TRIB
Sentenza 17 giugno 2025
Sentenza 17 giugno 2025
Commentari • 0
Sul provvedimento
| Citazione : | Trib. Salerno, sentenza 17/06/2025, n. 2679 |
|---|---|
| Giurisdizione : | Trib. Salerno |
| Numero : | 2679 |
| Data del deposito : | 17 giugno 2025 |
Testo completo
N. R.G. 4147/2018
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
TRIBUNALE ORDINARIO di SALERNO
Prima Sezione Civile
Il Tribunale, nella persona del Giudice Onorario, Cosimina D'Ambrosio ha pronunciato la seguente
SENTENZA nella causa civile di I Grado iscritta al n. r.g. 4147/2018
Promossa da
(C.F. ), in persona del legale Parte_1 P.IVA_1
rappresentante p.t., rappresentato e difeso, congiuntamente e disgiuntamente dall'avv. Prof. Giovanni Maria Riccio e dall'avv. Emilio Costantino, in virtù di procura in calce al ricorso e delibera di G.M. n. 28 del 27/04/2018, ed elett.te domiciliati in Salerno, alla Via Gelso, n. 39 presso lo studio dell'avv. Emilio
Costantino,;
- opponente-
contro
C.F. , in persona Controparte_1 P.IVA_2
del legale rappresentante p.t., rappresentato e difeso dall'Avvocatura
Distrettuale dello Stato di Salerno, presso cui domicilia, ope legis, al C.so
Vittorio Emanuele, 58;
- opposto-
Oggetto: opposizione avverso ordinanza ingiunzione
Conclusioni: come da verbale di udienza
1 Svolgimento del processo
Con ricorso iscritto a ruolo in data 7/5/2018 e udienza fissata per la data del
28/9/2018, il esponeva che in data 27/5/2015 Parte_1
il GPDP, con comunicazione prot. 15625/98345, indirizzava una richiesta di informazioni al Comune, scaturita da una segnalazione con la quale si lamentava che presso il Comune stesso sarebbe stato installato “un sistema di rilevazione dei dati biometrici dei dipendenti (in particolare tratti dall'impronta digitale) in violazione della disciplina in materia di protezione dei dati personali); che il GPDP chiedeva al Comune di fornire alcune delucidazioni sull'uso del dispositivo;
che il Comune con nota del 15/7/2015
replicava alla richiesta di informazioni nei termini stabiliti, specificando che il dispositivo era stato in uso nell'anno 2010; che l'esigenza di adottare tale dispositivo di rilevazione delle presenze rispettava le “specifiche esigenze di sicurezza delle persone e beni in quanto in linea con i doveri propri dei dipendenti;
che ai dipendenti era stata fornita un'idonea informativa relativa al trattamento dei loro dati personali e che il dispositivo di rilevazione delle presenze era conforme alle prescrizioni normative;
che, da tale documento, si evinceva chiaramente che l'acquisizione dei dati avveniva una sola volta per la registrazione del soggetto tramite sensore tattile ad infrarossi;
che, in particolare, il dispositivo (denominato Terminale Bio Gold) non funzionava in modalità di identificazione e che il dispositivo non archiviava i dati raccolti in sede di rilevazione della presenza, atteso che il modello archiviato,
ottenuto mediante l'algoritmo, era un numero senza significato correlabile ai dati fisici del soggetto;
che, da tali precisazioni, risultava evidente che i dati raccolti non avevano natura personale, non essendo possibile l'identificazione di alcun soggetto per mezzo dei soli dati raccolti dal dispositivo;
che il GPDP,
con provvedimento n. 129 del 17 marzo 2016 rilevava, però, la presunta illiceità del trattamento dei dati (ritenuti dall'Autorità di natura biomedica)
2 del personale dipendente, vietando al Comune l'ulteriore trattamento dei dati medesimi;
che il provvedimento in esame, tuttavia, riteneva erroneamente che il avrebbe trattato, per finalità di rilevazione delle Pt_1
presenze i dati biometrici dei propri dipendenti;
che tale conclusione era in contrasto con quanto riferito alla società la cui relazione era Parte_2
