Cassazione: multa da 66 mila euro ad azienda per utilizzo badge con l’impronta della mano senza l’ok del Garante
Senza l’autorizzazione del Garante della privacy è vietato raccogliere le impronte della mano dei dipendenti, attraverso un badge per vedere se sono presenti. Ora lo sa una Srl, attiva nel settore della raccolta dei rifiuti, condannata dall’Authority a pagare una sanzione di 66 mila euro, per aver violato il Codice sulla protezione dei dati personali. La società aveva installato un sistema di raccolta dei dati biometrici della mano, per rilevare le presenze dei dipendenti. Azione che - ad avviso del Tribunale che aveva condannato il Garante a pagare 30 mila euro per responsabilità aggravata - non provava il trattamento dei dati in violazione della disciplina di settore.
Per i giudici di prima istanza, infatti, le apparecchiature non prelevavano e non trattavano i dati, utilizzati come «individualizzanti e non come identificanti». In più non esisteva alcuna banca dati. Ragione per cui, andava escluso il “trattamento” e non scattava la tutela prevista dal Codice. La Cassazione (Sentenza 25686/2018) è di diverso avviso e accoglie il ricorso del Garante analizzando, in concreto, il funzionamento del dispositivo finito nel mirino dell’Authority.
Con il sistema utilizzato il dato biometrico relativo alla mano del lavoratore viene trasformato in un modello di 9 bytes, archiviato e associato ad un codice numerico, memorizzato in un badge. Ad ogni utilizzo del “cartellino” il sistema é in grado di verificare che il badge che si sta usando è della stessa mano utilizzata per configurarlo. In questo contesto sbaglia il Tribunale ad affermare che il dipendente non viene identificato attraverso i suoi dati, ma tramite il badge il cui uso non é stato contestato.
La Suprema corte corregge la rotta, ricordando che il Codice definisce “trattamento” , qualunque operazione che riguardi «la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati».
E dato personale è qualunque informazione relativa ad una persona fisica, identificata o identificabile, anche indirettamente, attraverso altre informazioni: compreso il numero. Per finire, sono dati identificativi tutti quelli che permettono di “riconoscere” direttamente l’interessato. La norma considera, espressamente, irrilevante, ai fini del trattamento, la mancata registrazione in una banca dati «essendo sufficiente anche un’attività di raccolta ed elaborazione temporanea».
Ad escludere il trattamento non basta che il modello archiviato consista in un numero non associabile al dato fisico, né che partendo dal numero, non sia possibile ricostruire l’immagine della mano perché l’algoritmo è unidirezionale e irreversibile. Quello che importa è che attraverso la conservazione dell’algoritmo, si può risalire al lavoratore e quindi di identificarlo. E questo non si può fare senza l’ok del Garante: neppure per uno scopo legittimo come quello di controllare le presenze.
Fonte: Il Sole 24 Ore del 16 ottobre 2018