Senza il consenso del lavoratore, il trattamento dei suoi dati biometrici è illecito.
Nota a Cass. (ord.) 19 maggio 2023, n. 13873
Fabrizio Girolami
All’infuori dei casi in cui vi sia un apposito intervento del Garante per la privacy, è illegittimo, in assenza di uno specifico consenso del lavoratore interessato, l’utilizzo di un sistema biometrico per finalità di controllo dell’accesso ai luoghi di lavoro basato sulla lettura delle informazioni geometriche della mano (c.d. “lettore Handkey”).
Lo ha affermato la Corte di Cassazione con l’ordinanza n. 13873 del 19 maggio 2023, in relazione alla controversia instaurata da un lavoratore in servizio presso una società esercente attività e servizi d’igiene ambientale nella provincia di Napoli, la quale aveva installato un sistema biometrico di riconoscimento della geometria della mano che (a differenza dei sistemi biometrici basati sul riconoscimento delle impronte digitali) permette di rilevare fattori come la lunghezza delle dita, l’ampiezza del palmo o le linee presenti sulla mano di una persona, così da poterla identificare.
Va peraltro precisato che la fattispecie oggetto dell’ordinanza era – ratione temporis – assoggettata alla disciplina di protezione dei dati personali di cui al D.Lgs. 30 giugno 2003, n. 196 (Codice della privacy) nel testo anteriore all’entrata in vigore del Regolamento (UE) n. 2016/679 del 27 aprile 2016 (GDPR).
Prima dell’entrata in vigore del GDPR, il trattamento dei dati biometrici era consentito con il “consenso” dell’interessato (ex art. 23 D.Lgs. n. 196/2003), previo esperimento della procedura di “interpello preventivo” (ex art. 17, D.Lgs. n. 196/2003) e della relativa “notificazione” al Garante. Inoltre, il trattamento di tali dati era possibile, anche senza il consenso, nei casi individuati con provvedimento del Garante “per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati (…) qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell’interessato” (art. 24, co. 1, lett. g), D.Lgs. n. 196/2003).
Il GDPR e il relativo decreto di adeguamento (D.Lgs. n. 101/2018) hanno introdotto significative novità in materia. In particolare, l’art. 9, par. 1, GDPR prevede – come regola generale – il divieto di trattamento dei dati biometrici (definiti dall’art. 4, GDPR quali “i dati ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca”). Il GDPR ha stabilito poi che il trattamento di tali dati è consentito esclusivamente in presenza delle condizioni di cui all’art. 9, par. 2, GDPR e – con riguardo ai trattamenti in ambito lavorativo – solo quando il trattamento sia “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo (…) in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato”. Anche l’art. 2-septies, D.Lgs. n. 196/2003 (introdotto dall’art. 2, D.Lgs. n. 101/2018) ha prescritto che i dati biometrici possono essere trattati solo in presenza di una delle condizioni ex art. 9, par. 2, GDPR e ha integrato il GDPR, richiedendo anche la conformità del trattamento alle “misure di garanzia” che verranno disposte dal Garante con provvedimenti a cadenza biennale (allo stato attuale, ancora non pubblicati).
Ciò posto, nella vicenda di specie, la Cassazione ha rigettato il ricorso della società datrice di lavoro (confermando la sentenza impugnata della Corte d’Appello di Napoli), affermando quanto segue:
- la Corte territoriale, nel caso di specie, ha accertato che il Garante era intervenuto con provvedimento del 10.01.2013 dichiarando non conforme a legge il trattamento effettuato dalla società fino alla data di adozione del suddetto provvedimento, perché posto in essere in assenza di uno specifico consenso espresso da parte degli interessati, ovvero di altro valido presupposto di liceità del trattamento;
- nel caso di specie, il lavoratore aveva prestato un consenso generico e astratto “al trattamento dei dati effettuato anche con l’ausilio di mezzi elettronici ed automatizzati”, ma non già all’utilizzazione dello strumento di rilevazione biometrica, in violazione dell’art. 23, co. 3, D.Lgs. n. 196/2003 (ora abrogato) che esige la necessità che il consenso al trattamento dei dati biometrici sia prestato “in forma specifica”;
- pertanto, in difetto di consenso specifico, non ricorreva fino alla data del provvedimento del Garante per la privacy “altro presupposto alternativo di liceità” ai sensi dell’art. 24, D.Lgs. n. 196/2003 (ora abrogato);
- ne consegue, dunque, l’illegittimità del sistema biometrico di rilevazione delle presenze sopra descritto, con conseguente legittimità dell’ordine della Corte territoriale di interrompere l’utilizzo di tale sistema da parte della società datrice di lavoro.