però richiamata al punto 1.3 del provvedimento nel quale si ammetteva che i dati raccolti, tratti dall'impronta digitale, erano “conservati all'interno di dispositivi (tessere plastificate, schede ottiche o smart card) consegnati agli interessati” e dunque sottratti alla conservazione e alla disponibilità del che il garante concludeva affermando la violazione dell'art. 17 Pt_1
codice Privacy;
che il facendo seguito alla notifica del garante Pt_1
provvedeva immediatamente all'ottemperanza di quanto disposto nel provvedimento, disattivando il sistema “Win Gold” di rilevazione delle presenze;
che, con provvedimento del 10 giugno 2016 il Garante contestava al
Comune di la violazione delle disposizione di cui Parte_1
all'art. 167 del Codice Privacy;
quella dell'art. 17, comma 2, in relazione alla mancata presentazione di apposita istanza di verifica preliminare per il trattamento dei dati biometrici effettuato nonché la violazione degli artt. 37 e
38 dello stesso codice;
in relazione all'omessa notificazione al Garante del medesimo trattamento di dati biometrici, sanzionando il stesso nella Pt_1
misura di € 20.000,00 con riferimento alla prima violazione ed € 40.000,00 con riferimento all'altra; che veniva depositata memoria difensiva;
che in data
6/4/2018 il garante notificava al ordinanza ingiunzione sanzionando Pt_1
il comune per € 10.000,00 quanto alla prima violazione e di € 20.000,00 quanto alla seconda.
Deduceva, in diritto, il Comune definendo il “dato Biometrico” e il “Dato
Personale” e che non rientravano in tali nozioni quei dati che non permettevano di identificare un soggetto;
che tali erano i dati catturati dal
3 dispositivo in uso al Comune in quanto si trattava di porzione di impronta che di per sé non aveva una capacità identificativa autonoma e, che, di conseguenza, non aveva applicazione il Codice della Privacy;
che doveva essere correttamente individuata la portata applicativa della formulazione di cui all'art. 37 Codice Privacy, laddove imponeva l'obbligo di notifica al garante per “i dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica”; che, di conseguenza, alcun obbligo di comunicazione sussisteva nel caso in esame nel quale non si realizzava una raccolta di dati che consentisse una identificazione univoca di un soggetto;
che, per quanto riguardava l'art. 17 Codice Privacy, la norma si basava su due presupposti: il trattamento doveva coinvolgere dati altri rispetto a quelli sensibili e giudiziari e che il trattamento doveva presentare rischi specifici per i diritti e le libertà fondamentali e per la dignità del soggetto interessato;
che, tale ipotesi non era applicabile al caso concreto in quanto il dispositivo non solo non memorizzava i dati, ma anche che le tracce delle impronte raccolte dal dispositivo da sole non riuscivano ad identificare l'individuo; che, pertanto,
nessun rischio specifico sussisteva per l'utilizzo del dispositivo determinando l'inapplicabilità, alla fattispecie, dell'art. 17 del Codice Privacy;
sul rapporto tra verifica preliminare e notifica il ricorrente aveva già fatto notare nella fase in autotutela che il trattamento non riguardava dati personali che pertanto alcuna notifica era necessaria;
in merito invece all'applicabilità dell'art. 164
Codice Privacy riteneva al più applicabile l'art. 164 bis stante il ridottissimo numero dei soggetti coinvolti (appena 7) e che la mancata memorizzazione e le ulteriori utilizzazioni dei dati raccolti a mezzo del dispositivo era esclusa dallo stesso funzionamento del dispositivo;
che, anche in merito alla misura della sanzione, occorreva considerare che il aveva dismesso il Pt_1
dispositivo non appena ricevuto la notifica del primo provvedimento
4 dell'Autorità.
