Confermata la sanzione pecuniaria decisa dal Garante per la protezione dei dati personali. Evidente la colpa attribuibile alla società che ha utilizzato un sistema di rilevamento biometrico dell’impronta digitale per registrare le presenze dei propri dipendenti. Impossibile parlare di errore scusabile o di buonafede.
Confermata in via definitiva la multa di 30mila euro inflitta nel 2018 dal Garante per la privacy ad un'azienda che ha illegittimamente utilizzato un sistema biometrico – fornitole da una società che opera nel settore dell'elettronica d'avanguardia – per registrare le presenze giornaliere dei propri dipendenti tramite le loro impronte digitali. Irrilevante, chiariscono i giudici, il fatto che il sistema biometrico sia stato presentato all'azienda, che lo ha poi usato per lungo tempo, come un mero aggiornamento gratuito. Il fattaccio risale alla fine di ottobre del 2004, quando l'azienda, che produce tessuti tecnici, comincia ad utilizzare in uno stabilimento «un sistema , acquistato da un società, di rilevamento biometrico dell'impronta digitale » e ciò « al fine di registrare le presenze giornaliere dei propri dipendenti ». Quattordici anni dopo arriva la multa decisa dal Garante per la privacy, multa che ammonta a 30mila euro e che viene confermata dai giudici del Tribunale, i quali ritengono logico parlare di non consentito « trattamento di dati biometrici , al di fuori dei casi di esonero prescritti, in assenza di presentazione di istanza della società di verifica preliminare e di notifica al ‘Garante'». A fronte delle obiezioni proposte dall' azienda multata , i giudici del Tribunale definiscono «irrilevante il rapporto negoziale interno tra la società e l'impresa venditrice dei dispositivi» utilizzati per registrare le presenze dei lavoratori e ritengono «gravare esclusivamente sul datore di lavoro le esigibili determinazioni in ordine al trattamento dei dati personali dei propri dipendenti». In sostanza, «è sufficiente l'accertamento della volontarietà e consapevolezza della condotta» per parlare di colpa dell'azienda , mentre «è irrilevante la circostanza per cui il sistema di rilevamento a mezzo impronte digitali è stato offerto come aggiornamento gratuito, essendosi la società comunque determinata a farne uso», osservano i giudici, «senza procedere alla richiesta di verifica preliminare ed alle necessarie notifiche al ‘Garante', sebbene l'informativa commerciale facesse esplicito riferimento all'uso di dati biometrici». Col ricorso in Cassazione il legale che rappresenta l'azienda multata sottolinea «l'assenza di informazioni tecniche» da parte del fornitore «sulle modalità di utilizzo e sugli adempimenti necessari e preventivi per attivare l'apparecchio tramite impronta digitale». Per i magistrati di terzo grado, però, come già per i giudici del Tribunale, è impossibile parlare di « errore scusabile » da parte dell'azienda. Innanzitutto, perché «è ininfluente il rapporto interno tra la società ed il fornitore delle apparecchiature , vertendosi in tema di omesse verifiche e notifiche da parte del titolare del trattamento dei dati personali», cioè l'azienda in qualità di datore di lavoro. Allo stesso tempo, «la condotta richiesta era esigibile in ragione della posizione di garanzia ricoperta dal datore di lavoro quale titolare del trattamento dei dati personali dei propri dipendenti, a fortiori, in considerazione della sua professionalità qualificata», aggiungono i magistrati. Impossibile, poi, riconoscere la buonafede alla condotta tenuta dall'azienda. Ciò perché «l'esimente della buonafede non trova applicazione quando l'affidamento relativo alla liceità della condotta dipende proprio dalla colpa consistita nella mancata verifica degli adempimenti richiesti in qualità di datore di lavoro titolare del trattamento dei dati personali dei propri dipendenti, cui competono le decisioni in ordine alle finalità, alle modalità di trattamento ed agli strumenti utilizzati, ivi compreso il profilo della sicurezza», precisano i magistrati. Acclarato, quindi, «l'utilizzo, da parte del datore di lavoro, di apparecchiature in grado di rilevare dati biometrici, intesi a identificare in modo univoco una persona fisica, cioè il dipendente», è doveroso tenere presente che «proprio in merito all'utilizzo di sistemi di rilevazione dei dati biometrici ai fini del controllo della presenza dei dipendenti sul luogo di lavoro, il Garante ha dettato un provvedimento generale, nel novembre del 2014, chiarendo che, qualora si intenda provvedere al trattamento di dati biometrici , sia necessario presentare proprio al ‘Garante' una richiesta di verifica preliminare , individuando altresì talune tipologie di trattamento volte a scopi di riconoscimento biometrico nella forma di identificazione biometrica o di verifica biometrica o di sottoscrizione di documenti informatici firma grafometrica che, in considerazione delle specifiche finalità perseguite, della tipologia dei dati trattati e delle misure di sicurezza che possono essere concretamente adottate a loro protezione, presentano un livello di rischio ridotto, con conseguente esonero dall'obbligo di presentare la predetta istanza, a condizione che vengano adottate tutte le misure e gli accorgimenti tecnici idonei a raggiungere gli obiettivi di sicurezza individuati ». Nel caso specifico preso in esame, però, «va escluso che l'utilizzo contestato rientrasse nei casi di esonero», precisano i giudici, ricordando poi che «il ‘ Codice della privacy ' prescriveva», all'epoca dei fatti, «ai fini dell'ammissione del trattamento dei dati diversi da quelli sensibili e giudiziari che presenta rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità del soggetto, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare, che le misure e gli accorgimenti necessari fossero prescritti dal ‘Garante' nell'ambito di una verifica preliminare all'inizio del trattamento, effettuata anche in relazione a determinate categorie di titolari o di trattamenti. Inoltre, sempre il ‘Codice' prescriveva che il titolare del trattamento dovesse notificare al ‘Garante' il trattamento di dati personali cui intendeva procedere, se il trattamento riguardava dati genetici, biometrici o dati che indicavano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica». Ma in questa vicenda «alcuno degli adempimenti richiesti è stato posto in essere dall'azienda» e ciò «integra pienamente la condotta colposa contestata », concludono i magistrati della Cassazione.
