ict

Può un’azienda installare un rilevatore di dati biometrici al fine di monitorare le presenze dei propri dipendenti senza richiedere il preventivo assenso del garante ancorché tali informazioni siano state opportunamente “pseudonimizzate”?

Un’ordinanza della Cassazione ha cercato di chiarire la questione, considerando la stretta attualità del fenomeno dei cosiddetti “furbetti del cartellino”.

La vicenda al vaglio della Suprema Corte (ordinanza n. 25686/2018)

Nel 2012 il Garante per la Protezione dei dati personali comminava ad un’azienda siciliana una sanzione di circa 66.000 euro, poiché accertava come questa, senza una preventiva richiesta di autorizzazione, avesse proceduto ad installare un sistema volto a raccogliere le impronte digitali dei dipendenti per monitorarne l’effettiva presenza in azienda.

Nello specifico, attraverso un particolare algoritmo, le impronte del dipendente venivano codificate in un modello della grandezza di circa 9 bytes, per poi essere associate ad un codice numerico e memorizzate nel badge del lavoratore.

In particolare, all’azienda veniva contestata la violazione degli articoli 13 (circa gli obblighi informativi sussistenti in capo al titolare del Trattamento), 17  (disciplinante i trattamenti che presentino rischi specifici per l’interessato), 23 (circa la necessità del consenso dell’interessato), 33 (disciplinante le misure di sicurezza volte ad assicurare un livello minimo di protezione dei dati personali), 37 – 38 (circa l’obbligo e le modalità di notificazione al Garante del trattamento di particolari categorie di dati, come, nella specie, i dati biometrici), 161 – 162 (disciplinanti le violazioni amministrative in conseguenza dell’omessa informazione nei confronti degli interessati) del d.lgs. 196/2003.

Avverso l’ordinanza – ingiunzione pronunciata dal Garante, l’azienda esperiva ricorso innanzi al Tribunale di Catania, deducendo in primis l’assenza di prova della violazione delle disposizioni del Codice della Privacy riguardanti il trattamento di dati biometrici dei dipendenti e che al contrario, risultasse raggiunta la piena prova circa la mancanza di un trattamento che giustificasse l’adempimento dei suddetti obblighi informativi.

Il Tribunale di Catania accoglieva il ricorso dell’Azienda sul presupposto di ritenere che il coinvolgimento di dati personali o biometrici di una persona non comportasse necessariamente un trattamento di tali tipologie di dati dati e che, nello specifico, il dato biometrico dovesse considerarsi come “individualizzante e non identificante”.

Nel caso in esame infatti, i giudici di prima istanza ritenevano che quello attuato dall’azienda non dovesse essere considerato un trattamento di dati personali, giacché il dipendente fosse identificato mediante il badge (non oggetto di contestazione) e non, viceversa, attraverso i propri dati biometrici.

Nei confronti del provvedimento il Garante ricorreva per Cassazione deducendo la violazione e la falsa applicazione degli articoli 4, 13, 17, 23, 33 r 37 del d.lgs. 196/2003, in quanto, contrariamente a quanto statuito nella sentenza di merito, nella definizione di trattamento di dati personali o biometrici dovesse ricomprendersi qualunque operazione (o complesso di operazioni) che consenta, anche in via indiretta, di identificare un soggetto.

Ed invero – si legge ancora nel ricorso – la trasformazione in un modello del dato biometrico così raccolto, sarebbe comunque idoneo a consentire l’identificazione personale tramite il confronto tra il codice numerico generato ad ogni accesso del dipendente e quello originario dell’impronta digitale.

La Cassazione con l’ordinanza in questione accoglieva il ricorso dell’Autorithy.

Le motivazioni poste alla base dell’accoglimento del ricorso del Garante

I supremi giudici rilevano innanzitutto come alla base della sentenza di primo grado vi fosse un’errata interpretazione del concetto di trattamento di dati personali (dai quali ovviamente discende la particolare categoria dei cosiddetti “dati biometrici”), codificato nell’allora vigente art. 4 del Codice della Privacy.

Quest’ultimo, alla nozione di “trattamento” riconduce infatti qualsiasi operazione compiuta sui dati personali (categoria di per sé ampissima comprendente la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modifica, la selezione, l’estrazione, il confronto, la comunicazione, la diffusione, la cancellazione e la distruzione) anche nell’eventualità in cui questi non fossero stati opportunamente registrati in una banca dati.