Stante che era un piccolo comune, con non più di 2.500 Parte_1
abitanti, chiedeva per l'elevata misura della sanzione, che ne venisse sospesa l'esecutività, tanto esposto ricorreva innanzi all'intestato Tribunale affinchè,
previa sospensione dell'esecutività del provvedimento impugnato e previa fissazione udienza, sentir, in via principale, dichiarare la legittimità
dell'utilizzo del terminale denominato e l'insussistenza degli Pt_3
obblighi di cui agli artt. 17 e 34 C. Privacy;
per l'effetto dichiarare la nullità,
l'illegittimità e/o l'ingiustizia dell'ordinanza impugnata e, quindi revocarla,
in subordine, applicare esclusivamente la sanzione di cui all'art. 162 bis in combinato disposto con l'art. 17 Codice Privacy nella misura minima prevista, sempre in via subordinata ridurre la sanzione con vittoria di spese di giudizio.
In data 18/9/2018 si costituiva il Garante per la Protezione dei Dati Personali il quale confutava ogni assunto del ed Parte_1
assumeva che il Comune aveva utilizzato il sistema biometrico di rilevamento delle impronte digitali a partire dal 2010, effettuando trattamenti di dati personali di natura biometrica dei propri dipendenti al fine di registrarne la presenza in servizio;
che il con riferimento agli adempimenti cui era Pt_1
tenuto il titolare del trattamento, sulla base di quanto disposto dagli artt. 37,
comma 1, lett. a) e 38 del Codice per il trattamento di dati biometrici, non ha adempiuto all'obbligo di notificazione al Garante;
che, il caso in esame, non rientrava nelle ipotesi per le quali il titolare del trattamento era esonerato dall'obbligo di presentare istanza di verifica preliminare, ai sensi dell'art. 17
del Codice;
che, nel caso di specie, dall'analisi degli elementi istruttori era emerso, invece, che il comune ricorrente non aveva sospeso il trattamento dei dati di natura biometrica, né aveva adempiuto all'obbligo di presentazione al
Garante dell'istanza di “verifica preliminare” in violazione dell'art. 17 del
5 codice, non osservando le citate disposizioni del provvedimento del Garante
n. 513 del 2014; che, ai sensi dell'art. 162, comma 2-bis, del Codice, la violazione delle disposizioni indicate nell'art.167 del medesimo Codice,
specificamente dell'art. 17 per mancato assolvimento dell'obbligo di presentazione di apposita istanza di verifica preliminare relativa al trattamento dei dati biometrici dei dipendenti - effettuato fino al 14 aprile
2016 - finalizzato al rilevamento della presenza degli stessi in servizio;
che ai sensi dell'art. 163 del Codice, la violazione delle disposizioni degli artt. 37,
comma 1, lettera a) e 38 del medesimo Codice per il mancato assolvimento dell'obbligo di notificazione al Garante in relazione al suddetto trattamento dei dati biometrici, concludeva, affinché l'adito Tribunale volesse “In via preliminare dichiarare inammissibile il ricorso;
in subordine, nel merito,
respingersi il proposto ricorso e, conseguentemente, confermarsi l'ordinanza ingiunzione impugnata;
con vittoria delle spese di giudizio”.
In assenza di attività istruttoria la causa veniva rinviata per la discussione
Dopo alcuni rinvii nello stato, veniva, da questo giudicante rinviata, sempre per la discussione, alla udienza del 17/06/2025
Alla odierna udienza, sulle conclusioni delle parti, la causa è stata decisa con contestuale deposito delle motivazioni.
Motivi della decisione
Va considerato che parte opponente ha esposto di aver installato, all'interno dell'ente, un sistema biometrico di riconoscimento dei propri dipendenti basato sulle impronte digitali, con finalità di accertamento delle presenze dei dipendenti, sostenendo che il rilevamento delle impronte digitali era previsto non allo scopo di registrate i loro dati biometrici, ma solo gli orari di ingresso e uscita;
che tale sistema non consentiva di conservare l'immagine dell'impronta digitale dell'interessato, in quanto generava un modello caratteristico criptato diretto ad individuare algoritmicamente l'utente unico
6 dato memorizzato nel sistema informativo “aziendale”.
