Articoli

Il caso Wind Tre: iniziative di telemarketing e trattamento illecito di dati

Avv. Vincenzo Colarocco

Il Garante della Privacy è intervenuto nuovamente sul tema del trattamento dei dati personali in relazione ad iniziative di marketing, pronunciandosi nei confronti di Wind Tre s.p.a.. All’esito di un’istruttoria avviata a seguito di numerose segnalazioni che lamentavano la ricezione di telefonate con operatore e di sms indesiderati a contenuto promozionale, l’Autorità Garante italiana ha emesso un’ordinanza di ingiunzione nei confronti di Wind Tre s.p.a (Provvedimento n. 493 del 29 novembre 2018) condannando la compagnia di telecomunicazioni al pagamento di una sanzione pecuniaria pari a 600 mila euro. La sanzione deriva da un provvedimento adottato nel mese di maggio 2018 (Provvedimento n. 330 del 22 maggio 2018) e quindi precedente all’entrata in vigore del Regolamento n. 679/2016, nell’ambito del quale l’Autorità aveva dichiarato illecito il trattamento dei dati dei clienti effettuato dalla società telefonica a fini di marketing. Le violazioni contestate a Wind Tre s.p.a. dal Garante Privacy sono da ricondurre a due condotte specifiche: la mancata verifica delle liste di chi non aveva prestato il consenso per essere contattato a scopi pubblicitari (“black list”), detenute dalla società, nelle quali erano presenti i segnalanti, e la sistematica, prolungata e illecita comunicazione di dati della clientela a terzi partner commerciali. La società, infatti aveva proceduto ad un’erronea qualificazione soggettiva della maggior parte dei punti vendita, individuandoli come titolari autonomi, anziché come responsabili del trattamento, incorrendo pertanto in una illecita comunicazione. Inoltre, tutte le richieste provenienti dai soggetti interessati inerenti alla revoca del consenso per finalità di telemarketing e marketing non erano state registrate ed organizzate dalla società ma solo  comunicate ai partner, che avrebbero dovuto poi provvedere in autonomia. Pertanto, accertata l’illiceità del trattamento, nel definire l’importo dovuto, l’Autorità ha tenuto conto della gravità delle violazioni contestate, del fatto che siano stati impiegati differenti canali di contatto (telefonate, sms) con esponenziale aumento dell’invasività delle campagne promozionali, della loro reiterazione nel tempo nonché della dimensione e delle condizioni economiche della società, ma anche – in termini favorevoli – del fatto che Wind Tre s.p.a abbia posto in essere autonome iniziative per eliminare le criticità emerse. Inoltre, sulla qualifica soggettiva dei partner commerciali, l’Autorità ha chiarito che l’omessa designazione di tali soggetti quali “responsabili del trattamento” ha dato luogo ad una sistematica oltre che prolungata comunicazione illecita dei dati riferiti alla clientela a terzi, fino al 93% degli operatori economici che vanno a comporre la rete commerciale della Società. Tuttavia, l’iniziale sanzione di 150 mila euro è risultata  inefficace, costringendo l’Autorità in questa occasione ad aumentarla del quadruplo, arrivando cosi alla somma di 600 mila euro.

Il garante vieta di rendere pubbliche le valutazioni e le contestazioni disciplinari al dipendente

Avv. Vincenzo Colarocco

È illecita l’affissione in bacheca di dati personali relativi alle valutazioni e alle contestazioni disciplinari dei soci lavoratori. Questo è quanto afferma il Garante con il provvedimento n. 500 del 13 dicembre 2018. In particolare, una società toscana aveva messo in atto una sorta di “concorso a premi” obbligatorio per i lavoratori e, settimanalmente, pubblicava sulla bacheca aziendale le valutazioni sull’attività dei propri lavoratori attraverso un cartello nel quale i volti dei dipendenti erano associati a emoticon che rappresentavano, in forma sintetica, i giudizi, positivi o negativi, espressi sul socio, corredati, se del caso, dalle contestazioni disciplinari. La valutazione negativa comportava una decurtazione dallo stipendio.