Sentenza
Corte di Cassazione 19 maggio 2023, n. 13873
(Omissis)
Fatto
1.Con sentenza n. 21840 del 19.7.2012, il Tribunale di Napoli accoglieva la domanda che B.G. aveva proposto contro la datrice di lavoro (omissis) (omissis) s.p.a., volta a sentir dichiarare illegittimo l’utilizzo del sistema di rilevazione biometrica per il controllo dell’accesso ai luoghi di lavoro, ed ordinava alla convenuta l’interruzione dell’utilizzo del lettore (omissis) nei confronti del B., mentre rigettava la domanda dello stesso attore tesa ad ottenere il risarcimento del danno asseritamente risentito per il medesimo comportamento, compensando le spese di lite.
2.Con la sentenza in epigrafe indicata, la Corte d’appello di Napoli rigettava l’appello che l'(omissis) (omissis) aveva proposto contro la decisione di primo grado, nulla disponendo quanto alle spese, stante la contumacia dell’appellato B.
3.Per quanto qui interessa, la Corte territoriale, nel respingere l’unico motivo d’appello di (omissis) (omissis), dopo aver descritto in dettaglio il sistema in questione che si basava sulla cattura di 96 informazioni geometriche della mano di ogni dipendente, richiamava una serie di provvedimenti adottati dal Garante per la protezione dei dati personali, ed in particolare il pronunciamento n. 4 del 10.1.2013, emanato dopo che era stato già introdotto il grado d’appello; e reputava di tutta evidenza che lo stesso Garante aveva riferito la legittimità del sistema biometrico in uso da parte della datrice di lavoro e alla rilevanza degli interessi del titolare del trattamento e alle concrete modalità di rilevazione che la società si era impegnata ad adottare e che erano idonee ad una efficace tutela del diritto alla riservatezza e alla dignità personale dei lavoratori, mentre aveva ritenuto non conforme a legge il trattamento effettuato, sino alla data del medesimo pronunciamento, dalla società dei dati della geometria della mano dei lavoratori in assenza del loro specifico consenso ovvero in assenza di altro presupposto alternativo di liceità.
4. Avverso tale decisione, l'(omissis) (omissis) s.p.a. ha proposto ricorso per cassazione, affidato a due motivi.
5. L’intimato B. è rimasto tale, non essendosi costituito in questa sede di legittimità.
6.La ricorrente ha prodotto memoria.
Diritto
1.Con il primo motivo, la ricorrente denuncia: “Violazione e falsa applicazione del D.Lgs. n. 196 del 2003, artt. 3 e 11 in relazione alla Cost., artt. 14, 16, 17 e 41 ed all’art. 360 comma 3 c.p.c.”. Premette che “La Corte napoletana, nella pronuncia impugnata, pur riconoscendo la natura peculiare del caso di specie, ritiene illegittimo l’utilizzo dello strumento biometrico da parte di (omissis), per assenza di uno specifico consenso al trattamento dei dati biometrici, confermando l’interruzione dell’uso del lettore (omissis) II nei confronti del sig. B.G., unico tra i dipendenti (omissis) ad aver ottenuto una pronuncia giudiziale di tal segno”. Secondo l’impugnante, però, “l’opzione ermeneutica della Corte territoriale, configura un’applicazione del D.lgs. 196 del 2003 che si pone in contrasto con il diritto alla sicurezza garantito dalla Cost., artt. 14,16,17 e 41, e che prescinde da una valutazione sul bilanciamento degli interessi giuridicamente rilevanti che nella fattispecie si pongono in contrasto”.