Eppure dati estrapolati mediante sistemi biometrici sono per loro natura direttamente collegati ad una determinata persona fisica e le operazioni concernenti le impronte digitali ed i dati biometrici dalle stesse ricavati, sia con riguardo alla fase di raccolta, sia con riferimento alla successiva memorizzazione ed utilizzo per le operazioni di verifica e raffronto nell'ambito di procedure di autenticazione, integrano, a tutti gli effetti, un trattamento dei dati personali che deve avvenire nel rispetto dei vincoli di legge, senza che sia necessaria la costituzione di una specifica banca dati.
Il dato, anche se acquisito in forma di template, ossia di modello matematico,
costituisce una informazione relativa ad una persona fisica identificata o identificabile attraverso uno o più elementi specifici caratteristici della sua identità fisica.
Perché possa essere integrata la nozione di trattamento rilevante ai fini dell'obbligo di notifica al Garante non è necessaria la memorizzazione delle impronte digitali costituenti i dati biometrici trattati, ma è sufficiente anche un'attività di raccolta ed elaborazione temporanea, quale è quella descritta da parte ricorrente.
Inoltre, il Garante ha colto più occasioni per precisare – e ribadire – che non esiste alcuna norma che consenta l'utilizzo di dati biometrici dei dipendenti (come impronte digitali, fisionomia del volto, linee della mano ecc.) per rilevare la loro presenza sul luogo di lavoro.
L'utilizzo di tali dati nell'ordinaria gestione del rapporto di lavoro (come la rilevazione delle presenze) non è conforme ai principi di minimizzazione e proporzionalità del trattamento.
Per tale attività possono essere, infatti, utilizzati strumenti meno invasivi di quelli biometrici (come il badge o le verifiche dirette), che trattano i soli dati personali dei dipendenti.
7 Anche la circostanza, come asserita dall'opponente, che il fornitore del dispositivo di rilevamento biometrico abbia prodotto una dichiarazione di conformità del sistema al GDPR non fa certamente venir meno la responsabilità dell'ente che ne ha richiesto l'installazione di effettuare le verifiche del caso, alla luce del principio di accountability.
Pertanto, appaiono prive di fondamento le eccezioni presentate dal Pt_1
stante la circostanza dell'effettivo utilizzo del dispositivo di rilevamento.
Così come appare congrua la misura delle sanzioni al minimo edittale, come applicato dal garante, stante che traspare la buona fede nell'utilizzo del dispositivo per contrastare la lotta all'assenteismo e la carenza di conoscenza delle norme sulla privacy vigenti e cogenti.
Per tali motivi si rigetta l'opposizione con conseguente conferma dell'ordinanza ingiunzione n. 124/18.
Inoltre, si ritiene applicabile il D.lgs. 30 giugno 2003, n. 196, all'epoca vigente oggi abrogato, stante il principio del favor rei e la entità delle sanzioni più
favorevole per il trasgressore.
Si ritiene, stante la evidente buona fede del ed il fatto di aver Pt_1
disinstallato in breve tempo il dispositivo, stante la complessità della materia in oggetto, di natura tecnica, e l'evoluzione giurisprudenziale possa darsi corso alla compensazione delle spese legali.
PQM
Il Tribunale di Salerno, - Prima Sezione Civile- definitivamente pronunciando nella causa civile iscritta al n. 4147/2018 r.g. tra Parte_1
in persona del Sindaco Legale rapp.te p.t. –Opponente- e Garante
[...]
per la Protezione dei Dati Personali, in persona del legale rapp.te p.t. –
Opposto- ogni altra istanza, eccezione, deduzione reietta o assorbita così
provvede:
8 1) Rigetta il ricorso proposta dal e, per Parte_1
l'effetto, conferma l'Ordinanza Ingiunzione n. 124 del 01/03/2018 del
Garante per la Protezione dei Dati Personali;
2) Compensa integralmente le spese di giudizio fra le parti.
