Impronta digitale per il badge senza l’autorizzazione del Garante?  La Cassazione dice no e assegna una maxi multa

La Cassazione blocca la possibilità di utilizzo delle impronte digitali al posto del badge per la registrazione delle presenze sul posto di lavoro.

Lo ha imparato a caro prezzo – è proprio il caso di dirlo – una società attiva nel settore della raccolta rifiuti: questa azienda aveva installato un sistema di raccolta di dati biometrici della mano per verificare e registrare la presenza e l’uscita dei dipendenti dagli ambienti di lavoro, senza però aver preventivamente chiesto e ottenuto l’autorizzazione del Garante per la privacy.

Una leggerezza che è costato alla srl una maxi multa da 66mila euro.

L’utilizzo di sistemi biometrici senza preventiva ed esplicita autorizzazione del Garante rappresenta infatti una violazione della normativa vigente sulla Privacy: attraverso il sistema utilizzato dall’azienda incriminata il dato biometrico relativo alla mano del lavoratore veniva trasformato in un modello digitale, archiviato e associato a un codice numerico, e memorizzato in un badge. Ad ogni utilizzo del “cartellino” tale sistema era in grado di verificare che il badge in uso era della stessa mano utilizzata per configurarlo.

Il Codice Privacy definisce “trattamento del dato personale”, da salvaguardare, qualunque operazione che riguardi «la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati».
La norma vigente considera dunque espressamente irrilevante, ai fini del trattamento, la mancata registrazione in una banca dati «essendo sufficiente anche un’attività di raccolta ed elaborazione temporanea».

È un dato personale qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente attraverso altre informazioni: compreso il numero.

I dati identificativi sono tutti quelli che ci permettono di “riconoscere” direttamente l’interessato.

Il diniego della Corte di Cassazione parte dunque dal fatto che attraverso la conservazione dell’algoritmo l’azienda potesse risalire al lavoratore e quindi identificarlo, e questo non può essere fatto senza l’ok del Garante: neppure per uno scopo legittimo come quello di controllare le presenze in un ambiente di lavoro.