Confermata in Cassazione la multa decisa dal Garante per la protezione dei dati personali. La società dovrà pagare 66mila euro. Evidente per i Giudici la violazione compiuta, e consistita nell’implementare un sistema che raccoglieva i dati biometrici della mano per monitorare le presenze dei lavoratori, senza alcun confronto coi sindacati e col Garante.
Nessun confronto col sindacato e nessun confronto col Garante per la privacy. Sanzionata, di conseguenza, l’azienda che ha adottato un sistema ultramoderno per la rilevazione delle presenze dei dipendenti, sistema centrato non solo sul badge ma anche sulla identificazione della conformazione della mano” del singolo lavoratore. Confermata in Cassazione la multa di 66mila euro decisa quasi sei anni fa Cassazione, ordinanza n. 25686, Sezione Seconda Civile, depositata oggi . Dati. A far nascere il caso è la segnalazione di un sindacato al Garante per la privacy. L’organizzazione di rappresentanza dei lavoratori pone in evidenza il fatto che un’azienda siciliana – operativa nel settore dei rifiuti – ha installato un sistema di raccolta di dati biometrici per la rilevazione delle presenze del personale dipendente . Tutto ciò senza confrontarsi coi lavoratori, coi sindacati e senza comunicazioni al Garante, che però, ricevuta la segnalazione, fa scattare l’inchiesta. Pochi mesi dopo, a novembre del 2012, l’azienda viene sanzionata con una multa di 66mila euro. Per il Garante è evidente la violazione compiuta, poiché ci si trova di fronte a un chiaro trattamento di dati personali di tipo biometrico , essendo così catalogabili i riferimenti alla conformazione della mano di ogni singolo lavoratore, registrata dal sistema installato dalla società siciliana. Di conseguenza, osserva il Garante, sarebbe stato obbligatorio per l’azienda rispettare le prescrizione fissate dal Codice per la protezione dei dati personali. Controllo. Tre anni dopo, nell’estate del 2015, il sistema di raccolta dei dati biometrici della mano per la rilevazione delle presenze dei dipendenti viene ritenuto legittimo da parte del Tribunale di Catania, che quindi annulla multa decisa dal Garante. I giudici siciliani sostengono che le apparecchiature utilizzate dalla società non prelevino e non trattino i dati biometrici delle mani dei dipendenti , e aggiunto che ciò significa che il dato biometrico è utilizzato come individualizzante, ma non come identificante . Così viene accolta la linea difensiva proposta dalla società, linea secondo cui il sistema di rilevamento delle presenze è stato costruito in modo che in nessun momento vi sia un trattamento personale del lavoratore , poiché il dato biometrico si riferisce alla geometria della mano e non ad impronta digitale o palmare e la geometria della mano non consente di per sé l’identificazione di una persona ma è solo sufficiente alla verifica descrittiva ai fini dell’identità . La vittoria della società viene però cancellata dalla Cassazione, che conferma la multa decisa dal Garante. Per i Giudici del Palazzaccio è evidente che la trasformazione del dato biometrico relativo alla mano del dipendente in un modello di riferimento, consistente in un codice, consente l’identificazione personale attraverso operazioni di confronto tra il codice numerico ricavato ad ogni accesso – ad ogni passaggio di badge, in sostanza – e quello originariamente raccolto . Difatti, il dato biometrico riguardante la mano di ciascun lavoratore viene trasformato in un modello di nove bytes, a sua volta archiviato ed associato ad un codice numerico di riferimento, che viene poi memorizzato in un badge e a ogni utilizzo del bagde, il sistema è in grado di verificare che il badge che è usato dalla stessa mano identificata in origine per la sua configurazione. In sostanza, il sistema, attraverso la conservazione dell’algoritmo, è in grado di risalire al lavoratore al quale appartiene il dato biometrico, e quindi indirettamente lo identifica, in attuazione dello scopo dichiarato – e in sé legittimo – di controllarne la presenza sul luogo di lavoro. Evidente, quindi, osservano i Giudici della Cassazione, che il sistema adottato dalla società siciliana comporta un trattamento di dati biometrici , avvenuto in maniera assolutamente illegittima. Giusta perciò la sanzione applicata dal Garante.