Salerno lì, 17/06/2025
Il GOP
Cosimina D'Ambrosio
9
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
TRIBUNALE ORDINARIO di SALERNO
Prima Sezione Civile
Il Tribunale, nella persona del Giudice Onorario, Cosimina D'Ambrosio ha pronunciato la seguente
SENTENZA nella causa civile di I Grado iscritta al n. r.g. 4147/2018
Promossa da
(C.F. ), in persona del legale Parte_1 P.IVA_1
rappresentante p.t., rappresentato e difeso, congiuntamente e disgiuntamente dall'avv. Prof. Giovanni Maria Riccio e dall'avv. Emilio Costantino, in virtù di procura in calce al ricorso e delibera di G.M. n. 28 del 27/04/2018, ed elett.te domiciliati in Salerno, alla Via Gelso, n. 39 presso lo studio dell'avv. Emilio
Costantino,;
- opponente-
contro
C.F. , in persona Controparte_1 P.IVA_2
del legale rappresentante p.t., rappresentato e difeso dall'Avvocatura
Distrettuale dello Stato di Salerno, presso cui domicilia, ope legis, al C.so
Vittorio Emanuele, 58;
- opposto-
Oggetto: opposizione avverso ordinanza ingiunzione
Conclusioni: come da verbale di udienza
1 Svolgimento del processo
Con ricorso iscritto a ruolo in data 7/5/2018 e udienza fissata per la data del
28/9/2018, il esponeva che in data 27/5/2015 Parte_1
il GPDP, con comunicazione prot. 15625/98345, indirizzava una richiesta di informazioni al Comune, scaturita da una segnalazione con la quale si lamentava che presso il Comune stesso sarebbe stato installato “un sistema di rilevazione dei dati biometrici dei dipendenti (in particolare tratti dall'impronta digitale) in violazione della disciplina in materia di protezione dei dati personali); che il GPDP chiedeva al Comune di fornire alcune delucidazioni sull'uso del dispositivo;
che il Comune con nota del 15/7/2015
replicava alla richiesta di informazioni nei termini stabiliti, specificando che il dispositivo era stato in uso nell'anno 2010; che l'esigenza di adottare tale dispositivo di rilevazione delle presenze rispettava le “specifiche esigenze di sicurezza delle persone e beni in quanto in linea con i doveri propri dei dipendenti;
che ai dipendenti era stata fornita un'idonea informativa relativa al trattamento dei loro dati personali e che il dispositivo di rilevazione delle presenze era conforme alle prescrizioni normative;
che, da tale documento, si evinceva chiaramente che l'acquisizione dei dati avveniva una sola volta per la registrazione del soggetto tramite sensore tattile ad infrarossi;
che, in particolare, il dispositivo (denominato Terminale Bio Gold) non funzionava in modalità di identificazione e che il dispositivo non archiviava i dati raccolti in sede di rilevazione della presenza, atteso che il modello archiviato,
ottenuto mediante l'algoritmo, era un numero senza significato correlabile ai dati fisici del soggetto;
che, da tali precisazioni, risultava evidente che i dati raccolti non avevano natura personale, non essendo possibile l'identificazione di alcun soggetto per mezzo dei soli dati raccolti dal dispositivo;
che il GPDP,
con provvedimento n. 129 del 17 marzo 2016 rilevava, però, la presunta illiceità del trattamento dei dati (ritenuti dall'Autorità di natura biomedica)
2 del personale dipendente, vietando al Comune l'ulteriore trattamento dei dati medesimi;
che il provvedimento in esame, tuttavia, riteneva erroneamente che il avrebbe trattato, per finalità di rilevazione delle Pt_1
presenze i dati biometrici dei propri dipendenti;
che tale conclusione era in contrasto con quanto riferito alla società la cui relazione era Parte_2