2. Con il secondo motivo, denuncia “Violazione e falsa applicazione degli artt. 421 e 437 c.p.c. del principio del giusto processo ex Cost., art. 111 in relazione all’art. 360 comma 3 c.p.c.”. Secondo la ricorrente, la Corte d’appello non aveva “inteso dare applicazione, alla richiamata pronuncia dell’Autorità Garante n. 4 del 10.01.2013, che ha autorizzato (omissis) a trattare i dati della geometria della mano dei suoi dipendenti senza il consenso degli interessati, confermando anche per il periodo successivo al gennaio 2013 l’interruzione dell’utilizzo dello strumento biometrico nei confronti del B.”. Per la stessa ricorrente, “l’affermazione della Corte di Appello secondo la quale (omissis) non avrebbe dimostrato di aver dato applicazione alle prescrizioni impostegli dal Garante, è palesemente erronea poiché non tiene conto che il deposito dell’atto di Appello è avvenuto in data 18.01.2013, mentre la pronuncia del garante è stata pubblicata e comunicata ad (omissis) successivamente, attraverso lettera recante Protocollo Garante n. (omissis) del 07.02.2013”.
3. Entrambi i motivi, che possono essere congiuntamente esaminati, in quanto all’evidenza connessi, presentano anzitutto profili d’inammissibilità.
3.1. Infatti, le deduzioni della ricorrente si fondano anzitutto su una ricostruzione dei fatti e, segnatamente, del sistema di identificazione ingresso-uscita dei lavoratori, basato sulla rivelazione del dato biometrico della “geometria della mano”, in parte diversa rispetto a quella operata dal primo giudice, recepita dalla Corte territoriale (cfr. pagg. 4-6 del ricorso). Peraltro, non risulta che la precisa descrizione del sistema in questione, come sopra riferita, avesse formato oggetto di rilievi nell’ambito dell’unico articolato motivo dell’appello all’epoca interposto dall’attuale ricorrente (cfr. prima e seconda facciata dell’impugnata sentenza dove è riferito in dettaglio il contenuto del motivo di gravame).
Pertanto, la differente descrittiva del sistema in questione e le valutazioni dello stesso come tale, sostenute dalla ricorrente, non possono trovare ingresso in questa sede di legittimità.
4. Giova adesso considerare che questa Corte ha deciso che: ” Il d.lg. n. 196 del 2003, art. 4 definisce “trattamento”, qualunque operazione o complesso di operazioni concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati; “dato personale”, qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale; “dati identificativi”, i dati personali che permettono l’identificazione diretta dell’interessato. Il dettato normativo espressamente considera irrilevante, ai fini della configurabilità del trattamento di dati personali, la mancata registrazione degli stessi in apposita banca dati, essendo sufficiente anche un’attività di raccolta ed elaborazione temporanea” (nella specie, si trattava della sanzione irrogata dal Garante per la protezione dei dati personali nei confronti di una società che aveva installato un sistema di raccolta di dati biometrici per la rilevazione delle presenze del personale dipendente, senza preventivo confronto coi lavoratori, coi sindacati e senza comunicazioni al Garante stesso) (così Cass. civ., sez. II, 15/10/2018, n. 25686).
Tale decisione di legittimità riguardava un caso simile a quello che qui ci occupa, perché “il sistema operativo utilizzato dalla” società datrice di lavoro era “articolato come segue: a) il dato biometrico riguardante la mano di ciascun lavoratore viene trasformato in un modello di 9 bytes, a sua volta archiviato ed associato ad un codice numerico di riferimento; b) il codice numerico è memorizzato in un badge; c) ad ogni utilizzo del badge, il sistema è in grado di verificare che “il badge che si sta usando è usato dalla stessa mano usata per configurarlo” (cfr. p. 3.1. dell’ora cit. ordinanza).
