CivileDiritto della privacyLavoro e previdenzaNews giuridiche

Badge, impronte digitali e privacy: serve il consenso del Garante

In un mare di informazioni, cos’è identificante e cosa no? Cosa si intende davvero per trattamento dei dati? Sono i quesiti che si è posta la Cassazione esaminando il ricorso presentato dal Garante della privacy riguardo il caso di una società di raccolta dei rifiuti che ha installato, senza consenso del Garante stesso, un lettore di impronte digitali accanto al badge usato tutti i giorni dai dipendenti per monitorarne l’attività.
Il Tribunale ordinario non aveva ritenuto legittimo il punto di vista del Garante, condannandolo a pagare 30mila euro per responsabilità aggravata in quanto non era stato provato il trattamento dei dati raccolti; questi ultimi sarebbero «individualizzanti e non identificanti», e mancando la memorizzazione in una banca dati cade anche il loro trattamento. Tutto ciò, secondo i giudici di primo grado, va a escludere le tutele previste dal Codice.
La Cassazione, però, decide di andare più a fondo ed esamina il funzionamento passo passo del sistema. Il dato biometrico dell’impronta, una volta raccolto, viene trasformato in un mini pacchetto dal peso di 9 byte che viene poi associato a un indice numerico memorizzato in un cartellino. In questo modo è possibile riconoscere il badge ogni volta che viene utilizzato, così da poter verificare che la mano che lo sta passando è la stessa usata per configurarlo.
È quindi vero che il dipendente non viene identificato tramite la sola impronta digitale, come del resto giudicato dal Tribunale di primo grado, ma il riconoscimento dell’utente avviene tramite la combinazione di più operazioni. Ne consegue che il dato raccolto dal lettore di impronte è pienamente identificante, non solo individualizzante.
Si ricorda, quindi, cosa intende il Codice della privacy per trattamento dei dati, ovvero qualsiasi operazione che riguardi «la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizza, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione dei dati, anche se non registrati in una banca dati». Non serve, quindi, l’esistenza di una banca dati o la presenza di un algoritmo capace di trattare i dati in maniera reversibile, per il quale la raccolta dei dati è anche solo temporanea; basta che attraverso la conservazione dell’algoritmo si possa risalire al lavoratore e identificarlo.
Il dato personale, invece, è qualsiasi informazione che possa portare all’identificazione più o meno precisa di una persona fisica attraverso altri dati; in questo caso, compreso il numero di cartellino.
Tutto ciò, come definito dal Codice, deve avvenire attraverso espressa autorizzazione del Garante.
In seguito a tutte queste considerazioni, la società è stata condannata a pagare una sanzione di 66mila euro.
 

Fonte
Il Sole 24 Ore
Rimani sempre aggiornato sui nostri articoli e prodotti
Mostra altro

emanuelesecco

Dottore in Editoria e Giornalismo. Appassionato di scrittura, editoria (elettronica e digitale), social media, musica, cinema e libri. Viaggio il più possibile, ma Budapest è sempre nel cuore.

Articoli correlati

Lascia un commento

Back to top button