DATI BIOMEDICI ED IDENTIFICAZIONE INDIRETTA
L’nstallazione di un sistema di raccolta dei dati biometrici della mano per la rilevazione delle presenze dei dipendenti deve essere previamente notificato al Garante
Corte di Cassazione, seconda sezione civile, sentenza n. 25686 del 2018
Il Tribunale aveva accolto l’opposizione proposta da una s.r.l. contro l’ordinanza ingiunzione con la quale il Garante per la protezione dei dati personali aveva irrogato una sanzione pecuniaria, previa contestazione della violazione di diverse norme contenute nel D.Lgs. n. 196 del 2003, ossia nel codice in materia di protezione dei dati personali.
Nello specifico, la violazione contestata riguardava l’installazione, da parte della società di un sistema di raccolta dei dati biometrici della mano per la rilevazione delle presenze dei dipendenti.
Secondo il Garante, la nozione di trattamento dei dati personali di tipo biometrico comprenderebbe qualsiasi operazione o complesso di operazioni che consenta di identificare anche in maniera indiretta il soggetto.
Nel caso di specie, il sistema adoperato dalla società sarebbe articolato come segue: il dato biometrico, inerente alla mano di ogni lavoratore viene trasferito in un modello di 9 byte, a sua volta archiviato ed associato ad un codice numerico di riferimento; il codice numerico è memorizzato in un badge; ad ogni uso del badge che si sta utilizzando è usato dalla stessa mano usata per configurarlo.
Secondo il Tribunale, in tale sequenza non vi sarebbe trattamento dei dati personali dato che il lavoratore non sarebbe identificato attraverso i suoi dati biometrici, ma tramite il badge, il cui utilizzo non è oggetto di contestazione.
Gli Ermellini, investiti della questione hanno specificato che l’art. 4 del d.lgs n. 196 del 2003, definisce
“trattamento, qualunque operazione o complesso di operazioni concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca dati; dato personalequalunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale; dati identificativi, i dati personali che permettono l’identificazione diretta dell’interessato”.
La norma appena enunciata, ritiene irrilevante ai fini della configurabilità del trattamento dei dati personali, la mancata registrazione degli stessi in una apposita banca dati, essendo sufficiente anche la mera raccolta ed elaborazione temporanea.
Nel caso in questione, ciò che rileva è che il sistema messo in atto dall’azienda, attraverso la conservazione dell’algoritmo, sia in grado di risalire al dipendente, al quale appartiene il dato biometrico, e quindi lo identifica indirettamente.
Il sistema adottato dalla società comporta sicuramente un trattamento dei dati biometrici, come tale assoggettato alla previa notificazione al Garante, ex art. 37 d.lgs. n. 196 del 2003.
