Un’impresa siciliana specializzata in riciclo e smaltimento rifiuti dovrà pagare un ammenda da 66.000 euro per aver implementato – senza porre in essere i necessari adempimenti previsti dal Codice Privacy – un sistema di rilevazione degli accessi dei dipendenti basato sulla lettura di badge biometrici.

Questo è quanto ha stabilito la Seconda Sezione della Cassazione Civile con l’ordinanza 25686/2018 del 15 ottobre 2018 che conferma la multa inflitta dal Garante con provvedimento ingiuntivo del 15 novembre 2012.

Ricostruiamo brevemente l’iter della vicenda. A seguito di una segnalazione sindacale avente ad oggetto un sistema biometrico di rilevazione accessi in uso dal 2009 presso la suddetta azienda, il Garante avviava istruttoria e disponeva un’ispezione al termine della quale veniva disponeva nel 2010 l’apertura di un procedimento sanzionatorio per violazione del Codice Privacy in relazione alla:

  • mancata nomina degli incaricati del trattamento (violazione art. 33);
  • omessa notifica al Garante (violazione artt. 37 e 38);
  • omessa informativa di specie al personale (violazione art. 13);
  • mancato adempimento dell´obbligo di richiedere una verifica preliminare al Garante stesso (violazione art. 17);
  • mancata raccolta del consenso al trattamento (violazione art. 23).

L’azienda non dava seguito ad un primo provvedimento del Garante – che ammetteva la stessa al pagamento dell’ammenda in misura ridotta purché fossero osservate le prescrizioni impartite – ed, anzi, chiedeva, sempre nel 2010, l´archiviazione del procedimento sanzionatorio sostenendo che:

  • il sistema di rilevamento delle presenze sui luoghi di lavoro è stato costruito in modo che in nessun momento vi sia un trattamento del dato personale del lavoratore “;
  • il dato biometrico “si riferisce alla geometria della mano e non ad impronta digitale o palmare (…) la geometria della mano non consente di per sé l´identificazione di una persona, ma è solo sufficiente alla verifica descrittiva ai fini dell´identità “;
  • nel caso di specie vi fosse alcun trattamento di dati biometrici dei lavoratori “poiché non vi è registrazione o acquisizione di dati da parte della società “.

In altre parole, l’azienda sosteneva che il proprio sistema di accessi non comportasse la raccolta ed utilizzo di dati biometrici e che non ponesse in essere un trattamento di dati: da qui la presunta inapplicabilità del Codice Privacy ed la asserita infondatezza del procedimento sanzionatorio.

Nel 2012 il Garante rigettava la tesi sostenuta dalla società sottolineando come il provvedimento del 23 novembre 2006 Linee-guida per il trattamento di dati dei dipendenti privati, in merito alla nozione di dati biometrici l´Autorità avesse chiarito (punto 4.1) che “si tratta di dati ricavati dalle caratteristiche fisiche o comportamentali della persona a seguito di un apposito procedimento (in parte automatizzato) e poi risultanti in un modello di riferimento. Quest´ultimo consiste in un insieme di valori numerici ricavati, attraverso funzioni matematiche, dalle caratteristiche individuali sopra indicate, preordinati all´identificazione personale attraverso opportune operazioni di confronto tra il codice numerico ricavato ad ogni accesso e quello originariamente raccolto “. Ad avviso del Garante, non v’era dubbio che il sistema riferito alla geometria della mano implementato dalla società rappresentasse una tipica ipotesi di trattamento di dato biometrico; e per questo comminava l’azienda al pagamento della sanzione da 66.000 euro ricordando alla stessa la possibilità di opporsi al provvedimento amministrativo presso la giustizia ordinaria entro 30 giorni. Opposizione che fu puntualmente esercitata.

