Un'ordinanza della Cassazione ha cercato di chiarire la questione, considerando la stretta attualità del fenomeno dei cosiddetti "furbetti del cartellino".
La vicenda al vaglio della Suprema Corte (ordinanza n. 25686/2018)
Nel 2012 il Garante per la Protezione dei dati personali comminava ad un'azienda siciliana una sanzione di circa 66.000 euro, poiché accertava come questa, senza una preventiva richiesta di autorizzazione, avesse proceduto ad installare un sistema volto a raccogliere le impronte digitali dei dipendenti per monitorarne l'effettiva presenza in azienda.
Nello specifico, attraverso un particolare algoritmo, le impronte del dipendente venivano codificate in un modello della grandezza di circa 9 bytes, per poi essere associate ad un codice numerico e memorizzate nel badge del lavoratore.
In particolare, all'azienda veniva contestata la violazione degli articoli 13 (circa gli obblighi informativi sussistenti in capo al titolare del Trattamento), 17 (disciplinante i trattamenti che presentino rischi specifici per l'interessato), 23 (circa la necessità del consenso dell'interessato), 33 (disciplinante le misure di sicurezza volte ad assicurare un livello minimo di protezione dei dati personali), 37 – 38 (circa l'obbligo e le modalità di notificazione al Garante del trattamento di particolari categorie di dati, come, nella specie, i dati biometrici), 161 – 162 (disciplinanti le violazioni amministrative in conseguenza dell'omessa informazione nei confronti degli interessati) del d.lgs. 196/2003.
Avverso l'ordinanza – ingiunzione pronunciata dal Garante, l'azienda esperiva ricorso innanzi al Tribunale di Catania, deducendo in primis l'assenza di prova della violazione delle disposizioni del Codice della Privacy riguardanti il trattamento di dati biometrici dei dipendenti e che al contrario, risultasse raggiunta la piena prova circa la mancanza di un trattamento che giustificasse l'adempimento dei suddetti obblighi informativi.
Il Tribunale di Catania accoglieva il ricorso dell'Azienda sul presupposto di ritenere che il coinvolgimento di dati personali o biometrici di una persona non comportasse necessariamente un trattamento di tali tipologie di dati dati e che, nello specifico, il dato biometrico dovesse considerarsi come "individualizzante e non identificante".
Nel caso in esame infatti, i giudici di prima istanza ritenevano che quello attuato dall'azienda non dovesse essere considerato un trattamento di dati personali, giacché il dipendente fosse identificato mediante il badge (non oggetto di contestazione) e non, viceversa, attraverso i propri dati biometrici.
Nei confronti del provvedimento il Garante ricorreva per Cassazione deducendo la violazione e la falsa applicazione degli articoli 4, 13, 17, 23, 33 r 37 del d.lgs. 196/2003, in quanto, contrariamente a quanto statuito nella sentenza di merito, nella definizione di trattamento di dati personali o biometrici dovesse ricomprendersi qualunque operazione (o complesso di operazioni) che consenta, anche in via indiretta, di identificare un soggetto.
Ed invero – si legge ancora nel ricorso – la trasformazione in un modello del dato biometrico così raccolto, sarebbe comunque idoneo a consentire l'identificazione personale tramite il confronto tra il codice numerico generato ad ogni accesso del dipendente e quello originario dell'impronta digitale.
La Cassazione con l'ordinanza in questione accoglieva il ricorso dell'Autorithy.
Le motivazioni poste alla base dell'accoglimento del ricorso del Garante
I supremi giudici rilevano innanzitutto come alla base della sentenza di primo grado vi fosse un'errata interpretazione del concetto di trattamento di dati personali (dai quali ovviamente discende la particolare categoria dei cosiddetti "dati biometrici"), codificato nell'allora vigente art. 4 del Codice della Privacy.
Quest'ultimo, alla nozione di "trattamento" riconduce infatti qualsiasi operazione compiuta sui dati personali (categoria di per sé ampissima comprendente la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modifica, la selezione, l'estrazione, il confronto, la comunicazione, la diffusione, la cancellazione e la distruzione) anche nell'eventualità in cui questi non fossero stati opportunamente registrati in una banca dati.
Nella definizione di dati personali rientrano infatti le informazioni relative ad una persona fisica, sia essa identificata o identificabile, anche indirettamente tramite il riferimento a qualsiasi altra informazione ad essa riconducibile (compreso un numero o un codice di identificazione); sono invece considerati "identificativi" quei dati personali che consentono l'identificazione diretta dell'interessato.
Tali specificazioni si rendono necessarie nel caso di specie, in quanto dalle valutazioni emerse in sede di giudizio di primo grado veniva accertato che l'algoritmo impiegato dal rilevatore delle presenze in uso all'azienda permettesse l'identificazione del dipendente a cui l'impronta fosse collegata, consentendone pertanto l'identificazione in qualsiasi momento.
Siffatte considerazioni, relative al trattamento così effettuato dall'azienda su tale categoria di dati personali avrebbe pertanto imposto l'utilizzo della procedura di notificazione prevista dall'art. 37 del d.lgs. 196/2003 e pertanto, la Suprema Corte cassava la sentenza emessa dal Tribunale di Catania e, contestualmente, rigettava l'opposizione proposta dall'Azienda.
Il trattamento di dati biometrici alla luce del GDPR: le procedure di anonimizzazione e pseudonimizzazione
In base a quanto stabilito dall'art. 4, punto 2) del GDPR, il trattamento dei dati personali deve individuarsi in "qualsiasi operazione o insieme di operazioni compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta la registrazione l'organizzazione la strutturazione la conservazione l'adattamento o la modifica l'estrazione, la consultazione, l'uso la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione il raffronto o l'interconnessione, la limitazione la cancellazione o la distruzione".
Lo stesso Regolamento Europeo fornisce una definizione specifica di dato personale, inteso come "qualsiasi informazione riguardante una persona fisica identificata o identificabile".
Come chiarito dalla pronuncia della Suprema Corte anche in relazione alla previgente disciplina del Codice della Privacy, le informazioni possono essere ricavate anche in via indiretta con particolare riferimento ad un qualunque elemento caratteristico della persona fisica, come avviene nel caso del dato biometrico.
Chiarito ciò, è ulteriormente necessario specificare che l'identificabilità dell'interessato sia una circostanza essenziale affinché questi possa trovare riscontro, in termini di tutelabilità, da parte dell'ordinamento sia nazionale che comunitario.
Nel caso in cui un dato personale riferito ad una persona fisica venga pseudonimizzato (quando cioè, come nel caso di specie, un dato personale venga associato ad un codice alfanumerico) l'identificazione è sempre possibile da chiunque possegga le informazioni in grado di decifrarlo (ancorché si tratti di un'operazione piuttosto difficoltosa).
A differenza della pseudonimizzazione, l'anonimizzazione dei dati personali garantisce in maniera effettiva la cosiddetta "spersonalizzazione" del dato e, di fatto, rende impossibile l'individuazione o la correlazione con l'interessato, estromettendo quindi i dati anonimi dall'ambito di applicazione del GDPR, alla luce di quanto stabilito dal Considerando n. 26.
La pseudonimizzazione quindi costituisce una delle "best practices" che ogni Titolare dovrebbe adottare al fine garantire una tutela efficiente dei dati personali degli interessati, ancorché questi rientrino in particolari categorie, come nel caso dei dati biometrici.
Ciò non significa, tuttavia, che l'adozione di buone pratiche esoneri il Titolare dall'applicare le restanti disposizioni del regolamento. E in quest'ottica la sentenza della Cassazione finisce con l'apparire quantomai scontata.