All′infuori dei casi in cui vi sia un apposito intervento del Garante per la protezione dei dati personali, è illegittimo, in assenza di uno specifico consenso del lavoratore interessato, l′utilizzo del sistema di rilevazione biometrica per il controllo dell′accesso ai luoghi di lavoro - cosiddetto lettore Handkey - basato sulla cattura di informazioni geometriche della mano del dipendente. Così ha stabilito l′ordinanza n. 13873/2023 della Cassazione civile. Cassazione civile, Sez. Lav., ordinanza 19 maggio 2023, n. 13873 Orientamenti giurisprudenziali Conformi: Cass. civ., sez. II, 15/10/2018, n. 25686 Difformi: Non si rinvengono precedenti Il Tribunale di Napoli accoglieva la domanda che B.G. aveva proposto contro la datrice di lavoro A. N. s.p.a., volta a sentir dichiarare illegittimo lutilizzo del sistema di rilevazione biometrica per il controllo dellaccesso ai luoghi di lavoro, ed ordinava alla convenuta l′interruzione dell′utilizzo del lettore Handkey nei confronti del B., mentre rigettava la domanda dello stesso attore tesa ad ottenere il risarcimento del danno asseritamente risentito per il medesimo comportamento, compensando le spese di lite. La Corte d′appello di Napoli rigettava l′appello che l′A. N. aveva proposto contro la decisione di primo grado. Per quanto qui interessa, la Corte territoriale, nel respingere l′unico motivo d′appello di A.S.I.A. Napoli, dopo aver descritto in dettaglio il sistema in questione che si basava sulla cattura di 96 informazioni geometriche della mano di ogni dipendente, richiamava una serie di provvedimenti adottati dal Garante per la protezione dei dati personali, ed in particolare il pronunciamento n. 4 del 10.1.2013, emanato dopo che era stato già introdotto il grado d′appello; e reputava di tutta evidenza che lo stesso Garante aveva riferito la legittimità del sistema biometrico in uso da parte della datrice di lavoro e alla rilevanza degli interessi del titolare del trattamento e alle concrete modalità di rilevazione che la società si era impegnata ad adottare e che erano idonee ad una efficace tutela del diritto alla riservatezza e alla dignità personale dei lavoratori, mentre aveva ritenuto non conforme a legge il trattamento effettuato, sino alla data del medesimo pronunciamento, dalla società dei dati della geometria della mano dei lavoratori in assenza del loro specifico consenso ovvero in assenza di altro presupposto alternativo di liceità. Avverso tale decisione, l′A. N. s.p.a. ha proposto ricorso per cassazione. Con il primo motivo, la ricorrente denuncia: Violazione e falsa applicazione degli artt. 3 e 11 del d.lgs. 196/2003 in relazione agli artt. 14, 16, 17 e 41 Cost. ed all′art. 360 comma 3 c.p.c.. Premette che La Corte napoletana, nella pronuncia impugnata, pur riconoscendo la natura peculiare del caso di specie, ritiene illegittimo l′utilizzo dello strumento biometrico da parte di ASIA, per assenza di uno specifico consenso al trattamento dei dati biometrici, confermando l′interruzione dell′uso del lettore Handkey II nei confronti del sig. B.G., unico tra i dipendenti ad aver ottenuto una pronuncia giudiziale di tal segno. Secondo l′impugnante, però, l′opzione ermeneutica della Corte territoriale, configura un′applicazione del D.lgs. 196/2003 che si pone in contrasto con il diritto alla sicurezza garantito dagli artt. 14, 16, 17 e 41 Cost., e che prescinde da una valutazione sul bilanciamento degli interessi giuridicamente rilevanti che nella fattispecie si pongono in contrasto. La Suprema Corte, nel dichiarare inammissibile il motivo, ha richiamato il seguente passaggio motivazionale della sentenza della Corte d′Appello: L′utilizzo di sistemi biometrici rientra, pertanto, tra i trattamenti che presentano rischi specifici per i diritti, le libertà fondamentali e la dignità dell′interessato (omissis). Con specifico riguardo alla fattispecie in esame, la valutazione circa la legittimità del trattamento biometrico non può prescindere dal pronunciamento n. 4 del 10.1.2013 del Garante per la Privacy, espressamente richiamato ed esaminato nei precedenti della Corte depositati dalla società appellante e, per tale via acquisito agli atti. Dal seguito della motivazione dell′impugnata sentenza si trae chiaramente che la Corte d′appello abbia condiviso il provvedimento del Garante per la protezione dei dati personali per quanto riguarda la declaratoria di non conformità a legge del trattamento dei dati biometrici in questione effettuato dalla società datrice di lavoro