Una società, attiva nel settore della raccolta dei rifiuti, e stata condannata dall’Authority a pagare una sanzione di 66 mila euro. Sanzione levata per aver violato il Codice sulla "protezione dei dati personali".

Multa da 66 mila euro ad azienda che utilizza badge con l’impronta della mano

Dati biometrici trattati in violazione

Una società, attiva nel settore della raccolta dei rifiuti, e stata condannata dall’Authority a pagare una multa da 66 mila euro. Sanzione levata per aver violato il Codice sulla “protezione dei dati personali”.

La società aveva installato un sistema di raccolta dei dati biometrici della mano, per rilevare le presenze dei dipendenti.

Azione che secondo il Tribunale, in contestazione al Garante, non provava il trattamento dei dati in violazione della disciplina di settore.

Per i giudici di prima istanza, infatti, le apparecchiature non prelevavano e non trattavano i dati, utilizzati come «individualizzanti e non come identificanti». In più non esisteva alcuna banca dati. Ragion per cui, andava escluso il “trattamento” e non scattava la tutela prevista dal Codice.

Cassazione_25686-2018

Multa da 66 mila Euro

La Cassazione è stata di diverso avviso ed ha analizzato, accogliendo il ricorso del Garante, il funzionamento del dispositivo finito nel mirino dell’Authority, asserendo che con il sistema utilizzato il dato biometrico relativo alla mano del lavoratore viene trasformato in un modello di 9 bytes, archiviato e associato ad un codice numerico, memorizzato in un badge.

Ad ogni utilizzo del cartellino il sistema é in grado di verificare che il badge che si sta usando è della stessa mano utilizzata per configurarlo.

La Suprema corte ricorda che il Codice definisce “trattamento” , qualunque operazione che riguardi «la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati».

E dato personale è qualunque informazione relativa ad una persona fisica, identificata o identificabile, anche indirettamente, attraverso altre informazioni: compreso il numero.

In Conclusione

Per finire, sono dati identificativi tutti quelli che permettono di “riconoscere” direttamente l’interessato.

La norma considera, espressamente, irrilevante, ai fini del trattamento, la mancata registrazione in una banca dati «essendo sufficiente anche un’attività di raccolta ed elaborazione temporanea».

Fonte: Federprivacy

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.