E in quella fattispecie trovò accoglimento il ricorso per cassazione che il Garante per la protezione dei dati personali aveva proposto contro la decisione del giudice di merito, il quale aveva, invece, accolto l’opposizione della società datrice di lavoro avverso l’ordinanza-ingiunzione che detto Garante aveva irrogato alla stessa, sul rilievo che: “Il sistema adottato dalla società resistente comporta un trattamento di dati biometrici, come tale assoggettato innanzitutto e in via assorbente alla preventiva notificazione al Garante, ai sensi del D.lgs. n. 196 del 2003, art. 37, nella specie non avvenuta”.
Su tali basi, quindi, questa Corte cassò la sentenza impugnata e, decidendo nel merito, rigettò la cennata opposizione ad ordinanza-ingiunzione.
5. Tornando allora al ricorso ora in esame, l’impugnante non pone più in discussione l’assenza nella specie di uno specifico consenso al trattamento dei dati biometrici con il sistema in questione. La Corte di merito, difatti, aveva concluso che “il consenso, indicato dall’azienda, si riferisce in via astratta e generale “… al trattamento dei dati… effettuato anche con l’ausilio di mezzi elettronici ed automatizzati”, ma non già all’utilizzazione dello strumento di rilevazione biometrica” (così alla penultima facciata della sua decisione).
6.La ricorrente, piuttosto, torna a far valere “quali esigenze di tutela hanno indotto la società ad adottare lo strumento biometrico”, segnatamente quelle legate al dato che aveva assunto anche dipendenti condannati in stato di semilibertà (dei quali doveva certificare l’effettiva presenza al lavoro), sottolineando che l’esigenza principale era stata quella di “una tutela preventiva dei suoi dipendenti rispetto a possibili atti intimidatori o di minaccia all’incolumità fisica” (cfr. in extenso pagg. 6-9 del ricorso).
6.1. Osserva il Collegio che si tratta di aspetto che formava oggetto della principale doglianza formulata dall’allora appellante (cfr. facciate 1-3 della sentenza della Corte territoriale).
In particolare, la Corte d’appello aveva dato conto in modo preciso di quanto ritenuto dal Tribunale circa l’eccedenza del mezzo di rilevazione rispetto allo scopo (controllo degli accessi).
6.2. Tuttavia, l’effettiva ratio decidendi della Corte d’appello, non colta dalla ricorrente, è praticamente estranea a questo terreno, non rinvenendosi nell’ulteriore motivazione della stessa argomenti volti a confermare la conclusione raggiunta dal primo giudice, il quale aveva “ritenuto l’illegittimità della verifica degli accessi attraverso l’utilizzo dello strumento biometrico, siccome non conforme ai principi di necessità e proporzionalità, individuati al D.Lgs. n. 196 del 2003, art. 3 e 11”. E solo su questo piano avrebbe potuto rilevare il bilanciamento di interessi giuridicamente rilevanti e contrapposti, che la ricorrente assume non compiuto dalla Corte territoriale.
7. Quest’ultima, infatti, ha deciso il caso in base a considerazioni del tutto diverse, che neppure esigevano il suddetto bilanciamento.
7.1. Più in particolare, dopo aver ritenuto che: “L’utilizzo di sistemi biometrici rientra, pertanto, tra i trattamenti che presentano “rischi specifici per i diritti, le libertà fondamentali e la dignità dell’interessato”, in sintesi, la Corte è passata a considerare l’effettiva collocazione normativa della strumentazione biometrica, prima della modifica della L. n. 300 del 1970, art. 4 ad opera del D.Lgs. n. 151 del 2015, art. 23. In tal senso, ha preso in esame una serie di provvedimenti adottati dal Garante per la protezione dei dati personali (cfr. in extenso facciate 4 e 5 della sua sentenza).