però richiamata al punto 1.3 del provvedimento nel quale si ammetteva che i dati raccolti, tratti dall'impronta digitale, erano “conservati all'interno di dispositivi (tessere plastificate, schede ottiche o smart card) consegnati agli interessati” e dunque sottratti alla conservazione e alla disponibilità del che il garante concludeva affermando la violazione dell'art. 17 Pt_1
codice Privacy;
che il facendo seguito alla notifica del garante Pt_1
provvedeva immediatamente all'ottemperanza di quanto disposto nel provvedimento, disattivando il sistema “Win Gold” di rilevazione delle presenze;
che, con provvedimento del 10 giugno 2016 il Garante contestava al
Comune di la violazione delle disposizione di cui Parte_1
all'art. 167 del Codice Privacy;
quella dell'art. 17, comma 2, in relazione alla mancata presentazione di apposita istanza di verifica preliminare per il trattamento dei dati biometrici effettuato nonché la violazione degli artt. 37 e
38 dello stesso codice;
in relazione all'omessa notificazione al Garante del medesimo trattamento di dati biometrici, sanzionando il stesso nella Pt_1
misura di € 20.000,00 con riferimento alla prima violazione ed € 40.000,00 con riferimento all'altra; che veniva depositata memoria difensiva;
che in data
6/4/2018 il garante notificava al ordinanza ingiunzione sanzionando Pt_1
il comune per € 10.000,00 quanto alla prima violazione e di € 20.000,00 quanto alla seconda.
Deduceva, in diritto, il Comune definendo il “dato Biometrico” e il “Dato
Personale” e che non rientravano in tali nozioni quei dati che non permettevano di identificare un soggetto;
che tali erano i dati catturati dal
3 dispositivo in uso al Comune in quanto si trattava di porzione di impronta che di per sé non aveva una capacità identificativa autonoma e, che, di conseguenza, non aveva applicazione il Codice della Privacy;
che doveva essere correttamente individuata la portata applicativa della formulazione di cui all'art. 37 Codice Privacy, laddove imponeva l'obbligo di notifica al garante per “i dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica”; che, di conseguenza, alcun obbligo di comunicazione sussisteva nel caso in esame nel quale non si realizzava una raccolta di dati che consentisse una identificazione univoca di un soggetto;
che, per quanto riguardava l'art. 17 Codice Privacy, la norma si basava su due presupposti: il trattamento doveva coinvolgere dati altri rispetto a quelli sensibili e giudiziari e che il trattamento doveva presentare rischi specifici per i diritti e le libertà fondamentali e per la dignità del soggetto interessato;
che, tale ipotesi non era applicabile al caso concreto in quanto il dispositivo non solo non memorizzava i dati, ma anche che le tracce delle impronte raccolte dal dispositivo da sole non riuscivano ad identificare l'individuo; che, pertanto,
nessun rischio specifico sussisteva per l'utilizzo del dispositivo determinando l'inapplicabilità, alla fattispecie, dell'art. 17 del Codice Privacy;
sul rapporto tra verifica preliminare e notifica il ricorrente aveva già fatto notare nella fase in autotutela che il trattamento non riguardava dati personali che pertanto alcuna notifica era necessaria;
in merito invece all'applicabilità dell'art. 164
Codice Privacy riteneva al più applicabile l'art. 164 bis stante il ridottissimo numero dei soggetti coinvolti (appena 7) e che la mancata memorizzazione e le ulteriori utilizzazioni dei dati raccolti a mezzo del dispositivo era esclusa dallo stesso funzionamento del dispositivo;
che, anche in merito alla misura della sanzione, occorreva considerare che il aveva dismesso il Pt_1
dispositivo non appena ricevuto la notifica del primo provvedimento
4 dell'Autorità.
