Il 6 marzo scorso la Corte di Cassazione ha avuto modo di esprimersi in ordine ad una sanzione di ventimila euro irrogata dal Garante Privacy nel 2018 ad una azienda che, dal 2004, rilevava le presenze dei propri dipendenti tramite le impronte digitali degli stessi.
Evidentemente la fattispecie riguardava fatti accaduti prima dell’entrata in vigore del Regolamento europeo nr. 679/2016 avvenuta nel 2018. Ciò nonostante, la decisone in commento è rilevante perché i principi enunciati dalla Suprema Corte sono ancor più attuali dopo l’entrata in vigore del GDPR.
La Corte, in particolare, ha affermato che in tema di privacy il responsabile del trattamento illecito è la società datrice di lavoro e non il suo amministratore e che tale responsabilità deriva dalla cosiddetta <<colpa di organizzazione>> derivante dalla mancata osservanza da parte dell’ente dell’obbligo di adottare le necessarie cautele destinate a prevenire la commissione di illeciti.
Il secondo principio è estremamente rilevante anche nel nuovo regime normativo dettato dal GDPR e cioè che il divieto di trattare dati biometrici ha base giuridica che lo legittima solo se previsto da norma di legge o di contratto collettivo, non trovando alcuna giustificazione neppure nell’espresso consenso dei dipendenti.
Lo Studio resta a disposizione per ogni chiarimento che fosse necessario.
Cordiali saluti.
(Avv. Giampiero Pino) (Avv. Eleonora Lepri)
