Shop Neldirittoeditore Carrello
| Catalogo libri | Rivista | Distribuzione | Formazione | SABATO   20  LUGLIO AGGIORNATO ALLE 15:41
Testo del provvedimento

PRIVACY


Privacy: trattamento di dati biometrici




CORTE DI CASSAZIONE, SEZ. II CIVILE - ORDINANZA 15 ottobre 2018, n.25686
MASSIMA
Il dettato normativo espressamente considera irrilevante, ai fini della configurabilità del trattamento di dati personali, la mancata registrazione degli stessi in apposita banca dati, essendo sufficiente anche un'attività di raccolta ed elaborazione temporanea. Né il fatto che il modello archiviato, realizzato attraverso la compressione dell'immagine della mano, consista in un numero che non è di per sé correlabile al dato fisico, né il fatto che, partendo da detto numero, non sia possibile ricostruire l'immagine della mano in quanto l'algoritmo è unidirezionale ed irreversibile, escludono che si versi in ipotesi di trattamento di dati biometrici.
Ciò che rileva al predetto fine è che il sistema, attraverso la conservazione dell'algoritmo, è in grado di risalire al lavoratore, al quale appartiene il dato biometrico, e quindi indirettamente lo identifica, in attuazione dello scopo dichiarato e in sé legittimo di controllarne la presenza.



CASUS DECISUS
Il Tribunale di Catania, con sentenza depositata il 15 agosto 2015 e notificata il 4 giugno 2015, ha accolto l'opposizione proposta da Dusty s.r.l. avverso l'ordinanza-ingiunzione n. 345 in data 11 novembre 2012, con la quale il Garante per la protezione dei dati personali ha irrogato la sanzione pecuniaria di Euro 66.000,00, previa contestazione della violazione degli artt. 13, 17, 23, 33, 37, 38, 161, 162, comma 2-bis, 162 del D.Lgs. n. 196 del 2003 (codice in materia di protezione dei dati personali).
2. La violazione contestata riguarda l'installazione, da parte della società, che opera nel settore dei servizi di igiene ambientale e raccolta differenziata ed indifferenziata, di un sistema di raccolta dei dati biometrici della mano per la rilevazione delle presenze dei dipendenti.
3. Il Tribunale ha ritenuto che non sia stata raggiunta la prova che il trattamento dei dati biometrici dei dipendenti della Dusty sia avvenuto in violazione della disciplina di settore, e che, al contrario, sussista la prova positiva dell'assenza del trattamento.
3.1. Sul rilievo che «non ogni volta che in qualunque attività vengano coinvolti dati personali e/o biometrici delle persone si ha per ciò solo trattamento di quei dati nei modi rilevanti per la normativa invocata», e previa ricostruzione del funzionamento del sistema in oggetto (di cui infra), il Tribunale ha ritenuto che le apparecchiature utilizzate dalla Dusty non prelevino e non trattino i dati biometrici delle mani dei dipendenti, e che, in definitiva, «il dato biometrico è utilizzato come individualizzante, ma non come identificante».
3.2. Esclusa l'applicazione della normativa di protezione prevista dal d.lgs. n. 196 del 2003, il Tribunale ha condannato il Garante al pagamento della somma di Euro 30.000,00, per responsabilità aggravata, ai sensi dell'art. 96, ultimo comma, cod. proc. civ.
4. Per la cassazione della sentenza ricorre il Garante per la protezione dei dati personali, sulla base di un motivo. Resiste con controricorso Dusty srl.