Il Garante, sul punto, ritiene che sia conforme a normativa che il datore di lavoro tratti i dati necessari a compiere la valutazione sul corretto adempimento della prestazione lavorativa del proprio dipendente, cui eventualmente consegue l’esercizio del potere disciplinare nei modi e nei limiti previsti dalla disciplina di settore. Tuttavia, la sistematica messa a disposizione delle medesime informazioni mediante affissione su una bacheca all’interno dei locali della società, pubblicamente, in modo da rendere edotti tutti gli altri dipendenti ed eventuali terzi visitatori, non appare lecita, in quanto, tali soggetti, non sono legittimati a conoscere i dati personali riguardanti valutazioni e rilievi disciplinari.

I trattamenti effettuati si pongono, dunque, in contrasto con il Regolamento (UE) 2016/679 e sono da ritenersi illeciti perché non rispondenti al principio di liceità, correttezza e trasparenza, nonché a quello della minimizzazione dei dati. Le informazioni concernenti valutazioni e contestazioni disciplinari sono particolarmente delicate poiché incidono sulla dignità professionale del dipendente.

Del resto, il fatto che i soci lavoratori avessero prestato il proprio consenso a partecipare al concorso non pare essere dirimente: tale manifestazione di volontà non può costituire la base giuridica idonea a legittimare il trattamento di dati personali. La ragione è data da un lato, dalla sussistenza di un’asimmetria tra le rispettive parti del rapporto di lavoro, cui consegue la necessità di accertare di volta in volta e in concreto l’effettiva libertà del consenso espresso; dall’altro, il consenso prestato dai soci potrebbe unicamente riguardare l’autorizzazione a detrarre dalla busta paga eventuali decurtazioni derivanti da valutazioni negative.

Caso Uber: dall’esame delle violazioni arrivano interessanti spunti sulla contitolarità

Avv. Vincenzo Colarocco

Sono di estremo interesse le conclusioni cui è giunto il Garante Privacy Italiano in merito alla contitolarità nell’ambito delle attività di trattamento poste in essere dal noto servizio di trasporto automobilistico privato, vittima di un consistente data breach rivelato solo a distanza di un anno.

Ripercorrendo gli ormai noti eventi, si ricorda come nel 2017, Uber Technologies Inc avesse reso pubblico un incidente di sicurezza, verificatosi nell’autunno del 2016, che aveva coinvolto i dati personali di circa 57 milioni di utenti in tutto il mondo, interessando, per lo più, dati identificativi e di contatto, informazioni concernenti la localizzazione, account e numero della patente di guida. Tale evento, con ripercussioni anche su utenti italiani, ha sollecitato la reazione istituzionale del Garante italiano per la protezione dei dati personali, che ha avviato un’istruttoria nei confronti della società americana, presso la sede italiana, volta ad acquisire elementi di valutazione in ordine alla portata in ambito nazionale di tale incidente di sicurezza.

A seguito delle informazioni fornite dal Gruppo Uber si è potuto quindi  rilevare che Uber B.V. (società con sede nei Paesi Bassi) fosse il titolare del trattamento dei dati relativi a tutti gli autisti e passeggeri non statunitensi, nonché fornitrice dei servizi Uber agli utenti sul territorio italiano, mentre Uber Italy s.r.l. figurasse quale responsabile del trattamento di Uber B.V., fornendo servizi di supporto alla clientela e alcuni servizi di marketing per conto della stessa. Uber Technologies Inc., invece, veniva nominata responsabile del trattamento da Uber B.V., giusto contratto sottoscritto dalle società ed avente ad oggetto l’affidamento di alcune attività di elaborazione incluso l’hosting dei dati personali. Tenuto conto delle risultanze istruttorie e della documentazione acquisita, l’Autorità è però pervenuta ad alcune importanti considerazioni in ordine all’ambito soggettivo del trattamento dei dati, sostanzialmente confutando il sudescritto schema in ordine ai rapporti di titolarità e responsabilità. Nel dettaglio, il Garante, come desumibile dall’analisi del provvedimento n. 498 del 13 dicembre 2018, ha verificato:

  1. a) l’esistenza di un unico data base centralizzato e situato in USA che non differenzia per aree geografiche di “origine” dei dati personali;
  2. b) Uber B.V. condivide con Uber Technologies Inc. le medesime policy e misure di sicurezza nell’ottica di adottare a livello di gruppo misure tecniche e organizzative uniformi; non risultando pertanto possibile individuare un esclusivo potere decisionale al riguardo in capo alla titolare Uber B.V.;
  3. c) l’informativa pubblicata sul sito di Uber è la medesima per tutti gli utenti, anche con riferimento a interessati che risiedono al di fuori degli Stati Uniti (rispetto ai quali il titolare del trattamento è Uber B.V.); circostanza da cui sembra potersi desumere che la stessa sia stata predisposta da un unico soggetto;
  4. d) la suddetta informativa menziona un unico indirizzo di contatto per l’esercizio dei diritti degli interessati a prescindere dal fatto che si tratti di utenti residenti in USA o in area extra USA.

Gli elementi rilevati dall’Autorità Garante evidenziano la partecipazione di più soggetti nella definizione delle finalità e delle modalità del trattamento, con l’ovvia conseguenza che la rappresentazione dei ruoli fornita dal gruppo -in termini di titolarità esclusiva in capo ad Uber B.V per i dati relativi ad utenti che risiedono al di fuori degli Stati Uniti- non risulta essere adeguata, rendendosi necessaria una diversa qualificazione del rapporto esistente tra Uber Technologies Inc. e Uber B.V. che dovrebbe essere piuttosto configurato in termini di contitolarità del trattamento.

Il garante privacy verifica la conformità dei codici deontologici

Avv. Vincenzo Colarocco

Sono stati recentemente diramati, dall’Autorità Garante italiana, i nuovi testi dei riformati codici deontologici in ossequio alle prescrizioni dettate dalla disciplina comunitaria in materia di protezione dei dati personali.

In particolare, con il D. Lgs. n. 101/2018 – volto alla modifica del D. Lgs. 196/2003 (“Codice Privacy”) al fine di conformarlo al Regolamento UE 679/2016 (“GDPR”) – il Legislatore Italiano ha posto in capo al Garante Privacy l’onere di verificare quali disposizioni dei codici di deontologia e di buona condotta allegati al previgente Codice Privacy fossero da ritenersi conformi al GDPR. In particolare, le valutazioni dell’Autorità italiana si sono concentrate sui codici deontologici inerenti ai trattamenti di dati personali per scopi storici, statistici, scientifici e investigazioni difensive.

Concordemente con quanto disposto dal D.Lgs. 101/2018, l’opera del Garante non si è limitata ad una valutazione di mera conformità ma ha richiesto, altresì, un aggiornamento formale dei riferimenti al nuovo quadro normativo europeo, con la conseguente soppressione o ridefinizione di talune previsioni alla luce dei nuovi principi di accountability, privacy by default e by design che permeano l’intera impostazione del GDPR. In dettaglio, ai sensi del D. Lgs. 101/2018, entro 90 giorni dalla data di entrata in vigore del decreto, il Garante avrebbe pubblicato in Gazzetta Ufficiale le disposizioni ritenute conformi (ridenominate “regole deontologiche”), emendate dalle disposizioni incompatibili, prescindendo quindi da una consultazione pubblica. Consultazione al contrario prevista – per una durata minima di 60 giorni – per le regole deontologiche di cui all’art. 2-quater del novellato Codice Privacy.

