Con ordinanza n. 25686/18, depositata in cancelleria il 15 ottobre scorso, la Corte di Cassazione, ribaltando la sentenza del Tribunale di Catania, ha accolto il ricorso presentato dal Garante per la protezione dei dati personali, confermando il corretto operato dell’Autorità nel comminare una sanzione pecuniaria ad una S.r.l. per violazione del Codice di Protezione dei Dati Personali.
La vicenda risale al 2012 e la sentenza di merito, poi cassata, è stata depositata nell’agosto 2015, ragion per cui la normativa di riferimento dell’ordinanza in commento è quella del cd. Codice Privacy nella sua versione precedente all’intervento del decreto di adeguamento al GDPR n. 101/18.
Tuttavia, a parere di chi scrive, la suddetta pronuncia riveste un particolare rilievo, offrendo diversi spunti di riflessione e mostrando come anche la giurisprudenza stia approfondendo la conoscenza dei fondamentali pilastri della normativa di data protection.
La questione portata innanzi al Tribunale di Catania era la il/legittimità della sanzione di euro 66.000,00 irrogata dal Garante ad una S.r.l. che, senza richiedere l’autorizzazione dell’Autorità, aveva installato un sistema di raccolta dei dati biometrici della mano dei dipendenti per rilevarne la presenza in azienda. Più in dettaglio, grazie all’ausilio di un algoritmo, l’impronta della mano di ciascun dipendente veniva trasformata in un modello di 9 bytes, archiviato e associato ad un codice numerico, poi memorizzato all’interno del badge. In questo modo il sistema era in grado di rilevare se il badge era usato dalla stessa mano utilizzata per configurarlo.
Il Giudice di prima istanza aveva ritenuto che la prassi appena descritta non potesse essere considerata “trattamento di dati personali” posto che nella stessa “il dato biometrico è utilizzato come individualizzante ma non come identificante” mentre sarebbe stato il badge lo strumento reale di identificazione.
Tale ricostruzione si basava su un evidente errore nella ricostruzione del concetto stesso di trattamento che, all’epoca, era codificato nell’art. 4 del Codice Privacy e che oggi è definito, in modo quasi identico dall’art. 4 GDPR (cui quindi faremo riferimento per maggiore attualità).
Ai sensi dell’art. 4, punto 2) GDPR, il trattamento comprende “qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta la registrazione l’organizzazione la strutturazione la conservazione l’adattamento o la modifica l’estrazione, la consultazione, l’uso la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione il raffronto o l’interconnessione, la limitazione la cancellazione o la distruzione”.
Come rilevato correttamente dalla Corte di Cassazione, quindi, anche la mera raccolta o elaborazione temporanea costituisce un trattamento di dati personali.
E vi è di più.
Il dato personale è definito, infatti, dalla stessa norma come “qualsiasi informazione riguardante una persona fisica identificata o identificabile”. L’identificazione, infatti, come sottolineato dalla Suprema Corte, e come è chiaramente specificato anche nel GDPR, può derivare indirettamente mediante il riferimento ad un dato identificativo, che può essere un nome, un numero o un qualunque elemento caratteristico, come nel caso di specie il dato biometrico.
Come rilevato dagli Ermellini, infatti, nel caso di specie, ciò che rileva è la circostanza che l’algoritmo utilizzato dal sistema sia in grado di risalire al lavoratore cui appartiene il dato biometrico e quindi, se pure indirettamente, di identificarlo in qualunque momento.
Sulla base di tali principi, quindi, in accoglimento del ricorso del Garante, la Corte ha riconosciuto l’illegittimità del trattamento di dati biometrici dei dipendenti operata dall’azienda senza la preventiva notificazione al Garante, all’epoca dei fatti prescritta dall’art. 37 del Codice di Protezione dei Dati Personali.
A parere di chi scrive, la pronuncia in esame, oltre ad essere pienamente condivisibile anche ed ancor più alla luce del nuovo assetto normativo europeo vigente in materia di protezione dei dati personali, costituisce anche un ottimo spunto per sottolineare l’importante (ma non sempre chiara) differenza esistente tra dati realmente anonimi e pseudonimi.
Una volta chiarita la definizione di dato personale, infatti, appare evidente come l’identificabilità dell’interessato sia un elemento essenziale affinchè si possa accedere alla tutela prevista dalle disposizioni vigenti in materia di data protection.
La sostanziale differenza tra anonimizzazione e pseudonimizzazione dei dati, infatti, consiste nel fatto che solo la prima tecnica garantisce la spersonalizzazione del dato e quindi una “identificazione ragionevolmente impossibile” dell’interessato, che va intesa anche in termini di correlabilità, deduzione ed individuazione e che giustifica l’esclusione dal campo di applicazione del GDPR, così come chiarito al considerando 26 del Regolamento europeo.
Qualora invece, come caso di specie, il dato personale venga mascherato mediante uno pseudonimo (che nel nostro caso era un codice numerico) l’interessato resta pur sempre identificabile da chiunque abbia accesso all’informazione aggiuntiva necessaria a decifrarlo (nel caso di specie l’algoritmo generatore del codice), seppure con maggior difficoltà.
La pseudonimizzazione, quindi, non giustifica la mancata applicazione della normativa di data protection, ma, mostrandosi in grado di ridurre il rischio di violazioni dei dati personali, costituisce comunque un valido presidio tecnologico per i diritti fondamentali e per questo trova finalmente espresso riconoscimento ed incentivo nel GDPR (vedi considerando 26, 28 e 29, 83 nonché artt. 6, 25, 32 e 34 Regolamento UE 2016/679).
Avv. Lucrezia D’Avenia