Corte di Cassazione, sentenza n. 25686 del 15 ottobre 2018
Per quanto si legge nella sentenza impugnata, il sistema operativo utilizzato dall’azienda è articolato come segue: a) il dato biometrico riguardante la mano di ciascun lavoratore viene trasformato in un modello di 9 bytes, a sua volta archiviato ed associato ad un codice numerico di riferimento; b) il codice numerico è memorizzato in un badge; c) ad ogni utilizzo del badge, il sistema è in grado di verificare che «il badge che si sta usando è usato dalla stessa mano usata per configurarlo»
Il dettato normativo espressamente considera irrilevante, ai fini della configurabilità del trattamento di dati personali, la mancata registrazione degli stessi in apposita banca dati, essendo sufficiente anche un’attività di raccolta ed elaborazione temporanea. Parimenti, alla luce delle definizioni normative sopra riportate, devono ritenersi prive di incidenza le ulteriori circostanze valorizzate dal Tribunale, attraverso il richiamo al verbale redatto dall’Ispettorato del lavoro di Catania in data 23 giugno 2009. Né il fatto che il modello archiviato, realizzato attraverso la compressione dell’immagine della mano, consista in un numero che non è di per sé correlabile al dato fisico, né il fatto che, partendo da detto numero, non sia possibile ricostruire l’immagine della mano in quanto l’algoritmo è unidirezionale ed irreversibile, escludono che si versi in ipotesi di trattamento di dati biometrici. Ciò che rileva al predetto fine è che il sistema, attraverso la conservazione dell’algoritmo, è in grado di risalire al lavoratore, al quale appartiene il dato biometrico, e quindi indirettamente lo identifica, in attuazione dello scopo dichiarato e in sé legittimo di controllarne la presenza. Il sistema adottato dalla società resistente comporta un trattamento di dati biometrici, come tale assoggettato innanzitutto e in via assorbente alla preventiva notificazione al Garante, ai sensi dell’art. 37 d.lgs. n. 196 del 2003.