Nei giorni scorsi il Garante ha quindi trasmesso al Ministero della Giustizia i testi aggiornati delle regole deontologiche sottoposte alla sua valutazione, testi che possono essere consultati direttamente sul sito dell’Autorità (qui) e che, nello specifico, attengono ai trattamenti per fini statistici o di ricerca scientifica; ai trattamenti con finalità di archiviazione nel pubblico interesse o per scopi di ricerca storica; ai trattamenti effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria; al trattamento di dati personali nell’esercizio dell’attività giornalistica.

Al via la fatturazione elettronica ma ancora riserve sulla protezione dei dati personali

Avv. Vincenzo Colarocco

Dal primo gennaio la Legge di Bilancio 2018 ha introdotto l’obbligo della fatturazione elettronica, anche nelle relazioni commerciali tra soggetti passivi Iva privati (aziende e professionisti) e verso i consumatori finali. In particolare, per le cessioni di beni e le prestazioni di servizi effettuate tra soggetti residenti, stabiliti o identificati nel territorio dello Stato dovranno essere emesse, utilizzando il Sistema di Interscambio (SDI), esclusivamente fatture elettroniche in formato XML, già in uso per le fatture della P.A.. I soggetti passivi IVA dovranno trasmettere telematicamente all’Agenzia delle Entrate i dati relativi alle operazioni di cessione di beni e di prestazione di servizi effettuate e ricevute verso e da soggetti non stabiliti nel territorio dello Stato, salvo quelle per le quali è stata emessa una bolletta doganale e quelle per le quali siano state emesse o ricevute fatture elettroniche secondo le modalità del Sistema di Interscambio. La trasmissione telematica dovrà essere effettuata entro l’ultimo giorno del mese successivo a quello della data del documento emesso ovvero a quello della data di ricezione del documento comprovante l’operazione. Restano esonerati solo i soggetti passivi che rientrano nel c.d. “regime di vantaggio” e quelli che applicano il regime forfettario.

La modifica è di grande portata, poiché l’adempimento interesserà la maggior parte delle partite IVA, con conseguente trasmissione in digitale di un ingente numero di documenti e rischi relativi.

Oltre ai timori che il sistema di interscambio possa subire crash informatici, con dispersione dei dati, il Garante della privacy è intervenuto in diverse occasioni sollevando dubbi e rilevando criticità.

Con articolato provvedimento del 20 dicembre scorso, il Garante ha individuato i presupposti e le condizioni perché l’Agenzia delle Entrate possa avviare i trattamenti di dati connessi al nuovo obbligo.

La fatturazione elettronica, così come originariamente prefigurata dall’Agenzia, presentava rilevanti criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali. L’Agenzia, oltre a recapitare le fatture ai contribuenti attraverso il sistema di interscambio, avrebbe anche archiviato integralmente tutti i file delle fatture elettroniche che contengono informazioni di dettaglio, non rilevanti a fini fiscali, sui beni e servizi acquistati come le abitudini e le tipologie di consumo legate alla fornitura di servizi energetici, di telecomunicazione o trasporto (es. regolarità nei pagamenti, pedaggi autostradali, biglietti aerei, pernottamenti), o addirittura l’indicazione puntuale delle prestazioni legali (es. numero procedimento penale) o sanitarie (es. percorso diagnostico neuropsichiatrico infantile).

Il nuovo sistema di fattura prevede, invece, che l’Agenzia si limiti a memorizzare solo i dati fiscali necessari per i controlli automatizzati (es. incongruenze tra dati dichiarati e quelli a disposizione dell’Agenzia), con l’esclusione della descrizione del bene o servizio oggetto di fattura. Dopo il periodo transitorio indispensabile a modificare il sistema, nuovi servizi di consultazione delle fatture saranno resi disponibili solo su specifica richiesta del contribuente, sulla base di accordi che saranno esaminati dall’Autorità.

I soggetti che erogano prestazioni sanitarie saranno esclusi dall’obbligo di emettere fattura elettronica.

