Ordinanza di Cassazione Civile Sez. 1 Num. 12967 Anno 2024
Civile Ord. Sez. 1 Num. 12967 Anno 2024
Presidente: GENOVESE NOME COGNOME
Relatore: COGNOME NOME
Data pubblicazione: 13/05/2024
ORDINANZA
sul ricorso iscritto al n. 801/2023 R.G. proposto da:
GARANTE PROTEZIONE DATI PERSONALI – RAGIONE_SOCIALE, in persona del legale rapp. p.t., domiciliato in INDIRIZZO, presso l’AVVOCATURA GENERALE DELLO STATO che lo rappresenta e difende ope legis.
-ricorrente-
contro
RAGIONE_SOCIALE, in persona del legale rapp.p.t., rappresentata e difesa, anche disgiuntamente dagli avvocati NOME COGNOME, NOME COGNOME, NOME COGNOME e NOME COGNOME, ed elettivamente domiciliata presso il secondo in Roma, INDIRIZZO, in forza di procura speciale alle liti in atti.
-controricorrente-
avverso la SENTENZA del TRIBUNALE di MILANO n. 8174/2022 depositata il 20/10/2022. Udita la relazione svolta nella camera di consiglio del 01/02/2024
dal Consigliere NOME COGNOME.
RILEVATO CHE:
1.1.- Con la sentenza impugnata, il Tribunale di RAGIONE_SOCIALE ha parzialmente accolto il ricorso proposto dalla RAGIONE_SOCIALE avverso il provvedimento n. 317 del 16 settembre 2021, adottato ai sensi degli artt. 78 Reg (UE) 2016/679 (d’ora in avanti anche, ‘Regolamento’), 152 del d.lgs. n. 196/2003 (Codice in materia di RAGIONE_SOCIALE dei RAGIONE_SOCIALE RAGIONE_SOCIALE, d’ora in avanti anche, ‘Codice’) e 10 del d.lgs. n. 150/2011, con il quale il RAGIONE_SOCIALE per la RAGIONE_SOCIALE dei RAGIONE_SOCIALE RAGIONE_SOCIALE (di seguito, il RAGIONE_SOCIALE), nel rilevare che un trattamento di RAGIONE_SOCIALE biometrici effettuato dalla ricorrente violava gli artt. 5, par. 1, lett. a), c) ed e), 6, 9, 13, 25, 35, 44 e 46, del Regolamento, nonché 2sexies del Codice, aveva disposto, nei confronti dell’RAGIONE_SOCIALE , prescrizioni atte a conformare il trattamento al regolamento, ai sensi dell’articolo 58, par. 2, lett. d), del medesimo testo e aveva inflitto allo stesso ente la sanzione amministrativa pecuniaria di euro 200.000,00=, nonché quella accessoria della pubblicazione del provvedimento medesimo sul sito web del RAGIONE_SOCIALE (v. artt. 58, par. 2, lett. i, e 83, par. 5, del Regolamento e 166, commi 2 e 7, del Codice).
1.2.- Il provvedimento opposto era stato adottato dal RAGIONE_SOCIALE all’esito di una attività di controllo svolta a seguito del reclamo di uno studente concernente l’impiego di un sistema di supervisione ‘ proctoring’ , nell’ambito dello svolgimento delle prove scritte d’esame degli studenti, al fine di identificare questi ultimi e/o di verificarne il corretto comportamento durante lo svolgimento della prova d’esame in video conferenza.
Come si evince dalla sentenza impugnata, l’RAGIONE_SOCIALE , nell’aprile 2020, stante la necessità a seguito dell’emergenza pandemica – di svolgere gli esami speciali con il sistema della video conferenza, ma in modo da garantirne la serietà, aveva deciso di dotarsi di un software (denominato ‘ RAGIONE_SOCIALE ‘ ) fornito dalla società RAGIONE_SOCIALE (con sede in USA), idoneo a consentire di verificare la genuinità della prova e limitando al massimo i rischi di alterazione della medesima; un software del cui utilizzo gli studenti erano stati informati attraverso comunicazioni relative alle nuove modalità di svolgimento delle prove d’esame.
A seguito dell’attività di controllo, svolta in contraddittorio con l’Ateneo, il RAGIONE_SOCIALE, tra l’altro, aveva riscontrato e contestato diverse violazioni del Regolamento: articoli 5, par. 1, lett. a), c) ed e) (principi di liceità, correttezza e trasparenza, principio di minimizzazione del trattamento e principio di limitazione della conservazione); 13 (informativa); 25 ( privacy by design e by default ); 35 (valutazione di impatto sulla RAGIONE_SOCIALE dei RAGIONE_SOCIALE); 44 (principio generale per il trasferimento); 46 (trasferimento soggetto a garanzie adeguate). Nonché dell’art. 2sexies (trattamento di categorie particolari di RAGIONE_SOCIALE RAGIONE_SOCIALE, necessario per motivi di interesse pubblico rilevante) del Codice.
1.3.- Con la decisione in epigrafe indicata, il Tribunale ha affermato che non costituiva oggetto di discussione tra le parti il meccanismo di funzionamento del software ‘RAGIONE_SOCIALE‘ , descritto in sentenza come un software che: «cattura le immagini video e lo schermo dello studente identificando e contrassegnando con un flag i momenti in cui sono rilevati comportamenti insoliti e/o sospetti mediante registrazione video e istantanee scattate a intervalli casuali per tenere traccia di comportamenti anomali… Al termine della prova, il sistema elabora il video, inserendo segnali di allerta in merito a possibili indici di comportamenti scorretti …
affinché il docente … possa poi valutare se effettivamente sia stata commessa un’azione non consentita nel corso della prova» (fol.12).
Ha, quindi, escluso che, nella fattispecie in esame, potesse trovare applicazione l’art.9 del regolamento 679/2016, come invece ritenuto dal RAGIONE_SOCIALE, osservando che il regime ivi delineato è applicabile unicamente al trattamento di RAGIONE_SOCIALE biometrici «intesi a identificare in modo univoco una persona fisica»; che il trattamento di RAGIONE_SOCIALE biometrici per finalità identificative si riferisce al riconoscimento automatico di persone fisiche basato su una rappresentazione analogica o digitale di una caratteristica biometrica ottenuta al termine di un processo di acquisizione; che non ricorreva un trattamento di RAGIONE_SOCIALE biometrici secondo il ciclo di vita dei RAGIONE_SOCIALE biometrici, costituito dalla sequenza in quattro fasi -secondo la Descrizione accreditata dal RAGIONE_SOCIALE per la RAGIONE_SOCIALE dei RAGIONE_SOCIALE RAGIONE_SOCIALE, Linee Guida in materia di riconoscimento biometrico e firma grafometrica, 12 novembre 2014 -seguenti: Prima fase o rilevamento tramite sensori specializzati (ad es. scanner per il rilevamento dell’impronta digitale) o dispositivi di uso generale (ad es. videocamera) di caratteristiche biometriche (ad es. viso dell’individuo); Seconda fase , secondo cui, a seguito del rilevamento si acquisisce un campione biometrico (ad es. immagine del viso); Terza fase, quella per cui dal campione biometrico vengono estratti tratti biometrici (ad es. specifici punti del viso) idonei a costituire il modello biometrico che sarà conservato in una banca RAGIONE_SOCIALE; Quarta fase, cd. del confronto (o di match ), ove il modello biometrico viene confrontato con le effettive caratteristiche dell’individuo e il confronto in parola consente la identificazione univoca della persona fisica.
In particolare, il Tribunale ha affermato che la mera acquisizione di una foto (o di una registrazione video) non configura un trattamento di RAGIONE_SOCIALE biometrici, bensì di RAGIONE_SOCIALE comuni; di contro, il trattamento in parola implica ricavare – da una foto o da
un video – caratteristiche biologiche per derivarne un modello matematico del volto del soggetto ritratto, a fini di riconoscimento dello stesso e che, nel caso in esame, non era configurabile il trattamento di RAGIONE_SOCIALE biometrici perché tale finalità non era contemplata nel meccanismo attuato dal software RAGIONE_SOCIALE , giacché ogni eventuale valutazione era lasciata al docente e non vi era alcuna dimostrazione che la quarta fase, precedentemente indicata (cd. del confronto o del match ), fosse stata concretamente attuata.
Ha, quindi, ritenuto applicabile la disciplina prevista per i RAGIONE_SOCIALE RAGIONE_SOCIALE comuni, ex art. 6 del reg. 679/2016, e proceduto alla disamina della fattispecie in relazione ad esso.
1.4.Sotto altro profilo, in punto di trasferimento internazionale dei RAGIONE_SOCIALE RAGIONE_SOCIALE, il Tribunale ha affermato che l’Accordo di modifica sottoscritto tra l’RAGIONE_SOCIALE e la società RAGIONE_SOCIALE , in data 18 agosto 2020, fosse tale da impedire il trasferimento internazionale di RAGIONE_SOCIALE RAGIONE_SOCIALE. Ciò in quanto, all ‘ac cordo di modifica, erano state allegate le clausole tipo ( di cui alla Decisione della Commissione europea del 5 febbraio 2010 n. 87/UE). Tale allegato si compone di due appendici: la prima, descrive il tipo di trattamento; la seconda, indica le misure tecniche e organizzative implementate dalla società RAGIONE_SOCIALE e da RAGIONE_SOCIALE . Il Tribunale ha ritenuto corrette le clausole allegate -seppure mediante semplice rinvio -sia sul piano formale che su quello sostanziale, ritenendo che il rispetto delle stesse fosse idoneo a garantire agli interessati una tutela adeguata rispetto agli standard europei. Ha ritenuto che la ‘ pseudonomizzazione ‘ (ossia l’utilizzazione di pseudonimi per denominare i RAGIONE_SOCIALE acquisiti in relazione a ciascuna persona) costituisse una misura di RAGIONE_SOCIALE adeguata.
1.5.- Conclusivamente, il Tribunale, in parziale accoglimento del ricorso, ha confermato il provvedimento n. 317 del 2021 del
RAGIONE_SOCIALE, limitatamente alla contestazione di cui agli artt. 5 par. 1 lett. a), 13 Reg. 679/2016, riducendo la sanzione irrogata a euro 10.000,00=; ha confermato il provvedimento n. 317 del 2021, pronunciato dal RAGIONE_SOCIALE, relativamente all’applicazione dell’art. 58 Reg. 679/2016, limitatamente al divieto di trasferimento dei RAGIONE_SOCIALE RAGIONE_SOCIALE degli interessati negli Stati Uniti d’America , in assenza di adeguate garanzie informative e all’obbligo di comunicare all’Autorità le iniziative intraprese al fine di dare attuazione a tale aspetto; ha condannato il RAGIONE_SOCIALE alla restituzione in favore dell’RAGIONE_SOCIALE della somma di € 190.000,00, oltre agli interessi legali dal 26.10.2021 al saldo.
1.6.- Il RAGIONE_SOCIALE per la RAGIONE_SOCIALE dei RAGIONE_SOCIALE RAGIONE_SOCIALE ha proposto ricorso con tre mezzi, per la cassazione della sentenza del Tribunale di RAGIONE_SOCIALE pubblicata il 20 ottobre 2022.
RAGIONE_SOCIALE‘RAGIONE_SOCIALE ha replicato con controricorso, assistito da memoria.
È stata disposta la trattazione camerale.
CONSIDERATO CHE:
2.1.- Con il primo motivo si denuncia la violazione e falsa applicazione degli artt. 6 e 9 par. 2, lett. g) regolamento (UE) 2016/679 e dell’art. 2 sexies, comma 2, lett. bb) del d.lgs. n. 196/2003 (art. 360, primo comma, n. 3 c.p.c.).
Il giudice di primo grado ha ritenuto di escludere la configurabilità, nella fattispecie, di un trattamento di RAGIONE_SOCIALE biometrici, sulla base della considerazione che la finalità di identificazione univoca della persona richiesta dall’art. 9, par. 1, del regolamento UE n. 679/2016 non sarebbe contemplata dal sistema informatico RAGIONE_SOCIALE utilizzato dall’RAGIONE_SOCIALE ricorrente, in quanto ogni eventuale valutazione sul punto sarebbe lasciata al docente e non vi sarebbe pertanto alcuna dimostrazione che la fase
quattro (del confronto o del match ), enucleata dalle Linee Guida in materia di riconoscimento biometrico e firma grafometrica adottate dal RAGIONE_SOCIALE il 12 novembre 2014, sia stata concretamente attuata.
Secondo il ricorrente, la tesi è errata ed è il frutto di una non corretta interpretazione dell’art. 9 par. 2, lett. g), del Regolamento e dell’art. 2 sexies, comma 2, lett. bb) del Codice, che sono, invece, del tutto applicabili nella specie.
2.2.- Il motivo è fondato e va accolto.
2.3.Nel diritto dell’Unione Europea, i RAGIONE_SOCIALE biometrici sono RAGIONE_SOCIALE RAGIONE_SOCIALE se sono usati per identificare in modo univoco una persona. Il trattamento di tali RAGIONE_SOCIALE è regolato da tre diversi atti dell’Unione: il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla RAGIONE_SOCIALE delle persone fisiche con riguardo al trattamento dei RAGIONE_SOCIALE RAGIONE_SOCIALE, nonché alla libera circolazione di tali RAGIONE_SOCIALE; la Direttiva 2016/680 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativa alla RAGIONE_SOCIALE delle persone fisiche con riguardo al trattamento dei RAGIONE_SOCIALE RAGIONE_SOCIALE da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali RAGIONE_SOCIALE; e il Regolamento 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei RAGIONE_SOCIALE RAGIONE_SOCIALE da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali RAGIONE_SOCIALE. Tutti questi atti definiscono allo stesso modo i RAGIONE_SOCIALE biometrici come «i RAGIONE_SOCIALE RAGIONE_SOCIALE ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i RAGIONE_SOCIALE dattiloscopici» (art. 4 n. 14 del Regolamento 2016/679; art. 3 n. 13 della Direttiva 2016/680; art. 3 n. 18 del Regolamento 2018/1725), mentre la
disciplina sul trattamento è diversa in base alla finalità specificamene perseguita.
2.4.- Nel caso in esame, trovano applicazione il Reg (UE) 2016/679 (Regolamento) ed il d.lgs. n. 196/2003 (Codice).
Il Considerando 51 del Regolamento re cita: « Meritano una specifica RAGIONE_SOCIALE i RAGIONE_SOCIALE RAGIONE_SOCIALE che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali. (…) Il trattamento di fotografie non dovrebbe costituire sistematicamente un trattamento di categorie particolari di RAGIONE_SOCIALE RAGIONE_SOCIALE, poiché esse rientrano nella definizione di RAGIONE_SOCIALE biometrici soltanto quando siano trattate attraverso un dispositivo tecnico specifico che consente l’identificazione univoca o l’autenticazione di una persona fisica. Tali RAGIONE_SOCIALE RAGIONE_SOCIALE non dovrebbero essere oggetto di trattamento, a meno che il trattamento non sia consentito nei casi specifici di cui al presente regolamento, tenendo conto del fatto che il diritto degli Stati membri può stabilire disposizioni specifiche sulla RAGIONE_SOCIALE dei RAGIONE_SOCIALE per adeguare l’applicazione delle norme del presente regolamento ai fini della conformità a un obbligo legale o dell’esecuzione di un compito di interesse pubblico o per l’esercizio di pubblici poteri di cui è investito il titolare del trattamento. (…)» .
Ferma la definizione di ‘trattamento’ contenuta all’art.4, par.1, n.2 del Regolamento, come «qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a RAGIONE_SOCIALE RAGIONE_SOCIALE o insiemi di RAGIONE_SOCIALE RAGIONE_SOCIALE, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la
distruzione», l’art. 9, par. 1, par. 2 lett. g) del Regolamento prevede che: «1. È vietato trattare RAGIONE_SOCIALE RAGIONE_SOCIALE che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare RAGIONE_SOCIALE genetici, RAGIONE_SOCIALE biometrici intesi a identificare in modo univoco una persona fisica, RAGIONE_SOCIALE relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona. 2. Il paragrafo 1 non si applica se si verifica uno dei seguenti casi: a) l’interessato ha prestato il proprio consenso esplicito al trattamento di tali RAGIONE_SOCIALE RAGIONE_SOCIALE per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al paragrafo 1; (…) g) il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla RAGIONE_SOCIALE dei RAGIONE_SOCIALE e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato».
Quindi, l’art. 2 -sexies del Codice (Trattamento di categorie particolari di RAGIONE_SOCIALE RAGIONE_SOCIALE necessario per motivi di interesse pubblico rilevante) stabilisce che «1. I trattamenti delle categorie particolari di RAGIONE_SOCIALE RAGIONE_SOCIALE di cui all’articolo 9, paragrafo 1, del Regolamento, necessari per motivi di interesse pubblico rilevante ai sensi del paragrafo 2, lettera g), del medesimo articolo, sono ammessi qualora siano previsti dal diritto dell’Unione europea ovvero, nell’ordinamento interno, da disposizioni di legge o di regolamento o da atti amministrativi generali che specifichino i tipi di RAGIONE_SOCIALE che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché’ le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato. (…) 2. Fermo quanto previsto dal comma 1, si considera rilevante l’interesse pubblico relativo a trattamenti
effettuati da soggetti che svolgono compiti di interesse pubblico o connessi all’esercizio di pubblici poteri nelle seguenti materie: (…) bb) istruzione e formazione in ambito scolastico, professionale, superiore o universitario;».
2.5.E’ opportuno, inoltre ricordare che nell’art.5, par. 1, del Regolamento, così vengono sinteticamente enucleati i principi a cui si deve complessivamente conformare il trattamento dei RAGIONE_SOCIALE RAGIONE_SOCIALE: a) ‘liceità, correttezza e trasparenza’; b) ‘limitazione della finalità’; c) ‘minimizzazione dei RAGIONE_SOCIALE‘; d) ‘esattezza’; e) ‘limitazione della conservazione’; f) ‘integrità e riservatezza’ e che, sempre, nell’art.5, par. 2, del regolamento 2016/679, è stato introdotto espressamente il principio di responsabilizzazione (‘ accountability ‘, nella versione in lingua inglese) con la precisazione che «Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo (‘responsabilizzazione’)» .
Il principio di ‘responsabilizzazione’ connota, in termini del tutto innovativi, l’intero impianto del Regolamento 2016/679 (v., oltre l’art.5 e tra gli altri, gli artt.23 -25, l’art.28 e i Considerando nn. 74 e 78).
Invero, il sistema di tutela dei RAGIONE_SOCIALE RAGIONE_SOCIALE non è più definito soltanto con prescrizioni dirette e precise alla cui mancata applicazione consegue una sanzione, ma anche come un obiettivo da realizzare che obbliga il titolare a dimostrare il rispetto e la conformità, del trattamento dei RAGIONE_SOCIALE messo in atto, al regolamento, mediante l’adozione di preventive politiche interne e di meccanismi idonei a garantire tale osservanza; esse devono sostanziarsi in una serie di attività specifiche e dimostrabili, volte a assicurare la gestione del rischio connesso al trattamento dei RAGIONE_SOCIALE RAGIONE_SOCIALE, tanto è vero che viene resa esplicita la richiesta di documentare le scelte in merito al raggiungimento dell’obiettivo prefissato di RAGIONE_SOCIALE dei RAGIONE_SOCIALE.
È utile rammentare che la Corte di Giustizia dell’Unione Europea (v., in tal senso, la sentenza del 16 gennaio 2019, Deutsche Post , C-496/17, EU-C/2019/26, punto 57 e giurisprudenza ivi citata) ha affermato che ogni trattamento di RAGIONE_SOCIALE RAGIONE_SOCIALE deve, da un lato, essere conforme ai principi relativi al trattamento di quelli elencati all’articolo 5 del Regolamento e, dall’altro, rispondere a uno dei principi relativi alla liceità del trattamento RAGIONE_SOCIALE elencati all’articolo 6 di detto regolamento.
3.1. – In sintesi, per quanto interessa nel presente caso, il trattamento dei RAGIONE_SOCIALE biometrici intesi a identificare in modo univoco una persona fisica in mancanza del consenso dell’interessato è vietato ai sensi del Regolamento 2016/6790; il divieto viene meno e il trattamento è ammesso quando è necessario per motivi di interesse pubblico rilevante, in specifiche materie, tra cui rientra l’istruzione e la formazione in ambito scolastico, professionale, superiore o universitario, secondo quanto previsto dal d.lgs. n. 196/2003, con la precisazione che il trattamento «deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla RAGIONE_SOCIALE dei RAGIONE_SOCIALE e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato » , in linea anche con il principio di ‘responsabilizzazione’ dettato dall’art.5, par. 2 del Regolamento 2016/679.
3.2.- Il Tribunale ha affermato che RAGIONE_SOCIALE , descritto come un software che «cattura le immagini video e lo schermo dello studente identificando e contrassegnando con un flag i momenti in cui sono rilevati comportamenti insoliti e/o sospetti mediante registrazione video e istantanee scattate a intervalli casuali per tenere traccia di comportamenti anomali… Al termine della prova, il sistema elabora il video, inserendo segnali di allerta in merito a possibili indici di comportamenti scorretti … affinché il docente … possa poi valutare se effettivamente sia stata commessa un’azione non consentita nel corso della prova» (fol.12), realizza la mera
acquisizione di una foto (o una registrazione video) e non configura un trattamento di RAGIONE_SOCIALE biometrici.
In questa sequenza, secondo il Tribunale, non vi sarebbe trattamento dei RAGIONE_SOCIALE biometrici tesi a identificare in modo univoco una persona fisica, posto che lo studente esaminato dal software non sarebbe identificato attraverso i suoi RAGIONE_SOCIALE biometrici raccolti e trattati dal sistema RAGIONE_SOCIALE , ma dal docente chiamato a vagliare il video finale.
3.3.- La conclusione è in contrasto con le norme in materia di trattamento dei RAGIONE_SOCIALE RAGIONE_SOCIALE e l’errore che segna la ricostruzione del Tribunale riguarda la sussunzione della fattispecie concreta nella fattispecie astratta di trattamento di RAGIONE_SOCIALE RAGIONE_SOCIALE, genus nel quale rientrano i RAGIONE_SOCIALE biometrici.
3.4.- Come si evince dalla descrizione del funzionamento del software RAGIONE_SOCIALE (prima ricordata e desunta dalla sentenza impugnata), questo non si limita a registrare a video la prova di esame, ma nel corso della ripresa cattura immagini della persona fisica che svolge la prova di esame e seleziona, mediante la realizzazione di video, lo scatto di istantanee ad intervalli casuali e i momenti in cui rileva comportamenti insoliti. Proprio in ragione della contestuale selezione del materiale raccolto in merito a comportamenti anomali, al termine della prova, lo stesso software realizza un video in cui confluiscono gli elementi anomali (contrassegnati da flag) che possono attenere alla conferma o meno della corrispondenza fisica della persona esaminata con lo studente ( già identificato dall’RAGIONE_SOCIALE come da sottoporre alla prova) e a ulteriori anomalie registrate; video che viene sottoposto al docente, per la sua valutazione finale in ordine alla regolarità della prova sostenuta dalla persona.
Risulta da ciò palese che le riprese video e foto realizzate da RAGIONE_SOCIALE non hanno solo la funzione di documentare la prova di esame, ma si connotano per la contestuale elaborazione e
selezione del materiale, di momento in momento raccolto, selezione che converge nella individuazione ed alla segnalazione di comportamenti anomali, attraverso la produzione del video finale.
Il Tribunale ha mancato di considerare che questa complessiva attività integra un autonomo e articolato trattamento dei RAGIONE_SOCIALE biometrici acquisiti ed elaborati dallo stesso software , e attiene anche alla conferma dell’identità della persona fisica esaminata, come previsto dall’art.4, n.14 del Regolamento, giacché l’esito di detta elaborazione risulta sottoposto solo ex post al docente per la sua valutazione in ordine alla regolarità della prova.
Come ricordato dallo stesso Tribunale, il ciclo di vita dei RAGIONE_SOCIALE biometrici è costituito dalla sequenza in quattro fasi -secondo la Descrizione accreditata dal RAGIONE_SOCIALE per la RAGIONE_SOCIALE dei RAGIONE_SOCIALE RAGIONE_SOCIALE, Linee Guida in materia di riconoscimento biometrico e firma grafometrica, 12 novembre 2014 -che vede:
Una prima fase, con un rilevamento tramite sensori specializzati (ad es. scanner per il rilevamento dell’impronta digitale) o dispositivi di uso generale (ad es. videocamera) di caratteristiche biometriche (ad es. viso dell’individuo);
Una seconda fase: a seguito del rilevamento si acquisisce un campione biometrico (ad es. immagine del viso);
Una terza fase: dal campione biometrico vengono estratti tratti (ad es. specifici punti del viso) idonei a costituire il modello biometrico che sarà conservato in una banca RAGIONE_SOCIALE;
Una quarta fase, cd. del confronto (o di match ): il modello biometrico viene confrontato con le effettive caratteristiche dell’individuo ed il confronto in parola consente la identificazione univoca della persona fisica.
La decisione impugnata non risulta avere tenuto conto, rettamente, di tali indicazioni, perché ha trascurato di considerare che, nel procedimento attuato mediante l’utilizzo del software RAGIONE_SOCIALE , per come descritto dalla stesso Tribunale, la quarta
fase di confronto appare svolgersi nel corso di tutta la ripresa, sulla scorta della elaborazione informatica dei RAGIONE_SOCIALE di volta in volta acquisiti ed elaborati mediante la creazione di flag relativi ai comportamenti anomali, che possono riguardare anche la conferma della corrispondenza identitaria della persona ripresa in video con quella dello studente da esaminare, proprio perché già identificato dall’RAGIONE_SOCIALE, e che il controllo conclusivo della prova di esame, affidato al docente persona fisica non esclude (ne è incompatibile con) il trattamento automatizzato dei RAGIONE_SOCIALE biometrici, ove già attuato mediante l’impiego del software, e non lo sottrae alla disciplina dettata dall’art.9 del Regolamento 2016/679.
3.5.- Il motivo, che è dunque fondato, va accolto e il Tribunale, in sede di rinvio, dovrà procedere al riesame, attenendosi al seguente principio di diritto:
«In tema di trattamento dei RAGIONE_SOCIALE RAGIONE_SOCIALE, ai sensi dell’art.9 del Reg (UE) 2016/679, ricorre un trattamento di RAGIONE_SOCIALE biometrici, come definiti dall’art. 4, n.14 del Regolamento 2016/679, quando i RAGIONE_SOCIALE RAGIONE_SOCIALE sono ottenuti mediante un trattamento tecnico automatizzato specifico, realizzato con un software che, sulla base di riprese e analisi delle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica, le elabora, evidenziando comportamenti o elementi anomali, e che perviene a un esito conclusivo, costituito da una elaborato video/foto che consente (o che conferma) l’identificazione univoca della persona fisica, restando irrilevante la circostanza che l’esito finale del trattamento sia successivamente sottoposto alla verifica finale di una persona fisica».
4.1.- Con il secondo motivo si denuncia la violazione e falsa applicazione degli artt. 44, 45 e 46 Regolamento (UE) 2016/679; degli artt. 3, 4 e 5 delle clausole contrattuali allegate alla Decisione n. 2010/87/UE Commissione Europea; art. 1321 c.c. (art. 360 primo comma, n. 3 c.p.c.).
A parere del ricorrente, la sentenza va parimenti cassata con riferimento a quanto erroneamente ritenuto dal Tribunale in punto di trasferimento internazionale dei RAGIONE_SOCIALE RAGIONE_SOCIALE, sull’osservazione che l’Accordo di modifica sottoscritto dall’RAGIONE_SOCIALE e dalla società RAGIONE_SOCIALE , in data 18 agosto 2020, fosse tale da impedire il trasferimento internazionale di RAGIONE_SOCIALE RAGIONE_SOCIALE.
Ancora la decisione impugnata sarebbe erronea, laddove ha ritenuto che la ‘ pseudonomizzazione ‘ dei RAGIONE_SOCIALE trattati fosse misura ‘adeguata’, senza considerare che il dato trattato, coincidendo con il volto di una persona poteva sempre condurre alla identificazione della stessa, indipendentemente dai RAGIONE_SOCIALE aggiuntivi di cui disponeva il titolare.
4.2.- Il motivo è fondato e va accolto.
4.3.- Con la sentenza del 16 luglio 2020 relativa alla causa C-311/18, la Corte di Giustizia europea ha dichiarata invalida la decisione 2016/1250 della Commissione sull’adeguatezza della RAGIONE_SOCIALE offerta dal regime del Privacy Shield, lo scudo UEUSA per la RAGIONE_SOCIALE dei RAGIONE_SOCIALE RAGIONE_SOCIALE oggetto di trasferimento verso gli Stati Uniti. Essa ha giudicato, invece, valida la decisione 2010/87 relativa alle Clausole Contrattuali Tipo (SCC) per il trasferimento di RAGIONE_SOCIALE RAGIONE_SOCIALE a destinatari stabiliti in Paesi terzi.
A seguito di questa decisione è intervenuto tra l’RAGIONE_SOCIALE e la società RAGIONE_SOCIALE un accordo di modifica sottoscritto in data 18 agosto 2020, con il quale sono state recepite le clausole contrattuali tipo dettate nella Decisione della Commissione europea del 5 febbraio 2010 n. 87/UE.
Il Tribunale ha ritenuto che l’accordo così riformulato fosse tale da impedire il trasferimento internazionale di RAGIONE_SOCIALE RAGIONE_SOCIALE, proprio perché all ‘ac cordo di modifica erano allegate le clausole tipo di cui alla Decisione 2010/87/UE.
Segnatamente, il Tribunale, sul rilievo che l’allegato si compone di due appendici, di cui la prima descrive il tipo di trattamento e la seconda indica le misure tecniche- organizzative implementate da Responsus e da RAGIONE_SOCIALE, sub-responsabile di RAGIONE_SOCIALE, ha ritenuto corrette le clausole allegate mediante semplice rinvio per relationem , sia sul piano formale che sul piano sostanziale, osservando che il rispetto delle stesse era idoneo a garantire agli interessati una tutela adeguata rispetto agli standard europei.
Sul piano formale, il Tribunale ha argomento richiamando la giurisprudenza di legittimità che ha ammesso che il contenuto di una clausola contrattuale possa essere determinato tramite rinvio ad un documento esterno al contratto stesso; sul piano sostanziale, concernente l’ad eguatezza delle clausole contrattuali standard e delle garanzie supplementari, il Tribunale ha ravvisato un ‘d ifetto probatorio ‘ dell ‘ argomentazione spesa dal RAGIONE_SOCIALE.
4.4.- Tali conclusioni sono errate.
4.5.E’ opportuno ricordare che la Decisione della Commissione del 5 febbraio 2010 relativa alle clausole contrattuali tipo per il trasferimento di RAGIONE_SOCIALE RAGIONE_SOCIALE a incaricati del trattamento stabiliti in paesi terzi a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio, rimarca, tra l’altro, la posizione centrale che assume l’interessato (e cioè la persona fisica i cui RAGIONE_SOCIALE RAGIONE_SOCIALE sono trattati) affermando, ai Considerando 19 e 20, che «(19) È opportuno che le clausole contrattuali tipo possano essere fatte valere non solo dalle organizzazioni che stipulano il contratto ma anche dalle persone cui si riferiscono i RAGIONE_SOCIALE, in particolare laddove l’eventuale violazione del contratto rechi ad esse pregiudizio.» e che l’interessato deve poter agire in giudizio, anche ai fini del risarcimento dei danni, nei confronti dell’esportatore che è il responsabile del trattamento dei RAGIONE_SOCIALE RAGIONE_SOCIALE trasferiti e, a
determinate condizioni, nei confronti dell’importatore o di un suo sub incaricato per violazione degli obblighi stabiliti dalla clausola 3 dell’Allegato.
Inoltre, all’art.1, è puntualizzato che «Le clausole contrattuali tipo riportate in allegato costituiscono garanzie sufficienti per la tutela della vita privata e dei diritti e della libertà fondamentali delle persone, nonché per l’esercizio dei diritti connessi ai sensi dell’articolo 26, paragrafo 2, della direttiva 95/46/CE.»
Ed invero, il relativo Allegato ‘Clausole Contrattuali Tipo («Incaricati Del Trattamento»)’ espressamente introduce con la clausola 3 (clausola del terzo beneficiario) i diritti che l’interessato può far valere -a seconda dei casi -sia con riferimento alla medesima clausola 3, sia in relazione alla clausola 4, lettere da b) a i), alla clausola 5, lettere da a) ad e) e da g) a j), alla clausola 6, paragrafi 1 e 2, alla clausola 7, alla clausola 8, paragrafo 2, e alle clausole da 9 a 12 in qualità di terzo beneficiario, nei confronti dell’esportatore, dell’importatore o del sub incaricato, anche mediante la rappresentanza da parte di un’associazione o di altra organizzazione, ove siffatta rappresentanza corrisponda alla esplicita volontà dell’interessato e sia ammessa dalla legislazione nazionale.
Va, quindi, evidenziato che la clausola 4, par. 1, lett. c) e la clausola 5, lett. c) delle clausole standard, prevedono espressamente che le misure di sicurezza debbano essere appunto ‘indicate nell’appendice 2’ e che nella stessa appendice 2 si specifica che essa ‘costituisce parte integrante delle clausole contrattuali e deve essere compilata e sottoscritta dalle parti’, contemplando una specifica sezione, denominata «Descrizione delle misure tecniche e organizzative di sicurezza attuate dall’importatore in conformità della clausola 4, lettera d), e della clausola 5, lettera c) (o del documento/atto legislativo allegato)» e
che tali disposizioni hanno efficacia anche con riferimento all’ ‘interessato’, che non è parte contraente, ma terzo beneficiario.
Alla luce di tali disposizioni, risulta errata al tesi del Tribunale secondo la quale il contenuto delle clausole contrattuali recanti le misure di sicurezza può essere determinato tramite rinvio ad un documento esterno al contratto stesso, considerato che tale principio nella specie non può trovare applicazione, in quanto la volontà contrattuale delle parti, lex specialis del rapporto sinallagmatico, si è espressa in senso ben diverso, proprio mediante l’integrale recepimento di quanto previsto dalla Decisione della Commissione del 5 febbraio 2010 e dai suoi allegati, in special modo dall’allegato due e dalle prescrizioni ivi contenute, tanto più che -come già ricordato -il contratto in esame assistito dalle clausole contrattuali tipo per il trasferimento di RAGIONE_SOCIALE RAGIONE_SOCIALE a incaricati del trattamento stabiliti in paesi terzi non obbliga solo i contraenti tra loro, ma regola anche i diritti del terzo beneficiario che potrebbero essere elusi e frustrati, ove gli obblighi in materia di sicurezza non fossero oggettivamente individuati o individuabili, a maggior ragione ove le misure di sicurezza fossero consultabili solo mediante ripetuti accessi a sito web del fornitore e potessero mutare senza una espressa rinegoziazione tra i contraenti adeguatamente accessibile al terzo beneficiario.
