Lotta all'assenteismo, «no» del Garante Privacy e della Cassazione alle impronte digitali

La strada della riforma Buongiorno sulla lotta all'assenteismo nel pubblico impiego, attraverso le rilevazioni biometriche di presenza, si rivela molto stretta.

Il parere del Garante Privacy
Con il parere depositato l'11 ottobre scorso, il Garante Privacy sottolinea che sarebbe sproporzionata l'introduzione generalizzata dei sistemi di rilevazione delle presenze mediante identificazione biometrica, in ragione dell’invasività di queste forme di verifica e della natura stessa del dato trattato. A giudizio dell'Authority, per assicurare il rispetto dei principi di liceità, proporzionalità, minimizzazione, è necessario emendare il disegno legge, limitando la scelta a un solo strumento di verifica tra quelli proposti (raccolta di dati biometrici o videosorveglianza), prevedendone in ogni caso l'utilizzo nel rispetto del principio di gradualità: laddove altri sistemi non risultino adeguati allo scopo. Occorre in particolare ancorare l'utilizzo dello strumento della rilevazione biometrica, alla sussistenza di concreti fattori di rischio ovvero a specifici presupposti: dimensioni dell'ente, numero dei dipendenti coinvolti, su tutto, tangibile ricorrenza di situazioni di criticità ambientale.

La linea della Cassazione
Coerente è il punto di vista della Cassazione che, con l’ordinanza n. 25686/2018, ha deciso su un caso di utilizzo del dato biometrico per rilevare la presenza del personale di una società catanese. Investito della questione, il Tribunale di Catania aveva ritenuto che il dato biometrico fosse “individualizzante”, ma non “identificante”, posto che il lavoratore non sarebbe identificato per mezzo dei propri dati biometrici, ma di un regolare badge. Il dato biometrico riguardante la mano di ciascun lavoratore viene trasformato in un modello di 9 byte, a sua volta archiviato e associato a un codice numerico di riferimento. Il codice numerico è memorizzato in un badge. In sostanza, il sistema verifica soltanto se il badge che si sta utilizzando sia stato adoperato dalla stessa mano impiegata per configurarlo. Con questa ricostruzione, esclusa deduttivamente l'applicazione della normativa privacy, il Tribunale ha persino condannato il Garante a ben 30.000 euro per abuso di processo secondo l'articolo 96, comma 3, del codice di procedura civile, per essersi cioè avventurato in una vera e propria lite temeraria: consapevole dell'infondatezza della domanda, l'avrebbe proposta ugualmente, costringendo la controparte a partecipare a un processo sostanzialmente immotivato.
La Corte di cassazione ha completamente ribaltato la ricostruzione del Tribunale: il sistema di raccolta dei dati biometrici della mano, anche se tradotti in algoritmi, è comunque in grado di risalire al lavoratore e quindi di riflesso lo “identifica”, sebbene allo scopo legittimo di controllarne la presenza. Secondo la Cassazione, è irrilevante, ai fini della configurabilità del trattamento di dati personali, la mancata registrazione degli stessi in apposita banca dati, essendo sufficiente un'attività di raccolta ed elaborazione temporanea. Neppure è dirimente il fatto che il modello archiviato, realizzato attraverso la compressione dell'immagine della mano, consista in un numero che non è di per sé correlabile al dato fisico. Nemmeno esclude che si versi in ipotesi di trattamento di dati biometrici, il fatto che partendo da detto numero, non sia possibile ricostruire l'immagine della mano, in quanto l'algoritmo è comunque unidirezionale e irreversibile. In altre parole, ciò che rileva è che il sistema, attraverso l'algoritmo, è in grado di risalire al lavoratore al quale appartiene il dato biometrico e quindi indirettamente lo identifica, nonostante il fine in sé certamente lecito di controllarne l'effettiva presenza in servizio.

L’ordinanza della Corte di cassazione n. 25686/2018

Il parere del Garante Privacy