Illegittimità della rilevazione biometrica dell'impronta digitale dei dipendenti.
29 Novembre 2023IL CASO. Una società cominciava ad utilizzare all’interno di un proprio stabilimento produttivo uno strumento di rilevamento biometrico dell’impronta digitale con lo scopo di registrare le presenze giornaliere dei propri dipendenti.
Il Garante per la privacy sanzionava la società con una multa di circa 30.000,00 euro, ritenendo che il suddetto strumento consentisse un trattamento di dati biometrici illegittimo, in quanto posto in essere in assenza dell’istanza di verifica preliminare del trattamento e di notifica al Garante.
La società proponeva opposizione all’ingiunzione del Garante della privacy, che però veniva respinta dal Tribunale.
In particolare, il Giudice dell’opposizione riteneva che fosse irrilevante il rapporto negoziale tra la società che aveva fornito lo strumento e la società multata e che quest’ultima, in qualità di datore di lavoro, fosse l’unica a poter adottare le determinazioni in materia di trattamento di dati personali.
Il Tribunale, inoltre, considerato che la società datrice di lavoro aveva deciso di utilizzare il suddetto strumento di rilevazione biometrica, riteneva sussistente la volontarietà e la consapevolezza della condotta.
La società multata proponeva ricorso per Cassazione avverso la decisione del Tribunale.
LA DECISIONE. Con ordinanza n. 6642 del 6.3.2023, la Corte di Cassazione ha respinto il ricorso, escludendo la sussistenza sia di un errore scusabile, sia della buona fede della società multata.
Anzitutto, la Suprema Corte ha escluso che nella condotta della società multata potesse ravvisarsi un errore scusabile, posto che la stessa società aveva omesso di porre in essere gli adempimenti imposti al titolare del trattamento (e cioè le necessarie verifiche preliminari e la notifica al Garante) e che tali adempimenti fossero esigibili dalla stessa società “in ragione della posizione di garanzia ricoperta dal datore di lavoro quale titolare del trattamento”, nonché della “professionalità qualificata dello stesso”.
Con riguardo all’esimente della buona fede della società ricorrente, la Corte di Cassazione ne ha escluso la ricorrenza nel caso in esame, perché la società aveva fatto affidamento sulla liceità della propria condotta, omettendo colposamente gli adempimenti richiesti dalla legge e, quindi, aveva tenuto una condotta quantomeno colposa.
In proposito, la Corte ha precisato che “l’esimente della buona fede prevista dalla L. n. 689 del 1981, art. 3, in tema di sanzioni amministrative, non trova applicazione quando l’affidamento relativo alla liceità della condotta dipende proprio dalla colpa consistita nella mancata verifica degli adempimenti richiesti in qualità di datore di lavoro titolare del trattamento dei dati personali dei propri dipendenti, cui competono (…) le decisioni in ordine alle finalità, alle modalità di trattamento ed agli strumenti utilizzati”.
Il Garante per la privacy sanzionava la società con una multa di circa 30.000,00 euro, ritenendo che il suddetto strumento consentisse un trattamento di dati biometrici illegittimo, in quanto posto in essere in assenza dell’istanza di verifica preliminare del trattamento e di notifica al Garante.
La società proponeva opposizione all’ingiunzione del Garante della privacy, che però veniva respinta dal Tribunale.
In particolare, il Giudice dell’opposizione riteneva che fosse irrilevante il rapporto negoziale tra la società che aveva fornito lo strumento e la società multata e che quest’ultima, in qualità di datore di lavoro, fosse l’unica a poter adottare le determinazioni in materia di trattamento di dati personali.
Il Tribunale, inoltre, considerato che la società datrice di lavoro aveva deciso di utilizzare il suddetto strumento di rilevazione biometrica, riteneva sussistente la volontarietà e la consapevolezza della condotta.
La società multata proponeva ricorso per Cassazione avverso la decisione del Tribunale.
LA DECISIONE. Con ordinanza n. 6642 del 6.3.2023, la Corte di Cassazione ha respinto il ricorso, escludendo la sussistenza sia di un errore scusabile, sia della buona fede della società multata.
Anzitutto, la Suprema Corte ha escluso che nella condotta della società multata potesse ravvisarsi un errore scusabile, posto che la stessa società aveva omesso di porre in essere gli adempimenti imposti al titolare del trattamento (e cioè le necessarie verifiche preliminari e la notifica al Garante) e che tali adempimenti fossero esigibili dalla stessa società “in ragione della posizione di garanzia ricoperta dal datore di lavoro quale titolare del trattamento”, nonché della “professionalità qualificata dello stesso”.
Con riguardo all’esimente della buona fede della società ricorrente, la Corte di Cassazione ne ha escluso la ricorrenza nel caso in esame, perché la società aveva fatto affidamento sulla liceità della propria condotta, omettendo colposamente gli adempimenti richiesti dalla legge e, quindi, aveva tenuto una condotta quantomeno colposa.
In proposito, la Corte ha precisato che “l’esimente della buona fede prevista dalla L. n. 689 del 1981, art. 3, in tema di sanzioni amministrative, non trova applicazione quando l’affidamento relativo alla liceità della condotta dipende proprio dalla colpa consistita nella mancata verifica degli adempimenti richiesti in qualità di datore di lavoro titolare del trattamento dei dati personali dei propri dipendenti, cui competono (…) le decisioni in ordine alle finalità, alle modalità di trattamento ed agli strumenti utilizzati”.