Corte di Cassazione, sez. II Civile, ordinanza 4 maggio – 15 ottobre 2018, n. 25686 Presidente Giusti – Relatore Picaroni Fatti di causa 1. Il Tribunale di Catania, con sentenza depositata il 15 agosto 2015 e notificata il 4 giugno 2015, ha accolto l'opposizione proposta da Dusty s.r.l. avverso l'ordinanza-ingiunzione n. 345 in data 11 novembre 2012, con la quale il Garante per la protezione dei dati personali ha irrogato la sanzione pecuniaria di Euro 66.000,00, previa contestazione della violazione degli artt. 13, 17, 23, 33, 37, 38, 161, 162, comma 2-bis, 162 del D.Lgs. n. 196 del 2003 codice in materia di protezione dei dati personali . 2. La violazione contestata riguarda l'installazione, da parte della società, che opera nel settore dei servizi di igiene ambientale e raccolta differenziata ed indifferenziata, di un sistema di raccolta dei dati biometrici della mano per la rilevazione delle presenze dei dipendenti. 3. Il Tribunale ha ritenuto che non sia stata raggiunta la prova che il trattamento dei dati biometrici dei dipendenti della Dusty sia avvenuto in violazione della disciplina di settore, e che, al contrario, sussista la prova positiva dell'assenza del trattamento. 3.1. Sul rilievo che non ogni volta che in qualunque attività vengano coinvolti dati personali e/o biometrici delle persone si ha per ciò solo trattamento di quei dati nei modi rilevanti per la normativa invocata , e previa ricostruzione del funzionamento del sistema in oggetto di cui infra , il Tribunale ha ritenuto che le apparecchiature utilizzate dalla Dusty non prelevino e non trattino i dati biometrici delle mani dei dipendenti, e che, in definitiva, il dato biometrico è utilizzato come individualizzante, ma non come identificante . 3.2. Esclusa l'applicazione della normativa di protezione prevista dal d.lgs. n. 196 del 2003, il Tribunale ha condannato il Garante al pagamento della somma di Euro 30.000,00, per responsabilità aggravata, ai sensi dell'art. 96, ultimo comma, cod. proc. civ. 4. Per la cassazione della sentenza ricorre il Garante per la protezione dei dati personali, sulla base di un motivo. Resiste con controricorso Dusty srl. Ragioni della decisione 1. Il ricorso è fondato. 2. Con l'unico motivo è denunciata violazione e falsa applicazione degli artt. 4, 13, 17, 23, 33, 37 del D.Lgs. n. 196 del 2003 codice in materia di trattamento dei dati personali e si assume che, contrariamente a quanto affermato dal Tribunale, la nozione di trattamento di dati personali di tipo biometrico comprenderebbe qualunque operazione o complesso di operazioni che consenta l'identificazione anche indiretta del soggetto, come nella specie avverrebbe attraverso il sistema adottato dalla società resistente. La trasformazione del dato biometrico relativo alla mano del dipendente in un modello di riferimento, consistente in un codice, consentirebbe l'identificazione personale attraverso operazioni di confronto tra il codice numerico ricavato ad ogni accesso e quello originariamente raccolto. 3. La doglianza è fondata. 3.1. Per quanto si legge nella sentenza impugnata, il sistema operativo utilizzato dalla Dusty è articolato come segue a il dato biometrico riguardante la mano di ciascun lavoratore viene trasformato in un modello di 9 bytes, a sua volta archiviato ed associato ad un codice numerico di riferimento b il codice numerico è memorizzato in un badge c ad ogni utilizzo del badge, il sistema è in grado di verificare che il badge che si sta usando è usato dalla stessa mano usata per configurarlo pag. 10 della sentenza . In questa sequenza, secondo il Tribunale, non vi sarebbe trattamento di dati personali posto che il lavoratore non sarebbe identificato attraverso i suoi dati biometrici, ma tramite il badge, il cui uso non è oggetto di contestazione. La conclusione è in contrasto con le norme in materia di trattamento dei dati personali, e l'errore che segna la ricostruzione del Tribunale riguarda la sussunzione della fattispecie astratta di trattamento di dati personali, genus nel quale rientrano i dati biometrici. L'art. 4 del D.Lgs. n. 196 del 2003 definisce trattamento , qualunque operazione o complesso di operazioni concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati dato personale , qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale dati identificativi , i dati personali che permettono l'identificazione diretta dell'interessato. 3.2. Il dettato normativo espressamente considera irrilevante, ai fini della configurabilità del trattamento di dati personali, la mancata registrazione degli stessi in apposita banca dati, essendo sufficiente anche un'attività di raccolta ed elaborazione temporanea. Parimenti, alla luce delle definizioni normative sopra riportate, devono ritenersi prive di incidenza le ulteriori circostanze valorizzate dal Tribunale, attraverso il richiamo al verbale redatto dall'Ispettorato del lavoro di Catania in data 23 giugno 2009. Né il fatto che il modello archiviato, realizzato attraverso la compressione dell'immagine della mano, consista in un numero che non è di per sé correlabile al dato fisico, né il fatto che, partendo da detto numero, non sia possibile ricostruire l'immagine della mano in quanto l'algoritmo è unidirezionale ed irreversibile, escludono che si versi in ipotesi di trattamento di dati biometrici. Ciò che rileva al predetto fine è che il sistema, attraverso la conservazione dell'algoritmo, è in grado di risalire al lavoratore, al quale appartiene il dato biometrico, e quindi indirettamente lo identifica, in attuazione dello scopo dichiarato e in sé legittimo di controllarne la presenza. Il sistema adottato dalla società resistente comporta un trattamento di dati biometrici, come tale assoggettato innanzitutto e in via assorbente alla preventiva notificazione al Garante, ai sensi dell'art. 37 D.Lgs. n. 196 del 2003, nella specie non avvenuta. 4. All'accoglimento del ricorso segue la cassazione della sentenza impugnata e, non essendo necessari ulteriori accertamenti in fatto, la causa è decisa nel merito, ai sensi dell'art. 384, secondo comma, cod. proc. civ., con il rigetto dell'opposizione proposta da Dusty srl. La novità della questione giustifica la compensazione delle spese di lite di entrambi i gradi del giudizio. P.Q.M. La Corte accoglie il ricorso, cassa la sentenza impugnata e, decidendo nel merito, rigetta l'opposizione proposta da Dusty srl. Spese compensate per entrambi i gradi del giudizio.