NEWS

Cassazione: multa da 66 mila euro ad azienda per utilizzo badge con l’impronta della mano senza l’ok del Garante

Senza l’autorizzazione del Garante della privacy è vietato raccogliere le impronte della mano dei dipendenti, attraverso un badge per vedere se sono presenti. Ora lo sa una Srl, attiva nel settore della raccolta dei rifiuti, condannata dall’Authority a pagare una sanzione di 66 mila euro, per aver violato il Codice sulla protezione dei dati personali. La società aveva installato un sistema di raccolta dei dati biometrici della mano, per rilevare le presenze dei dipendenti. Azione che - ad avviso del Tribunale che aveva condannato il Garante a pagare 30 mila euro per responsabilità aggravata - non provava il trattamento dei dati in violazione della disciplina di settore.


Per i giudici di prima istanza, infatti, le apparecchiature non prelevavano e non trattavano i dati, utilizzati come «individualizzanti e non come identificanti». In più non esisteva alcuna banca dati. Ragione per cui, andava escluso il “trattamento” e non scattava la tutela prevista dal Codice. La Cassazione (Sentenza 25686/2018) è di diverso avviso e accoglie il ricorso del Garante analizzando, in concreto, il funzionamento del dispositivo finito nel mirino dell’Authority.

Con il sistema utilizzato il dato biometrico relativo alla mano del lavoratore viene trasformato in un modello di 9 bytes, archiviato e associato ad un codice numerico, memorizzato in un badge. Ad ogni utilizzo del “cartellino” il sistema é in grado di verificare che il badge che si sta usando è della stessa mano utilizzata per configurarlo. In questo contesto sbaglia il Tribunale ad affermare che il dipendente non viene identificato attraverso i suoi dati, ma tramite il badge il cui uso non é stato contestato.

La Suprema corte corregge la rotta, ricordando che il Codice definisce “trattamento” , qualunque operazione che riguardi «la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati».

E dato personale è qualunque informazione relativa ad una persona fisica, identificata o identificabile, anche indirettamente, attraverso altre informazioni: compreso il numero. Per finire, sono dati identificativi tutti quelli che permettono di “riconoscere” direttamente l’interessato. La norma considera, espressamente, irrilevante, ai fini del trattamento, la mancata registrazione in una banca dati «essendo sufficiente anche un’attività di raccolta ed elaborazione temporanea».

Ad escludere il trattamento non basta che il modello archiviato consista in un numero non associabile al dato fisico, né che partendo dal numero, non sia possibile ricostruire l’immagine della mano perché l’algoritmo è unidirezionale e irreversibile. Quello che importa è che attraverso la conservazione dell’algoritmo, si può risalire al lavoratore e quindi di identificarlo. E questo non si può fare senza l’ok del Garante: neppure per uno scopo legittimo come quello di controllare le presenze.

Fonte: Il Sole 24 Ore del 16 ottobre 2018

Note sull'Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati, iscritta presso il Ministero delle Imprese e del Made in Italy (MISE) ai sensi della Legge 4/2013. Email: [email protected] 

Prev Tar Lombardia, scudo sulle dichiarazioni fiscali
Next Fattura elettronica, i commercialisti devono proteggere le informazioni da trasmettere

Privacy Day Forum: il servizio di Ansa

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy