REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
LA CORTE SUPREMA DI CASSAZIONE
PRIMA SEZIONE CIVILE
Composta dagli Ill.mi Sigg.ri Magistrati:
Dott. GENOVESE Francesco Antonio – Presidente –
Dott. SCOTTI Umberto Luigi Cesare Giuseppe – Consigliere –
Dott. IOFRIDA Giulia – Rel. Consigliere –
Dott. VALENTINO Daniela – Consigliere –
Dott. PARISE Clotilde – Consigliere –
ha pronunciato la seguente:
ORDINANZA
sul ricorso iscritto al n.31530/2020 R.G. proposto da:
(OMISSIS) SRL, elettivamente domiciliato in ROMA VIA (OMISSIS) (OMISSIS) n. 13, presso lo studio dell’avvocato (OMISSIS) ANTONIO che lo rappresenta e difende unitamente all’avvocato (OMISSIS) LUCA
-ricorrente-
contro
AUTORITÀ GARANTE PER LA PROTEZIONE DEI DATI PERSONALI, elettivamente domiciliato in ROMA VIA DEI PORTOGHESI 12, presso lo studio dell’avvocato AVVOCATURA GENERALE DELLO STATO. che lo rappresenta e difende,
-controricorrente-
avverso SENTENZA di TRIBUNALE BIELLA n. 4/2020 depositata il 03/03/2020.
Udita la relazione svolta nella camera di consiglio del 20/02/2023 dal Consigliere Dott.ssa GIULIA IOFRIDA.
FATTI DI CAUSA
Il Tribunale ordinario di Biella, con sentenza n. 4/2020 pubblicata il 3/3/2020, ha respinto l’opposizione della (OMISSIS) srl, società produttrice, in stabilimento in (OMISSIS)-(OMISSIS) (BI), di tessuti tecnici, avverso ordinanza ingiunzione n. 106 del 22/2/2018 del Garante per la protezione dei dati personali, con la quale si era accertato che la (OMISSIS) aveva utilizzato, «dalla fine di ottobre 2004», un sistema, acquistato dal fornitore (OMISSIS) srl, di rilevamento biometrico dell’impronta digitale, al fine di registrare le presenze giornaliere dei propri dipendenti, integrante trattamento di dati biometrici, al di fuori dei casi di esonero prescritti, in assenza di presentazione di istanza della società di verifica preliminare ai sensi dell’art. 17 d.lgs. 196/2003 e di notifica al Garante ai sensi degli artt. 37 e 38 della stessa legge.
I giudici del Tribunale hanno, in particolare, ritenuto irrilevante il rapporto negoziale interno tra la società opponente e l’impresa venditrice dei dispositivi in oggetto, gravando esclusivamente sulla prima, in qualità di datore di lavoro titolare del trattamento ai sensi dell’art. 4, comma 2, lett.f) e 28 del Codice, le «esigibili determinazioni in ordine al trattamento dei dati personali dei propri dipendenti» e rilevato, quanto all’elemento soggettivo, che, in tema di sanzioni amministrative, era sufficiente l’accertamento della volontarietà e consapevolezza della condotta, nella specie omissiva, almeno sub specie di colpa, da presumersi: la circostanza per cui il sistema di rilevamento a mezzo impronte digitali era stato offerto come «upgrade gratuita» era irrilevante, essendosi la società comunque determinata a farne uso senza procedere alla richiesta di verifica preliminare ed alle necessarie notifiche al Garante, sebbene l’informativa commerciale facesse esplicito riferimento all’uso di dati biometrici.
Avverso la suddetta pronuncia, la (OMISSIS) srl propone ricorso per cassazione, notificato il 7/12/2020, affidato ad un motivo, nei confronti dell’ Autorità Garante per la Protezione dei Dati Personali (che resiste con controricorso, notificato 22/1/21).
La ricorrente ha depositato memoria.
RAGIONI DELLA DECISIONE
1. La ricorrente lamenta, con unico motivo, sia la violazione di legge, ex art.360 n. 3 c.p.c., sia l’omesso esame di fatto decisivo, ex art.360 n. 5 c.p.c., in punto di sussistenza di un errore di fatto scusabile ex art. 3 , comma 2, l.689/1981, in ordine al fatto, dedotto nel corpo del ricorso introduttivo, dell’assenza di informazioni tecniche fornite dal proprio venditore (la (OMISSIS) srl) sulle modalità di utilizzo e sugli adempimenti necessari e preventivi per attivare l’apparecchio tramite impronta digitale.
2. La censura è inammissibile, in parte, ed infondata, in altra parte.
Anzitutto, non ricorre il vizio lamentato di omesso esame di fatto decisivo oggetto di discussione tra le parti, in quanto il Tribunale ha preso in esame l’eccezione di errore scusabile, rilevando sia che era ininfluente, in relazione all’oggetto del giudizio (impugnazione di provvedimento sanzionatorio del Garante), il rapporto interno tra la società opponente ed il proprio fornitore delle apparecchiature, vertendosi in tema di omesse verifiche e notifiche da parte del titolare del trattamento dei dati personali, sia che la condotta richiesta era esigibile «in ragione della posizione di garanzia ricoperta dal datore di lavoro quale titolare del trattamento dei dati personali dei propri dipendenti, a fortiori, in considerazione della “professionalità qualificata” dello stesso».
