Blog

privacy-e-tutela-dei-dati-personali-tra-illegittimita-della-rilevazione-dei-dati-biometrici-senza-il-consenso-specifico-dellinteressato-e-bilanciamento-tra-interessi-contrastanti
La Suprema Corte, nella pronuncia de qua (ordinanza 19 maggio 2023, n. 18873), ha sancito il principio per cui, all′infuori dei casi in cui vi sia un apposito intervento del Garante per la protezione dei dati personali, è illegittimo, in assenza di uno specifico consenso del lavoratore interessato, l′utilizzo del sistema di rilevazione biometrica per il controllo dell′accesso ai luoghi di lavoro, basato sulla cattura di informazioni geometriche della mano del dipendente (Trojsi, Il diritto del lavoratore alla protezione dei dati personali, Torino, 2013, 108). Il Tribunale di Napoli accoglieva la domanda che il lavoratore. aveva proposto contro la società datrice di lavoro, volta a sentir dichiarare illegittimo l’utilizzo del sistema di rilevazione biometrica per il controllo dell’accesso ai luoghi di lavoro, ed ordinava alla convenuta l′interruzione dell′utilizzo del lettore Handkey, utile ai fini del tracciamento della presenza, nei confronti del dipendente, mentre rigettava la domanda dello stesso attore tesa ad ottenere il risarcimento del danno asseritamente risentito per il medesimo comportamento, compensando le spese di lite. La Corte d′appello di Napoli rigettava l′appello che la Società. aveva proposto contro la decisione di primo grado. Per quanto qui interessa, la Corte territoriale, nel respingere l′unico motivo d′appello di A.S.I.A. Napoli, dopo aver descritto in dettaglio il sistema in questione che si basava sulla cattura di informazioni geometriche della mano di ogni dipendente, richiamava una serie di provvedimenti adottati dal Garante per la protezione dei dati personali, ed in particolare il pronunciamento n. 4 del 10/1/2013, emanato dopo che era stato già introdotto il grado d′appello; e reputava di tutta evidenza che lo stesso Garante aveva riferito la legittimità del sistema biometrico in uso da parte della datrice di lavoro e alla rilevanza degli interessi del titolare del trattamento e alle concrete modalità di rilevazione che la società si era impegnata ad adottare e che erano idonee ad una efficace tutela del diritto alla riservatezza e alla dignità personale dei lavoratori, mentre aveva ritenuto non conforme a legge il trattamento effettuato, sino alla data del medesimo pronunciamento, dalla società dei dati della geometria della mano dei lavoratori in assenza del loro specifico consenso ovvero in assenza di altro presupposto alternativo di liceità. Avverso tale decisione, la società datrice di lavoro ha proposto ricorso per cassazione. Si denunciava la violazione e falsa applicazione degli artt. 3 e 11 del d.lgs. 196/2003 in relazione agli artt. 14, 16, 17 e 41 Cost. ed all′art. 360 comma 3 c.p.c. La Corte di prime cure, nella pronuncia impugnata, pur riconoscendo la natura peculiare del caso di specie, ritiene illegittimo l′utilizzo dello strumento biometrico da parte di ASIA, per assenza di uno specifico consenso al trattamento dei dati biometrici, confermando l′interruzione dell′uso del lettore Handkey II nei confronti del dipendente, unico tra i dipendenti ad aver ottenuto una pronuncia giudiziale di tal segno. Secondo l′impugnante, però, l′opzione ermeneutica della Corte territoriale, configura un′applicazione del D.lgs. 196/2003 che si pone in contrasto con il diritto alla sicurezza garantito dagli artt. 14, 16, 17 e 41 Cost., e che prescinde da una valutazione sul bilanciamento degli interessi giuridicamente rilevanti che nella fattispecie si pongono in contrasto. La Suprema Corte, nel dichiarare inammissibile il motivo, ha richiamato il seguente passaggio motivazionale della sentenza della Corte d′Appello: L′utilizzo di sistemi biometrici rientra, pertanto, tra i trattamenti che presentano rischi specifici per i diritti, le libertà fondamentali e la dignità dell′interessato (omissis). Con specifico riguardo alla fattispecie in esame, la valutazione circa la legittimità del trattamento biometrico non può prescindere dal pronunciamento n. 4 del 10/1/2013 del Garante per la Privacy, espressamente richiamato ed esaminato nei precedenti della Corte depositati dalla società appellante e, per tale via acquisito agli atti. Dal seguito della motivazione dell′impugnata sentenza si trae chiaramente che la Corte d′appello abbia condiviso il provvedimento del Garante per la protezione dei