Dati biometrici sul posto di lavoro: l’algoritmo è conforme alla privacy?

Con la sentenza del 15.10.18, n. 25686, la Suprema Corte di Cassazione ha affrontato la questione della raccolta dei dati biometrici per rilevare la presenza dei lavoratori senza preventiva comunicazione al Garante della privacy.

La causa prende avvio dalla sentenza del Tribunale di Catania che accoglieva l’opposizione proposta da Dusty s.r.l. avverso l’ordinanza-ingiunzione emessa dal Garante della Privacy, con la quale veniva irrogata una sanzione pecuniaria per la violazione del Codice in materia di protezione dei dati personali.

La violazione contestata concerneva l’installazione, da parte della società, che opera nel settore dei servizi di igiene ambientale e raccolta differenziata ed indifferenziata, di un sistema operativo di raccolta dei dati biometrici della mano per la rilevazione delle presenze dei dipendenti nel posto di lavoro.

Secondo il Tribunale, le apparecchiature tecnologiche utilizzate dalla Dusty non prelevano e non trattano i dati biometrici delle mani dei dipendenti, in quanto “il dato biometrico è utilizzato come individualizzante, ma non come identificante”.

Avverso detta pronuncia, il Garante proponeva ricorso per Cassazione.

Contrariamente a quanto stabilito dal tribunale, a parere della Cassazione “la nozione di trattamento di dati personali di tipo biometrico comprenderebbe qualunque operazione o complesso di operazioni che consenta l’identificazione anche indiretta del soggetto, come nella specie avverrebbe attraverso il sistema, adottato dalla società Dusty. La trasformazione del dato biometrico relativo alla mano del dipendente in un modello di riferimento, consistente in un codice, consentirebbe l’identificazione personale attraverso operazioni di confronto tra il codice numerico ricavato ad ogni accesso e quello originariamente raccolto ”.

Oltre a ciò, secondo la Corte, “il dettato normativo espressamente considera irrilevante, ai fini della configurabilità del trattamento di dati personali, la mancata registrazione degli stessi in apposita banca dati, essendo sufficiente anche un’attività di raccolta ed elaborazione temporanea”. Parimenti, “Né il fatto che il modello archiviato, realizzato attraverso la compressione dell’immagine della mano, consista in un numero che non è di per sé correlabile al dato fisico, né il fatto che, partendo da detto numero, non sia possibile ricostruire l’immagine della mano in quanto l’algoritmo è unidirezionale ed irreversibile, escludono che si versi in ipotesi di trattamento di dati biometrici ”.

La Cassazione, in buona sostanza, sottolinea come la nozione di dato personale di cui all’art. 4 del Codice della Privacy ricomprendesse la temporanea acquisizione di un’informazione anche solo indirettamente riferibile ad una persona identificata: “ciò che rileva al predetto fine è che il sistema, attraverso la conservazione dell’algoritmo, è in grado di risalire al lavoratore, al quale appartiene il dato biometrico, e quindi indirettamente lo identifica, in attuazione dello scopo dichiarato e in sé legittimo di controllarne la presenza ”.Conseguentemente il ricorso veniva accolto e confermata la multa inflitta dal Garante alla Dusty.

Dott. Andres Moreno