Stante che era un piccolo comune, con non più di 2.500 Parte_1
abitanti, chiedeva per l'elevata misura della sanzione, che ne venisse sospesa l'esecutività, tanto esposto ricorreva innanzi all'intestato Tribunale affinchè,
previa sospensione dell'esecutività del provvedimento impugnato e previa fissazione udienza, sentir, in via principale, dichiarare la legittimità
dell'utilizzo del terminale denominato e l'insussistenza degli Pt_3
obblighi di cui agli artt. 17 e 34 C. Privacy;
per l'effetto dichiarare la nullità,
l'illegittimità e/o l'ingiustizia dell'ordinanza impugnata e, quindi revocarla,
in subordine, applicare esclusivamente la sanzione di cui all'art. 162 bis in combinato disposto con l'art. 17 Codice Privacy nella misura minima prevista, sempre in via subordinata ridurre la sanzione con vittoria di spese di giudizio.
In data 18/9/2018 si costituiva il Garante per la Protezione dei Dati Personali il quale confutava ogni assunto del ed Parte_1
assumeva che il Comune aveva utilizzato il sistema biometrico di rilevamento delle impronte digitali a partire dal 2010, effettuando trattamenti di dati personali di natura biometrica dei propri dipendenti al fine di registrarne la presenza in servizio;
che il con riferimento agli adempimenti cui era Pt_1
tenuto il titolare del trattamento, sulla base di quanto disposto dagli artt. 37,
comma 1, lett. a) e 38 del Codice per il trattamento di dati biometrici, non ha adempiuto all'obbligo di notificazione al Garante;
che, il caso in esame, non rientrava nelle ipotesi per le quali il titolare del trattamento era esonerato dall'obbligo di presentare istanza di verifica preliminare, ai sensi dell'art. 17
del Codice;
che, nel caso di specie, dall'analisi degli elementi istruttori era emerso, invece, che il comune ricorrente non aveva sospeso il trattamento dei dati di natura biometrica, né aveva adempiuto all'obbligo di presentazione al
Garante dell'istanza di “verifica preliminare” in violazione dell'art. 17 del
5 codice, non osservando le citate disposizioni del provvedimento del Garante
n. 513 del 2014; che, ai sensi dell'art. 162, comma 2-bis, del Codice, la violazione delle disposizioni indicate nell'art.167 del medesimo Codice,
specificamente dell'art. 17 per mancato assolvimento dell'obbligo di presentazione di apposita istanza di verifica preliminare relativa al trattamento dei dati biometrici dei dipendenti - effettuato fino al 14 aprile
2016 - finalizzato al rilevamento della presenza degli stessi in servizio;
che ai sensi dell'art. 163 del Codice, la violazione delle disposizioni degli artt. 37,
comma 1, lettera a) e 38 del medesimo Codice per il mancato assolvimento dell'obbligo di notificazione al Garante in relazione al suddetto trattamento dei dati biometrici, concludeva, affinché l'adito Tribunale volesse “In via preliminare dichiarare inammissibile il ricorso;
in subordine, nel merito,
respingersi il proposto ricorso e, conseguentemente, confermarsi l'ordinanza ingiunzione impugnata;
con vittoria delle spese di giudizio”.
In assenza di attività istruttoria la causa veniva rinviata per la discussione
Dopo alcuni rinvii nello stato, veniva, da questo giudicante rinviata, sempre per la discussione, alla udienza del 17/06/2025
Alla odierna udienza, sulle conclusioni delle parti, la causa è stata decisa con contestuale deposito delle motivazioni.
Motivi della decisione
Va considerato che parte opponente ha esposto di aver installato, all'interno dell'ente, un sistema biometrico di riconoscimento dei propri dipendenti basato sulle impronte digitali, con finalità di accertamento delle presenze dei dipendenti, sostenendo che il rilevamento delle impronte digitali era previsto non allo scopo di registrate i loro dati biometrici, ma solo gli orari di ingresso e uscita;
che tale sistema non consentiva di conservare l'immagine dell'impronta digitale dell'interessato, in quanto generava un modello caratteristico criptato diretto ad individuare algoritmicamente l'utente unico
6 dato memorizzato nel sistema informativo “aziendale”.