fino alla data del provvedimento stesso, e quindi fino al 10.1.2013. Come si è già visto, anche la Corte d′appello aveva, infatti, concluso che il consenso indicato dall′azienda non potesse reputarsi specifico, come richiesto dall′art. 23, comma 3, d.lgs. n. 196/2003, perché non riferito all′utilizzazione dello strumento di rilevazione biometrica. In difetto di tale consenso, perciò, veniva in considerazione il successivo art. 24 dello stesso decreto (poi abrogato), che disciplinava appunto i Casi nei quali può essere effettuato il trattamento senza consenso. I Supremi Giudici hanno evidenziato che l′intera fattispecie era assoggettata ratione temporis alla disciplina in materia di protezione dei dati personali di cui al d.lgs. n. 196/2003 nel testo anteriore al regime derivato dall′entrata in vigore del Regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che aveva abrogato la direttiva 95/46/CE circa la stessa materia. La Corte territoriale, inoltre, aveva tenuto conto che non era applicabile al caso anche il testo dell′art. 4L. n. 300/1970, come novellato dall′art. 23d.lgs. n. 151/2015. Ed anche la Corte d′appello ha riscontrato che nella specie, in difetto di consenso specifico, non ricorresse fino alla data del provvedimento del Garante per la privacy altro presupposto alternativo di liceità ex art. 24 del Codice per la protezione dei dati personali. Pertanto, la stessa Corte ha concluso che: tenuto conto che non vi è prova che la A. abbia adottato le tessere magnetiche di prossimità Mifire (sul punto, peraltro, la società appellante non ha opposto alcuna difesa), individuate dal pronunciamento, il sistema di rilevazione biometrica deve ritenersi illegittimo. Nello sviluppo del primo motivo la ricorrente assume, tra l′altro, che la sentenza impugnata avrebbe ignorato la decisione del Garante della Privacy n. 4 del 10.01.2013, relativa proprio al caso di A. N. S.p.a.. Al contrario, come appare evidente da quanto sin qui esposto, la stessa Corte ha espresso la propria valutazione giuridica del caso in termini adesivi rispetto a quanto ritenuto nel frattempo da detto Garante in relazione allo stesso caso giusta apposito provvedimento. Assume ancora la ricorrente che la Corte napoletana ha del tutto disatteso l′esito del bilanciamento delle opposte esigenze meticolosamente effettuato dall′Autorità Garante. A riguardo, occorre precisare che i provvedimenti di tale apposita Autorità non sono ovviamente vincolanti per l′autorità giudiziaria ordinaria. Ma, soprattutto, si deve sottolineare che il cit. art. 24d.lgs. n. 196/2003 elencava ed individuava in dettaglio i casi nei quali il consenso dell′interessato al trattamento dei dati non è richiesto. Tuttavia, la ricorrente nemmeno, a quanto consta, aveva allegato che il trattamento in questione rientrasse in uno di quei casi, e tuttora non riconduce lo stesso ad una di dette ipotesi. Come si è visto, la Corte territoriale aveva sì constatato che il Garante aveva disposto che, ai sensi dell′art. 24, comma 1, lett. g), del Codice, l′A.N. S.p.A., potesse trattare, senza il consenso degli interessati e per le sole finalità di rilevazione delle presenze, i dati della geometria della mano dei lavoratori, a condizione che ciò avvenga nel rigoroso rispetto delle modalità indicate dalla società e degli accorgimenti che la stessa si era impegnata ad adottare, con particolare riferimento alla memorizzazione dei dati (template) su un supporto posto nell′esclusiva disponibilità dei dipendenti. Ebbene, l′ipotesi di cui all′art. 24, comma 1, lett. g), cit. era quella in cui il trattamento con esclusione della diffusione, è necessario, nei casi individuati dal Garante sulla base dei principi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, anche in riferimento all′attività di gruppi bancari e di società controllate o collegate, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell′interessato. Si trattava, perciò, di ipotesi che contemplava un previo ed apposito intervento del Garante circa l′individuazione dei casi nei quali il trattamento risultava necessario senza il consenso dell′interessato. Comunque, tutto ciò valeva dalla data della pronuncia dello stesso provvedimento, e cioè dal 10.1.2013. Per tutto il periodo anteriore, che è quello che interessava in causa, la Corte territoriale, come lo stesso Garante, ha constatato che non ricorreva nessuno dei casi nei quali, a termini dell′art. 24 più volte cit., poteva non essere necessario il consenso dell′interessato. Esito: Rigetto