Al fine di prevenire trattamenti impropri dei dati, il Garante ha avvertito tutti gli operatori (soggetti Iva e intermediari, anche tecnici) che alcune clausole contrattuali, predisposte dalle società di software, possono violare il Regolamento ed espongono a sanzioni.

Ulteriori sforzi sono richiesti all’Agenzia delle entrate per implementare la cifratura dei dati (utile soprattutto in caso di utilizzo della pec), per minimizzare i dati da memorizzare e per conformarsi agli obblighi di trasparenza e correttezza nei confronti degli interessati riguardo ai controlli fiscali effettuati attraverso trattamenti automatizzati o con l’acquisizione delle fatture per le quali il contribuente usufruisce dei servizi di consultazione e conservazione. Tutto ciò in vista di una nuova valutazione d’impatto, prevista dalla normativa sulla protezione dei dati, che l’Agenzia dovrà produrre entro il 15 aprile 2019.

Emergenza data breach: colpite la catena di alberghi marriott e quora

Avv. Vincenzo Colarocco

Ben quattro anni dopo l’accaduto, la catena di alberghi Marriott annuncia di aver subito attacchi informatici tali da mettere a rischio i dati personali di circa 500 milioni di soggetti. Solo a seguito di una segnalazione ricevuta l’8 settembre scorso, il colosso alberghiero ha avviato un’inchiesta interna che avrebbe svelato simili violazioni: per alcuni clienti, sarebbero state trafugate anche le coordinate bancarie, oltre naturalmente ai dati anagrafici e agli indirizzi di posta elettronica. Ad oggi, il gruppo dichiara di non aver ancora del tutto definito la portata del breach, non essendo in grado di identificare precisamente quali e quante informazioni siano state “hackerate” prima della scoperta dell’accaduto. La notizia che potrebbe esporre il colosso ad ingenti sanzioni è che, nonostante i dati fossero criptati, gli hacker sarebbero venuti in possesso delle chiavi di accesso.

Il breach sembra non risparmiare nessuno: di questi giorni la notizia di un’altra violazione, questa volta verificatasi ad una piattaforma dedicata all’informazione, Quora.

Il sito web di domande e risposte ha annunciato, mediante l’invio di un’e-mail ai soggetti coinvolti, di avere subìto un attacco informatico che ha interessato i dati di almeno 100 milioni di suoi utenti. L’elemento distintivo di questo attacco è che ha riguardato non soltanto le anagrafiche, gli indirizzi e-mail e le password, ma anche altri dati personali  dell’utente, ulteriori rispetto a quelli di registrazione, dal momento che l’accesso alla piattaforma è disponibile anche mediante l’account creato su altri social network.

Le linee guida sull’applicazione dell’ambito territoriale del gdpr

Avv. Vincenzo Colarocco

Il testo chiarisce alcuni aspetti dell’articolo 3 del GDPR che, come noto, obbliga molti dei top player del mondo digitale al rispetto della normativa privacy europea. In concreto, infatti, come si fa a stabilire quando una società asiatica sia tenuta al rispetto del GDPR? Che dire di chi commercializza i propri prodotti tramite un portale e-commerce: l’apertura di un ufficio in Italia può essere considerata come uno stabilimento?

I Garanti Europei sono intervenuti per rispondere a questi e altri quesiti più o meno complessi, al fine di rendere agevole la comprensione e, dunque, l’applicazione della lettera della norma. L’articolo 3 del GDPR enuclea due criteri principali: quello dello “stabilimento” e quello che si basa sull’“oggetto delle attività di trattamento”. Se uno di questi due criteri è soddisfatto, troveranno applicazione le disposizioni pertinenti del GDPR. Inoltre, al paragrafo 3 conferma l’applicazione della normativa vigente in caso di trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell’Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico.