Presidente Genovese – Relatore Iofrida Fatti di causa Il Tribunale ordinario di Biella, con sentenza numero 4-2020 pubblicata il 3/3/2020, ha respinto l'opposizione della F. srl, società produttrice, in stabilimento in omissis , di tessuti tecnici, avverso ordinanza ingiunzione numero 106 del 22/2/2018 del Garante per la protezione dei dati personali, con la quale si era accertato che la F. aveva utilizzato, dalla fine di ottobre 2004 , un sistema, acquistato dal fornitore S. srl, di rilevamento biometrico dell'impronta digitale, al fine di registrare le presenze giornaliere dei propri dipendenti, integrante trattamento di dati biometrici, al di fuori dei casi di esonero prescritti, in assenza di presentazione di istanza della società di verifica preliminare ai sensi del D.Lgs. numero 196 del 2003, articolo 17 e di notifica al Garante ai sensi degli articolo 37 e 38 della stessa legge. I giudici del Tribunale hanno, in particolare, ritenuto irrilevante il rapporto negoziale interno tra la società opponente e l'impresa venditrice dei dispositivi in oggetto, gravando esclusivamente sulla prima, in qualità di datore di lavoro titolare del trattamento ai sensi dell'articolo 4, comma 2, lett.f e 28 del Codice, le esigibili determinazioni in ordine al trattamento dei dati personali dei propri dipendenti e rilevato, quanto all'elemento soggettivo, che, in tema di sanzioni amministrative, era sufficiente l'accertamento della volontarietà e consapevolezza della condotta, nella specie omissiva, almeno sub specie di colpa, da presumersi la circostanza per cui il sistema di rilevamento a mezzo impronte digitali era stato offerto come upgrade gratuita era irrilevante, essendosi la società comunque determinata a farne uso senza procedere alla richiesta di verifica preliminare ed alle necessarie notifiche al Garante, sebbene l'informativa commerciale facesse esplicito riferimento all'uso di dati biometrici. Avverso la suddetta pronuncia, la F. srl propone ricorso per cassazione, notificato il 7/12/2020, affidato ad un motivo, nei confronti dell'Autorità Garante per la Protezione dei Dati Personali che resiste con controricorso, notificato 22/1/21 . La ricorrente ha depositato memoria. Ragioni della decisione 1.La ricorrente lamenta, con unico motivo, sia la violazione di legge, ex articolo 360 c.p.c. , numero 3, sia l'omesso esame di fatto decisivo, ex articolo 360 c.p.c. , numero 5, in punto di sussistenza di un errore di fatto scusabile ex l.689 del 1981, articolo 3, comma 2, in ordine al fatto, dedotto nel corpo del ricorso introduttivo, dell'assenza di informazioni tecniche fornite dal proprio venditore la S. srl sulle modalità di utilizzo e sugli adempimenti necessari e preventivi per attivare l'apparecchio tramite impronta digitale. 2. La censura è inammissibile, in parte, ed infondata, in altra parte. Anzitutto, non ricorre il vizio lamentato di omesso esame di fatto decisivo oggetto di discussione tra le parti, in quanto il Tribunale ha preso in esame l'eccezione di errore scusabile, rilevando sia che era ininfluente, in relazione all'oggetto del giudizio impugnazione di provvedimento sanzionatorio del Garante , il rapporto interno tra la società opponente ed il proprio fornitore delle apparecchiature, vertendosi in tema di omesse verifiche e notifiche da parte del titolare del trattamento dei dati personali, sia che la condotta richiesta era esigibile in ragione della posizione di garanzia ricoperta dal datore di lavoro quale titolare del trattamento dei dati personali dei propri dipendenti, a fortiori, in considerazione della professionalità qualificata dello stesso . La censura è poi infondata con riguardo all'invocata violazione di legge. Questa Corte Cass. 18292/2020 conf. a Cass. 8184/2014 ha di recente statuito che in tema di protezione dei dati personali, ai sensi del D.Lgs. numero 196 del 2003, articolo 28 il titolare del trattamento è la persona giuridica e non il suo legale rappresentante o l'amministratore, venendo in rilievo un'autonoma responsabilità in deroga al principio dell'imputabilità personale della sanzione di cui alla l. numero 689 del 1981 . Tale responsabilità è fondata sul concetto di colpa di organizzazione , da intendersi, in senso normativo, come rimprovero derivante dall'inosservanza da parte dell'ente dell'obbligo di adottare le cautele, organizzative e gestionali, necessarie a prevenire la commissione degli illeciti . La l.889 