Nella definizione di dati personali rientrano infatti le informazioni relative ad una persona fisica, sia essa identificata o identificabile, anche indirettamente tramite il riferimento a qualsiasi altra informazione ad essa riconducibile (compreso un numero o un codice di identificazione); sono invece considerati “identificativi” quei dati personali che consentono l’identificazione diretta dell’interessato.

Tali specificazioni si rendono necessarie nel caso di specie, in quanto dalle valutazioni emerse in sede di giudizio di primo grado veniva accertato che l’algoritmo impiegato dal rilevatore delle presenze in uso all’azienda permettesse l’identificazione del dipendente a cui l’impronta fosse collegata, consentendone pertanto l’identificazione in qualsiasi momento.

Siffatte considerazioni, relative al trattamento così effettuato dall’azienda su tale categoria di dati personali avrebbe pertanto imposto l’utilizzo della procedura di notificazione prevista dall’art. 37 del d.lgs. 196/2003 e pertanto, la Suprema Corte cassava la sentenza emessa dal Tribunale di Catania e, contestualmente, rigettava l’opposizione proposta dall’Azienda.

Il trattamento di dati biometrici alla luce del GDPR: le procedure di anonimizzazione e pseudonimizzazione

In base a quanto stabilito dall’art. 4, punto 2) del GDPR, il trattamento dei dati personali deve individuarsi in “qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati  e applicate a dati personali o insiemi di dati personali, come la raccolta la registrazione l’organizzazione la strutturazione la conservazione l’adattamento o la modifica l’estrazione, la consultazione, l’uso la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione il raffronto o l’interconnessione, la limitazione la cancellazione o la distruzione”.

Lo stesso Regolamento Europeo fornisce una definizione specifica di dato personale, inteso come “qualsiasi informazione riguardante una persona fisica identificata o identificabile”.

Come chiarito dalla pronuncia della Suprema Corte anche in relazione alla previgente disciplina del Codice della Privacy, le informazioni possono essere ricavate anche in via indiretta con particolare riferimento ad un qualunque elemento caratteristico della persona fisica, come avviene nel caso del dato biometrico.

Chiarito ciò, è ulteriormente necessario specificare che l’identificabilità dell’interessato sia una circostanza essenziale affinché questi possa trovare riscontro, in termini di tutelabilità, da parte dell’ordinamento sia nazionale che comunitario.

Nel caso in cui un dato personale riferito ad una persona fisica venga pseudonimizzato (quando cioè, come nel caso di specie, un dato personale venga associato ad un codice alfanumerico) l’identificazione è sempre possibile da chiunque possegga le informazioni in grado di decifrarlo (ancorché si tratti di un’operazione piuttosto difficoltosa).

A differenza della pseudonimizzazione, l’anonimizzazione dei dati personali garantisce in maniera effettiva la cosiddetta “spersonalizzazione” del dato e, di fatto, rende impossibile l’individuazione o la correlazione con l’interessato, estromettendo quindi i dati anonimi dall’ambito di applicazione del GDPR, alla luce di quanto stabilito dal Considerando n. 26.

La pseudonimizzazione quindi costituisce una delle “best practices” che ogni Titolare dovrebbe adottare al fine garantire una tutela efficiente dei dati personali degli interessati, ancorché questi rientrino in particolari categorie, come nel caso dei dati biometrici.

Ciò non significa, tuttavia, che l’adozione di buone pratiche esoneri il Titolare dall’applicare le restanti disposizioni del regolamento. E in quest’ottica la sentenza della Cassazione finisce con l’apparire quantomai scontata.

Dott. Ercole Dalmanzio

Ultimi aggiornamenti

intelligenza artificiale settimana lavorativa
Avv. Giuseppe Croari – Dott.ssa Francesca Gattarello Ad oggi sono notoriamente risaputi i vantaggi che l’intelligenza artificiale ha apportato anche nel mondo del lavoro (a tal proposito vi segnaliamo questo articolo). A ciò si aggiunga la maggiore consapevolezza che la società ha acquisito, negli ultimi anni, […]
contratto vendere webinar
Hai mai pensato al tuo contratto come a un’arma segreta per il successo? Probabilmente no. La maggior parte delle persone considera il contratto come un ostacolo burocratico, un documento noioso e pieno di “legalese” incomprensibile. Ma se ti dicessi che il tuo contratto può essere molto […]
tiktok
Cosa è successo? È notizia di pochi giorni fa l’apertura da parte della Commissione Europa di una indagine e di un procedimento formale nei confronti della piattaforma cinese TikTok per aver violato regole e norme che l’Unione Europea si è data a tutela degli utenti tra […]

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.