consegue, quindi, che non è rilevante, al fine di escludersi che si versi in ipotesi di trattamento di dati biometrici, né il fatto che il modello archiviato, realizzato attraverso la compressione dell'immagine della mano, consista in un numero che non è di per sé correlabile al dato fisico, né il fatto che, partendo da detto numero, non sia possibile ricostruire l'immagine della mano in quanto l'algoritmo è unidirezionale ed irreversibile.
Ciò che rileva al predetto fine, infatti, è che il sistema, attraverso la conservazione dell'algoritmo, è in grado di risalire al lavoratore, al quale appartiene il dato biometrico, e quindi indirettamente lo identifica, in attuazione dello scopo dichiarato di controllarne la presenza in servizio.
Su tali presupposti, la Suprema Corte - visto che il sistema adottato dalla società comporta un trattamento di dati biometrici, come tale assoggettato alla preventiva notificazione al Garante, nella specie mai avvenuta - rigetta l’impugnazione dell’ordinanza-ingiunzione, statuendo la legittimità della sanzione con la medesima irrogata.
A cura di Fieldfisher