È opportuno rammentare che con la sentenza del 16 luglio 2020 relativa alla causa C-311/18, la Corte di Giustizia europea non solo ha dichiarato invalida la decisione 2016/1250 della Commissione sull’adeguatezza della RAGIONE_SOCIALE offerta dal regime del Privacy Shield, lo scudo UE-USA per la RAGIONE_SOCIALE dei RAGIONE_SOCIALE RAGIONE_SOCIALE oggetto di trasferimento verso gli Stati Uniti ed ha giudicato, invece, valida la decisione 2010/87 relativa alle Clausole Contrattuali Tipo (SCC) per il trasferimento di RAGIONE_SOCIALE RAGIONE_SOCIALE a destinatari stabiliti in Paesi terzi, ma altresì precisato (in sintesi, in dispositivo) che « L’articolo 46, paragrafo 1, e
l’articolo 46, paragrafo 2, lettera c), del regolamento 2016/679 devono essere interpretati nel senso che le garanzie adeguate, i diritti azionabili e i mezzi di ricorso effettivi richiesti da tali disposizioni devono garantire che i diritti delle persone i cui RAGIONE_SOCIALE RAGIONE_SOCIALE sono trasferiti verso un paese terzo sul fondamento di clausole tipo di RAGIONE_SOCIALE dei RAGIONE_SOCIALE godano di un livello di RAGIONE_SOCIALE sostanzialmente equivalente a quello garantito all’interno dell’Unione da tale regolamento, letto alla luce della Carta dei diritti fondamentali dell’Unione europea. A tal fine, la valutazione del livello di RAGIONE_SOCIALE garantito nel contesto di un trasferimento siffatto deve, in particolare, prendere in considerazione tanto le clausole contrattuali convenute tra il titolare del trattamento o il responsabile del trattamento stabiliti nell’Unione e il destinatario del trasferimento stabilito nel paese terzo interessato quanto, per quel che riguarda un eventuale accesso delle autorità pubbliche di tale paese terzo ai RAGIONE_SOCIALE RAGIONE_SOCIALE così trasferiti, gli elementi rilevanti del sistema giuridico di quest’ultimo, in particolare quelli enunciati all’articolo 45, paragrafo 2, di detto regolamento.» e che «L’articolo 58, paragrafo 2, lettere f) e j), del regolamento 2016/679 deve essere interpretato nel senso che, a meno che esista una decisione di adeguatezza validamente adottata dalla Commissione europea, l’autorità di controllo competente è tenuta a sospendere o a vietare un trasferimento di RAGIONE_SOCIALE verso un paese terzo effettuato sulla base di clausole tipo di RAGIONE_SOCIALE dei RAGIONE_SOCIALE adottate dalla Commissione, qualora detta autorità di controllo ritenga, alla luce del complesso delle circostanze proprie di tale trasferimento, che le suddette clausole non siano o non possano essere rispettate in tale paese terzo e che la RAGIONE_SOCIALE dei RAGIONE_SOCIALE trasferiti richiesta dal diritto dell’Unione, segnatamente dagli articoli 45 e 46 di tale regolamento e dalla Carta dei diritti fondamentali, non possa essere garantita con altri mezzi, ove il titolare del trattamento o il responsabile del
trattamento stabiliti nell’Unione non abbiano essi stessi sospeso il trasferimento o messo fine a quest’ultimo . ». Si deve, in proposito osservare che, nel caso in esame, la mancata esplicitazione delle misure di sicurezza nell’allegato 2, in difformità da quanto da questo previsto, la complessità, non contestata, della modalità di accesso informatico alle misure di sicurezza e l’ incertezza sul contenuto delle stesse, come evidenziate dall’Autorità di controllo, sono circostanze che avrebbero dovuto essere espressamente valutate dal Tribunale in ordine all’applicabilità dell’art.58, par. 2, lett. f) e j), del regolamento 2016/679.
4.6.Resta assorbita all’esito del riesame, la questione sostanziale dell’ad eguatezza o meno delle clausole contrattuali standard e delle garanzie supplementari, risolta dal Tribunale ravvisando impropriamente un ‘d ifetto probatorio ‘ dell ‘ argomentazione spesa dal RAGIONE_SOCIALE.
4.7.- Anche la questione introdotta in merito alla ravvista pseudonomizzazione dei RAGIONE_SOCIALE resta assorbita all’esito del riesame, atteso che la decisione sul punto risulta inficiata dalla erronea qualificazione dei RAGIONE_SOCIALE trattati come RAGIONE_SOCIALE RAGIONE_SOCIALE comuni piuttosto che come RAGIONE_SOCIALE biometrici , cioè RAGIONE_SOCIALE RAGIONE_SOCIALE ottenuti da un trattamento tecnico automatizzato specifico, relativo alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quale, nel presente caso, l’immagine facciale.
5.- Il terzo motivo, con cui in via subordinata, si denuncia l’omesso esame circa un fatto decisivo per il giudizio che è stato oggetto di discussione tra le parti (art. 360, primo comma, n. 5 c.p.c.) con riferimento alla parte della sentenza in cui il Tribunale ha rideterminato la sanzione applicabile alla controparte, è assorbito.
6.- In conclusione, vanno accolti i primi due motivi di ricorso e dichiarato assorbito il terzo; la sentenza impugnata è cassata con
rinvio della causa al Tribunale di RAGIONE_SOCIALE in persona di diverso magistrato, per il riesame della controversia alla luce dei principi enunciati e la liquidazione delle spese anche del presente giudizio.
P.Q.M.
Accoglie i motivi primo e secondo; dichiara assorbito il terzo;
Cassa la sentenza impugnata in relazione ai motivi accolti e rinvia la causa al Tribunale di RAGIONE_SOCIALE in persona di diverso magistrato, cui demanda di provvedere anche sulle spese del giudizio di legittimità;
Così deciso in Roma, nella camera di consiglio della Prima