Indi, ha osservato che: “Con specifico riguardo alla fattispecie in esame, la valutazione circa la legittimità del trattamento biometrico non può prescindere dal pronunciamento n. 4 del 10.1.2013 del Garante per la Privacy, espressamente richiamato ed esaminato nei precedenti della Corte depositati dalla società appellante e, per tale via acquisito agli atti”.
Si legge poi nella decisione gravata che: “Con tale pronunciamento, il Garante: 1) ha disposto che, “ai sensi dell’art. 24, comma 1, lett. g) del Codice, (omissis) (omissis) S.p.A., dalla data della pronuncia del provvedimento (10.1.2013), possa trattare, senza il consenso degli interessati e per le sole finalità di rilevazione delle presenze, i dati della geometria della mano dei lavoratori, a condizione che ciò avvenga nel rigoroso rispetto delle modalità indicate dalla società e degli accorgimenti che la stessa si è impegnata ad adottare, con particolare riferimento alla memorizzazione dei dati (template) su un supporto posto nell’esclusiva disponibilità dei dipendenti; 2) ha dichiarato “ai sensi degli artt. 11, comma 1, lett. a) e 23 del Codice, non conforme a legge il trattamento dei dati della geometria della mano dei lavoratori effettuato dalla società fino alla data di adozione del provvedimento, perché posto in essere in assenza di uno specifico consenso espresso da parte degli interessati, ovvero di altro valido presupposto di liceità del trattamento (art. 24 del Codice)””.
La Corte di merito ha, quindi, dato estesamente conto di come il Garante fosse pervenuto a tale determinazione (cfr. facciata sei della sua sentenza).
8. Dal seguito della motivazione dell’impugnata sentenza si trae chiaramente che la Corte d’appello abbia condiviso il provvedimento del Garante per la protezione dei dati personali per quanto riguarda la declaratoria di non conformità a legge del trattamento dei dati biometrici in questione effettuato dalla società datrice di lavoro fino alla data del provvedimento stesso, e quindi fino al 10.1.2013.
Come si è già visto, anche la Corte d’appello aveva, infatti, concluso che il consenso indicato dall’azienda non potesse reputarsi specifico, come richiesto dal D.Lgs. n. 196 del 2003, art. 23, comma 3, perché non riferito all’utilizzazione dello strumento di rilevazione biometrica.
In difetto di tale consenso, perciò, veniva in considerazione il successivo art. 24 dello stesso decreto (poi abrogato), che disciplinava appunto i “Casi nei quali può essere effettuato il trattamento senza consenso”.
Occorre, infatti, ora porre in luce che l’intera fattispecie di cui è processo era assoggettata ratione temporis alla disciplina in materia di protezione dei dati personali di cui al D.Lgs. n. 196 del 2003 nel testo anteriore al regime derivato dall’entrata in vigore del Regolamento (UE) n. 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che aveva abrogato la direttiva 95/46/CE circa la stessa materia. La Corte territoriale, inoltre, aveva tenuto conto che non era applicabile al caso anche il testo della L. n. 300 del 1970, art. 4, come novellato dal D.Lgs. n. 151 del 2015, art. 23.
Ed anche la Corte d’appello ha riscontrato che nella specie, in difetto di consenso specifico, non ricorresse fino alla data del provvedimento del Garante per la privacy “altro presupposto alternativo di liceità” ex art. 24 del Codice per la protezione dei dati personali.
Pertanto, la stessa Corte ha concluso che: “tenuto conto che non vi è prova che la (omissis) abbia adottato le tessere magnetiche di prossimità (omissis) (sul punto, peraltro, la società appellante non ha opposto alcuna difesa), individuate dal pronunciamento, il sistema di rilevazione biometrica deve ritenersi illegittimo”.