È evidente come le Linee Guida potranno produrre forti conseguenze tanto sulle istituzioni quanto sulle imprese europee e straniere. Per tali ragioni, il Board Europeo dei Garanti ha sottoposto il testo a consultazione pubblica prima della sua definitiva approvazione.

Si attende, pertanto, il testo definitivo che sarà sicuramente utile al fine di garantire una corretta interpretazione della norma.

Violenza sessuale: vietata la pubblicazione di informazioni che possano identificare la vittima, anche indirettamente

Avv. Vincenzo Colarocco

Il Garante per la protezione dei dati personali ha ribadito, con alcune recenti decisioni (cfr. inter alia n. 9065807, 9065782, 9065800) il principio per cui viene fatto divieto ai media di diffondere informazioni che possano rendere identificabile, anche in via indiretta, una vittima di violenza sessuale.

L’art. 137 del Codice della Privacy prevedeva – e tuttora dispone nel nuovo testo dell’art. 12, comma 1, lett. c), del d.lgs. 101/2018,– che in caso di diffusione o di comunicazione di dati personali per finalità giornalistiche restano fermi i limiti del diritto di cronaca a tutela dei diritti e delle libertà delle persone e, nello specifico, il limite dell’essenzialità dell’informazione riguardo a fatti di interesse pubblico.

Il Garante ha affermato che detto limite deve essere interpretato con particolare rigore quando vengono in considerazione dati idonei a identificare vittime di reati, a maggior ragione con riferimento a notizie che riguardano episodi di violenza sessuale, attesa la particolare tutela accordata dall’ordinamento, anche in sede penale, alla riservatezza delle persone offese da tali delitti.

La diffusione all’interno di un articolo di informazioni idonee a rendere, sia pure indirettamente, la vittima identificabile, risulta in contrasto con le esigenze di tutela della dignità della medesima anche in ragione dell’art. 8, comma 1, del codice di deontologia relativo al trattamento dei dati personali nell’esercizio dell’attività giornalistica.

Il Garante ha ricordato che in caso di inosservanza del divieto, il titolare del trattamento, in questo caso l’editore, può incorrere anche nelle nuove sanzioni amministrative introdotte dal GDPR, all’art. 83, par. 5, lett. e), che possono raggiungere i 20 milioni di euro o il 4% del fatturato mondiale totale annuo dell’esercizio precedente.

Comminate le prime sanzioni per violazioni al gdpr

Avv. Vincenzo Colarocco

A circa sei mesi di distanza dall’entrata in vigore del Regolamento UE 679/2016 (“GDPR”), recante la nuova disciplina in materia di trattamento dei dati personali nel contesto comunitario, si segnalano le prime sanzioni derivanti da violazioni del nuovo tessuto normativo.

Anzitutto si segnala un provvedimento sanzionatorio adottato dal Garante Privacy Austriaco in relazione ad un inappropriato utilizzo dei sistemi di videosorveglianza aziendali (per un approfondimento sul tema, in lingua originale, clicca qui). In particolare, l’azienda sanzionata risultava munita di videocamere che, prescindendo da una concreta finalità, da qualunque segnalazione al Garante e dall’esposizione della dovuta segnaletica, riprendevano non solo gli ingressi agli stabilimenti aziendali ma anche i volti di chi percorrevi gli attigui marciapiedi. In tale circostanza la sanzione comminata è stata pari ad euro 4.000,00 circa.

Da riportarsi è anche la sanzione conseguente ad un caso di data breach verificatosi in Germania. Nonostante i casi di violazione di dati personali non si siano certo fatti attendere in questa prima fase di entrata in vigore del GDPR, il provvedimento adottato dal Garante Tedesco (disponibile qui in allegato in lingua originale) si attesta sinora come una rarità nello scenario comunitario. La particolarità della sanzione comminata nel caso di specie si attesta nella circostanza che l’Autorità competente sembrerebbe aver tenuto in maggior considerazione l’evidenza che i dati violati (nello specifico nome utente e password aziendali) fossero stati mal conservati dall’azienda coinvolta, piuttosto che dalla conseguente sottrazione degli stessi. Tale ultima circostanza costituirebbe infatti, stando al Garante Tedesco, la mera conseguenza di non essersi muniti di sistemi di cifratura adeguati che, seppur in caso di sottrazione di dati, avrebbero quantomeno potuto evitare che le password dei dipendenti venissero rese pubbliche. In seguito a tali eventi la sanzione adottata si è attestata sugli euro 20.000.