La censura è poi infondata con riguardo all’invocata violazione di legge.
Questa Corte (Cass. 18292/2020; conf. a Cass 8184/2014) ha di recente statuito che «in tema di protezione dei dati personali, ai sensi dell’art. 28 del d.lgs. n. 196 del 2003 il titolare del trattamento è la persona giuridica e non il suo legale rappresentante o l’amministratore, venendo in rilievo un’autonoma responsabilità in deroga al principio dell’imputabilità personale della sanzione di cui alla l. n. 689 del 1981.
Tale responsabilità è fondata sul concetto di “colpa di organizzazione”, da intendersi, in senso normativo, come rimprovero derivante dall’inosservanza da parte dell’ente dell’obbligo di adottare le cautele, organizzative e gestionali, necessarie a prevenire la commissione degli illeciti».
L’art. 3 l.889/1981 stabilisce:
«Nelle violazioni cui è applicabile una sanzione amministrativa ciascuno è responsabile della propria azione od omissione, cosciente e volontaria, sia essa dolosa o colposa. Nel caso in cui la violazione è commessa per errore sul fatto, l’agente non è responsabile quando l’errore non è determinato da sua colpa».
Ora, l’esimente della buona fede, prevista dall’art. 3 legge n. 689 del 1981, in tema di sanzioni amministrative, non trova applicazione quando l’affidamento relativo alla liceità della condotta, dipende proprio dalla colpa consistita nella mancata verifica degli adempimenti richiesti in qualità di datore di lavoro titolare del trattamento dei dati personali dei propri dipendenti, cui competono, ai sensi dell’art. 4 del d.lgs. 196/2003 (e dal Reg. UE 679/2016, entrato in vigore nel maggio 2018, non applicabile alla fattispecie), le decisioni «in ordine alle finalità, alle modalità di trattamento ed agli strumenti utilizzati, ivi compreso il profilo della sicurezza».
Non è più in discussione l’utilizzo, nella fattispecie, da parte del datore di lavoro, di apparecchiature in grado di rilevare dati biometrici, intesi a identificare in modo univoco una persona fisica, il dipendente.
In merito proprio all’utilizzo di sistemi di rilevazione dei dati biometrici ai fini del controllo della presenza dei dipendenti sul luogo di lavoro, il Garante ha dettato un Provvedimento generale prescrittivo in tema di biometria, adottato il 12 novembre 2014, chiarendo che, qualora si intenda provvedere al trattamento di dati biometrici, sia necessario presentare al Garante una richiesta di verifica preliminare, ai sensi dell’ ́art. 17 del Codice, individuando altresì «talune tipologie di trattamento volte a scopi di riconoscimento biometrico (nella forma di identificazione biometrica o di verifica biometrica) o di sottoscrizione di documenti informatici (firma grafometrica) che, in considerazione delle specifiche finalità perseguite, della tipologia dei dati trattati e delle misure di sicurezza che possono essere concretamente adottate a loro protezione, presentano un livello di rischio ridotto», con conseguente esonero dall’obbligo di presentare la predetta istanza, a condizione che vengano adottate tutte le misure e gli accorgimenti tecnici idonei a raggiungere gli obiettivi di sicurezza individuati.
Nella specie, si è escluso che l’utilizzo contestato rientrasse nei casi di esonero.
In ogni caso, l’art.17 del Codice Privacy (nella versione applicabile alla fattispecie, anteriormente alle modifiche introdotte con d.lgs. 101 del 10/8/2018, di adeguamento del testo del d.lgs. 196/2003 al Reg. UE 2016/679, entrato in vigore il 25/5/2018) prescriveva, ai fini dell’ammissione del trattamento dei «dati diversi da quelli sensibili e giudiziari che presenta rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare», che le misure e gli accorgimenti necessari fossero prescritti dal Garante «nell’ambito di una verifica preliminare all’inizio del trattamento, effettuata anche in relazione a determinate categorie di titolari o di trattamenti, anche a seguito di un interpello del titolare».
Inoltre, l’art. 37 del d.lgs. 196/2003 prescriveva che il titolare del trattamento dovesse notificare al Garante il trattamento di dati personali cui intende procedere, se il trattamento riguarda «a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica».
Nella specie, alcuno degli adempimenti richiesti era stato posto in essere da (OMISSIS), il che integrava pienamente la condotta colposa contestata.
3. Per tutto quanto sopra esposto, va respinto il ricorso.
Le spese, liquidate come in dispositivo, seguono la soccombenza.
P.Q.M.
La Corte respinge il ricorso; condanna la ricorrente al rimborso delle spese processuali del presente giudizio di legittimità, liquidate in complessivi € 4.000,00, a titolo di compensi, oltre € 200,00 per esborsi, nonché al rimborso forfetario delle spese generali, nella misura del 15%, ed agli accessori di legge.
Ai sensi dell’art.13, comma 1 quater del DPR 115/2002, dà atto della ricorrenza dei presupposti processuali per il versamento da parte della ricorrente dell’importo a titolo di contributo unificato, pari a quello previsto per il ricorso, a norma del comma 1-bis dello stesso art. 13.
Così deciso, in Roma, nella camera di consiglio del 20 febbraio 2023.
Depositato in Cancelleria il 6 marzo 2023.