9. Nello sviluppo del primo motivo la ricorrente assume, tra l’altro, che la sentenza impugnata avrebbe ignorato “la decisione del Garante della Privacy n. 4 del 10.01.2013, relativa proprio al caso di (omissis) (omissis) S.p.a.”.
Al contrario, come appare evidente da quanto sin qui esposto, la stessa Corte ha espresso la propria valutazione giuridica del caso in termini adesivi rispetto a quanto ritenuto nel frattempo da detto Garante in relazione allo stesso caso giusta apposito provvedimento.
Assume ancora la ricorrente che “la Corte napoletana ha del tutto disatteso l’esito del bilanciamento delle opposte esigenze meticolosamente effettuato dall’Autorità Garante”.
A riguardo, occorre precisare che i provvedimenti di tale apposita Autorità non sono ovviamente vincolanti per l’autorità giudiziaria ordinaria.
Ma, soprattutto, si deve sottolineare che il cit. D.Lgs. n. 196 del 2003, art. 24 elencava ed individuava in dettaglio i casi nei quali il consenso dell’interessato al trattamento dei dati non è richiesto.
Tuttavia, la ricorrente nemmeno, a quanto consta, aveva allegato che il trattamento in questione rientrasse in uno di quei casi, e tuttora non riconduce lo stesso ad una di dette ipotesi.
10. Come si è visto, la Corte territoriale aveva sì constatato che il Garante aveva disposto che, ai sensi dell’art. 24, comma 1, lett. g), del Codice, l'(omissis) (omissis) S.p.A., potesse trattare, senza il consenso degli interessati e per le sole finalità di rilevazione delle presenze, i dati della geometria della mano dei lavoratori, a condizione che ciò avvenga nel rigoroso rispetto delle modalità indicate dalla società e degli accorgimenti che la stessa si era impegnata ad adottare, con particolare riferimento alla memorizzazione dei dati (template) su un supporto posto nell’esclusiva disponibilità dei dipendenti.
Ebbene, l’ipotesi di cui all’art. 24, comma 1, lett. g), cit. era quella in cui il trattamento “con esclusione della diffusione, è necessario, nei casi individuati dal Garante sulla base dei principi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, anche in riferimento all’attività di gruppi bancari e di società controllate o collegate, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell’interessato”.
Si trattava, perciò, di ipotesi che contemplava un previo ed apposito intervento del Garante circa l’individuazione dei casi nei quali il trattamento risultava necessario senza il consenso dell’interessato.
Comunque, tutto ciò valeva “dalla data della pronuncia” dello stesso provvedimento, e cioè dal 10.1.2013.
Per tutto il periodo anteriore, che è quello che interessava in causa, la Corte territoriale, come lo stesso Garante, ha constatato che non ricorreva nessuno dei casi nei quali, a termini dell’art. 24 più volte cit., poteva non essere necessario il consenso dell’interessato.
Resta, perciò, confermato che non vi era spazio alcuno per un bilanciamento tra interessi rilevanti e contrapposti da operare nella fattispecie in esame circa detto periodo anteriore al 10.1.2013.
11. Interamente inammissibile è il secondo motivo di ricorso.
11.1. In proposito, si è già visto che la Corte territoriale aveva considerato che il provvedimento del Garante per la privacy del 10.1.2013 era entrato nel processo in quanto espressamente richiamato ed esaminato in precedenti della medesima Corte che proprio l’allora appellante aveva prodotto in grado d’appello.
Alla fine della propria motivazione, poi, ha rilevato che “l'(omissis) ha dichiarato al Garante il proprio impegno ad adottare tali tecnologie (e il Garante ha, con il pronunciamento, impartito il relativo ordine)”, ed ha – come già visto – concluso che “non vi è prova che la (omissis) abbia adottato le tessere magnetiche di prossimità (omissis) (sul punto, peraltro, la società appellante non ha opposto alcuna difesa), individuate dal pronunciamento”.