Le descritte misure sanzionatorie restano comunque ben più lievi rispetto a quella recentemente comminata dall’Autorità Portoghese (pari ad euro 400.000,00) ad una struttura ospedaliera nazionale rea di aver posto in essere delle politiche estremamente leggere in materia di accesso a dati sanitari, con la conseguenza che gli addetti di qualsiasi reparto potevano, con estrema facilità, non soltanto accedere, ma anche modificare i dati personali e sanitari contenuti nelle cartelle cliniche di tutti i pazienti ospiti del complesso ospedaliero. La portata della sanzione adottata ha fatto sì che la notizie fosse rilanciata con enfasi anche dai quotidiani nazionali portoghesi (qui un esempio).

Dal quadro esposto emerge chiaramente come le Autorità Europee Garanti della Privacy, dopo una concepibile prima fase di assestamento, guardino ormai con attenzione crescente a quel complesso di norme del GDPR attinenti alla sfera sanzionatoria, di cui tanto si è parlato nei momenti antecedenti all’entrata in vigore della nuova normativa. Risulta altresì evidente come il quadro sanzionatorio – e per l’effetto quello delle possibili condotte che possano integrarlo – si configuri come assai vario. Non adottare la dovuta segnaletica in ambito di videosorveglianza; non munirsi di policy adeguate per regolamentare l’accesso ai dati; non beneficiare di semplici sistemi di cifratura per le password dei propri dipendenti, rappresentano errori assai comuni e che possono essere commessi a qualunque livello aziendale.

Cassazione: rilevazione presenze con dati biometrici – Il Garante deve autorizzarla

Avv. Vincenzo Colarocco

La Suprema Corte di Cassazione con sentenza del 4 maggio 2018, depositata il 15 ottobre 2018, si è pronunciata sul trattamento dei dati biometrici dei dipendenti, attraverso un badge per rilevare la presenza.

La vicenda prende le mosse nel 2015, a seguito della sanzione inflitta del Garante Privacy nei confronti di una società specializzata nel settore dei servizi di igiene ambientale e raccolta differenziata ed indifferenziata, di un sistema di raccolta dei dati biometrici della mano per la rilevazione delle presenze dei dipendenti.

Proposta l’opposizione, il Tribunale di Catania la accoglieva, ritenendo che le apparecchiature utilizzate dalla società “non prelevino e non trattino i dati biometrici […] e che il dato biometrico è utilizzato come individualizzante, ma non come identificante”.

A seguito del ricorso del Garante, la Suprema Corte ha ribaltato l’interpretazione del giudice di merito precisando che ai fini della configurabilità del trattamento di dati personali, la mancata registrazione degli stessi in apposita banca dati è irrilevante, essendo sufficiente “una mera attività di raccolta ed elaborazione”. Orbene, ciò che rileva al predetto fine è che “il sistema, attraverso la conservazione dell’algoritmo, è in grado di risalire al lavoratore, al quale appartiene il dato biometrico, e quindi indirettamente lo identifica”. E questo non si poteva fare senza la preventiva notifica al Garante -conclude la Suprema Corte- neppure per uno scopo legittimo come quello di ‘controllo delle presenze’.

Evidente appare la diretta correlazione della statuizione della Corte con i principi espressi dal Regolamento UE 2016/679, tenendo conto che l’istituto della notifica preliminare oggi non trova più applicazione essendo stata introdotta peraltro la valutazione d’impatto.