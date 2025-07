Laureato in Giurisprudenza, con esperienza legale, ora redattore web per giornali online. Ha una passione per la scrittura e la tecnologia, con un focus particolare sull'informazione giuridica.

123RF Il datore di lavoro, pubblico o privato, che si serve di impronte digitali per rilevare le presenze, può rischiare una sanzione. Ecco perché

Fino a dove possono spingersi i poteri di controllo del datore di lavoro? Una interessante risposta arriva da un recente caso finito all’attenzione del Garante Privacy, riguardante un istituto scolastico che si era servito delle impronte digitali, per controllare che il personale fosse realmente al lavoro.

Ne è nato un reclamo conclusosi con il provvedimento dell’Authority – il n. 167 del 2025 – che, oltre a far luce sulle responsabilità della scuola, offre utilissimi suggerimenti per evitare – in ufficio o altro luogo di lavoro – comportamenti sanzionabili per violazione della riservatezza.

Vediamo allora il caso in sintesi, cosa ha deciso il Garante e perché è importante fare molta attenzione all’uso di dati biometrici. Ecco cosa sapere.

Il caso concreto e l’utilizzo dei dati biometrici a scuola

Un ente di istruzione superiore della Calabria aveva impiegato quello che in gergo si chiama “sistema di riconoscimento biometrico” e che – allo scopo di rilevare le presenze e di prevenire atti vandalici e danneggiamenti – funzionava grazie alla combinazione di badge e impronta digitale.

Interessante notare che la sua installazione era stata richiesta degli stessi dipendenti amministrativi, tecnici e ausiliari, in risposta alla sospetta manomissione degli strumenti di rilevazione tramite cartellino presenza. Secondo quanto indicato nel provvedimento del Garante, che richiama tutta la vicenda, ben 34 dipendenti su 36 avevano dato il via libera all’uso dei dati, mentre ai contrari era stata garantita l’alternativa dell’uso del solo badge.

C’è chi non aveva gradito questa novità, tanto che ne scaturì il reclamo all’Authority, con annessa istruttoria e decisione ponderata su quanto emerso.

L’assenza di giustificazione legale all’uso delle impronte digitali

Con il provvedimento 167/2025, il Garante ha dichiarato illecito il trattamento dei dati biometrici e ha punito l’ente scolastico con una multa di 4mila euro per violazione di alcune norme chiave del GDPR. A fondamento della decisione ha richiamato il Regolamento 679/2016, che classifica le impronte digitali e altri dati biometrici tra i dati sensibili oggetto di tutele rafforzate.

Ai sensi del suo art. 9, in ufficio il trattamento di dati come le impronte digitali è generalmente vietato, salvo eccezioni previste da norme specifiche o da contratto collettivo, e dando comunque tutele adeguate ai lavoratori. In ogni caso, il trattamento deve:

rispondere a un interesse pubblico, come ad es. esigenze di sicurezza non riconducibili a meri motivi organizzativi;

rispettare criteri di necessità e proporzionalità rispetto all’obiettivo perseguito.

L’utilizzo è consentito soltanto in presenza di una delle condizioni di cui all’elenco contenuto nello stesso art. 9, ma – come accertato nell’istruttoria del Garante – qui non ricorrevano. Nel provvedimento si tiene a precisare che il trattamento di dati biometrici è ammesso in ambito lavorativo soltanto quando sia:

necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato.

Nel caso in oggetto mancava una base giuridica al comportamento della scuola che aveva adottato questo sistema di rilevamento, senza aver aderito o letto con attenzione quanto previsto dal GDPR.

La violazione dei principi fondamentali nel trattamento dei dati personali

A conclusione dell’istruttoria, l’Authority ha chiarito che la scuola – trattando i dati biometrici – aveva violato i principi di liceità, correttezza, necessità e trasparenza, di cui agli artt. 5, 6 e 9 GDPR. Per evitare la multa, all’istituto non è bastata la sospensione dell’uso del sistema e la cancellazione dei dati raccolti, perché il comportamento è stata considerato comunque illegale.

La finalità perseguita dalla scuola non è stata ritenuta sufficiente a evitare la sanzione pecuniaria da parte del Garante, che ha invece valutato il trattamento “a maglie larghe”, difforme dai principi citati e senza un idoneo presupposto normativo.

Inoltre, anche se il trattamento ha riguardato “solo” 34 persone e sono state offerte modalità alternative di registrazione, l’Authority ha sottolineato la gravità dell’infrazione, considerata la natura dei dati trattati.

Il consenso dei dipendenti non è sufficiente a evitare la sanzione amministrativa

Non solo. Per evitare la sanzione non è bastato che i lavoratori coinvolti avessero dato il loro consenso alla rilevazione. Infatti il Garante, in vari provvedimenti, aveva già chiarito che la mancanza di base giuridica, in merito al trattamento dei dati biometrici, non può essere colmato neanche con l’ok dei dipendenti.

Il consenso non è una deroga sufficiente per il trattamento in ambito lavorativo, sia pubblico che privato, a causa dell’asimmetria tra le rispettive parti del rapporto di lavoro. Infatti, proprio il rapporto di subordinazione tra datore di lavoro e dipendente rende difficile provare la reale libertà di scelta. Ecco perché, il Garante – richiamando un suo precedente provvedimento – ribadisce che:

non può ritenersi in alcun modo conforme al canone di proporzionalità l’ipotizzata introduzione sistematica, generalizzata e indifferenziata per tutte le PA di sistemi di rilevazione biometrica delle presenze, in ragione dei vincoli posti dall’ordinamento europeo sul punto, a motivo dell’invasività di tali forme di verifica e delle implicazioni derivanti dalla particolare natura del dato (v. provv. 167/2019).

Che cosa cambia

Sulla scorta di un orientamento ben preciso (e già visto anche in tema di riconoscimento facciale) Il Garante ha sottolineato ancora una volta che l’uso dei dati biometrici sul posto di lavoro è consentito, solo se previsto da una specifica norma che tuteli i diritti dei lavoratori. Il trattamento deve sempre rispondere a un interesse pubblico e rispettare criteri di necessità e proporzionalità rispetto all’obiettivo perseguito.

Pertanto, in assenza di precise disposizioni che prevedano il trattamento dei dati biometrici per finalità di rilevazione delle presenze e delle relative garanzie, il relativo trattamento non può essere legalmente effettuato, non sussistendo una idonea base giuridica e una norma apposita. Evidentemente, la scuola sanzionata si è mossa con troppa “disinvoltura” e noncuranza rispetto a quanto previsto dalla legge italiana ed europea. L’uso di dati biometrici è invece possibile soltanto rispettando un rigido perimetro normativo, a diretta tutela degli interessati.

E come ricordato dall’Authority, il trattamento deve essere sempre adeguato, pertinente e limitato a quanto necessario rispetto alle finalità per le quali lo si avvia. Il datore dovrà sempre valutare se ci siano metodi meno invasivi per raggiungere lo stesso scopo. Se mancano specifiche disposizioni in tema di corretto trattamento dei dati biometrici per finalità di rilevazione delle presenze e relative garanzie, ci si dovrà astenere dalle relative attività, per non rischiare una multa.