Il rigetto dell’appello di (omissis) (omissis) ha comportato la conferma, non solo della declaratoria d’illegittimità del sistema di rilevazione biometrica in questione, ma anche dell’ordine di interrompere l’utilizzo di tale sistema nei confronti dell’attore B.
11.2. Nello svolgimento del secondo motivo la ricorrente pare voler sostenere che la Corte distrettuale avrebbe dovuto ex officio esercitare i propri poteri istruttori ai sensi degli artt. 421 e 437 c.p.c. in chiave per la verità non meglio specificata; ma sostenendo che “la sentenza della Corte napoletana, confermando a tutt’oggi il blocco del sistema biometrico per il sig. B., assume connotati paradossali soprattutto in ragione del puntuale adempimento delle prescrizioni del Garante eseguito da (omissis), la cui prova non è mai stata richiesta nel corso del processo”.
11.3. Secondo un consolidato orientamento di questa Corte, però, l’uso dei poteri istruttori da parte del giudice ex artt. 421 e 437 c.p.c. non ha carattere discrezionale, ma costituisce un potere-dovere del cui esercizio o mancato esercizio questi è tenuto a dar conto, anche se, al fine di censurare idoneamente in sede di ricorso per cassazione l’inesistenza o la lacunosità della motivazione sulla mancata attivazione di detti poteri, occorre dimostrare di averne sollecitato l’esercizio (così, ex plurimis, Cass. civ., sez. I, 13.7.2021, n. 19948; e in termini esatti analoghi id., sez. lav., 8.7.2020, n. 14373; id. sez. lav., 9.3.2020, n. 6634; id., sez. lav., 10.9.2019, n. 22628; id., sez. lav., 7.9.2015, n. 17704).
11.4. Nel caso in esame, anzitutto la ricorrente nemmeno ha allegato, prima che dimostrato, di aver sollecitato alla Corte territoriale l’esercizio dei poteri officiosi ex artt. 421 e 437 c.p.c. nel senso di acquisire i documenti dai quali risultasse il sopravvenuto “puntuale adempimento delle prescrizioni del Garante eseguito da (omissis)”, che ora quest’ultima allega.
Nota per completezza il Collegio che, secondo quanto sopra premesso, l’allora appellante, per il tramite degli esibiti precedenti giurisprudenziali specifici, nella contumacia dell’appellato, aveva introdotto in causa il provvedimento del Garante per la protezione dei dati personali in data 10.1.2013, che la stessa assume essere stato ad essa comunicato con nota del Garante del 7.2.2013, vale a dire, oltre cinque anni prima dell’udienza del 15.2.2018, in cui fu pronunciato il dispositivo della sentenza qui impugnata.
Incombeva, pertanto, sulla ricorrente – al fine di evitare quanto meno che fosse confermata anche l’inibitoria pronunciata dal primo giudice circa l’utilizzo del sistema in questione nei confronti del B., l’onere di dimostrare un fatto in ipotesi senz’altro sopravvenuto rispetto alla decisione di prime cure (quale l’adempimento delle prescrizioni nel frattempo impartite dal Garante), la cui eventuale rilevanza in causa, per giunta, derivava da un provvedimento del Garante per la privacy, parimenti successivo a detta decisione, ed acquisito in secondo grado in base a produzione della medesima appellante.
12. Il ricorso, pertanto, dev’essere respinto.
13. Nulla dev’essere disposto quanto alle spese, in difetto di costituzione dell’intimato, ma la ricorrente è tenuta al versamento di un ulteriore importo a titolo di contributo unificato, pari a quello previsto per il ricorso, ove dovuto.
P.Q.M.
La Corte rigetta il ricorso.
Ai sensi del D.P.R. n. 115 del 2002, art. 13, comma 1 quater, dà atto della sussistenza dei presupposti processuali per il versamento, da parte della ricorrente, dell’ulteriore importo a titolo di contributo unificato pari a quello previsto per il ricorso, a norma dello stesso art. 13, comma 1 bis, se dovuto.