Il sistema di timbrature con l’impronta digitale è soggetto alla preventiva notifica al Garante

Corte di Cassazione, Sezione II, 15 ottobre 2018, n. 25686

Raccolta impronte digitali – Rilevamento presente – Necessaria autorizzazione del Garante della privacy

MASSIMA

Ai fini della legittimità dell’installazione di un sistema di raccolta delle impronte digitali dei propri dipendenti è necessaria la preventiva autorizzazione da parte del Garante della privacy. Rileva, infatti, che attraverso la conservazione dell’algoritmo si può risalire al dipendente e quindi identificarlo. L’omessa richiesta è legittimamente sanzionabile dall’Autorità garante per violazione della normativa in materia di tutela dei dati personali.

COMMENTO

Una Società installava un sistema di raccolta delle impronte digitali dei propri dipendenti, il cui funzionamento prevedeva il prelevamento di dati biometrici riguardanti la mano di ciascun lavoratore, i quali venivano trasformati in bytes, archiviati e associati a un codice numerico di riferimento. Tale codice veniva successivamente memorizzato in un badge: ad ogni utilizzo di quest’ultimo, il sistema era in grado di verificare che il badge fosse usato dalla stessa mano usata per configurarlo. A parere dell’Autorità garante della privacy, la Società aveva indebitamente proceduto al trattamento dei dati personali, in violazione degli adempimenti previsti dal D.Lgs. 196/2003, non avendo preventivamente richiesto l’autorizzazione del Garante, e, pertanto, condannava la Società al pagamento di una sanzione. Il Tribunale di primo grado accoglieva il ricorso proposto dalla Società avverso l’ingiunzione, ritenendo che nella pratica non vi fosse stato alcun trattamento di dati personali posto che il lavoratore non sarebbe stato identificato attraverso i dati biometrici, ma tramite il badge, il cui uso non era oggetto di contestazione. Di parere contrario è la Suprema Corte, la quale ricorda che l’art. 4 del codice privacy definisce “trattamento” qualunque operazione o complesso di operazioni concernenti la raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, etc. di dati, anche se non registrati in una banca dati. Per “dato personale”, invece, si deve far riferimento a qualunque informazione relativa a una persona, anche solo identificabile indirettamente, mediante riferimento a qualsiasi altra informazione. Alla luce della normativa, pertanto, non rileva la registrazione in una banca dati, ma è sufficiente un’attività di raccolta ed elaborazione temporanea. La Corte osserva che non si deve far riferimento alle singole specifiche modalità – ad esempio, che, nel caso di specie, partendo dal dato numerico non fosse possibile ricostruire l’immagine della mano in quanto l’algoritmo era unidirezionale ed irreversibile –, ma è sufficiente e necessario verificare il funzionamento del sistema nel suo complesso. Ciò che rileva nel caso concreto è che, attraverso la conservazione dell’algoritmo, il sistema era in grado di risalire al lavoratore, al quale apparteneva il dato biometrico, e quindi, seppur indirettamente, identificava la persona. Il sistema adottato, in sé legittimo, comportava tuttavia un trattamento di dati biometrici, assoggettato alla preventiva notificazione al Garante di cui all’art. 37 D.Lgs. 196/2003. Orbene, è opportuno chiarire che la Corte non pone in contestazione il fine perseguito dal sistema installato dalla Società. Al contrario, la Cassazione afferma che il dichiarato scopo di controllare la presenza dei lavoratori era in sé legittimo. Tuttavia, ciò non è sufficiente: gli strumenti di controllo del lavoratore devono rispettare non solo quanto disposto dall’art. 4 Stat. Lav., ma anche la normativa in tema di privacy.