Eppure dati estrapolati mediante sistemi biometrici sono per loro natura direttamente collegati ad una determinata persona fisica e le operazioni concernenti le impronte digitali ed i dati biometrici dalle stesse ricavati, sia con riguardo alla fase di raccolta, sia con riferimento alla successiva memorizzazione ed utilizzo per le operazioni di verifica e raffronto nell'ambito di procedure di autenticazione, integrano, a tutti gli effetti, un trattamento dei dati personali che deve avvenire nel rispetto dei vincoli di legge, senza che sia necessaria la costituzione di una specifica banca dati.
Il dato, anche se acquisito in forma di template, ossia di modello matematico,
costituisce una informazione relativa ad una persona fisica identificata o identificabile attraverso uno o più elementi specifici caratteristici della sua identità fisica.
Perché possa essere integrata la nozione di trattamento rilevante ai fini dell'obbligo di notifica al Garante non è necessaria la memorizzazione delle impronte digitali costituenti i dati biometrici trattati, ma è sufficiente anche un'attività di raccolta ed elaborazione temporanea, quale è quella descritta da parte ricorrente.
Inoltre, il Garante ha colto più occasioni per precisare – e ribadire – che non esiste alcuna norma che consenta l'utilizzo di dati biometrici dei dipendenti (come impronte digitali, fisionomia del volto, linee della mano ecc.) per rilevare la loro presenza sul luogo di lavoro.
L'utilizzo di tali dati nell'ordinaria gestione del rapporto di lavoro (come la rilevazione delle presenze) non è conforme ai principi di minimizzazione e proporzionalità del trattamento.
Per tale attività possono essere, infatti, utilizzati strumenti meno invasivi di quelli biometrici (come il badge o le verifiche dirette), che trattano i soli dati personali dei dipendenti.
7 Anche la circostanza, come asserita dall'opponente, che il fornitore del dispositivo di rilevamento biometrico abbia prodotto una dichiarazione di conformità del sistema al GDPR non fa certamente venir meno la responsabilità dell'ente che ne ha richiesto l'installazione di effettuare le verifiche del caso, alla luce del principio di accountability.
Pertanto, appaiono prive di fondamento le eccezioni presentate dal Pt_1
stante la circostanza dell'effettivo utilizzo del dispositivo di rilevamento.
Così come appare congrua la misura delle sanzioni al minimo edittale, come applicato dal garante, stante che traspare la buona fede nell'utilizzo del dispositivo per contrastare la lotta all'assenteismo e la carenza di conoscenza delle norme sulla privacy vigenti e cogenti.
Per tali motivi si rigetta l'opposizione con conseguente conferma dell'ordinanza ingiunzione n. 124/18.
Inoltre, si ritiene applicabile il D.lgs. 30 giugno 2003, n. 196, all'epoca vigente oggi abrogato, stante il principio del favor rei e la entità delle sanzioni più
favorevole per il trasgressore.
Si ritiene, stante la evidente buona fede del ed il fatto di aver Pt_1
disinstallato in breve tempo il dispositivo, stante la complessità della materia in oggetto, di natura tecnica, e l'evoluzione giurisprudenziale possa darsi corso alla compensazione delle spese legali.
PQM
Il Tribunale di Salerno, - Prima Sezione Civile- definitivamente pronunciando nella causa civile iscritta al n. 4147/2018 r.g. tra Parte_1
in persona del Sindaco Legale rapp.te p.t. –Opponente- e Garante
[...]
per la Protezione dei Dati Personali, in persona del legale rapp.te p.t. –
Opposto- ogni altra istanza, eccezione, deduzione reietta o assorbita così
provvede:
8 1) Rigetta il ricorso proposta dal e, per Parte_1
l'effetto, conferma l'Ordinanza Ingiunzione n. 124 del 01/03/2018 del
Garante per la Protezione dei Dati Personali;
2) Compensa integralmente le spese di giudizio fra le parti.
Salerno lì, 17/06/2025
Il GOP
Cosimina D'Ambrosio
9