Garante privacy: no alle impronte digitali per la rilevazione presenze

---

Condividi l'articolo:

---

Il Garante per la protezione dei dati personali, con il provvedimento del 27 marzo 2025 n. 167, ha ribadito che l’utilizzo di dati biometrici sul lavoro è ammesso solo se esiste una norma specifica che tuteli i diritti dei lavoratori, se risponde ad un interesse pubblico e se rispetta i principi di necessità e proporzionalità in relazione all’obiettivo perseguito.

Con il provvedimento n. 167 del 27 marzo 2025, di cui è stata data notizia nella newsletter del 25 giugno 2025, il Garante ha preso in esame il reclamo di tre lavoratori in merito all’utilizzo di un sistema di rilevazione presenze basato su dati biometrici presso un Istituto di Istruzione Superiore.

Fatti contestati: trattamento di dati biometrici

Al centro del provvedimento vi è la contestazione dell’utilizzo, da parte dell’Istituto, di un sistema di rilevazione delle presenze del personale ATA che prevede l’impiego dell’impronta digitale associata badge, implicando quindi il trattamento di dati biometrici ai fini identificativi.

Come dichiarato dallo stesso Istituto scolastico durante l’istruttoria, tale sistema era stato adottato a seguito di episodi di uso improprio dei badge tradizionali e di atti vandalici, e aveva raccolto il consenso della quasi totalità dei lavoratori, ad eccezione di due lavoratori.

L’Istituto ha precisato che il sistema “è stato scelto sulla base della garanzia in ordine alla correttezza del trattamento dati ed alla conformità al GDPR rilasciate dall’azienda fornitrice”, aggiungendo che “il personale ATA ha prestato il consenso all’integrazione del sistema” e che “il DPO non è stato coinvolto”. Inoltre, al personale coinvolto era stata garantita la possibilità di usare alternativamente il sistema di rilevazione delle presenze con badge senza associazione dell’impronta.

A seguito della ricezione del reclamo da parte del Garante (data in cui l’Autorità ha inviato all’Istituto una richiesta di informazioni), l’Istituto ha immediatamente sospeso l’uso del sistema di rilevazione presenze basato sul badge associato all’impronta digitale. Nonostante, in seguito, la totalità del personale ATA – ad eccezione delle due persone che avevano presentato reclamo – abbia più volte richiesto la riattivazione del sistema con impronta, manifestando anche disponibilità a fornire ulteriore consenso scritto, l’Istituto ha deciso di non ripristinarlo.

Funzionamento del sistema biometrico

Il funzionamento del lettore di impronte digitali, quale strumento di verifica biometrica, prevedeva due fasi principali: la registrazione (enrolment) e la verifica (matching).

Nel sistema, ha evidenziato l’Istituto, venivano memorizzati solo dei numeri di riferimento e non la caratteristica biometrica vera e propria. Il che rendeva impossibile risalire dal template all'impronta stessa, rendendo così sicura, in materia di privacy, l'identità dei soggetti registrati.

Inquadramento normativo generale: dati biometrici e loro disciplina

Il Regolamento (UE) 2016/679 (GDPR) qualifica i dati biometrici come “i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici” (art. 4, punto 14). Laddove intesi a identificare in modo univoco una persona fisica, sono ricompresi tra le categorie “particolari” di dati personali (art. 9 del Regolamento) in ragione della loro delicatezza, derivante dalla stretta e stabile relazione con l’individuo e la sua identità.

Il trattamento di dati biometrici è, di regola, vietato (art. 9, par. 1), salvo che ricorra una delle condizioni specificamente previste dall’art. 9, par. 2. In ambito lavorativo, il trattamento di dati biometrici è ammesso quando è “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. b), del Regolamento; v. pure, art. 88, par. 1 e cons. 51-53 del Regolamento).