del 1981, articolo 3 stabilisce Nelle violazioni cui è applicabile una sanzione amministrativa ciascuno è responsabile della propria azione od omissione, cosciente e volontaria, sia essa dolosa o colposa. Nel caso in cui la violazione è commessa per errore sul fatto, l'agente non è responsabile quando l'errore non è determinato da sua colpa . Ora, l'esimente della buona fede, prevista dalla L. numero 689 del 1981, articolo 3, in tema di sanzioni amministrative, non trova applicazione quando l'affidamento relativo alla liceità della condotta, dipende proprio dalla colpa consistita nella mancata verifica degli adempimenti richiesti in qualità di datore di lavoro titolare del trattamento dei dati personali dei propri dipendenti, cui competono, ai sensi del D.Lgs. numero 196 del 2003, articolo 4 e dal Reg. UE 679/2016 , entrato in vigore nel maggio 2018, non applicabile alla fattispecie , le decisioni in ordine alle finalità, alle modalità di trattamento ed agli strumenti utilizzati, ivi compreso il profilo della sicurezza . Non è più in discussione l'utilizzo, nella fattispecie, da parte del datore di lavoro, di apparecchiature in grado di rilevare dati biometrici, intesi a identificare in modo univoco una persona fisica, il dipendente. In merito proprio all'utilizzo di sistemi di rilevazione dei dati biometrici ai fini del controllo della presenza dei dipendenti sul luogo di lavoro, il Garante ha dettato un Provvedimento generale prescrittivo in tema di biometria, adottato il 12 novembre 2014, chiarendo che, qualora si intenda provvedere al trattamento di dati biometrici, sia necessario presentare al Garante una richiesta di verifica preliminare, ai sensi dell'´articolo 17 del Codice, individuando altresì talune tipologie di trattamento volte a scopi di riconoscimento biometrico nella forma di identificazione biometrica o di verifica biometrica o di sottoscrizione di documenti informatici firma grafometrica che, in considerazione delle specifiche finalità perseguite, della tipologia dei dati trattati e delle misure di sicurezza che possono essere concretamente adottate a loro protezione, presentano un livello di rischio ridotto , con conseguente esonero dall'obbligo di presentare la predetta istanza, a condizione che vengano adottate tutte le misure e gli accorgimenti tecnici idonei a raggiungere gli obiettivi di sicurezza individuati. Nella specie, si è escluso che l'utilizzo contestato rientrasse nei casi di esonero. In ogni caso, l'articolo 17 del Codice Privacy nella versione applicabile alla fattispecie, anteriormente alle modifiche introdotte con D.Lgs. numero 101 del 10/8/2018 , di adeguamento del testo del D.Lgs. numero 196 del 2003 al Reg.UE 2016/679, entrato in vigore il 25/5/2018 prescriveva, ai fini dell'ammissione del trattamento dei dati diversi da quelli sensibili e giudiziari che presenta rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell'interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare , che le misure e gli accorgimenti necessari fossero prescritti dal Garante nell'ambito di una verifica preliminare all'inizio del trattamento, effettuata anche in relazione a determinate categorie di titolari o di trattamenti, anche a seguito di un interpello del titolare . Inoltre, il D.Lgs. numero 196 del 2003, articolo 37 prescriveva che il titolare del trattamento dovesse notificare al Garante il trattamento di dati personali cui intende procedere, se il trattamento riguarda a dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica . Nella specie, alcuno degli adempimenti richiesti era stato posto in essere da F., il che integrava pienamente la condotta colposa contestata. 3. Per tutto quanto sopra esposto, va respinto il ricorso. Le spese, liquidate come in dispositivo, seguono la soccombenza. P.Q.M. La Corte respinge il ricorso condanna la ricorrente al rimborso delle spese processuali del presente giudizio di legittimità, liquidate in complessivi Euro 4.000,00, a titolo di compensi, oltre Euro 200,00 per esborsi, nonché al rimborso forfetario delle spese generali, nella misura del 15%, ed agli accessori di legge. Ai sensi del D.P.R. numero 115 del 2002, articolo 13 , comma 1 quater, dà atto della ricorrenza dei presupposti processuali per il versamento da parte della ricorrente dell'importo a titolo di contributo unificato, pari a quello previsto per il ricorso, ove dovuto, a norma del comma 1 bis dello stesso articolo 13.