La Cassazione Civile ha di recente depositato una sentenza con cui ha confermato una sanzione pari ad € 66.000 nei confronti di una società operante nel settore dei servizi di igiene ambientale e raccolta differenziata ed indifferenziata, per l’installazione di un sistema di rilevazione presenze dei dipendenti attraverso impronte digitali che, tuttavia, non era stato preventivamente notificato dalla società all’Autorità, secondo quanto previsto dall’allora vigente Codice della Privacy.
Premesso che attualmente non risulta più un obbligo generale di preventiva notifica al Garante di trattamenti quali quello in commento, è interessante come la Cassazione abbia ritenuto di scardinare la tesi difensiva della società resistente la quale, sin dal primo grado di giudizio, aveva sostenuto che non vi fosse mai stato un vero e proprio trattamento di dati personali dei dipendenti.
Tale tesi poggiava, nello specifico, sulla circostanza per cui il sistema operativo utilizzato dall’impresa condannata si limitava ad acquisire l’impronta digitale temporaneamente ed al solo scopo di trasformarla in un codice di 9 bytes, a sua volta archiviato ed associato ad un codice numerico di riferimento, da collegare al badge del lavoratore di volta in volta considerato.
In tal modo, pertanto, l’impronta digitale dei dipendenti non sarebbe stata registrata o memorizzata in alcuna banca dati, bensì utilizzata una tantum per la configurazione del sistema di rilevazione presenze che, successivamente, operava attraverso l’associazione del codice identificativo alla persona del lavoratore.
Secondo l’orientamento sposato dalla Cassazione, invece, la trasformazione del dato biometrico relativo alla mano del dipendente in un codice di riferimento consentirebbe comunque l’identificazione personale attraverso operazioni di confronto tra il codice numerico ricavato ad ogni accesso e quello originariamente raccolto, sì da costituire incontrovertibilmente una operazione di trattamento dati personali.
La Corte ha ritenuto infine che non potesse escludersi la fattispecie del trattamento di dati biometrici nonostante, come emerso nel corso del giudizio, il codice archiviato dall’impresa, realizzato attraverso la compressione dell’immagine della mano, consistesse in un numero di per sé non correlabile al dato fisico e che, partendo da detto numero, non fosse possibile ricostruire l’immagine della mano, essendo l’algoritmo impiegato unidirezionale ed irreversibile.
A cura dell’Avv. Valentina Saviotti – valentina.saviotti@studiozunarelli.com