Nel 2015 il Tribunale di Catania accoglieva l’opposizione perché a suo avviso le apparecchiature non prelevavano e non trattavano i dati. Per il tribunale, inoltre, “non ogni volta che in qualunque attività vengano coinvolti dati personali e/o biometrici si ha per ciò solo trattamento di quei dati nei modi rilevanti per la normativa” perché talora possono essere utilizzati come “individualizzanti e non come identificanti ”. Esclusa dunque l’applicabilità della normativa sulla tutela dei dati personali, la corte etnea non solo dichiarava indebito il provvedimento sanzionatorio del Garante ma condannava l’Autorità al pagamento della somma di 30.000 euro per responsabilità aggravata ai sensi dell’art. 96, ultimo comma del Codice di Procedura Civile.

Il Garante ricorreva in Cassazione avverso la sentenza del tribunale. La Suprema Corte, nell’esaminare la questione, ha constatato che:

  • il dato biometrico riguardante la mano di ciascun lavoratore veniva trasformato in un modello di 9 bytes, a sua volta archiviato ed associato ad un codice numerico di riferimento;
  • il codice numerico veniva memorizzato in un badge;
  • ad ogni utilizzo del badge, il sistema era in grado di verificare che il badge utilizzato era usato dalla stessa mano usata per configurarlo.

Contrariamente a quanto stabilito dal tribunale, a parere della Cassazione “la nozione di trattamento di dati personali di tipo biometrico comprenderebbe qualunque operazione o complesso di operazioni che consenta l’identificazione anche indiretta del soggetto, come nella specie avverrebbe attraverso il sistema, adottato dalla società resistente. La trasformazione del dato biometrico relativo alla mano del dipendente in un modello di riferimento, consistente in un codice, consentirebbe l’identificazione personale attraverso operazioni di confronto tra il codice numerico ricavato ad ogni accesso e quello originariamente raccolto ”.

Oltre a ciò, secondo la Corte, “il dettato normativo espressamente considera irrilevante, ai fini della configurabilità del trattamento di dati personali, la mancata registrazione degli stessi in apposita banca dati, essendo sufficiente anche un’attività di raccolta ed elaborazione temporanea”. Parimenti, “Né il fatto che il modello archiviato, realizzato attraverso la compressione dell’immagine della mano, consista in un numero che non è di per sé correlabile al dato fisico, né il fatto che, partendo da detto numero, non sia possibile ricostruire l’immagine della mano in quanto l’algoritmo è unidirezionale ed irreversibile, escludono che si versi in ipotesi di trattamento di dati biometrici ”.

La Cassazione, in buona sostanza, sottolinea come la nozione di dato personale di cui all’art. 4 del Codice Privacy vigente al tempo della contestazione ricomprendesse (ndr: come d’altronde l’art. 4 del GDPR) la temporanea acquisizione di un’informazione anche solo indirettamente riferibile ad una persona identificata: “ciò che rileva al predetto fine è che il sistema, attraverso la conservazione dell’algoritmo, è in grado di risalire al lavoratore, al quale appartiene il dato biometrico, e quindi indirettamente lo identifica, in attuazione dello scopo dichiarato e in sé legittimo di controllarne la presenza ”.

In conclusione, possiamo sintetizzare così il portato dalla decisione della Cassazione:

  • era sufficiente che il dato fosse in qualche modo riconducibile ad una persona identificata o identificabile perché si integrasse la nozione dei dato personale del Codice Privacy;
  • era sufficiente un’archiviazione temporanea del suddetto dato perché si verificasse un’attività di trattamento e, dunque, si attivassero gli obblighi del Codice Privacy;
  • l’acquisizione e il sistema di riconoscimento del modello – benché geometrico e in formato compresso – dell’immagine della mano su un badge utilizzato per rilevare le presenze dell’interessato rappresentava un trattamento di dati biometrici cui il Codice Privacy allora vigente riconnetteva particolari ed ulteriori obblighi la cui omissione era stata correttamente contestata dal Garante nel provvedimento sanzionatorio del 2012.