Dati biometrici per rilevare le presenze. La Cassazione conferma la sanzione del Garante

---

Condividi l'articolo:

---

Il trattamento di dati personali di tipo biometrico comprendere qualunque operazione o complesso di operazioni che consenta l'identificazione, anche indiretta, del soggetto.

La trasformazione del dato biometrico relativo alla mano del dipendente in un modello di riferimento, consistente in un codice, consente l'identificazione personale attraverso operazioni di confronto tra il codice numerico ricavato ad ogni accesso e quello originariamente raccolto.

Questo è quanto ha ricordato la Cassazione, con ordinanza n. 25686 del 15 ottobre 2018, a proposito di un sistema operativo utilizzato da un datore di lavoro, articolato come segue:

1. il dato biometrico riguardante la mano di ciascun lavoratore veniva trasformato in un modello di 9 bytes, a sua volta archiviato ed associato ad un codice numerico di riferimento;
2. il codice numerico era memorizzato in un badge;
3. ad ogni utilizzo del badge, il sistema era in grado di verificare che il badge che si stava usando era usato dalla stessa mano impiegata per configurarlo.

Ha, quindi, errato il Tribunale che ha ritenuto che nella suddetta sequenza non vi sarebbe stato trattamento di dati personali, posto che il lavoratore non sarebbe stato identificato attraverso i suoi dati biometrici, ma tramite il badge, il cui uso non era oggetto di contestazione.

La normativa in materia di privacy considera irrilevante, ai fini della configurabilità del trattamento di dati personali, la mancata registrazione degli stessi in apposita banca dati, essendo sufficiente anche un'attività di raccolta ed elaborazione temporanea.

Ciò che rileva è che il sistema, attraverso la conservazione dell'algoritmo, è in grado di risalire al lavoratore, al quale appartiene il dato biometrico, e quindi indirettamente lo identifica, in attuazione dello scopo dichiarato di controllarne la presenza.

Pertanto, il sistema adottato dall'azienda comportava un trattamento di dati biometrici che andava assoggettato - innanzitutto e in via assorbente - alla preventiva notificazione al Garante, ai sensi dell'abrogato art. 37 del D.Lgs. n. 196/2003.