dati personali per quanto riguarda la declaratoria di non conformità a legge del trattamento dei dati biometrici in questione effettuato dalla società datrice di lavoro fino alla data del provvedimento stesso, e quindi fino al 10.1.2013. Come si è già visto, anche la Corte d′appello aveva, infatti, concluso che il consenso indicato dall′azienda non potesse reputarsi specifico, come richiesto dall′art. 23, comma 3, d.lgs. n. 196/2003, perché non riferito all′utilizzazione dello strumento di rilevazione biometrica (Sul punto è opportuno considerare che le tecnologie biometriche sollevano rilevanti dubbi circa l’applicazione del regime semplificato di cui al comma 2, quando sono utilizzate per la rilevazione degli accessi e per l’utilizzo degli strumenti di lavoro. Una parte della dottrina ritiene che la loro idoneità a rivelare i movimenti del personale durante l’attività lavorativa si tradurrebbe in un potenziale monitoraggio a distanza, come tale legittimo solo in presenza di un accordo con le rappresentanze sindacali ai sensi del comma 1. Si veda Colosimo, La moderna declinazione del potere di controllo, in AA.VV., Diritti e doveri nel rapporto di lavoro, Milano, 2018, 67. Tuttavia, come da Ispettorato Nazionale del Lavoro, Circolare n. 5/2018, 19 febbraio 2018, 5, si deve ritenere che il trattamento dei dati biometrici sia legittimo in assenza dell’accordo sindacale, quando la finalità unicamente perseguita consiste nell’accesso ad aree riservate o nell’utilizzo di determinati strumenti considerati pericolosi. Per maggiori approfondimenti si veda Alvino, I nuovi limiti al controllo a distanza dell’attività dei lavoratori nell’intersezione fra regole dello Statuto dei lavoratori e quelle del Codice della privacy, in Labour & Law Issues, n. 2, 2016, 3 ss.). In difetto di tale consenso, perciò, veniva in considerazione il successivo art. 24 dello stesso decreto (poi abrogato), che disciplinava appunto i Casi nei quali può essere effettuato il trattamento senza consenso. I Supremi Giudici hanno evidenziato che l′intera fattispecie era assoggettata ratione temporis alla disciplina in materia di protezione dei dati personali di cui al d.lgs. n. 196/2003 nel testo anteriore al regime derivato dall′entrata in vigore del Regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che aveva abrogato la direttiva 95/46/CE circa la stessa materia. La Corte territoriale, inoltre, aveva tenuto conto che non era applicabile al caso anche il testo dell′art. 4L. n. 300/1970, come novellato dall′art. 23d.lgs. n. 151/2015. Ed anche la Corte d′appello ha riscontrato che nella specie, in difetto di consenso specifico, non ricorresse fino alla data del provvedimento del Garante per la privacy altro presupposto alternativo di liceità ex art. 24 del Codice per la protezione dei dati personali. Pertanto, la stessa Corte ha concluso che: tenuto conto che non vi è prova che la A. abbia adottato le tessere magnetiche di prossimità Mifire (sul punto, peraltro, la società appellante non ha opposto alcuna difesa), individuate dal pronunciamento, il sistema di rilevazione biometrica deve ritenersi illegittimo. Nello sviluppo del primo motivo la ricorrente assume, tra l′altro, che la sentenza impugnata avrebbe ignorato la decisione del Garante della Privacy n. 4 del 10.01.2013, relativa proprio al caso della Società medesima. Al contrario, come appare evidente da quanto sin qui esposto, la stessa Corte ha espresso la propria valutazione giuridica del caso in termini adesivi rispetto a quanto ritenuto nel frattempo da detto Garante in relazione allo stesso caso giusta apposito provvedimento. Assume ancora la ricorrente che la Corte napoletana ha del tutto disatteso l′esito del bilanciamento delle opposte esigenze meticolosamente effettuato dall′Autorità Garante. A riguardo, occorre precisare che i provvedimenti di tale apposita Autorità non sono ovviamente vincolanti per l′autorità giudiziaria ordinaria. Ma, soprattutto, si deve sottolineare che il cit. art. 24d.lgs. n. 196/2003 elencava ed individuava in dettaglio i casi nei quali il consenso dell′interessato al trattamento dei dati non è richiesto. Tuttavia, la ricorrente nemmeno, a quanto consta, aveva allegato che il trattamento in questione rientrasse in uno di quei casi, e tuttora non riconduce lo stesso ad una di dette ipotesi. Come si è visto, la Corte territoriale aveva sì constatato che il Garante aveva disposto che, ai sensi dell′art. 24, comma 1, lett. g), del