TESTO DELLA SENTENZA

CORTE DI CASSAZIONE, SEZ. II CIVILE - ORDINANZA 15 ottobre 2018, n.25686 -

Ragioni della decisione

1. Il ricorso è fondato.

2. Con l'unico motivo è denunciata violazione e falsa applicazione degli artt. 4, 13, 17, 23, 33, 37 del D.Lgs. n. 196 del 2003 (codice in materia di trattamento dei dati personali) e si assume che, contrariamente a quanto affermato dal Tribunale, la nozione di trattamento di dati personali di tipo biometrico comprenderebbe qualunque operazione o complesso di operazioni che consenta l'identificazione anche indiretta del soggetto, come nella specie avverrebbe attraverso il sistema adottato dalla società resistente. La trasformazione del dato biometrico relativo alla mano del dipendente in un modello di riferimento, consistente in un codice, consentirebbe l'identificazione personale attraverso operazioni di confronto tra il codice numerico ricavato ad ogni accesso e quello originariamente raccolto.

3. La doglianza è fondata.

3.1. Per quanto si legge nella sentenza impugnata, il sistema operativo utilizzato dalla Dusty è articolato come segue: a) il dato biometrico riguardante la mano di ciascun lavoratore viene trasformato in un modello di 9 bytes, a sua volta archiviato ed associato ad un codice numerico di riferimento; b) il codice numerico è memorizzato in un badge; c) ad ogni utilizzo del badge, il sistema è in grado di verificare che «il badge che si sta usando è usato dalla stessa mano usata per configurarlo» (pag. 10 della sentenza).

In questa sequenza, secondo il Tribunale, non vi sarebbe trattamento di dati personali posto che il lavoratore non sarebbe identificato attraverso i suoi dati biometrici, ma tramite il badge, il cui uso non è oggetto di contestazione.

La conclusione è in contrasto con le norme in materia di trattamento dei dati personali, e l'errore che segna la ricostruzione del Tribunale riguarda la sussunzione della fattispecie astratta di trattamento di dati personali, genus nel quale rientrano i dati biometrici.

L'art. 4 del D.Lgs. n. 196 del 2003 definisce 'trattamento', qualunque operazione o complesso di operazioni concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione,

l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati; 'dato personale', qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale; 'dati identificativi', i dati personali che permettono l'identificazione diretta dell'interessato.

3.2. Il dettato normativo espressamente considera irrilevante, ai fini della configurabilità del trattamento di dati personali, la mancata registrazione degli stessi in apposita banca dati, essendo sufficiente anche un'attività di raccolta ed elaborazione temporanea. Parimenti, alla luce delle definizioni normative sopra riportate, devono ritenersi prive di incidenza le ulteriori circostanze valorizzate dal Tribunale, attraverso il richiamo al verbale redatto dall'Ispettorato del lavoro di Catania in data 23 giugno 2009.

Né il fatto che il modello archiviato, realizzato attraverso la compressione dell'immagine della mano, consista in un numero che non è di per sé correlabile al dato fisico, né il fatto che, partendo da detto numero, non sia possibile ricostruire l'immagine della mano in quanto l'algoritmo è unidirezionale ed irreversibile, escludono che si versi in ipotesi di trattamento di dati biometrici.

Ciò che rileva al predetto fine è che il sistema, attraverso la conservazione dell'algoritmo, è in grado di risalire al lavoratore, al quale appartiene il dato biometrico, e quindi indirettamente lo identifica, in attuazione dello scopo dichiarato e in sé legittimo di controllarne la presenza.

Il sistema adottato dalla società resistente comporta un trattamento di dati biometrici, come tale assoggettato innanzitutto e in via assorbente alla preventiva notificazione al Garante, ai sensi dell'art. 37 D.Lgs. n. 196 del 2003, nella specie non avvenuta.

4. All'accoglimento del ricorso segue la cassazione della sentenza impugnata e, non essendo necessari ulteriori accertamenti in fatto, la causa è decisa nel merito, ai sensi dell'art. 384, secondo comma, cod. proc. civ., con il rigetto dell'opposizione proposta da Dusty srl. La novità della questione giustifica la compensazione delle spese di lite di entrambi i gradi del giudizio.

P.Q.M.

La Corte accoglie il ricorso, cassa la sentenza impugnata e, decidendo nel merito, rigettal'opposizione proposta da Dusty srl. Spese compensate per entrambi i gradi del giudizio.