A livello nazionale, l’art. 2-septies del Codice Privacy, introdotto con il D.lgs. 101/2018, prevede che il trattamento di tali categorie è lecito al ricorrere di una delle condizioni di cui all’art. 9, par. 2, del Regolamento “ed in conformità alle misure di garanzia disposte dal Garante”, in relazione a ciascuna categoria dei dati.

Il datore di lavoro, titolare del trattamento, è, in ogni caso, tenuto a rispettare i principi di protezione dei dati personali, tra cui in particolare quelli di “liceità, correttezza e trasparenza”, “minimizzazione” e protezione dei dati “fin dalla progettazione” e “per impostazione predefinita” (artt. 5 e 25 del Regolamento).

Il caso e l’attività istruttoria del Garante

Il Garante privacy rileva che le informazioni trattate consentivano l’identificazione univoca dei dipendenti e, pertanto, costituivano dati personali biometrici (cfr. art. 4, punti 1 e 14, GDPR).

Il Garante ha precisato che la rilevazione delle presenze, pur essendo prevista nel pubblico impiego (art. 22, comma 3, l. 724/1994; art. 3, l. 244/2007; art. 7, d.P.R. 13/1986), non può automaticamente giustificare il trattamento di dati biometrici in assenza di una base giuridica del trattamento “idonea” anche alla luce dell’assetto delle fonti dell’“ordinamento costituzionale” dello Stato membro (art. 9, par. 2, lett. b e art. 9, par. 4 del Regolamento; art. 2-septies del Codice).

L’art. 2 della l. 56/2019, che introduceva l’obbligo per le pubbliche amministrazioni di adottare sistemi biometrici e di videosorveglianza per la rilevazione delle presenze, è stato peraltro oggetto di forti perplessità da parte del Garante, il quale ne ha sottolineato l’“eccedenza rispetto alle finalità perseguite” (Provv. 11 ottobre 2018, n. 464; Provv. 19 settembre 2019, n. 167).

In particolare, il Garante ha ritenuto che l'introduzione generalizzata di sistemi biometrici non rispetti il principio di proporzionalità, stante l’invasività del trattamento e la natura particolarmente sensibile dei dati coinvolti. Tale norma è stata successivamente abrogata dalla l. 178/2020 (Legge di Bilancio 2021, art. 1, comma 958), sancendo la mancanza di un fondamento normativo per simili trattamenti.

Un ulteriore aspetto rilevante è rappresentato dalla questione del consenso. Il Garante ha ribadito che, in ambito lavorativo, il consenso non può essere considerato una base giuridica valida, a causa dello squilibrio intrinseco tra datore di lavoro e lavoratore (Cons. 43 del Regolamento; art. 7, parr. 3 e 4; Gruppo di lavoro Art. 29, WP 249 e WP 259). Anche qualora il consenso venga espresso, non è possibile considerarlo “libero”, quindi non può giustificare il trattamento di dati biometrici.

Conclusioni del Garante: illiceità del trattamento e sanzionabilità

Il Garante ha concluso che il trattamento effettuato dall’Istituto è avvenuto in violazione degli artt. 5, par. 1, lett. a), 6 e 9 del GDPR. In assenza di una base giuridica idonea e di misure di garanzia, il trattamento è risultato illecito, nonostante la cessazione della condotta e la cancellazione dei dati biometrici raccolti.

Le criticità principali sono state:

• uso di dati biometrici per la rilevazione delle presenze, senza aver prima valutato adeguatamente i rischi e le implicazioni sul piano della protezione dei dati personali
• il titolare non ha consultato il Responsabile della Protezione dei Dati (DPO)

Il Garante ha ritenuto, alla luce di questi elementi, che la violazione fosse di elevata gravità.

Pur ravvisando la serietà della violazione, il Garante ha considerato alcune circostanze attenuanti tra cui la buona cooperazione durante l’istruttoria dell’Istituto, l’assenza di precedenti violazioni  e la natura dell’ente sanzionato (un istituto scolastico).

Tenuto conto di tutti gli elementi, la sanzione è stata quantificata in 4.000 euro.