Codice, l′A.N. S.p.A., potesse trattare, senza il consenso degli interessati e per le sole finalità di rilevazione delle presenze, i dati della geometria della mano dei lavoratori, a condizione che ciò avvenga nel rigoroso rispetto delle modalità indicate dalla società e degli accorgimenti che la stessa si era impegnata ad adottare, con particolare riferimento alla memorizzazione dei dati su un supporto posto nell′esclusiva disponibilità dei dipendenti. Ebbene, l′ipotesi di cui all′art. 24, comma 1, lett. g), cit. era quella in cui il trattamento con esclusione della diffusione, è necessario, nei casi individuati dal Garante sulla base dei principi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, anche in riferimento all′attività di gruppi bancari e di società controllate o collegate, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell′interessato (Levi, Il controllo informatico sull’attività del lavoratore, Torino, 2013, 144; Soffientini, Sistema di videosorveglianza in azienda: progettazione ed errori comuni da evitare, in Diritto e Pratica del Lavoro, n. 5, 2023, 323). Si trattava, perciò, di ipotesi che contemplava un previo ed apposito intervento del Garante circa l′individuazione dei casi nei quali il trattamento risultava necessario senza il consenso dell′interessato. Comunque, tutto ciò valeva dalla data della pronuncia dello stesso provvedimento, e cioè dal 10/1/2013. Per tutto il periodo anteriore, che è quello che interessava in causa, la Corte territoriale, come lo stesso Garante, ha constatato che non ricorreva nessuno dei casi nei quali, a termini dell′art. 24 Cost., poteva non essere necessario il consenso dell′interessato. Pertanto, la Corte Suprema, sulla scorta di quanto sopra, rigetta in ricorso. L’Ordinanza de qua ha il pregio di definire, sulla base del d.lgs. n. 196 del 2003, art. 4, la locuzione “trattamento”, quale qualunque operazione o complesso di operazioni concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati; “dato personale”, qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale; “dati identificativi”, i dati personali che permettono l’identificazione diretta dell’interessato. Essa ribadisce come il dettato normativo espressamente considera irrilevante, ai fini della configurabilità del trattamento di dati personali, la mancata registrazione degli stessi in apposita banca dati, essendo sufficiente anche un’attività di raccolta ed elaborazione temporanea” (nella specie, si trattava della sanzione irrogata dal Garante per la protezione dei dati personali nei confronti di una società che aveva installato un sistema di raccolta di dati biometrici per la rilevazione delle presenze del personale dipendente, senza preventivo confronto coi lavoratori, coi sindacati e senza comunicazioni al Garante stesso) (così Cass. civ., sez. II, 15/10/2018, n. 25686). Il Supremo Consesso, dunque, ha ribadito che per il controllo biometrico dei lavoratori occorre un consenso specifico dei lavoratori stessi: nella specie, ha confermato l’accoglimento della domanda di un lavoratore volta a sentir dichiarare illegittimo il sistema di rilevazione biometrica, tramite impronta della mano, dell’accesso dei lavoratori da parte del datore di lavoro, atteso che il consenso indicato dall’azienda come requisito per il trattamento dei dati biometrici dei lavoratori non poteva reputarsi specifico, come richiesto dall’art. 23, comma 3, d.lgs. n. 196/2003, perché non riferito all’utilizzazione dello strumento di rilevazione biometrica (Pisani, Proia, Topo,  Privacy e lavoro: la circolazione dei dati personali e i controlli nel rapporto di lavoro, Milano, 2022, 250). Giuseppe Maria Marsico, dottorando di ricerca in diritto privato e dell’economia e funzionario giuridico-economico-finanziario Visualizza il documento: Cass., ordinanza 19 maggio 2023, n. 13873 Scarica il commento in PDF L'articolo Privacy e tutela dei dati personali: tra illegittimità della rilevazione dei dati biometrici senza il consenso specifico dell’interessato e bilanciamento tra interessi contrastanti sembra essere il primo su Rivista Labor - Pacini Giuridica.

Gestionali per studi e uffici professionali

Hai bisogno di nuovi strumenti per aumentare la produttività del tuo studio?
Chiamaci a questi numeri 0815374534 o 3927060481 (anche via whatsapp)
Lo staff di Safio ti aiuterà ad individuare la soluzione più adatta alle tue esigenze

    Accetta la Privacy Policy

    Please prove you are human by selecting the house.